SCCM2012 系列课程(6)-基于角色安全管理

SCCM2012中部署NAP网络访问保护一、微软的网络访问保护（NAP）是随着Windows Server 2008面世的限制网络访问保护服务。

采用NAP的强制系统符合健康要求，可以使得不符合健康要求的计算机拒绝接入网络，并将不符合的计算机强制修正其状态。

NAP的的三个显著特性健康状态验证当客户端计算机尝试连接网络时，NAP会根据制定的健康要求策略进行检查客户端健康情况，如果不符合健康要求，后续会对计算机进行配置和操作。

健康策略符合性管理员可以设置符合性策略，配合SCCM 2012，NAP检查客户端计算机是否包含了特定的软件更新或者是单独的软件产品，如果不符合，将自动对其进行修复。

受限访问限制不符合健康性要求的客户端计算机，让其自动的去访问修复服务器，然后修正不符合项，使其能正常接入网络。

典型的使用场景验证移动的便携式计算机健康状况验证台式机的健康状况验证来宾的便携式计算机健康状况验证不受管理的计算机健康状况二、SCCM+NAP实验环境介绍本次实验基于虚拟环境，采用SCCM+NAP DHCP强制方式，使用DC、SCCM、Client 三台服务器与客户端，。

各服务器安装角色如下：DC：DC、DNSSCCM：SCCM2012、DHCP、NPSClient：Windows 7.部署步骤1.在SCCM服务器上安装DHCP与NAP服务。

图12.选择NAP角色组件，如图2图23.添加DHCP作用域，这步也可以安装完之后再做。

图34.安装完毕后，打开DHCP服务器，打开配置作用域，在作用域配置中，高级选项，默认用户类下，勾选006 DNS 服务器与015 DNS 域名。

如下图设置：图4 DNS 服务器设置图5 DNS 域名设置5.设置完毕后将用户类改为“默认的网络保护级别”，勾选006 DNS 服务器与015 DNS域名。

其中006设置与上面相同，015 DNS 域名填写为restricted.contoso.msft。

System Center Configuration Manager 2012部署指南目录一、部署环境介绍： (3)二、部署需求： (4)四、部署SCCM 2012服务器 (6)五、在SCCM服务器上安装相关服务及组件： (6)六、部署Configuration Manager 2012： (29)一、部署环境介绍：本次部署共涉及到2台服务器1.DC：角色：域控制器+DNS+ DHCP操作系统：Windows Server 2008 R2标准版2.SCCM：角色：SCCM 2012+ SQL Server 2008 SP1 + WSUS 3.0 SP2 操作系统：Windows Server 2008 R2 企业版二、部署需求：1.Configuration Manager 20012服务器需求：1)站点系统硬件需求：2)站点系统操作系统需求：a)Windows Server 2008 Standard Edition (no service pack or SP1) 64 bitb)Windows Server 2008 Enterprise Edition (no service pack or SP1) 64 bitc)Windows Server 2008 Data Center Edition (no service pack or SP1) 64 bitd)Windows Server 2008R2 Standard Edition (no service pack or SP1)64 bite)Windows Server 2008R2 Enterprise Edition (no service pack or SP1) 64 bitf)Windows Server 2008R2 Data Center Edition (no service pack or SP1) 64 bit2.Configuration Manager 2012 客户端需求：1)客户端系统硬件需求：3.Configuration Manager 2012 服务器系统组件需求：1)WSUS 3.0 SP22)ReportViewer 2008 (for WSUS 3.0)3)IIS 7.5 (BITS、Active Server Page、WebDAV for Windows Server 2008 R2,远程差分压缩)4).NET.framework 3.5.+ .NET.framework 4.0三、部署SCCM服务器1、安装Windows Server 2008 R2服务器（见附录一），2、并配置计算机名称和IP地址（见附录一）；3、将服务器加入域（见附录一）。

