Technické informace o kryptografických ovládacích prvcích

Platí pro: Configuration Manager (Current Branch)

Configuration Manager používá podepisování a šifrování k ochraně správy zařízení v hierarchii Configuration Manager. Pokud se při podepisování data během přenosu změnila, zahodí se. Šifrování pomáhá útočníkovi zabránit v čtení dat pomocí analyzátoru síťového protokolu.

Primární hashovací algoritmus, který Configuration Manager používá k podepisování , je SHA-256. Když spolu dva Configuration Manager weby komunikují, podepisují svou komunikaci pomocí SHA-256.

Od verze 2107 je primární šifrovací algoritmus, který Configuration Manager používá , AES-256. Šifrování probíhá hlavně v následujících dvou oblastech:

  • Pokud lokalitě povolíte používat šifrování, klient zašifruje data inventáře a stavové zprávy, které odesílá do bodu správy.

  • Když klient stáhne zásady tajných kódů, bod správy tyto zásady vždy zašifruje. Například pořadí úkolů nasazení operačního systému, které obsahuje hesla.

Pro klienty verze 2103 a starší je primární šifrovací algoritmus 3DES.

Poznámka

Pokud nakonfigurujete komunikaci https, budou tyto zprávy šifrované dvakrát. Zpráva je zašifrovaná pomocí AES a přenos HTTPS se šifruje pomocí AES.

Pokud používáte komunikaci klienta přes protokol HTTPS, nakonfigurujte infrastrukturu veřejných klíčů (PKI) tak, aby používala certifikáty s maximálními hashovacími algoritmy a délkami klíčů. Při použití certifikátů CNG v3 podporují klienti Configuration Manager pouze certifikáty, které používají kryptografický algoritmus RSA. Další informace najdete v tématu Požadavky na certifikát PKI a přehled certifikátů CNG v3.

V případě zabezpečení přenosu vše, co používá protokol TLS, podporuje AES. Tato podpora zahrnuje konfiguraci webu pro vylepšený protokol HTTP nebo HTTPS. U místních systémů lokality můžete řídit šifrovací sady TLS. Pro cloudové role, jako je brána pro správu cloudu (CMG), pokud povolíte protokol TLS 1.2, Configuration Manager nakonfiguruje šifrovací sady.

U většiny kryptografických operací s operačními systémy Windows používá Configuration Manager tyto algoritmy z knihovny Windows CryptoAPI rsaenh.dll.

Další informace o konkrétních funkcích naleznete v tématu Operace webu.

Operace lokality

Informace v Configuration Manager je možné podepsat a zašifrovat. Podporuje tyto operace s certifikáty PKI nebo bez nich.

Podepisování a šifrování zásad

Lokalita podepíše přiřazení zásad klienta certifikátem podepsaným svým držitelem. Toto chování pomáhá zabránit tomu, aby bezpečnostní riziko ohroženého bodu správy odesílala zfalšované zásady. Pokud používáte internetovou správu klientů, je toto chování důležité, protože vyžaduje internetový bod správy.

Pokud zásady obsahují citlivá data od verze 2107, bod správy je zašifruje pomocí AES-256. Ve verzi 2103 a starší používá 3DES. Zásady obsahující citlivá data se odesílají jenom autorizovaným klientům. Web nezašifruje zásady, které nemají citlivá data.

Když klient ukládá zásady, zašifruje zásady pomocí rozhraní DPAPI (Data Protection Application Programming Interface).

Hashování zásad

Když klient požádá o zásady, nejprve získá přiřazení zásady. Pak ví, které zásady se na ni vztahují, a může si vyžádat pouze tyto orgány zásad. Každé přiřazení zásady obsahuje počítaný hash pro odpovídající text zásady. Klient stáhne příslušná těla zásad a pak vypočítá hodnotu hash pro každý text zásady. Pokud hodnota hash v těle zásady neodpovídá hodnotě hash v přiřazení zásady, klient tělo zásady zahodí.

Algoritmus hash pro zásadu je SHA-256.

