Konfigurace zabezpečení v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Informace v tomto článku vám pomůžou nastavit možnosti související se zabezpečením pro Configuration Manager. Než začnete, ujistěte se, že máte plán zabezpečení.

Důležité

Od Configuration Manager verze 2103 jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.

Klientské certifikáty PKI

Pokud chcete používat certifikáty infrastruktury veřejných klíčů (PKI) pro připojení klientů k systémům lokality, které používají Internetovou informační službu (IIS), nakonfigurujte nastavení pro tyto certifikáty následujícím postupem.

1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Položku Konfigurace lokality a vyberte uzel Lokality. Vyberte primární lokalitu, která se má nakonfigurovat.

2. Na pásu karet zvolte Vlastnosti. Pak přepněte na kartu Zabezpečení komunikace .

3. Vyberte nastavení pro systémy lokality, které používají službu IIS.

   • Pouze HTTPS: Klienti, kteří jsou přiřazeni k lokalitě, vždy používají klientský certifikát PKI, když se připojují k systémům lokality, které používají službu IIS. Například bod správy a distribuční bod.

   • HTTPS nebo HTTP: Nevyžadujete, aby klienti používali certifikáty PKI.

   • Použití Configuration Manager generovaných certifikátů pro systémy lokality HTTP: Další informace o tomto nastavení najdete v tématu Rozšířený protokol HTTP.

4. Vyberte nastavení pro klientské počítače.

   • Pokud je k dispozici, použijte klientský certifikát PKI (funkce ověřování klienta): Pokud jste zvolili nastavení serveru lokality HTTPS nebo HTTP , zvolte tuto možnost, pokud chcete pro připojení HTTP použít klientský certifikát PKI. Klient používá tento certifikát místo certifikátu podepsaného svým držitelem k ověření v systémech lokality. Pokud jste zvolili jenom HTTPS, tato možnost se vybere automaticky.

     Pokud je v klientovi k dispozici více než jeden platný klientský certifikát PKI, vyberte Změnit a nakonfigurujte metody výběru klientského certifikátu. Další informace o metodě výběru klientského certifikátu najdete v tématu Plánování výběru klientského certifikátu PKI.

   • Klienti zkontrolují seznam odvolaných certifikátů (CRL) pro systémy lokality: Povolte toto nastavení, aby klienti mohli kontrolovat odvolané certifikáty v seznamu CRL vaší organizace. Další informace o kontrole seznamu CRL pro klienty najdete v tématu Plánování odvolání certifikátu PKI.

5. Pokud chcete importovat, zobrazit a odstranit certifikáty pro důvěryhodné kořenové certifikační autority, vyberte Nastavit. Další informace najdete v tématech Plánování důvěryhodných kořenových certifikátů PKI a Seznam vystavitelů certifikátů.

Tento postup opakujte pro všechny primární lokality v hierarchii.

Správa důvěryhodného kořenového klíče

Pomocí těchto postupů můžete předem zřídit a ověřit důvěryhodný kořenový klíč pro klienta Configuration Manager.

Poznámka

Pokud klienti můžou získat důvěryhodný kořenový klíč z Active Directory Domain Services nebo nabízeného klienta, nemusíte ho předem zřizovat.

Když klienti používají komunikaci přes protokol HTTPS s body správy, nemusíte předem zřizovat důvěryhodný kořenový klíč. Navazují vztah důvěryhodnosti pomocí certifikátů PKI.

Další informace o důvěryhodném kořenovém klíči najdete v tématu Plánování zabezpečení.

Předběžné zřízení klienta s důvěryhodným kořenovým klíčem pomocí souboru

1. Na serveru lokality přejděte do instalačního adresáře Configuration Manager. V podsložce \bin\<platform> otevřete v textovém editoru následující soubor: mobileclient.tcf

2. Vyhledejte položku SMSPublicRootKey. Zkopírujte hodnotu z daného řádku a zavřete soubor bez uložení změn.

3. Vytvořte nový textový soubor a vložte hodnotu klíče, kterou jste zkopírovali ze souboru mobileclient.tcf.

4. Uložte soubor do umístění, kde k němu mají přístup všechny počítače, ale kde je soubor bezpečný před neoprávněnou manipulací.