SCCM 2012 管理实战教程适用人群中级IT从业人员课程简介本课程力图使用全新的视角为大家介绍SCCM 2012 产品和技术，尽力为大家揭示SCCM 2012 的本质，将SCCM 2012 结合到企业的实际需求，贯穿运维的的整个生命周期，完成操作系统，应用程序的部署，补丁更新，病毒防护的变更，软件，硬件清单和报表。

1课程开篇[免费观看]13分钟在这一节，我们将为大家介绍整个课程章节的安排，并且介绍课程中SCCM 2012 的运作和演示环境，最后将为大家从零开始构建起SCCM 2012 运行环境中最基础的环境，完成域的新建和数据库服务器的准备。

2SCCM 2012 主线18分钟在这一节，我们将为大家介绍SCCM 2012 管理的主线，当我们理解好了管理的主线后，那么我们就能够更轻松更有效的使用SCCM 2012 去管理我们网络中的系统和对象。

通过对SCCM 2012 管理主线的介绍，使我们对于SCCM 2012 提供的功能和特性有一个全局性的把握。

3部署SCCM 2012 站点36分钟在这一节，我们将为大家介绍SCCM 2012 中不同的站点类型，部署和运行的先决条件，并且依次完成中心管理站点，主站点和辅助站点的部署，获得第一个SCCM 2012 的运行环境。

4发现和边界19分钟在这一节，我们将为大家介绍通过SCCM 2012 提供的不同的发现方法，发现网络当中的用户和计算机等资源，从而将这些资源添加到SCCM 2012 系统中，最后我们将己经添加好的资源通过创建边界的方式，关联到最近的SCCM 服务器，获得最佳的用户体验。

5客户端部署29分钟在这一节中，我们将为大家介绍不同类型的SCCM 2012 客户端部署方式，并且说明如何执行客户端请求安装来完成SCCM 2012 客户端的部署，说明如何在SCCM 2012 管理控制台中使用配置客户端设置来启用SCCM 2012 客户端不同的特性和功能。

SCCM 2012 SP1系列（十一）配置Endpoint Protection-1在SCCM2012中集成了微软的企业级防病毒软件System Center 2012 Endpoint Protection。

Endpoint Protection原名是Forefront Endpoint Protection 2012，可以对桌面进行管理与保护，以降低IT 管理与运营成本。

System Center 2012 Endpoint Protection以Configuration Manager为基础构建而来，针对端点保护技术的部署与管理提供了单一解决方案。

System Center2012 Endpoint Protection使用了与Microsoft Security Essentials相同的业界领先的反恶意软件引擎，可保护您的员工防范最新恶意软件与Rootkit。

System Center 2012 Endpoint Protection与Configuration Manager集成，即可通过反恶意软件、补丁、清单，以及使用信息等机制提供有关客户端系统合规性与安全性的单一视图。

同时还可对网络通讯进行深入的协议分析，以找出并阻止针对含有漏洞系统的攻击，直到响应的软件更新成功安装。

只要系统状态保持为最新，漏洞防护功能就会自动关闭。

具体参考：/zh-cn/server-cloud/system-center/endpoint-protection-2012.aspx下面来看SCCM2012中Endpoint Protection的具体配置。

1、站点配置在“管理”选项卡-“站点配置”-“站点”中，右键点击右侧栏的站点服务器，选择“添加站点系统角色”。

点击“下一步”点击“下一步”勾选“Endpoint Protection 点”，弹出提示，点击确定点击“下一步”点击“下一步”选择是否加入MAPS，并点击“下一步”确认摘要信息，点击“下一步”添加成功后点击“关闭”2、配置默认客户端配置在“管理”选项卡中选择“站点配置”-“客户端设置”，在右侧选择默认客户端设置，右键点击属性点击Endpoint Protection选项，并在右侧把在客户端计算机上管理Endpoint Protection客户端选择成“真”，其他设置可根据需要配置。

