Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Escenarios y procedimientos de Microsoft Systems Management Server 2003: seguridad

Apéndice D: seguridad en entornos de cliente heredado

Publicado: enero 9, aaaa

El cliente heredado en Microsoft ®Systems Management Server (SMS) no se considera un entorno seguro. Esta sección está destinada a organizaciones que necesitan proporcionar administración para clientes con Microsoft Windows® 98 y Microsoft Windows NT® 4.0. La ejecución del cliente heredado en Microsoft Windows XP, Microsoft Windows 2000 y Microsoft Windows 2003 no se recomienda en SMS 2003 RTM y no es compatible con SMS 2003 SP1.

En esta página
Administración de cuentas de cliente heredadoAdministración de cuentas de cliente heredado
Seguridad de herramientas remotasSeguridad de herramientas remotas

Administración de cuentas de cliente heredado

Los clientes heredados requieren varias cuentas en cada equipo. SMS debería crear y administrar todas las cuentas necesarias pero el administrador de SMS puede crear cuentas adicionales para proporcionar un nivel de seguridad superior y evitar bloqueos de cuentas.

No instale el cliente heredado en controladores de dominio.

Los clientes avanzados se ejecutan bajo el contexto de la cuenta LocalSystem, de modo que cuentan con un contexto de seguridad único del resto de los equipos incluso en controladores de dominio, y no hay cuentas ni cambios de cuentas que deban replicarse. Por el contrario, el cliente heredado requiere varias cuentas y las cuentas de cliente heredado SMS deben ser cuentas de dominio, ya que los controladores de dominio no disponen de base de datos de cuentas local. Algunas de estas cuentas tienen derechos de usuario de alto nivel en el sistema operativo. Si tiene un dominio de NT 4.0, evalúe las ventajas y los inconvenientes de aceptar un riesgo de seguridad superior a cambio de disponer de posibilidades de administración más amplias.

Cree varias cuentas de conexión de cliente

Si la opción de bloqueo de cuenta está habilitada en el dominio, un solo cliente con una contraseña no válida puede provocar el bloqueo de la cuenta de conexión de cliente para todos los clientes. Por ejemplo, un cliente SMS que ha estado desconectado durante un largo período de tiempo puede causar el bloqueo porque quizás su contraseña para la cuenta de conexión de cliente ha caducado. Cuando intenta conectar a un CAP a través de una cuenta de conexión de cliente con una contraseña antigua, la cuenta se bloquea. Para evitar que sus clientes se conviertan en huérfanos, es importante asegurarse de que siempre hay por lo menos una cuenta de conexión de cliente disponible para ellos. Para consultar el procedimiento, vea la sección Creación de cuentas de conexión de cliente adicionales para evitar clientes heredados huérfanos, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Antes de implementar la seguridad avanzada, cree la cuenta de conexión de cliente.

Al instalar un sitio nuevo con seguridad avanzada, SMS no crea la cuenta de conexión de cliente. Los clientes heredados usan la cuenta de conexión de cliente para conectar a un CAP y enviar información, como registros de datos de descubrimiento (DDR, Discovery Data Records), inventarios y mensajes de estado. Si tiene intenciones de utilizar clientes heredados en el sitio SMS de seguridad avanzada, deberá crear al menos una cuenta de conexión de cliente antes de instalar los clientes heredados.

En el caso de que configure CAP adicionales en un sitio de seguridad avanzada, donde las cuentas de conexión de cliente originales son locales con respecto al CAP original (tal como se recomienda), deberá crear cuentas de conexión de cliente adicionales para que los clientes puedan acceder a los CAP agregados.

De forma predeterminada, SMS crea una cuenta de conexión de cliente para cada CAP pero, para conseguir mejoras en seguridad, integridad del sitio y tolerancia a errores, se recomienda que cree cuentas de conexión de cliente adicionales. Utilice el procedimiento siguiente para crear varias cuentas de conexión de cliente:

No cambie la contraseña de las cuentas de cliente heredado creadas automáticamente.

De forma automática, SMS crea y mantiene las cuentas siguientes. La única forma de cambiar la contraseña es eliminar el cliente heredado y volver a instalarlo.

Tabla D.1  Cuentas de cliente heredado creadas automáticamente

Nombre descriptivoNombre de interfaz

Servicios de cliente (no DC)

SMSCliSvcAcct&

Servicios de cliente (DC)

SMS&_nombre_controlador_dominio

Token de usuario de cliente (no DC)

SMSCliToknLocalAcct&

Token de usuario de cliente (DC)

SMSCliToknAcct&

Cargador de inicio CCM (DC)

SMS#_nombre_controlador_dominio

Cargador de inicio CCM (no DC)

SMSCCMBootAcct&

Tras la migración a seguridad avanzada, elimine las cuentas de seguridad que ya no se necesitan (entorno de cliente heredado).

