Plánování zabezpečení v nástroji Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Toto téma se zobrazuje v příručka Správa lokality pro nástroj System Center 2012 Configuration Manager a v příručce Zabezpečení a ochrana soukromí pro aplikaci System Center 2012 Configuration Manager.
Následující informace vám pomohou naplánovat bezpečnost v nástroji Microsoft System Center 2012 Configuration Manager.
Plánování certifikátů (podepsaných svým držitelem, tj. Self-Signed, a PKI)
Plánování odvolání certifikátu PKI
Plánování důvěryhodných kořenových certifikátů PKI a seznam vystavitelů certifikátů
Plánování výběru klientského certifikátu PKI
Plánování strategie přechodu pro certifikáty PKI a internetové správy klientů
Plánování důvěryhodného kořenového klíče
Plánování podepisování a šifrování
Plánování správy na základě rolí
Kromě těchto částí viz Zabezpečení a ochrana osobních údajů pro správu lokalit v nástroji Configuration Manager.
Další informace o používání certifikátů a kryptografických kontrol nástrojem Configuration Manager naleznete v části Technické informace o kryptografických kontrolách použitých v nástroji Configuration Manager.
Plánování certifikátů (podepsaných svým držitelem, tj. Self-Signed, a PKI)
Configuration Manager používá kombinaci certifikátů podepsaných svým držitelem (self-signed certificates) a certifikátů infrastruktury veřejných klíčů (PKI).
Nejlepší postup z hlediska zabezpečení je všude, kde je možné používat certifikáty PKI. Další informace o požadavcích na certifikáty PKI naleznete v části Požadavky na certifikát PKI pro nástroj Configuration Manager. Pokud Configuration Manager vyžaduje certifikáty PKI, jako např. v průběhu zápisu pro mobilní zařízení a zajišťování AMT, musíte použít službu AD DS (Active Directory Domain Services) a certifikační autoritu (CA) rozlehlé sítě. Všechny další certifikáty PKI musíte nasazovat a spravovat nezávisle z nástroje Configuration Manager.
Certifikáty PKI jsou rovněž vyžadovány, když se počítače klienta připojují k internetovým systémům lokality a jejich použití se doporučuje, pokud se klienti připojují k systémům lokality, které spouštějí internetové informační služby (IIS). Další informace o komunikaci s klientem naleznete v části Plánování komunikace klientů v Configuration Manageru.
Jestliže používáte PKI, můžete též používat protokol IPsec ke zvýšení zabezpečení komunikace mezi servery v systémech lokality v lokalitě a mezi lokalitami a pro všechny další scénáře při přenosu dat mezi počítači. Nezávisle z nástroje Configuration Manager musíte konfigurovat a implementovat protokol IPsec.
Pokud certifikáty PKI nejsou dostupné a některé certifikáty v Configuration Manager jsou rovněž podepsané svým držitelem (self-signed), Configuration Manager může automaticky generovat certifikáty self-signed. Ve většině případů certifikáty podepsané svým držitelem jsou automaticky spravované nástrojem Configuration Manager a vy nemusíte provádět žádné další kroky. Jedinou možnou výjimkou je podpisový certifikát serveru lokality. Podpisový certifikát serveru lokality je vždy self-signed a zajišťuje, že zásady klienta, které klient stáhne z bodu správy, jsou ze serveru lokality odeslány a nejsou pozměněny.
Plánování podpisového certifikátu serveru lokality (Self-Signed)
Klienti mohou bezpečně obdržet kopii podpisového certifikátu serveru lokality ze služby AD DS (Active Directory Domain Services) a z nabízené instalace klientů. Jestliže klienti tímto způsobem nemohou obdržet kopii podpisového certifikátu serveru lokality, nejlepším postupem z hlediska zabezpečení je při instalaci klienta instalovat kopii podpisového certifikátu serveru lokality. To je obzvláště důležité, pokud první komunikace klienta s lokalitou je přes internet, neboť bod správy je připojen k nedůvěryhodné síti, a proto je snadno napadnutelný. Pokud neprovedete tento další krok, klienti automaticky stahují kopii podpisového certifikátu serveru lokality z bodu správy.
Mezi scénáře, kdy klienti nemohou bezpečně získat kopii certifikátu serveru lokality, patří:
Neinstalovat klienta pomocí nabízené instalace a nesplnit žádnou z následujících podmínek:
Schéma služby Active Directory není rozšířeno na Configuration Manager.
Lokalita klienta není publikovaná ve službě AD DS (Active Directory Domain Services).
Klient pochází z nedůvěryhodné doménové struktury nebo pracovní skupiny.
Nainstalujte klienta, pokud je připojen k internetu.
Pro instalaci klientů společně s kopií podpisového certifikátu serveru lokality použijte následující postup.
Pro instalaci klientů s kopií podpisového certifikátu serveru lokality
Vyhledejte podpisový certifikát serveru lokality na serveru primární lokality klienta. Certifikát je uložen v úložišti certifikátů SMS s názvem subjektu Server lokality a popisným názvem Podpisový certifikát serveru lokality.
Exportujte certifikát bez soukromého klíče, bezpečně soubor uložte a přistupujte k němu pouze prostřednictvím zabezpečeného kanálu (např. podepisováním SMB nebo prostřednictvím protokolu IPsec).
Nainstalujte klienta pomocí vlastnosti Client.msi SMSSIGNCERT=<Úplná cesta a název souboru> se souborem CCMSetup.exe.