1SCCM2012部署指南（Microsoft）System Center Configuration Manager 2012部署指南⽬录⼀、部署环境介绍： (3)⼆、部署需求： (4)四、部署SCCM 2012服务器 (6)五、在SCCM服务器上安装相关服务及组件： (6)六、部署Configuration Manager 2012： (29)⼀、部署环境介绍：本次部署共涉及到2台服务器1.DC：⾓⾊：域控制器+DNS+ DHCP操作系统：Windows Server 2008 R2标准版2.SCCM：⾓⾊：SCCM 2012+ SQL Server 2008 SP1 + WSUS 3.0 SP2 操作系统：Windows Server 2008 R2 企业版⼆、部署需求：1.Configuration Manager 20012服务器需求：1)站点系统硬件需求：2)站点系统操作系统需求：a)Windows Server 2008 Standard Edition (no service pack or SP1) 64 bitb)Windows Server 2008 Enterprise Edition (no service pack or SP1) 64 bitc)Windows Server 2008 Data Center Edition (no service pack or SP1) 64 bitd)Windows Server 2008R2 Standard Edition (no service pack or SP1)64 bite)Windows Server 2008R2 Enterprise Edition (no service pack or SP1) 64 bitf)Windows Server 2008R2 Data Center Edition (no service pack or SP1) 64 bit2.Configuration Manager 2012 客户端需求：1)客户端系统硬件需求：3.Configuration Manager 2012 服务器系统组件需求：1)WSUS 3.0 SP22)ReportViewer 2008 (for WSUS 3.0)3)IIS 7.5 (BITS、Active Server Page、WebDAV for Windows Server 2008 R2,远程差分压缩)4).NET.framework 3.5.+ .NET.framework 4.0三、部署SCCM服务器1、安装Windows Server 2008 R2服务器（见附录⼀），2、并配置计算机名称和IP地址（见附录⼀）；3、将服务器加⼊域（见附录⼀）。

•网络信息安全概述•密码学基础及应用•身份认证与访问控制策略•网络安全设备配置与管理•数据保护与恢复策略•应用系统安全防护措施•网络安全意识培养与团队建设目录01网络信息安全概述信息安全定义与重要性信息安全的定义信息安全的重要性常见网络攻击手段及防范策略常见网络攻击手段防范策略法律法规与合规性要求法律法规合规性要求02密码学基础及应用密码学基本概念加密原理解密原理030201密码学原理简介常见加密算法及其特点对称加密算法非对称加密算法混合加密算法密码管理最佳实践01020304密钥管理密码策略多因素认证定期审计和监控03身份认证与访问控制策略用户名/密码认证动态口令认证数字证书认证生物特征认证身份认证方法和技术访问控制模型及实现方式自主访问控制（DAC）强制访问控制（MAC）基于角色的访问控制（RBAC）基于属性的访问控制（ABAC）单点登录（SSO）技术应用跨域单点登录允许用户在多个相关但不同的系统中使用同一套用户名和密码进行登录。

OAuth授权一种开放标准，允许用户授权第三方应用访问其存储在另一服务提供者的信息，而无需将用户名和密码提供给第三方应用。

联合身份验证通过与其他身份提供商合作，实现用户在多个网站和应用中的单点登录体验。

无密码身份验证采用生物特征、硬件设备等方式替代传统密码进行身份验证，提高了用户体验和安全性。

04网络安全设备配置与管理防火墙配置策略及优化建议防火墙基本配置包括接口配置、安全区域划分、地址转换等。

访问控制策略根据业务需求制定精细化的访问控制策略，如基于IP地址、端口、协议等进行访问限制。

防火墙优化建议定期更新防火墙规则库，及时修补安全漏洞；对防火墙日志进行监控和分析，发现潜在威胁。

1 2 3IDS/IPS基本原理设备部署与配置运维管理入侵检测系统（IDS/IPS）部署和运维VPN 配置方法掌握主流VPN 设备的配置方法，如Cisco 、Juniper 等。

VPN 基本原理了解VPN 的工作原理、隧道技术、加密技术等相关知识。