Hashování obsahu

Služba správce distribuce na serveru lokality zatřiďuje soubory obsahu pro všechny balíčky. Poskytovatel zásad zahrne hodnotu hash do zásad distribuce softwaru. Když Configuration Manager klient stáhne obsah, klient znovu vygeneruje hodnotu hash místně a porovná ji s hodnotou zadanou v zásadách. Pokud se hodnoty hash shodují, obsah se nezmění a klient ho nainstaluje. Pokud se změní jeden bajt obsahu, hodnoty hash se neshodují a klient software nenainstaluje. Tato kontrola pomáhá zajistit, aby byl nainstalován správný software, protože skutečný obsah je porovnáván se zásadami.

Výchozí hashovací algoritmus pro obsah je SHA-256.

Ne všechna zařízení podporují hashování obsahu. Mezi výjimky patří:

  • Klienti Windows při streamování obsahu sady App-V.

  • Klienti Windows Mobile, i když tito klienti ověřují podpis aplikace podepsané důvěryhodným zdrojem.

Podepisování a šifrování inventáře

Když klient odešle inventář hardwaru nebo softwaru do bodu správy, vždy podepíše inventář. Nezáleží na tom, jestli klient komunikuje s bodem správy přes PROTOKOL HTTP nebo HTTPS. Pokud používají protokol HTTP, můžete se také rozhodnout tato data šifrovat, což se doporučuje.

Šifrování migrace stavu

Když pořadí úkolů zachycuje data z klienta pro nasazení operačního systému, data se vždy šifrují. Ve verzi 2103 a novější spustí pořadí úkolů nástroj pro migraci stavu uživatele (USMT) s šifrovacím algoritmem AES-256 . Ve verzi 2010 a starší používá 3DES.

Šifrování pro balíčky vícesměrového vysílání

Pro každý balíček nasazení operačního systému můžete povolit šifrování při použití vícesměrového vysílání. Toto šifrování používá algoritmus AES . Pokud povolíte šifrování, nevyžaduje se žádná jiná konfigurace certifikátu. Distribuční bod s povoleným vícesměrovém vysíláním automaticky generuje symetrické klíče pro šifrování balíčku. Každý balíček má jiný šifrovací klíč. Klíč je uložen v distribučním bodu s povoleným vícesměrovém vysíláním pomocí standardních rozhraní API systému Windows.

Když se klient připojí k relaci vícesměrového vysílání, proběhne výměna klíčů přes šifrovaný kanál. Pokud klient používá protokol HTTPS, používá ověřovací certifikát klienta vydaný infrastrukturou veřejných klíčů. Pokud klient používá protokol HTTP, používá certifikát podepsaný svým držitelem. Klient ukládá šifrovací klíč pouze v paměti během relace vícesměrového vysílání.

Šifrování pro média pro nasazení operačního systému

Pokud k nasazení operačních systémů používáte médium, měli byste vždy zadat heslo pro ochranu média. Pomocí hesla se proměnné prostředí pořadí úkolů šifrují pomocí AES-128. Ostatní data na médiu, včetně balíčků a obsahu pro aplikace, nejsou šifrovaná.

Šifrování cloudového obsahu

Když povolíte, aby brána pro správu cloudu (CMG) ukládala obsah, obsah se šifruje pomocí AES-256. Obsah se při každé aktualizaci zašifruje. Když klienti stahují obsah, je šifrovaný a chráněný připojením HTTPS.

Přihlášení aktualizací softwaru

Všechny aktualizace softwaru musí být podepsány důvěryhodným vydavatelem, aby byly chráněny před manipulací. V klientských počítačích služba Windows Update Agent (WUA) vyhledá aktualizace z katalogu. Aktualizace se nenainstaluje, pokud nemůže najít digitální certifikát v úložišti důvěryhodných vydavatelů v místním počítači.