La migración de un sitio a seguridad avanzada no resulta en la eliminación automática de las cuentas de seguridad estándar, ya que puede haber clientes (u otros sitios) que las necesiten. Puede eliminar las cuentas cuando esté totalmente seguro de que ya no se están utilizando.

note.gif  Nota
Esta lista se aplica únicamente a entornos con clientes heredados. Si no dispone de clientes heredados, consulte la lista de cuentas que pueden eliminarse en la sección Tras la migración de seguridad estándar a seguridad avanzada, elimine cuentas que ya no se necesitan (entorno de cliente avanzado).

Eliminar siempre:

Cuenta de servicio SMS

Cuenta de base de datos de sistemas del sitio (SMS_SQL_RX_códigositio)

Si tiene controladores de dominio que ejecutan el cliente heredado, las cuentas siguientes no deben eliminarse:

Cargador de inicio CCM (DC) (SMS#_dc)

Servicios de cliente (DC) (SMS&_dc)

Token de usuario de cliente (DC) (SMSCliToknAcct&)

Grupo de clientes internos (SMSInternalCliGrp)

Si el proveedor de SMS está instalado en un equipo remoto que ejecuta SQL Server, no elimine:

Cuenta de conexión de servidor (SMSServer_códigositio     )

Elimine esta cuenta si la base de datos del sitio SMS se encuentra en el servidor del sitio. En SMS 2003 (sin Service Pack), si el proveedor de SMS está instalado en un equipo remoto que ejecuta SQL Server, la eliminación de la cuenta SMSServer_códigositio podría impedir el acceso del servidor del sitio al servidor de base de datos del sitio SMS. Para obtener más información, realice una consulta sobre errores que pueden darse durante la transición de seguridad estándar a seguridad avanzada en SMS 2003 Operations Release Notes dentro de Microsoft TechNet. Éste deja de ser el caso tras la actualización a SMS 2003 SP1.

Si no utiliza estas cuentas opcionales, puede eliminar:

Instalación de software cliente

Acceso a red de cliente avanzado

Instalación de software de cliente heredado

No eliminar:

Grupo de administradores de SMS (SMS Admins)

Grupo de usuarios de informes (SMS Reporting Users)

Grupo de conexión de sistema del sitio al servidor del sitio (SMS_SiteSystemToSiteServerConnection_códigositio)

Grupo de conexión de sistema del sitio a SQL Server (SMS_SiteSystemToSQLConnection_códigositio)

Grupo de conexión de sitio a sitio (SMS_SiteToSiteConnection_códigositio)

Cuenta de conexión de cliente (SMSClient_códigositio)

Las cuentas de dirección del sitio que haya agregado a SMS_SiteToSiteConnection_códigositio, a menos que ya las haya reemplazado con cuentas de equipos.

Si especifica una cuenta dirección del sitio para una dirección y luego decide que desea utilizar la cuenta de equipo como cuenta de dirección del sitio, tendrá que eliminar la dirección y volver a crearla. El cambio del nombre de la cuenta no es suficiente cuando se trata de pasar de una cuenta de usuario a la cuenta nombreequipo$.

No otorgue derechos sobre equipos cliente a la cuenta de instalación de software de cliente heredado.

Los componentes de cliente SMS conceden derechos de usuario determinados y pertenencia al grupo de administradores local a la cuenta de instalación de software de cliente heredado cuando el cliente ejecuta un programa que requiere derechos administrativos.

Seguridad de herramientas remotas

Siga las recomendaciones de seguridad para herramientas remotas en clientes avanzados con Windows 2000 Professional.

Los clientes que ejecutan Windows 98 pueden utilizar la seguridad proporcionada solicitando el permiso de usuario para la seguridad de herramientas remotas. Los clientes con Windows 98 no cuentan con listas de usuarios permitidos y puede omitirse la seguridad de colecciones. Si no quiere correr el riesgo de que usuarios no autorizados puedan hacerse con el control remoto de los equipos que ejecutan Windows 98, debe habilitar la opción que convierte el permiso de usuario en requisito para obtener acceso a cualquier sitio en que haya asignados clientes con Windows 98. Puede configurar esta opción de modo que el permiso del usuario se requiera únicamente en equipos que ejecutan Windows 98 y no afecte a equipos con otros sistemas operativos.



©2014 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft