Sdílet prostřednictvím

Zabezpečení a ochrana osobních údajů pro klienty v nástroji Configuration Manager

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Tato část obsahuje informace o zabezpečení a soukromí pro klienty v nástroji System Center 2012 Configuration Manager a pro mobilní zařízení spravovaná konektorem systému Exchange Server:

  • Osvědčené postupy zabezpečení pro klienty nástroje Configuration Manager a mobilní zařízení spravovaná konektorem systému Exchange Server

    • Problémy se zabezpečením klientů nástroje Configuration Manager

  • Ochrana osobních údajů klientů nástroje Configuration Manager

  • Ochrana osobních údajů mobilních zařízení spravovaných pomocí konektoru systému Exchange Server

Osvědčené postupy zabezpečení pro klienty nástroje Configuration Manager a mobilní zařízení spravovaná konektorem systému Exchange Server

Když nástroj Configuration Manager přijme data ze zařízení, která spouští klienta nástroje Configuration Manager, vzniká riziko, že klienti můžou web napadnout. Například by mohli odesílat poškozený inventář nebo se pokusit přetížit systémy lokality. Klienta nástroje Configuration Manager nasaďte jenom na zařízení, kterým důvěřujete. Kromě toho využijte následující osvědčené postupy zabezpečení, které vám pomůžou lokalitu ochránit před podvodnými nebo ohroženými zařízeními:

Doporučené zabezpečení

Další informace

Použijte certifikáty infrastruktury veřejných klíčů (PKI) pro komunikaci klientů se systémy lokality, na kterých běží služby IIS:

  • Jako vlastnost lokality nakonfigurujte možnost Nastavení serveru pro položku Pouze HTTPS.

  • Klienty nainstalujte s vlastností /UsePKICert CCMSetup.

  • Použijte seznam odvolaných certifikátů (CRL) a ujistěte se, že klienti a komunikační servery k němu mají vždycky přístup.

Tyto certifikáty jsou nutné pro klienty mobilních zařízení a připojení klientských počítačů k internetu a – s výjimkou distribučních bodů – se doporučují pro všechna připojení klientů na intranetu.

Další informace o požadavcích na certifikáty PKI a jejich použití k ochraně nástroje Configuration Manager najdete v části Požadavky na certifikát PKI pro nástroj Configuration Manager.

Automatické schválení klientských počítačů z důvěryhodných domén a ruční kontrola a schválení jiných počítačů

Schválení identifikuje počítač, kterému důvěřujete a který se má spravovat nástrojem Configuration Manager, pokud nejde použít ověřování pomocí PKI.

Schválení můžete pro hierarchii konfigurovat jako ruční, automatické pro počítače v důvěryhodných doménách nebo automatické pro všechny počítače. Nejbezpečnější metodou schválení je automatické schválení klientů, kteří jsou členy důvěryhodných domén, a pak ruční kontrola a schválení všech ostatních počítačů. Automatické schválení všech klientů se nedoporučuje, pokud nemáte další řízení přístupu, kterým zabráníte nedůvěryhodným počítačům v přístupu k síti.

Další informace o ručním schválení počítačů najdete v tématu Správa klientů z uzlu Zařízení.

Pokud chcete klientům zabránit v přístupu k hierarchii nástroje Configuration Manager, nespoléhejte na blokování.

Blokované klienty odmítnula infrastruktura nástroje Configuration Manager, aby nemohli komunikovat se systémy lokality za účelem stahování zásad, nahrávání dat inventáře nebo odesílání stavových zpráv. Nespoléhejte ale na blokování, pokud chcete chránit hierarchii nástroje Configuration Manager před nedůvěryhodnými počítači, když systémy lokality přijímají připojení klientů protokolu HTTP. V tomto scénáři se může blokovaný klient znova připojit k lokalitě pomocí nového certifikátu podepsaného svým držitelem a ID hardwaru. Blokování se používá k blokování ztracených nebo ohrožených spouštěcích médií při nasazení operačního systému na klienty, když všechny systémy lokality přijmou připojení klienta HTTPS. Pokud používáte infrastrukturu veřejných klíčů (PKI) a ta podporuje seznam odvolaných certifikátů (CRL), vždycky musíte zajistit, aby odvolané certifikáty byly první linií obrany před potenciálně ohroženými certifikáty. Blokování klientů v nástroji Configuration Manager poskytuje druhou linii obrany vaší hierarchie.