Když publikujete aktualizace softwaru pomocí nástroje System Center Aktualizace Publisher, digitální certifikát podepíše aktualizace softwaru. Můžete zadat certifikát PKI nebo nakonfigurovat Aktualizace Publisheru tak, aby vygeneroval certifikát podepsaný svým držitelem pro podepsání aktualizace softwaru. Pokud k publikování katalogu aktualizací použijete certifikát podepsaný svým držitelem, například podepsaný svým držitelem služby WSUS, musí být certifikát také v úložišti certifikátů důvěryhodných kořenových certifikačních autorit v místním počítači. WUA také kontroluje, jestli je v místním počítači povolené nastavení zásad skupiny Povolit podepsaný obsah z intranetové služby Microsoft Update . Toto nastavení zásad musí být povolené, aby služba WUA kontrolovala aktualizace, které byly vytvořeny a publikovány v nástroji System Center Aktualizace Publisher.

Podepsaná konfigurační data pro nastavení dodržování předpisů

Při importu konfiguračních dat Configuration Manager ověří digitální podpis souboru. Pokud soubory nejsou podepsané nebo se kontrola podpisu nezdaří, konzola vás upozorní, abyste pokračovali v importu. Konfigurační data importujte pouze v případě, že vydavateli explicitně důvěřujete a integritě souborů.

Šifrování a hashování pro oznámení klienta

Pokud používáte klientské oznámení, veškerá komunikace používá protokol TLS a nejvyšší algoritmy, které může server a klient vyjednat. Všechny podporované verze operačního systému Windows můžou například používat šifrování AES-128 . Ke stejnému vyjednávání dochází při hashování paketů přenášených během klientského oznámení, které používá SHA-2.

Certifikáty

Seznam certifikátů infrastruktury veřejných klíčů (PKI), které může používat Configuration Manager, zvláštní požadavky nebo omezení a způsob použití certifikátů, najdete v tématu Požadavky na certifikáty PKI. Tento seznam obsahuje podporované hashovací algoritmy a délky klíčů. Většina certifikátů podporuje délku klíče SHA-256 a 2048 bitů.

Většina Configuration Manager operací, které používají certifikáty, podporuje také certifikáty v3. Další informace najdete v tématu Přehled certifikátů CNG v3.

Poznámka

Všechny certifikáty, které Configuration Manager používají, musí obsahovat pouze jednobajtové znaky v názvu subjektu nebo alternativním názvu subjektu.

Configuration Manager vyžaduje certifikáty PKI pro následující scénáře:

  • Při správě Configuration Manager klientů na internetu

  • Při správě Configuration Manager klientů na mobilních zařízeních

  • Při správě počítačů s macOS

  • Při použití brány pro správu cloudu (CMG)

Pro většinu ostatních komunikací, které vyžadují certifikáty pro ověřování, podepisování nebo šifrování, Configuration Manager automaticky používá certifikáty PKI, pokud jsou k dispozici. Pokud nejsou dostupné, Configuration Manager vygeneruje certifikáty podepsané svým držitelem.

Configuration Manager nepoužívá certifikáty PKI, když spravuje mobilní zařízení pomocí konektoru Exchange Server.

Správa mobilních zařízení a certifikáty PKI

Pokud mobilní zařízení není mobilním operátorem uzamčené, můžete k vyžádání a instalaci klientského certifikátu použít Configuration Manager. Tento certifikát poskytuje vzájemné ověřování mezi klientem na mobilním zařízení a Configuration Manager systémy lokality. Pokud je mobilní zařízení uzamčené, nemůžete k nasazení certifikátů použít Configuration Manager.

Pokud povolíte inventář hardwaru pro mobilní zařízení, Configuration Manager také inventarizaci certifikátů nainstalovaných na mobilním zařízení.

Nasazení operačního systému a certifikáty PKI

Při použití Configuration Manager k nasazení operačních systémů a bod správy vyžaduje připojení klienta HTTPS, klient potřebuje certifikát pro komunikaci s bodem správy. Tento požadavek platí i v případě, že je klient v přechodné fázi, jako je spouštění z média pořadí úkolů nebo distribuční bod s povoleným PXE. Pro podporu tohoto scénáře vytvořte ověřovací certifikát klienta PKI a exportujte ho s privátním klíčem. Potom ho naimportujte do vlastností serveru lokality a přidejte také certifikát důvěryhodné kořenové certifikační autority bodu správy.

Pokud vytvoříte spouštěcí médium, importujete ověřovací certifikát klienta při vytváření spouštěcího média. Pokud chcete chránit privátní klíč a další citlivá data nakonfigurovaná v pořadí úkolů, nakonfigurujte heslo na spouštěcím médiu. Každý počítač, který se spouští ze spouštěcího média, používá stejný certifikát s bodem správy, jak je požadováno pro klientské funkce, jako je vyžádání zásad klienta.

Pokud používáte technologii PXE, importujte ověřovací certifikát klienta do distribučního bodu s povoleným PXE. Používá stejný certifikát pro každého klienta, který se spouští z tohoto distribučního bodu s povoleným PXE. Pokud chcete chránit privátní klíč a další citlivá data v pořadí úkolů, musíte mít heslo pro PXE.

Pokud dojde k ohrožení některého z těchto certifikátů pro ověřování klientů, zablokujte certifikáty v uzlu Certifikáty v pracovním prostoru Správa na uzlu Zabezpečení . Ke správě těchto certifikátů potřebujete oprávnění ke správě certifikátu nasazení operačního systému.

Po Configuration Manager nasazení operačního systému nainstaluje klienta, klient pro komunikaci klienta HTTPS vyžaduje vlastní ověřovací certifikát klienta PKI.

Řešení proxy nezávislých výrobců softwaru a certifikáty PKI

Nezávislí výrobci softwaru (ISV) můžou vytvářet aplikace, které rozšiřují Configuration Manager. Nezávislý výrobce softwaru může například vytvořit rozšíření pro podporu klientských platforem mimo Windows, jako je macOS. Pokud však systémy lokality vyžadují připojení klientů HTTPS, musí tito klienti také používat certifikáty PKI pro komunikaci s lokalitou. Configuration Manager zahrnuje možnost přiřadit certifikát k proxy serveru nezávislých výrobců softwaru, který umožňuje komunikaci mezi klienty proxy nezávislých výrobců softwaru a bodem správy. Pokud používáte rozšíření, která vyžadují certifikáty proxy nezávislých výrobců softwaru, projděte si dokumentaci k tomuto produktu.

Pokud dojde k ohrožení zabezpečení certifikátu nezávislých výrobců softwaru, zablokujte certifikát v uzlu Certifikáty v pracovním prostoru Správa v uzlu Zabezpečení .

Kopírování identifikátoru GUID pro certifikát proxy nezávislých výrobců softwaru

Od verze 2111 můžete zjednodušit správu těchto certifikátů proxy nezávislých výrobců softwaru a zkopírovat jeho identifikátor GUID v konzole Configuration Manager.

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa.

  2. Rozbalte položku Zabezpečení a vyberte uzel Certifikáty .

  3. Seřaďte seznam certifikátů podle sloupce Typ .

  4. Vyberte certifikát typu IsV Proxy.

  5. Na pásu karet vyberte Kopírovat identifikátor GUID certifikátu.

Tato akce zkopíruje identifikátor GUID tohoto certifikátu, například: aa05bf38-5cd6-43ea-ac61-ab101f943987

Asset Intelligence a certifikáty

Configuration Manager se nainstaluje s certifikátem X.509, který bod synchronizace Asset Intelligence používá pro připojení k Microsoftu. Configuration Manager používá tento certifikát k vyžádání ověřovacího certifikátu klienta od certifikační služby Microsoftu. Ověřovací certifikát klienta se nainstaluje do bodu synchronizace Asset Intelligence a použije se k ověření serveru u Microsoftu. Configuration Manager používá ověřovací certifikát klienta ke stažení katalogu Asset Intelligence a k nahrání softwarových titulů.

Tento certifikát má délku klíče 1 024 bitů.

Služby a certifikáty Azure

Brána pro správu cloudu (CMG) vyžaduje ověřovací certifikáty serveru. Tyto certifikáty umožňují službě poskytovat komunikaci https klientům přes internet. Další informace najdete v tématu Ověřovací certifikát serveru CMG.

Klienti vyžadují jiný typ ověřování pro komunikaci se skupinou cmg a místním bodem správy. Můžou používat Azure Active Directory, certifikát PKI nebo token lokality. Další informace najdete v tématu Konfigurace ověřování klientů pro bránu pro správu cloudu.

Klienti nevyžadují klientský certifikát PKI, aby mohli používat cloudové úložiště. Jakmile se ověří v bodu správy, bod správy vydá klientovi přístupový token Configuration Manager. Klient tento token prezentuje cmg pro přístup k obsahu. Token je platný osm hodin.

Kontrola certifikátů PKI v seznamu CRL

Seznam odvolaných certifikátů PKI (CRL) zvyšuje celkové zabezpečení, ale vyžaduje určitou režii na správu a zpracování. Pokud povolíte kontrolu seznamu CRL, ale klienti nemají přístup k seznamu CRL, připojení PKI selže.

Služba IIS ve výchozím nastavení povoluje kontrolu seznamu CRL. Pokud používáte seznam CRL s nasazením infrastruktury veřejných klíčů, nemusíte konfigurovat většinu systémů lokality, ve kterých běží služba IIS. Výjimkou jsou aktualizace softwaru, které vyžadují ruční krok, který umožňuje kontrolu seznamu CRL k ověření podpisů u souborů aktualizací softwaru.

Když klient používá PROTOKOL HTTPS, ve výchozím nastavení umožňuje kontrolu seznamu CRL. U klientů s macOS nemůžete kontrolu seznamu CRL zakázat.

Následující připojení nepodporují kontrolu seznamu CRL v Configuration Manager:

  • Připojení mezi servery

  • Mobilní zařízení zaregistrovaná Configuration Manager.

Komunikace se serverem

Configuration Manager pro komunikaci se serverem používá následující kryptografické ovládací prvky.

Komunikace serveru v rámci lokality

Každý server systému lokality používá certifikát k přenosu dat do jiných systémů lokality ve stejné Configuration Manager lokalitě. Některé role systému lokality také používají certifikáty k ověřování. Pokud například nainstalujete zprostředkující bod registrace na jeden server a bod registrace na jiném serveru, může se navzájem ověřit pomocí tohoto certifikátu identity.

Pokud Configuration Manager používá certifikát pro tuto komunikaci, pokud je k dispozici certifikát PKI s možností ověřování serveru, Configuration Manager ho automaticky použije. Pokud ne, Configuration Manager vygeneruje certifikát podepsaný svým držitelem. Tento certifikát podepsaný svým držitelem má schopnost ověřování serveru, používá SHA-256 a má délku klíče 2048 bitů. Configuration Manager zkopíruje certifikát do úložiště důvěryhodných Lidé na jiných serverech systému lokality, které mohou potřebovat důvěřovat systému lokality. Systémy lokality si pak mohou navzájem důvěřovat pomocí těchto certifikátů a peertrustu.

Kromě tohoto certifikátu pro každý server systému lokality Configuration Manager vygeneruje certifikát podepsaný svým držitelem pro většinu rolí systému lokality. Pokud je ve stejné lokalitě více instancí role systému lokality, sdílejí stejný certifikát. Ve stejné lokalitě můžete mít například více bodů správy. Tento certifikát podepsaný svým držitelem používá SHA-256 a má délku klíče 2 048 bitů. Zkopíruje se do důvěryhodného úložiště Lidé na serverech systému lokality, které mu mohou důvěřovat. Tento certifikát vygenerují následující role systému lokality:

  • Bod synchronizace funkce Asset Intelligence

  • Bod registrace certifikátu

  • Bod endpoint protection

  • Bod registrace

  • Bod stavu náhradní lokality

  • Bod správy

  • Distribuční bod s povoleným vícesměrovém vysíláním

  • Bod služby Reporting Services

  • Bod aktualizace softwaru

  • Bod migrace stavu

Configuration Manager tyto certifikáty automaticky generuje a spravuje.