5. Nainstalujte klienta pomocí libovolné metody instalace, která přijímá vlastnosti client.msi. Zadejte následující vlastnost: SMSROOTKEYPATH=<full path and file name>

   Důležité

   Pokud během instalace klienta zadáte důvěryhodný kořenový klíč, zadejte také kód lokality. Použijte následující client.msi vlastnost: SMSSITECODE=<site code>

Předběžné zřízení klienta s důvěryhodným kořenovým klíčem bez použití souboru

1. Na serveru lokality přejděte do instalačního adresáře Configuration Manager. V podsložce \bin\<platform> otevřete v textovém editoru následující soubor: mobileclient.tcf

2. Vyhledejte položku SMSPublicRootKey. Zkopírujte hodnotu z daného řádku a zavřete soubor bez uložení změn.

3. Nainstalujte klienta pomocí libovolné metody instalace, která přijímá vlastnosti client.msi. Zadejte následující client.msi vlastnost: SMSPublicRootKey=<key> where <key> je řetězec, který jste zkopírovali z mobileclient.tcf.

   Důležité

   Pokud během instalace klienta zadáte důvěryhodný kořenový klíč, zadejte také kód lokality. Použijte následující client.msi vlastnost: SMSSITECODE=<site code>

Ověření důvěryhodného kořenového klíče na klientovi

1. Otevřete konzolu Windows PowerShell jako správce.

2. Spusťte následující příkaz:

   (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
   

Vrácený řetězec je důvěryhodný kořenový klíč. Ověřte, že odpovídá hodnotě SMSPublicRootKey v souboru mobileclient.tcf na serveru lokality.

Odebrání nebo nahrazení důvěryhodného kořenového klíče

Odeberte důvěryhodný kořenový klíč z klienta pomocí vlastnosti RESETKEYINFORMATION = TRUEclient.msi .

Pokud chcete nahradit důvěryhodný kořenový klíč, přeinstalujte klienta spolu s novým důvěryhodným kořenovým klíčem. Použijte například nabízené oznámení klienta nebo zadejte vlastnost client.msi SMSPublicRootKey.

Další informace o těchto vlastnostech instalace najdete v tématu o parametrech a vlastnostech instalace klienta.

Podepisování a šifrování

Nakonfigurujte nejbezpečnější nastavení podepisování a šifrování pro systémy lokality, které můžou podporovat všichni klienti v lokalitě. Tato nastavení jsou obzvláště důležitá, když klientům umožníte komunikovat se systémy lokality pomocí certifikátů podepsaných svým držitelem přes protokol HTTP.

1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Položku Konfigurace lokality a vyberte uzel Lokality. Vyberte primární lokalitu, která se má nakonfigurovat.

2. Na pásu karet vyberte Vlastnosti a pak přepněte na kartu Podepisování a šifrování .

   Tato karta je k dispozici pouze v primární lokalitě. Pokud kartu Podepisování a šifrování nevidíte, ujistěte se, že nejste připojení k lokalitě centrální správy nebo sekundární lokalitě.

3. Nakonfigurujte možnosti podepisování a šifrování, aby klienti komunikovali s lokalitou.

   • Vyžadovat podepsání: Klienti před odesláním do bodu správy podepisují data.

   • Vyžadovat SHA-256: Klienti používají při podepisování dat algoritmus SHA-256.

     Upozornění

     Nevyžadujte SHA-256, aniž byste nejdřív potvrdili, že tento hashovací algoritmus podporují všichni klienti. Mezi tyto klienty patří klienti, kteří mohou být k lokalitě přiřazeni v budoucnu.

     Pokud zvolíte tuto možnost a klienti s certifikáty podepsanými svým držitelem nemůžou podporovat SHA-256, Configuration Manager je odmítne. Komponenta SMS_MP_CONTROL_MANAGER zaznamená zprávu s ID 5443.