Další informace naleznete v části Určení možnosti blokování klientů v Configuration Manageru.

Používejte nejbezpečnější metody instalace klienta, které jsou pro vaše prostředí vhodné:

  • Pro počítače domény jsou metody instalace klienta na základě zásad skupiny a instalace klienta na základě aktualizace softwaru bezpečnější než klientská nabízená instalace.

  • Instalace vytvořením bitové kopie a ruční instalace může být opravdu bezpečná, pokud použijete řízení přístupu a řízení změn.

Ze všech metod instalace klienta je klientská nabízená instalace nejméně bezpečná, protože má velký počet závislostí, které zahrnují místní oprávnění správce, sdílenou složku Admin$ a množství výjimek brány firewall. Tyto závislosti zvětšují prostor pro útoky.

Další informace o různých metodách klientské instalace najdete v části Stanovení metody instalace klientů pro počítače se systémem Windows v nástroji Configuration Manager.

Kromě toho, pokud to jde, vyberte metodu klientské instalace, která vyžaduje nejnižší oprávnění zabezpečení v nástroji Configuration Manager, a omezte správce, kterým jsou přiřazené role zabezpečení zahrnující oprávnění použitelná pro jiné účely než nasazení klienta. Například automatický upgrade klienta vyžaduje roli zabezpečení Správce s úplnými oprávněními, která správcům zajišťuje veškerá oprávnění zabezpečení.

Další informace o závislostech a oprávněních zabezpečení pro jednotlivé metody klientské instalace najdete v sekci Závislosti instalačních metod v oddílu Požadavky pro klienty v počítačích v tématu Požadavky pro nasazení klientů se systémem Windows v nástroji Configuration Manager.

Pokud musíte použít klientskou nabízenou instalaci, proveďte další kroky pro zabezpečení účtu klientské nabízené instalace.

I když tento účet musí být členem místní skupiny Administrators v každém počítači, který bude instalovat software klienta nástroje Configuration Manager, nikdy nepřidávejte účet klientské nabízené instalace do skupiny Domain Admins. Místo toho vytvořte globální skupinu a přidejte ji do místní skupiny Administrators v klientských počítačích. Můžete taky vytvořit objekt zásad skupiny a přidat nastavení skupiny s omezeným přístupem pro přidání účtu klientské nabízené instalace do místní skupiny Administrators.

Pokud chcete zabezpečení zvýšit, vytvořte několik účtů klientské nabízené instalace, každý s oprávněními přístupu správce k omezenému počtu počítačů, aby v případě ohrožení jednoho účtu byly ohrožené jenom klientské počítače, ke kterým má daný účet přístup.

Před vytvořením bitové kopie klientského počítače odstraňte certifikáty.

Pokud máte v plánu nasadit klienty pomocí technologie vytváření bitové kopie, před zachycením bitové kopie vždycky odstraňte certifikáty, jako třeba certifikáty PKI, které zahrnují ověření klientů, a certifikáty s podpisem držitele. Pokud tyto certifikáty neodstraníte, klienti se můžou zosobnit do sebe navzájem a nepůjdou ověřit data pro jednotlivé klienty.

Další informace o používání nástroje Sysprep k přípravě počítače na vytvoření bitové kopie najdete v dokumentaci k nasazení systému Windows.