Pokud chcete odesílat stavové zprávy z distribučního bodu do bodu správy, Configuration Manager používá ověřovací certifikát klienta. Při konfiguraci bodu správy pro protokol HTTPS vyžaduje certifikát PKI. Pokud bod správy přijímá připojení HTTP, můžete použít certifikát PKI. Může také používat certifikát podepsaný svým držitelem s možností ověřování klientů, používá SHA-256 a má délku klíče 2048 bitů.

Komunikace serveru mezi lokalitami

Configuration Manager přenáší data mezi lokalitami pomocí replikace databáze a replikace na základě souborů. Další informace najdete v tématu Přenosy dat mezi lokalitami a komunikace mezi koncovými body.

Configuration Manager automaticky nakonfiguruje replikaci databáze mezi lokalitami. Pokud je k dispozici, používá certifikáty PKI s možností ověřování serveru. Pokud není k dispozici, Configuration Manager vytvoří certifikáty podepsané svým držitelem pro ověřování serveru. V obou případech se ověřuje mezi lokalitami pomocí certifikátů v úložišti Důvěryhodné Lidé, které používá PeerTrust. Toto úložiště certifikátů používá k zajištění, aby se replikace mezi lokalitami účastnila pouze Configuration Manager hierarchie SQL Serverů.

Servery lokality navazují komunikaci typu site-to-site pomocí zabezpečené výměny klíčů, ke které dochází automaticky. Odesílající server lokality vygeneruje hodnotu hash a podepíše ji privátním klíčem. Přijímající server lokality zkontroluje podpis pomocí veřejného klíče a porovná hodnotu hash s místně vygenerovanou hodnotou. Pokud se shodují, přijímající lokalita přijme replikovaná data. Pokud se hodnoty neshodují, Configuration Manager odmítne replikační data.

Replikace databáze v Configuration Manager používá SQL Server Service Broker k přenosu dat mezi lokalitami. Používá následující mechanismy:

  • SQL Server k SQL Server: Toto připojení používá přihlašovací údaje systému Windows pro ověřování serveru a certifikáty podepsané svým držitelem se 1 024 bity k podepsání a šifrování dat pomocí algoritmu AES. Pokud je k dispozici, používá certifikáty PKI s možností ověřování serveru. Používá pouze certifikáty v úložišti osobních certifikátů počítače.

  • SQL Service Broker: Tato služba používá certifikáty podepsané svým držitelem s 2048 bity k ověřování a k podepisování a šifrování dat pomocí algoritmu AES. Používá pouze certifikáty v hlavní databázi SQL Server.

Replikace založená na souborech používá protokol SMB (Server Message Block). Používá SHA-256 k podepisování dat, která nejsou šifrovaná a neobsahují žádná citlivá data. K šifrování těchto dat použijte protokol IPsec, který implementujete nezávisle na Configuration Manager.

Klienti, kteří používají HTTPS

Když role systému lokality přijímají připojení klientů, můžete je nakonfigurovat tak, aby přijímaly připojení HTTPS a HTTP, nebo jenom připojení HTTPS. Role systému lokality, které přijímají připojení z internetu, přijímají pouze klientská připojení přes protokol HTTPS.

Klientská připojení přes PROTOKOL HTTPS nabízejí vyšší úroveň zabezpečení díky integraci s infrastrukturou veřejných klíčů (PKI), která pomáhá chránit komunikaci mezi klientem a serverem. Konfigurace připojení klientů HTTPS bez důkladného pochopení plánování, nasazení a operací infrastruktury veřejných klíčů ale může být zranitelná. Pokud například nezabezpečujete kořenovou certifikační autoritu (CA), útočníci by mohli ohrozit důvěryhodnost celé infrastruktury PKI. Selhání nasazení a správy certifikátů PKI pomocí kontrolovaných a zabezpečených procesů může vést k nespravovaným klientům, kteří nemohou přijímat důležité aktualizace softwaru nebo balíčky.

Důležité

Certifikáty PKI, které Configuration Manager používají ke komunikaci klientů, chrání komunikaci pouze mezi klientem a některými systémy lokality. Nechrání komunikační kanál mezi serverem lokality a systémy lokality ani mezi servery lokality.