Plánování odvolání certifikátu PKI
Pokud používáte certifikáty PKI s Configuration Manager, naplánujte, zda a pro které klienty a servery se bude pro ověření certifikátu na připojovaném počítači používat seznam odvolaných certifikátů (CRL). Seznam odvolaných certifikátů (CRL) je soubor vytvořený a podepsaný certifikační autoritou (CA) a obsahuje seznam certifikátů, které CA vydala, ale poté odvolala. Certifikáty mohou být odvolány správcem CA, pokud např. je vydaný certifikát známý nebo je podezřelý, že je u něho ohrožena bezpečnost.
.jpeg "System_CAPS_important") Důležité |
|---|
Vzhledem k tomu, že umístění seznamu CRL se přidá k certifikátu při jeho vydání CA, zajistěte, abyste naplánovali CRL předtím, než nasadíte jakékoli certifikáty PKI, které bude nástroj Configuration Manager používat. |
Ve výchozím nastavení internetová informační služba IIS vždy kontroluje CRL pro certifikáty klientů a tuto konfiguraci nemůžete v Configuration Manager změnit. Ve výchozím nastavení klienti Configuration Manager vždy kontrolují seznam CRL pro systémy lokalit; toto nastavení však můžete zadáním vlastnosti lokality a zadáním vlastnosti CCMSetup zakázat. Pokud spravujete vzdálené počítače na bázi Intel AMT, můžete též povolit kontrolování seznamu CRL pro vzdálené servisní místo a pro počítače, které spouštějí konzolu vzdálené správy.
Jestliže počítače používají kontrolu odvolání certifikátů, avšak nedokáží seznam CRL vyhledat, chovají se, jako kdyby všechny certifikáty v certifikačním řetězci byly odvolány, protože jejich absenci v seznamu nelze ověřit. V tomto scénáři všechna připojení, která vyžadují certifikáty a používají seznam CRL, se nezdaří.
Kontrola seznamu CRL při každém použití certifikátu nabízí lepší zabezpečení před použitím odvolaného certifikátu, avšak způsobuje současně zpoždění při spojení a představuje další zátěž pro klienta. Pravděpodobněji budete vyžadovat tuto další kontrolu zabezpečení, když klienti budou připojeni k internetu nebo k nedůvěryhodné síti.
Než rozhodnete, zda klienti Configuration Manager musí ověřovat seznam CRL a pak zvážit, zda tuto možnost v nástroji Configuration Manager nechat povolenu, pokud obě z následujících podmínek jsou splněny, zkonzultujte tuto záležitost s vašimi správci PKI:
Vaše infrastruktura PKI podporuje seznam CRL a je publikována tam, kde ji všichni klienti Configuration Manager mohou vyhledat. Mějte na paměti, že to může zahrnovat i klienty připojené k internetu, pokud používáte internetovou správu klientů, a klienty z nedůvěryhodných doménových struktur.
Požadavek na kontrolování seznamu CRL pro každé připojení k systému lokality konfigurovanému pro použití certifikátu PKI je větší než požadavek na rychlejší připojení a efektivní zpracování u klienta, a je rovněž větší než riziko selhání připojení klientů k serverům, pokud nedokáží seznam CRL vyhledat.
Plánování důvěryhodných kořenových certifikátů PKI a seznam vystavitelů certifikátů
Jestliže vaše systémy IIS lokality používají certifikáty PKI klientů pro ověřování klientů prostřednictvím protokolu HTTP nebo pro ověřování klientů a šifrování prostřednictvím protokolu HTTPS, možná budete muset importovat certifikát od kořenové certifikační autority jako vlastnost lokality. Příslušné dva scénáře jsou následující:
Pomocí Configuration Manager nasadíte operační systémy a body správy pouze přijmou připojení od klientů pomocí protokolu HTTPS.
Používáte certifikáty PKI klientů, které nejsou zřetězeny do certifikátu kořenové certifikační autority (CA) považovaného body správy za důvěryhodný.
Poznámka
Pokud vydáte certifikáty PKI klientů ze stejné hierarchie CA, která vydává certifikáty serveru, jež používáte pro body správy, nemusíte tento certifikát od kořenové certifikační autority specifikovat. Pokud však používáte CA s více hierarchiemi a nejste si jisti, zda si navzájem důvěřují, importujte kořenovou CA do hierarchie CA klientů.
Jestliže musíte importovat certifikát od kořenové certifikační autority do Configuration Manager, exportujte je z vydávající CA nebo z klientského počítače. Jestliže exportujete certifikát z vydávající CA, která je současně kořenovou CA, zajistěte, aby se soukromý klíč neexportoval. Soubor s exportovaným certifikátem uložte na zabezpečené místo, aby se zabránilo možné manipulaci s ním. Při konfigurování lokality musíte mít takový př��stup k souboru, abyste při přístupu k souboru ze sítě zajistili ochranu komunikace před možnou manipulací podepisováním SMB nebo prostřednictvím protokolu IPsec.
Pokud některý z certifikátů od kořenové certifikační autority, které importujete, je obnoven, musíte importovat obnovené certifikáty.
Tyto importované certifikáty kořenové CA a certifikát kořenové CA každého bodu správy vytvoří seznam vystavitelů certifikátů, který počítače Configuration Manager používají následovně:
Jestliže se klienti připojují k bodům správy, bod správy ověří, že certifikát klienta je v seznamu vystavitelů certifikátů dané lokality zřetězen do důvěryhodného kořenového certifikátu. Pokud tomu tak není, certifikát je odmítnut a připojení PKI se nezdaří.