   • Použít šifrování: Klienti před odesláním do bodu správy šifrují data inventáře klientů a stavové zprávy.

Tento postup opakujte pro všechny primární lokality v hierarchii.

Správa založená na rolích

Správa na základě rolí kombinuje role zabezpečení, obory zabezpečení a přiřazené kolekce a definuje obor správy pro každého správce. Obor zahrnuje objekty, které může uživatel zobrazit v konzole nástroje, a úlohy související s těmito objekty, ke kterým má oprávnění. Konfigurace správy na základě rolí se používají v každé lokalitě v hierarchii.

Další informace najdete v tématu Konfigurace správy na základě rolí. Tento článek podrobně popisuje následující akce:

• Vytvoření vlastních rolí zabezpečení

• Konfigurace rolí zabezpečení

• Konfigurace oborů zabezpečení pro objekt

• Konfigurace kolekcí pro správu zabezpečení

• Vytvoření nového správce

• Úprava oboru správy administrativního uživatele

Důležité

Vlastní obor správy definuje objekty a nastavení, které můžete přiřadit při konfiguraci správy na základě rolí pro jiného správce. Informace o plánování správy na základě rolí najdete v tématu Základy správy na základě rolí.

Správa účtů

Configuration Manager podporuje účty Windows pro mnoho různých úloh a použití. Pokud chcete zobrazit účty, které jsou nakonfigurované pro různé úlohy, a spravovat heslo, které Configuration Manager pro každý účet používat, použijte následující postup:

1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte zabezpečení a pak zvolte uzel Účty.

2. Pokud chcete změnit heslo účtu, vyberte ho v seznamu. Pak na pásu karet zvolte Vlastnosti .

3. Zvolte Nastavit a otevřete dialogové okno Uživatelský účet systému Windows . Zadejte nové heslo pro Configuration Manager, které se mají pro tento účet použít.

   Poznámka

   Heslo, které zadáte, se musí shodovat s heslem tohoto účtu ve službě Active Directory.

Další informace najdete v tématu Účty používané v Configuration Manager.

Microsoft Entra ID

Integrací Configuration Manager se Microsoft Entra ID zjednodušíte a povolíte své prostředí v cloudu. Povolte lokalitě a klientům ověřování pomocí id Microsoft Entra.

Další informace najdete v tématu Služba správy cloudu v tématu Konfigurace služeb Azure.

Ověřování poskytovatele serveru SMS

Můžete zadat minimální úroveň ověřování pro přístup správců k Configuration Manager webům. Tato funkce vynucuje, aby se správci přihlásili k Windows s požadovanou úrovní, než získají přístup k Configuration Manager. Další informace najdete v tématu Plánování ověřování poskytovatele serveru SMS.

Důležité

Tato konfigurace je nastavení pro celou hierarchii. Než toto nastavení změníte, ujistěte se, že se všichni správci Configuration Manager můžou přihlásit k Windows s požadovanou úrovní ověřování.

Pokud chcete toto nastavení nakonfigurovat, postupujte následovně:

1. Nejdřív se přihlaste k Windows pomocí požadované úrovně ověřování.

2. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Položku Konfigurace lokality a vyberte uzel Lokality.

3. Na pásu karet vyberte Nastavení hierarchie .

4. Přepněte na kartu Ověřování . Vyberte požadovanou úroveň ověřování a pak vyberte OK.

   • Jenom v případě potřeby vyberte Přidat a vyloučíte konkrétní uživatele nebo skupiny. Další informace najdete v tématu Vyloučení.

Vyloučení

Na kartě Ověřování v nastavení hierarchie můžete také vyloučit určité uživatele nebo skupiny. Tuto možnost používejte střídmě. Například když konkrétní uživatelé vyžadují přístup ke konzole Configuration Manager, ale nemůžou se ověřit ve Windows na požadované úrovni. Může to být také nezbytné pro automatizaci nebo služby, které běží v kontextu systémového účtu.

Další kroky

• Povolení protokolu TLS 1.2

• Technický odkaz na kryptografické ovládací prvky

• Komunikace mezi koncovými body