Sdílet prostřednictvím


Zabezpečení a ochrana osobních údajů pro správu obsahu v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Tento článek obsahuje informace o zabezpečení a ochraně osobních údajů pro správu obsahu v Configuration Manager.

Doprovodné materiály k zabezpečení

Výhody a nevýhody protokolu HTTPS nebo HTTP pro intranetové distribuční body

U distribučních bodů v intranetu zvažte výhody a nevýhody použití protokolu HTTPS nebo HTTP. Ve většině scénářů poskytuje použití účtů HTTP a přístup k balíčkům k autorizaci větší zabezpečení než použití protokolu HTTPS s šifrováním, ale bez autorizace. Pokud ale máte v obsahu citlivá data, která chcete během přenosu zašifrovat, použijte protokol HTTPS.

  • Když pro distribuční bod použijete HTTPS: Configuration Manager nepoužívá účty pro přístup k balíčkům k autorizaci přístupu k obsahu. Obsah se při přenosu přes síť zašifruje.

  • Při použití protokolu HTTP pro distribuční bod: K autorizaci můžete použít účty pro přístup k balíčkům. Obsah se při přenosu přes síť nešifruje.

Zvažte povolení rozšířeného protokolu HTTP pro web. Tato funkce umožňuje klientům používat ověřování Microsoft Entra k zabezpečené komunikaci s distribučním bodem HTTP. Další informace najdete v tématu Rozšířený protokol HTTP.

Důležité

Od Configuration Manager verze 2103 jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.

Ochrana souboru certifikátu ověřování klienta

Pokud pro distribuční bod používáte certifikát ověřování klienta PKI místo certifikátu podepsaného svým držitelem, chraňte soubor certifikátu (.pfx) silným heslem. Pokud soubor ukládáte v síti, při importu souboru do Configuration Manager zabezpečte síťový kanál.

Pokud potřebujete heslo k importu certifikátu ověřování klienta, který distribuční bod používá ke komunikaci s body správy, pomůže tato konfigurace chránit certifikát před útočníkem. Pokud chcete zabránit útočníkovi v manipulaci se souborem certifikátu, použijte mezi síťovým umístěním a serverem lokality podepisování protokolu SMB (Server Message Block) nebo protokol IPsec.

Odebrání role distribučního bodu ze serveru lokality

Ve výchozím nastavení Configuration Manager instalační program nainstaluje distribuční bod na server lokality. Klienti nemusí komunikovat přímo se serverem lokality. Pokud chcete zmenšit prostor pro útoky, přiřaďte roli distribučního bodu jiným systémům lokality a odeberte ji ze serveru lokality.

Zabezpečení obsahu na úrovni přístupu k balíčku

Sdílená složka distribučního bodu umožňuje všem uživatelům přístup ke čtení. Pokud chcete omezit, kteří uživatelé mají přístup k obsahu, použijte účty pro přístup k balíčkům, když je distribuční bod nakonfigurovaný pro protokol HTTP. Tato konfigurace se nevztahuje na brány pro správu cloudu s podporou obsahu, které nepodporují účty pro přístup k balíčkům.

Další informace najdete v tématu Účty pro přístup k balíčkům.

Konfigurace služby IIS pro roli distribučního bodu

Pokud Configuration Manager nainstaluje službu IIS při přidání role systému lokality distribučního bodu, po dokončení instalace distribučního bodu odeberte přesměrování HTTPa skripty a nástroje pro správu služby IIS. Distribuční bod tyto komponenty nevyžaduje. Pokud chcete zmenšit prostor pro útoky, odeberte tyto služby rolí pro roli webového serveru.

Další informace o službách rolí pro roli webového serveru pro distribuční body najdete v tématu Požadavky na lokalitu a systém lokality.

Nastavení přístupových oprávnění k balíčku při vytváření balíčku

Vzhledem k tomu, že změny přístupových účtů v souborech balíčku se projeví až při redistribuci balíčku, nastavte přístupová oprávnění k balíčku pečlivě při prvním vytvoření balíčku. Tato konfigurace je důležitá, pokud je balíček velký nebo distribuovaný do mnoha distribučních bodů a pokud je kapacita šířky pásma sítě pro distribuci obsahu omezená.

Implementace řízení přístupu k ochraně médií, která obsahují předpřipravený obsah

Připravený obsah je komprimovaný, ale nešifrovaný. Útočník by mohl číst a upravovat soubory, které se stahují do zařízení. Configuration Manager klienti odmítnou obsah, se kterým se manipulovalo, ale přesto ho stahují.