Jestliže si klienti vyberou certifikát PKI, mají-li seznam vystavitelů certifikátů, vyberou si certifikát, který je v seznamu vystavitelů certifikátů zřetězen do důvěryhodného kořenového certifikátu. Pokud zde není shoda, klient si certifikát PKI nevybere. Další informace o procesu certifikátu klienta najdete v části Plánování výběru klientského certifikátu PKI v tomto tématu.
Nezávisle na konfiguraci lokality možná budete také muset při zápisu mobilních zařízení, počítačů Mac a při zajišťování počítačů na bázi Intel AMT pro bezdrátové sítě importovat certifikát od kořenové certifikační autority.
Plánování výběru klientského certifikátu PKI
Jestliže vaše systémy IIS lokality budou používat certifikáty PKI klientů pro ověřování klientů prostřednictvím protokolu HTTP nebo pro ověřování klientů a šifrování prostřednictvím protokolu HTTPS, naplánujte, jakým způsobem budou klienti systému Windows vybírat certifikát, který se má používat pro Configuration Manager.
Poznámka
Ne všechna zařízení podporují metodu výběru certifikátu, ale některá místo toho automaticky vybírají první certifikát, který splňuje požadavky na certifikát. Například klienti na počítačích Mac a mobilních zařízeních nepodporují metodu výběru certifikátu.
Výchozí konfigurace a chování budou v mnoha případech dostatečné. Klient Configuration Manager na počítačích se systémem Windows filtruje více certifikátů pomocí následujících kritérií:
Seznam vystavitelů certifikátů: Certifikát je zřetězen do kořenové CA, která je pro bod správy důvěryhodná.
Certifikát se nachází ve výchozím úložišti certifikátů nazvaném Osobní.
Certifikát je platný, není odvolaný ani s prošlou platností. Kontrola platnosti zahrnuje ověření, že soukromý klíč je dostupný a že certifikát nebyl vytvořen pomocí šablony certifikátu verze 3, která s Configuration Manager není kompatibilní.
Certifikát se vyznačuje schopností ověřování klientů, nebo se vydává podle názvu počítače.
Certifikát má nejdelší dobu platnosti.
Klienti byli konfigurováni, aby používali seznam vystavitelů certifikátů, a to pomocí následujících mechanismů:
Je publikován jako Configuration Manager informace o lokalitě pro účely služby AD DS (Active Directory Domain Services).
Klienti jsou instalováni pomocí nabízené instalace.
Klienti certifikát stáhnou z bodu správy poté, co jsou úspěšně přiřazeni ke své lokalitě.
Přiřazení je zadáno během instalace klienta jako vlastnost CCMSetup client.msi CCMCERTISSUERS.
Jestliže klienti při svém prvním nainstalování nemají seznam vystavitelů certifikátů a ještě nejsou přiřazeni k lokalitě, kontrolu přeskočí. Pokud seznam vystavitelů certifikátů mají a nemají certifikát PKI, který je v seznamu vystavitelů certifikátů zřetězen do důvěryhodného kořenového certifikátu, výběr certifikátu se nezdaří a klienti nepokračují s dalšími kritérii výběru certifikátu.
Ve většině případů klient Configuration Manager správně identifikuje jedinečný a vhodný certifikát PKI, který pak používá. Pokud však tomu tak není, namísto výběru certifikátu na základě schopností ověřování klientů můžete nakonfigurovat dvě alternativní metody výběru:
Částečná shoda řetězců v názvu předmětu certifikátu klienta. Shoda nerozlišuje malá a velká písmena, což je vhodné, pokud používáte plně kvalifikovaný název domény počítače v poli pro předmět a chcete, aby výběr certifikátu byl založen na příponě domény, např. contoso.com. Tuto metodu výběru však můžete použít pro identifikaci jakéhokoli řetězce po sobě jdoucích znaků v názvu předmětu certifikátu, který tento certifikát odlišuje od ostatních v úložišti certifikátů klienta.
Poznámka
Jako nastavení lokality nelze používat částečnou shodu řetězců v alternativním názvu předmětu (SAN). Ačkoli je možné určit částečnou shodu řetězce pro název SAN pomocí služby CCMSetup, bude v následujících případech přepsána vlastnostmi lokality:
-
Klienti získávají informace o lokalitě, které jsou publikovány do služby AD DS (Active Directory Domain Services).
-
Klienti jsou instalováni pomocí nabízené instalace klienta.
Částečnou shodu řetězce v názvu SAN použijte, pouze když instalujete klienty ručně a pokud nezískávají informace o lokalitě ze služby AD DS (Active Directory Domain Services). Tyto podmínky platí například na výhradně internetové klienty.
-
Shoda s hodnotami atributu názvu předmětu certifikátu klienta nebo hodnotami atributu alternativního názvu předmětu (SAN). Jedná se o shodu rozlišující velká a malá písmena, která je vhodná, pokud používáte rozlišující název X500 nebo ekvivalentní identifikátory objektu (OID) v souladu s definicí RFC 3280 a chcete, aby byla volba certifikátu založena na hodnotách atributů. Je možné určit pouze atributy a jejich hodnoty, které požadujete k jedinečné identifikaci nebo ověření certifikátu a odlišení certifikátu od jiných v úložišti certifikátů.
Následující tabulka znázorňuje hodnoty atributu, které nástroj Configuration Manager podporuje pro kritéria výběru certifikátu klienta.
Atribut OID |
Rozlišující název atributu |
Definice atributu |
|---|---|---|
0.9.2342.19200300.100.1.25 |
DC |
Součást domény |
1.2.840.113549.1.9.1 |
E nebo e-mail |
E-mailová adresa |
2.5.4.3 |
CN |
Běžný název |
2.5.4.4 |
SN |
Název předmětu |
2.5.4.5 |
SERIALNUMBER |
Sériové číslo |
2.5.4.6 |
C |
Kód země |
2.5.4.7 |
L |
Lokalita |
2.5.4.8 |
S nebo ST |
Název státu nebo oblasti |
2.5.4.9 |
STREET |
Ulice |
2.5.4.10 |
O |
Název organizace |
2.5.4.11 |
OU |
Organizační jednotka |
2.5.4.12 |
T nebo Title |
Titul |
2.5.4.42 |
G nebo GN nebo GivenName |
Křestní jméno |
2.5.4.43 |
I nebo Initials |
Iniciály |
2.5.29.17 |
(žádná hodnota) |
Alternativní název předmětu |
Pokud je nalezen více než jeden vhodný certifikát po použití kritérií, je možné přepsat výchozí konfiguraci pro volbu certifikátu s nejdelší dobou platnosti a místo toho určit, že nemá být vybrán žádný certifikát. V tomto scénáři klient nebude moci komunikovat se systémy lokality IIS pomocí certifikátu PKI. Klient odešle chybovou zprávu jemu přiřazenému záložnímu stavovému bodu, čímž vás upozorní na selhání volby certifikátu, aby bylo možné změnit nebo upravit kritéria volby certifikátu. Chování klienta poté bude záviset na tom, že připojení, jež selhalo, bylo založeno na protokolu HTTPS nebo HTTP:
Pokud selhalo připojení prostřednictvím protokolu HTTPS: Klient se pokusí navázat připojení přes protokol HTTP a použije certifikát klienta s podpisem držitele.
Pokud selhalo připojení prostřednictvím protokolu HTTP: Klient se pokusí znovu navázat připojení přes protokol HTTP pomocí certifikátu klienta s podpisem držitele.
Aby bylo možné identifikovat jedinečný certifikát klienta PKI, je možné také určit vlastní úložiště, jiné než výchozí Osobní v úložišti Počítač. Toto úložiště je však třeba vytvořit nezávisle na nástroji Configuration Manager a musí být možné certifikáty nasadit do tohoto vlastního úložiště a obnovit je před vypršením doby platnosti.
Informace o tom, jak nakonfigurovat nastavení pro certifikáty klientů, najdete v části Konfigurace nastavení pro klientské certifikáty PKI v tématu Konfigurace zabezpečení v nástroji Configuration Manager.
Plánování strategie přechodu pro certifikáty PKI a internetové správy klientů
Flexibilní možnosti konfigurace v nástroji Configuration Manager vám umožňují postupně přejít u klientů a lokalit na používání certifikátů PKI, které umožňují zabezpečit koncové body klienta. Certifikáty PKI nabízí vyšší zabezpečení a umožňují správu klientů během jejich připojení k internetu.
Kvůli řadě možností konfigurace a volbám v nástroji Configuration Manager neexistuje jediný způsob přechodu lokality tak, aby všichni klienti používali připojení prostřednictvím protokolu HTTPS. Je však možné provést následující kroky:
Nainstalujte lokalitu nástroje Configuration Manager a nakonfigurujte ji tak, aby systémy lokality přijímaly připojení klienta prostřednictvím protokolu HTTPS a HTTP.
Nakonfigurujte kartu Komunikace s klientským počítačem ve vlastnostech lokality tak, aby možnost Nastavení serveru byla nastavena na hodnotu HTTP nebo HTTPS, a zaškrtněte políčko Použít klientský certifikát PKI (schopnost ověřování klientů). Nakonfigurujte jakákoli další nezbytná nastavení na této kartě. Další informace najdete v části Konfigurace nastavení pro klientské certifikáty PKI v tématu Konfigurace zabezpečení v nástroji Configuration Manager.
Proveďte zavedení PKI pro klientské certifikáty. Příklad nasazení najdete v části Nasazení klientského certifikátu na počítače se systémem Windows v tématu Podrobný příklad nasazení certifikátů PKI pro nástroj Configuration Manager: certifikační autorita systému Windows Server 2008.
Nainstalujte klienty pomocí metody nabízené instalace klienta. Další informace najdete v části Instalace klientů nástroje Configuration Manager metodou nabízené instalace v tématu Instalace klientů v počítačích se systémem Windows v nástroji Configuration Manager.
Monitorujte nasazení a stav klienta pomocí sestav a informací v konzole nástroje Configuration Manager.
Sledujte, kolik klientů používá certifikát klienta PKIm, zobrazením sloupce Certifikát klienta v pracovním prostoru Prostředky a kompatibilita v uzlu Zařízení.
Do počítačů lze také nasadit nástroj hodnocení připravenosti HTTPS Readiness Assessment (cmHttpsReadiness.exe) nástroje Configuration Manager a pomocí sestav zobrazit, kolik počítačů může používat certifikát klienta PKI s nástrojem Configuration Manager.