Nešifrovaná komunikace, když klienti používají HTTPS

Když klienti komunikují se systémy lokality přes protokol HTTPS, je většina přenosů šifrovaná. V následujících situacích klienti komunikují se systémy lokality bez použití šifrování:

  • Klient nemůže na intranetu vytvořit připojení HTTPS a pokud systémy lokality tuto konfiguraci povolují, přestane používat protokol HTTP.

  • Komunikace s následujícími rolemi systému lokality:

    • Klient odesílá stavové zprávy do bodu záložního stavu.

    • Klient odesílá požadavky PXE do distribučního bodu s povoleným PXE.

    • Klient odesílá data oznámení do bodu správy.

Nakonfigurujete body služby Reporting Services tak, aby používaly protokol HTTP nebo HTTPS nezávisle na režimu komunikace klienta.

Klienti používající protokol HTTP

Pokud klienti používají komunikaci HTTP s rolemi systému lokality, můžou k ověřování klientů používat certifikáty PKI nebo certifikáty podepsané svým držitelem, které Configuration Manager generuje. Když Configuration Manager generuje certifikáty podepsané svým držitelem, mají vlastní identifikátor objektu pro podepisování a šifrování. Tyto certifikáty slouží k jednoznačné identifikaci klienta. Tyto certifikáty podepsané svým držitelem používají SHA-256 a mají délku klíče 2 048 bitů.

Nasazení operačního systému a certifikáty podepsané svým držitelem

Pokud používáte Configuration Manager k nasazení operačních systémů s certifikáty podepsanými svým držitelem, musí mít klient také certifikát pro komunikaci s bodem správy. Tento požadavek platí i v případě, že je počítač v přechodné fázi, jako je spouštění z média pořadí úkolů nebo distribuční bod s povoleným PXE. Pro podporu tohoto scénáře pro připojení klientů HTTP Configuration Manager generuje certifikáty podepsané svým držitelem, které mají vlastní identifikátor objektu pro podepisování a šifrování. Tyto certifikáty slouží k jednoznačné identifikaci klienta. Tyto certifikáty podepsané svým držitelem používají SHA-256 a mají délku klíče 2 048 bitů. Pokud dojde k ohrožení zabezpečení těchto certifikátů podepsaných svým držitelem, znemožněte útočníkům jejich použití k zosobnění důvěryhodných klientů. Zablokujte certifikáty v uzlu Certifikáty v pracovním prostoru Správa na uzlu Zabezpečení .

Ověřování klientů a serverů

Když se klienti připojují přes protokol HTTP, ověřují body správy pomocí Active Directory Domain Services nebo pomocí důvěryhodného kořenového klíče Configuration Manager. Klienti neověřují jiné role systému lokality, jako jsou body migrace stavu nebo body aktualizace softwaru.

Když bod správy poprvé ověří klienta pomocí klientského certifikátu podepsaného svým držitelem, tento mechanismus poskytuje minimální zabezpečení, protože každý počítač může vygenerovat certifikát podepsaný svým držitelem. Pomocí schválení klienta tento proces vylepšete. Schvalovat důvěryhodné počítače buď automaticky Configuration Manager, nebo ručně správcem. Další informace najdete v tématu Správa klientů.

Informace o ohrožení zabezpečení SSL

Pokud chcete zlepšit zabezpečení klientů a serverů Configuration Manager, proveďte následující akce:

  • Povolte protokol TLS 1.2 na všech zařízeních a službách. Pokud chcete pro Configuration Manager povolit protokol TLS 1.2, přečtěte si téma Povolení protokolu TLS 1.2 pro Configuration Manager.

  • Zakažte SSL 3.0, TLS 1.0 a TLS 1.1.

  • Změna pořadí šifrovacích sad souvisejících s protokolem TLS

Další informace najdete v následujících článcích:

Tyto postupy nemají vliv na funkce Configuration Manager.

Poznámka

Aktualizace ke stažení Configuration Manager ze sítě pro doručování obsahu Azure (CDN), která má požadavky na šifrovací sadu. Další informace najdete v tématu Azure Front Door: Nejčastější dotazy ke konfiguraci protokolu TLS.