Import předpřipraveného obsahu pomocí ExtractContent

Importujte jenom předpřipravený obsah pomocí nástroje příkazového řádku ExtractContent.exe. Pokud chcete zabránit manipulaci a zvýšení oprávnění, používejte pouze autorizovaný nástroj příkazového řádku, který je součástí Configuration Manager.

Další informace najdete v tématu Nasazení a správa obsahu.

Zabezpečení komunikačního kanálu mezi serverem lokality a umístěním zdroje balíčku

Při vytváření aplikací, balíčků a dalších objektů s obsahem použijte podepisování protokolu IPsec nebo SMB mezi serverem lokality a zdrojovým umístěním balíčku. Tato konfigurace pomáhá zabránit útočníkovi v manipulaci se zdrojovými soubory.

Odebrání výchozích virtuálních adresářů pro vlastní web s rolí distribučního bodu

Pokud po instalaci role distribučního bodu změníte možnost konfigurace lokality tak, aby místo výchozího webu používala vlastní web, odeberte výchozí virtuální adresáře. Když přepnete z výchozího webu na vlastní web, Configuration Manager neodebere staré virtuální adresáře. Odeberte následující virtuální adresáře, které Configuration Manager původně vytvořené na výchozím webu:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Další informace o používání vlastního webu najdete v tématu Weby pro servery systému lokality.

V případě bran pro správu cloudu s podporou obsahu chraňte podrobnosti o předplatném Azure a certifikáty.

Pokud používáte brány pro správu cloudu s podporou obsahu (CMG), chraňte následující vysoce hodnotné položky:

  • Uživatelské jméno a heslo pro vaše předplatné Azure
  • Tajné klíče pro registrace aplikací Azure
  • Ověřovací certifikát serveru

Uložte certifikáty bezpečně. Pokud k nim při konfiguraci cmg přejdete přes síť, použijte podepisování protokolu IPsec nebo SMB mezi serverem systému lokality a zdrojovým umístěním.

Pro zajištění kontinuity služeb monitorujte datum vypršení platnosti certifikátů CMG.

Configuration Manager vás neupozorní, když brzy vyprší platnost importovaných certifikátů pro CMG. Data vypršení platnosti monitorujte nezávisle na Configuration Manager. Ujistěte se, že jste nové certifikáty prodloužili a potom je naimportovali před datem vypršení platnosti. Tato akce je důležitá, pokud získáte ověřovací certifikát serveru od externího veřejného poskytovatele, protože k získání obnoveného certifikátu můžete potřebovat více času.

Pokud vyprší platnost certifikátu, správce Configuration Manager cloudových služeb vygeneruje stavovou zprávu s ID 9425. Soubor CloudMgr.log obsahuje položku, která označuje, že certifikát je ve stavu vypršení platnosti a datum vypršení platnosti je také zaznamenáno ve standardu UTC.

Důležité informace o zabezpečení

  • Klienti neověřují obsah, dokud se nestáhne. Configuration Manager klienti ověřují hodnotu hash obsahu až po jejím stažení do jejich mezipaměti klienta. Pokud útočník manipuluje se seznamem souborů ke stažení nebo se samotným obsahem, proces stahování může trvat značnou šířku pásma sítě. Klient pak obsah zahodí, když najde neplatnou hodnotu hash.

  • Pokud používáte brány pro správu cloudu s podporou obsahu:

    • Automaticky omezí přístup k obsahu pro vaši organizaci. Nemůžete ho dále omezit na vybrané uživatele nebo skupiny.

    • Bod správy nejprve ověří klienta. Pak klient použije token Configuration Manager pro přístup ke cloudovému úložišti. Token je platný po dobu osmi hodin. Toto chování znamená, že pokud klienta zablokujete, protože už není důvěryhodný, může pokračovat ve stahování obsahu z cloudového úložiště, dokud nevyprší platnost tohoto tokenu. Bod správy nevydá pro klienta další token, protože je zablokovaný.

      Pokud chcete zabránit zablokování klienta ve stahování obsahu během tohoto osmihodinového intervalu, zastavte cloudovou službu. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Cloud Services a vyberte uzel Brána pro správu cloudu.

Informace o ochraně osobních údajů

Configuration Manager neobsahuje do souborů obsahu žádná uživatelská data, i když se správce může rozhodnout provést tuto akci.

Další kroky