Poznámka
Pokud klient nástroje Configuration Manager instaluje do klientských počítačů, nástroj cmHttpsReadiness.exe bude nainstalován do složky %windir%\CCM. Pokud tento nástroj spustíte na klientech, je možné zadat následující možnosti:
-
/Store:<název>
-
/Issuers:<seznam>
-
/Criteria:<kritérium>
-
/SelectFirstCert
Tyto možnosti lze mapovat na vlastnosti CCMCERTSTORE, CCMCERTISSUERS, CCMCERTSEL a CCMFIRSTCERT Client.msi v uvedeném pořadí. Další informace o těchto možnostech najdete v tématu O vlastnostech instalace klienta ve Správci konfigurace.
-
Pokud jste si jisti, že dostatečný počet klientů úspěšně používá klientské certifikáty PKI k ověřování prostřednictvím protokolu HTTP, proveďte následující postup:
Nasaďte certifikát PKI webového serveru na členský server, na kterém poběží další bod správy pro lokalitu, a nakonfigurujte daný certifikát ve službě IIS. Další informace najdete v části Nasazení certifikátu webového serveru pro systémy lokality, na nichž je spuštěna služba IIS v tématu Podrobný příklad nasazení certifikátů PKI pro nástroj Configuration Manager: certifikační autorita systému Windows Server 2008.
Nainstalujte roli bodu správy na tomto serveru a nakonfigurujte možnost Připojení klientů ve vlastnostech bodu správy pro protokol HTTPS.
Monitorujte a ověřte, zda klienti, kteří mají certifikát PKI, používají nový bod správy pomocí protokolu HTTPS. To lze ověřit pomocí čítačů přihlašovací a výkonu služby IIS.
Rekonfigurujte další role systému lokality pro použití připojení klienta prostřednictvím protokolu HTTPS. Chcete-li spravovat klienty na internetu, ujistěte se, že systémy lokality mají internetové FQDN, a nakonfigurujte jednotlivé body správy a distribuční body pro přijetí připojení klienta z internetu.
DůležitéNež nakonfigurujete role systému lokality pro přijetí připojení z internetu, zkontrolujte informace o plánování a předpoklady pro správu internetových klientů. Další informace najdete v části Plánování internetové správy klientů v tématu Plánování komunikací v Configuration Manageru.
Rozšiřte zavedení certifikátu PKI na klienty a systémy lokality, ve kterých je spuštěna služba IIS, a podle potřeby nakonfigurujte role systému lokality pro připojení klienta prostřednictvím protokolu HTTPS a internetová připojení.
Nejvyšší zabezpečení: Pokud jste si jisti, že všichni klienti používají klientský certifikát PKI pro ověření a šifrování, změňte vlastnosti lokality na používání pouze protokolu HTTPS.
Pokud dodržíte tento plán na postupné zavádění certifikátů PKI, nejprve pro ověření pouze prostřednictvím protokolu HTTP a poté pro ověření a šifrování prostřednictvím protokolu HTTPS, snižuje se riziko, že správa klientů přestane fungovat. Kromě toho získáte nejvyšší zabezpečení, jaké nástroj Configuration Manager podporuje.
Plánování důvěryhodného kořenového klíče
Důvěryhodný kořenový klíč nástroje Configuration Manager nabízí mechanismus pro klienty nástroje Configuration Manager k ověření toho, zda systémy lokality patří do jejich hierarchie. Každý server lokality generuje klíč pro výměnu lokalit, který slouží ke komunikaci s dalšími lokalitami. Klíč pro výměnu lokality z lokality nejvyšší úrovně v hierarchii je označován jako důvěryhodný kořenový klíč.
Funkce důvěryhodného kořenového klíče v nástroji Configuration Manager je podobná kořenovému certifikátu v infrastruktuře veřejných klíčů, protože veškeré položky podepsané soukromým klíčem důvěryhodného kořenového klíče jsou důvěryhodné i v nižších úrovních hierarchie. Například podepsáním certifikátu bodu správy pomocí soukromého klíče dvojice důvěryhodného kořenového klíče a vytvořením kopie veřejného klíče dvojice veřejného důvěryhodného klíče, který je klientům k dispozici, mohou klienti rozlišit body správy, které jsou v jejich hierarchii, a body správy, které v hierarchii nejsou. Klienti používají k uložení kopie důvěryhodného kořenového klíče v oboru názvů root\ccm\locationservices službu WMI.
Klienti mohou veřejnou kopii důvěryhodného kořenového klíče získat automaticky pomocí dvou mechanismů:
Schéma Active Directory bude rozšířeno na nástroj Configuration Manager, lokalita bude publikována do služby AD DS (Active Directory Domain Services) a klienti mohou tyto informace o lokalitě získat ze serveru globálního katalogu.
Klienti jsou instalováni pomocí nabízené instalace.
Pokud klienti nemohou získat důvěryhodný kořenový klíč pomocí jednoho z uvedených mechanismů, budou důvěřovat důvěryhodnému kořenovému klíči poskytnutému prvním bodem správy, se kterým komunikují. V tomto scénáři může být klient omylem přesměrován na bod správy útočníka, ve kterém získá zásady z podvodného bodu správy. Taková akce by pravděpodobně byla dílem důmyslného podvodníka a může k ní dojít pouze po omezenou dobu před tím, než klient získá důvěryhodný kořenový klíč z platného bodu správy. Pro snížení tohoto rizika u klientů uvedených v omyl útočníky na podvodný bod správy však můžete klientům předem poskytnout důvěryhodný kořenový klíč.
Pomocí následujících postupů lze předem poskytnout a ověřit důvěryhodný kořenový klíč pro klienta nástroje Configuration Manager:
Klientovi lze důvěryhodný kořenový klíč předem poskytnout v souboru.
Klientovi lze důvěryhodný kořenový klíč předem poskytnout bez souboru.
Ověřte důvěryhodný kořenový klíč na klientovi.
Poznámka
Klientovi není nutné důvěryhodný kořenový klíč poskytovat předem, pokud jej mohou získat ze služby AD DS (Active Directory Domain Services) nebo jsou instalováni pomocí nabízené instalace. Kromě toho není nutné klientům klíč poskytovat, pokud používají komunikaci s body správy prostřednictvím protokolu HTTPS, protože důvěru lze navázat pomocí certifikátů PKI.
Důvěryhodný kořenový klíč lze z klienta odstranit pomocí vlastnosti Client.msi RESETKEYINFORMATION = TRUE se souborem CCMSetup.exe. Chcete-li důvěryhodný kořenový klíč nahradit, přeinstalujte klienta společně s novým důvěryhodným kořenovým klíčem, například pomocí nabízené instalace klienta nebo určením vlastnosti Client.msi SMSPublicRootKey pomocí souboru CCMSetup.exe.
Předběžné poskytnutí důvěryhodného kořenového klíče klientovi v souboru
V textovém editoru otevřete soubor <adresář nástroje Configuration Manager>\bin\mobileclient.tcf.
Vyhledejte položku SMSPublicRootKey=, zkopírujte klíč z daného řádku a zavřete soubor bez uložení změn.
Vytvořte nový textový soubor a vložte informace o klíči, které jste zkopírovali ze souboru mobileclient.tcf.
Uložte soubor na místo, ve kterém k němu mohou mít přístup všechny počítače, ale kde bude chráněn před neoprávněnou manipulací.
Nainstalujte klienta pomocí libovolné metody, která podporuje vlastnosti Client.msi, a určete vlastnost Client.msi SMSROOTKEYPATH=<Úplná cesta a název souboru>.
DůležitéPokud během instalace klienta určíte důvěryhodný kořenový klíč za účelem zvýšení zabezpečení, je třeba zadat také kód lokality pomocí vlastnosti Client.msi SMSSITECODE=<kód lokality>.
Předběžné poskytnutí důvěryhodného kořenového klíče klientovi bez souboru
V textovém editoru otevřete soubor <adresář nástroje Configuration Manager>\bin\mobileclient.tcf.
Vyhledejte položku SMSPublicRootKey=, poznačte si klíč z daného řádku nebo jej zkopírujte do schránky a poté zavřete soubor bez uložení změn.
Nainstalujte klienta pomocí libovolné metody instalace, která podporuje vlastnosti Client.msi, a určete vlastnost Client.msi SMSPublicRootKey=<klíč>, kde <klíč> je řetězec, který jste zkopírovali ze souboru mobileclient.tcf.
DůležitéPokud během instalace klienta určíte důvěryhodný kořenový klíč za účelem zvýšení zabezpečení, je třeba zadat také kód lokality pomocí vlastnosti Client.msi SMSSITECODE=<kód lokality>.
Ověření důvěryhodného kořenového klíče na klientovi
V nabídce Start klikněte na tlačítko Spustit a zadejte Wbemtest.
V dialogovém okně Testování služby WMI klikněte na možnost Připojit.
V dialogovém okně Připojit do pole Obor názvů zadejte root\ccm\locationservices a poté klikněte na tlačítko Připojit.
V dialogovém okně Testování služby WMI v části Služby IWbem klikněte na možnost Výčet tříd.
V dialogovém okně Informace o supertřídě vyberte možnost Rekurzivní a klikněte na tlačítko OK.
V okně Výsledek dotazu přejděte na konec seznamu a poté dvakrát klikněte na možnost TrustedRootKey ().
V dialogovém okně Editor objektů pro TrustedRootKey klikněte na možnost Instance.
V novém okně Výsledek dotazu, ve kterém se zobrazují instance TrustedRootKey, dvakrát klikněte na položku TrustedRootKey=@
V dialogovém okně Editor objektů pro TrustedRootKey=@ v části Vlastnosti přejděte k položce TrustedRootKey CIM_STRING. Řetězec v pravém sloupci je důvěryhodný kořenový klíč. Ověřte, že se shoduje s hodnotou SMSPublicRootKey v souboru <adresář nástroje Configuration Manager>\bin\mobileclient.tcf.
Plánování podepisování a šifrování
Při použití certifikátů PKI pro veškerou komunikaci s klienty není nutné plánovat podepisování a šifrování k zabezpečení datové komunikace klientů. Nicméně při konfiguraci systémů lokalit používajících službu IIS, která umožní připojení klientů protokolu HTTP, je nutné se rozhodnout, jak bude zabezpečena komunikace s klienty pro danou lokalitu.
Chcete-li chránit data, která klienti odesílají do bodů správy, můžete požadovat, aby byla podepsána. Dále můžete požadovat, aby veškerá podepsaná data od klientů používajících protokol HTTP byla podepsána pomocí algoritmu SHA-256. Přestože je toto nastavení bezpečnější, nepovolujte tuto možnost, pokud algoritmus SHA-256 nepodporují všichni klienti. Řada operačních systémů algoritmus SHA-256 přirozeně podporuje, avšak starší operační systémy mohou vyžadovat aktualizaci nebo opravu hotfix. Například na počítače se systémem Windows Server 2003 SP2 musíte nainstalovat opravu hotfix, na kterou je odkazováno v článku KB 938397.
Zatímco podepisování pomáhá chránit data před manipulací, šifrování pomáhá chránit data před odhalením informací. Lze povolit šifrování 3DES pro data inventáře a stavové zprávy, které klienti odesílají do bodů správy. Tato možnost nevyžaduje u klientů instalaci žádných aktualizací, je však vhodné vzít v úvahu další využití CPU, jež bude nutné u klientů a v bodu správy při provádění šifrování a dešifrování.
Informace o tom, jak nakonfigurovat nastavení pro podepisování a šifrování, najdete v části Konfigurace podpisování a šifrování v tématu Konfigurace zabezpečení v nástroji Configuration Manager.
Plánování správy na základě rolí
Správa na základě rolí umožňuje návrh a implementaci zabezpečení správy pro hierarchii nástroje System Center 2012 Configuration Manager pomocí některého nebo všech těchto nastavení:
Role zabezpečení
Kolekce
Obory zabezpečení
Kombinací těchto nastavení se definuje obor správy pro správce. Obor správy řídí, které objekty může daný správce zobrazit v konzole nástroje Configuration Manager a která oprávnění má k těmto objektům. Konfigurace správy na základě rolí se replikují do každé lokality v hierarchii jako globální data a následně se použijí pro všechna připojení správy.
| Důležité |
|---|
V důsledku zpoždění replikací mezi lokalitami nemusí být lokalita schopna přijímat změny pro správu na základě rolí. Informace o monitorování replikace databáze mezi lokalitami najdete v části Sledování odkazů na replikaci databáze a stavu replikace v tématu Monitorování lokalit a hierarchie nástroje Configuration Manager. |
Plánování rolí zabezpečení
Pomocí rolí zabezpečení se správcům udělují oprávnění zabezpečení. Role zabezpečení jsou skupiny oprávnění zabezpečení, která přiřazujete správcům, aby mohli provádět úlohy správy. Tato oprávnění zabezpečení definují akce správy, jež mohou správci provádět, a oprávnění, která jsou udělena pro určité typy objektů. Nejlepší postup z hlediska zabezpečení je přiřazovat role zabezpečení poskytující co nejnižší oprávnění.
Nástroj System Center 2012 Configuration Manager má několik předdefinovaných rolí zabezpečení podporujících obvyklá seskupení úloh správy, a také je možné vytvářet vlastní role zabezpečení na podporu specifických podnikových požadavků. Příklady předdefinovaných rolí zabezpečení:
Správce s úplnými oprávněními: Tato role zabezpečení uděluje všechna oprávnění v nástroji Configuration Manager.
Analytik prostředků: Tato role zabezpečení umožňuje správcům prohlížet data shromážděná prostřednictvím služby Asset Intelligence, inventáře softwaru, inventáře hardwaru a měření softwaru. Správci mohou vytvářet pravidla měření a kategorie služby Asset Intelligence, rodiny a popisky.
Správce aktualizace softwaru: Tato role zabezpečení uděluje oprávnění definovat a nasazovat aktualizace softwaru. Správci, kteří jsou přidruženi k této roli, mohou vytvářet kolekce, skupiny aktualizací softwaru, nasazení, šablony a povolit aktualizace softwaru pro architekturu Network Access Protection (NAP).
Tip
V konzole nástroje Configuration Manager lze zobrazit seznam předdefinovaných rolí zabezpečení a vlastních, nově vytvořených rolí zabezpečení včetně jejich popisu. Chcete-li tak učinit, v pracovním prostoru Správa rozbalte položku Zabezpečení a vyberte položku Role zabezpečení.
Každá role zabezpečení má určitá oprávnění pro různé typy objektů. Například role zabezpečení Správce aplikací má tato oprávnění pro aplikace: Schválit, Vytvořit, Odstranit, Upravit, Upravit složky, Přesunout objekty, Číst/nasadit, Nastavit obor zabezpečení. Oprávnění pro předdefinované role zabezpečení nelze změnit, je však možné roli zkopírovat, provést změny a následně tyto změny uložit jako novou, vlastní roli zabezpečení. Rovněž je možné importovat role zabezpečení, jež byly exportovány z jiné hierarchie (například ze zkušební sítě). Prohlédněte si role zabezpečení a jejich oprávnění, abyste mohli určit, zda použijete předdefinované role zabezpečení, nebo si budete muset vytvořit vlastní role zabezpečení.
Následující postup vám pomůže naplánovat role zabezpečení:
Zjistěte, jaké úlohy provádějí správci v nástroji System Center 2012 Configuration Manager. Tyto úlohy se mohou týkat jedné nebo více skupin úloh správy, například nasazování aplikací a balíčků, nasazování operačních systémů a nastavení pro dodržování předpisů, konfigurace lokalit a zabezpečení, auditování, vzdáleného řízení počítačů a shromažďování dat z inventářů.
Namapujte tyto úlohy správy k jedné či několika předdefinovaným rolím zabezpečení.
Pokud někteří správci provádějí úlohy z více rolí zabezpečení, je vhodnější přiřadit těmto správcům více rolí zabezpečení, než vytvářet novou roli zabezpečení slučující tyto úlohy.
V případě, že zjištěné úlohy nelze namapovat k předdefinovaným rolím zabezpečení, vytvořte a otestujte nové role zabezpečení.
Informace o tom, jak vytvořit a nakonfigurovat role zabezpečení pro správu na základě rolí, najdete v částech Vytvoření vlastních rolí zabezpečení a Konfigurování rolí zabezpečení v tématu Konfigurace zabezpečení v nástroji Configuration Manager.
Plánování kolekcí
Kolekce určují, jaké prostředky uživatele a počítače může správce prohlížet nebo spravovat. Aby mohli správci například nasadit aplikace nebo spustit vzdálené řízení, musí být přiřazeni k roli zabezpečení, která uděluje přístup ke kolekci obsahující tyto prostředky. Lze vybrat kolekce uživatelů nebo zařízení.
Další informace o kolekcích najdete v tématu Úvod do kolekce v produktu Configuration Manager.
Před konfigurací správy na základě rolí zkontrolujte, zda je nutné vytvářet nové kolekce z některého z následujících důvodů:
Funkční uspořádání. Například samostatné kolekce serverů a pracovních stanic.
Zeměpisná poloha. Například samostatné kolekce pro Severní Ameriku a Evropu.
Požadavky na zabezpečení a podnikové procesy. Například samostatné kolekce pro produkční a testovací počítače.
Organizační uspořádání. Například samostatné kolekce pro jednotlivé obchodní jednotky.
Informace o tom, jak nakonfigurovat kolekce pro správu na základě rolí, najdete v části Konfigurování kolekcí pro správu zabezpečení v tématu Konfigurace zabezpečení v nástroji Configuration Manager.
Plánování oborů zabezpečení
Pomocí oborů zabezpečení lze správcům zajistit přístup k zabezpečitelným objektům. Obory zabezpečení jsou pojmenované sady zabezpečitelných objektů, které jsou ke správcům přiřazeny jako skupina. Všechny zabezpečitelné objekty je potřeba přiřadit aspoň k jednomu oboru zabezpečení. Configuration Manager obsahuje dva předdefinované obory zabezpečení:
Vše: Tento předdefinovaný obor zabezpečení uděluje přístup ke všem oborům. K tomuto oboru zabezpečení nelze přiřazovat objekty.
Výchozí: Tento předdefinovaný obor zabezpečení se ve výchozím nastavení používá pro všechny objekty. Při první instalaci nástroje System Center 2012 Configuration Manager jsou všechny objekty přiřazeny k tomuto oboru zabezpečení.
Chcete-li omezit objekty, které smí správci zobrazit a spravovat, je nutné vytvořit a používat vlastní obory zabezpečení. Obory zabezpečení nepodporují hierarchickou strukturu a nelze je vnořovat. Obory zabezpečení mohou obsahovat jeden či více typů objektů, k nimž patří:
Odběry upozornění
Aplikace
Spouštěcí image
Skupiny hranic
Položky konfigurace
Vlastní nastavení klienta
Distribuční body a skupiny distribučních bodů
Balíčky ovladačů
Globální podmínky
Úlohy migrace
Bitové kopie operačního systému
Instalační balíčky operačního systému
Balíčky
Dotazy
Weby
Pravidla distribuce softwaru
Skupiny aktualizací softwaru
Balíčky aktualizací softwaru
Balíčky pořadí úloh
Položky a balíčky nastavení zařízení se systémem Windows CE
Existují také objekty, které nelze zahrnout do oborů zabezpečení, neboť jsou zabezpečeny pouze v rámci rolí zabezpečení. Přístup správce k těmto objektům nelze omezit na podmnožinu dostupných objektů. Můžete mít například správce, který vytvoří skupiny hranic, jež budou použity pro určitou lokalitu. Vzhledem k tomu, že objekt hranice nepodporuje obory zabezpečení, nelze tomuto správci přiřadit obor zabezpečení, který poskytuje přístup pouze k těm hranicím, jež mohou být přidruženy k této lokalitě. Jelikož nelze objekt hranice přidružit k oboru zabezpečení, potom při přiřazení role zabezpečení, která zahrnuje přístup správce k objektům hranic, má tento správce přístup ke každé hranici v hierarchii.
K objektům, jež nejsou omezeny obory zabezpečení, patří:
Doménové struktury služby Active Directory
Administrativní uživatelé
Výstrahy
Antimalwarové zásady
Hranice
Přidružení počítačů
Výchozí nastavení klienta
Šablony nasazení
Ovladače zařízení
Konektor Exchange Serveru
Mapování migrace z pracoviště na pracoviště
Profily zápisu mobilních zařízení
Role zabezpečení
Obory zabezpečení
Adresy lokalit
Role systému lokality
Názvy softwaru
Aktualizace softwaru
Stavové zprávy
Spřažení uživatelských zařízení
Obory zabezpečení vytvořte v případě, že je zapotřebí omezit přístup k samostatným instancím objektů. Příklad:
Máte skupinu správců, kteří musejí být schopni zobrazit výrobní aplikace a nikoliv testovací aplikace. Vytvořte jeden obor zabezpečení pro výrobní aplikace a druhý pro testovací aplikace.
Různí správci vyžadují různý přístup k některým instancím typu objektu. Například jedna skupina správců vyžaduje k určitým skupinám aktualizací softwaru oprávnění Číst a jiná skupina správců vyžaduje pro jiné skupiny aktualizací softwaru oprávnění Upravit a Odstranit. Vytvořte pro tyto skupiny aktualizací softwaru různé obory zabezpečení.
Informace o tom, jak nakonfigurovat obory zabezpečení pro správu na základě rolí, najdete v části Konfigurování rozsahu zabezpečení pro objekt v tématu Konfigurace zabezpečení v nástroji Configuration Manager.
Viz také
Plánování lokalit a hierarchie nástroje Configuration Manager