Zajistěte, aby klienti počítače s nástrojem Configuration Manager získali autorizovanou kopii těchto certifikátů:

  • Důvěryhodný kořenový klíč nástroje Configuration Manager

  • Podpisový certifikát serveru lokality

  • Důvěryhodný kořenový klíč:

    Pokud jste nerozšířili schéma služby Active Directory pro nástroj Configuration Manager a klienti nepoužívají certifikáty PKI při komunikaci s body správy, klienti spoléhají při ověřování platných bodů správy na důvěryhodný kořenový klíč nástroje Configuration Manager. V tomto scénáři nemůžou klienti nijak ověřit, že bod správy je pro hierarchii důvěryhodným bodem správy, pokud nepoužijí důvěryhodný kořenový klíč. Bez důvěryhodného kořenového klíče by mohl zkušený útočník přesměrovat klienty na podvodný bod správy.

    Pokud klienti nemůžou stáhnout důvěryhodný kořenový klíč nástroje Configuration Manager z globálního katalogu nebo pomocí certifikátů PKI, poskytněte klientům důvěryhodný kořenový klíč předem a zajistěte tak, že nedojde k jejich přesměrování na podvodný bod správy. Další informace najdete v části Plánování důvěryhodného kořenového klíče v tématu Plánování zabezpečení v nástroji Configuration Manager.

  • Podpisový certifikát serveru lokality:

    Klienti používají podpisový certifikát serveru lokality k ověření toho, že server lokality podepsal zásadu klienta, kterou stáhl z bodu správy. Tento certifikát je podepsaný držitelem serveru lokality a zveřejněný ve službě AD DS (Active Directory Domain Services).

    Pokud klienti nemůžou stáhnout podpisový certifikát serveru lokality z globálního katalogu, ve výchozím nastavení ho stáhnou z bodu správy. Pokud je bod správy vystavený nedůvěryhodné síti (třeba internetu), ručně nainstalujte podpisový certifikát serveru lokality na klienty a zajistěte tak, že nebudou moct spustit pozměněné zásady klienta z ohroženého bodu správy.

    Pokud chcete podpisový certifikát serveru lokality instalovat ručně, použijte vlastnost CCMSetup client.msi SMSSIGNCERT. Další informace naleznete v části O vlastnostech instalace klienta ve Správci konfigurace.

Nepoužívejte automatické přiřazení lokality, pokud bude klient stahovat důvěryhodný kořenový klíč z prvního bodu správy, který kontaktuje.

Tento z hlediska zabezpečení nejlepší postup souvisí s předchozím pokynem. Aby nevznikalo riziko, že nový klient stáhne důvěryhodný kořenový klíč z podvodného bodu správy, používejte automatické přiřazení lokality jenom v následujících situacích:

  • Klient může získat informace o lokalitě nástroje Configuration Manager publikované do služby AD DS (Active Directory Domain Services).

  • Klientovi předem poskytnete důvěryhodný kořenový klíč.

  • Používáte certifikáty PKI od certifikační autority rozlehlé sítě (CA) k vybudování důvěry mezi klientem a bodem správy.

Další informace o důvěryhodném kořenovém klíči najdete v části Plánování důvěryhodného kořenového klíče v tématu Plánování zabezpečení v nástroji Configuration Manager.

Instalujte klientské počítače s možností CCMSetup Client.msi SMSDIRECTORYLOOKUP=NoWINS.

Nejbezpečnější metodou umístění služby pro klienty, kteří chtějí hledat lokality a body správy, je použití služby AD DS (Active Directory Domain Services). Pokud to nejde, třeba proto, že se nedá rozšířit schéma služby Active Directory pro nástroj Configuration Manager nebo že klienti jsou součástí nedůvěryhodné doménové struktury nebo pracovní skupiny, můžete jako alternativní metodu umístění služby použít publikování DNS. Pokud selžou obě tyto metody, klienti se můžou vrátit k použití služby WINS, když bod správy není nakonfigurovaný pro připojení klientů pomocí protokolu HTTPS.

Protože publikování do služby WINS je méně bezpečné než jiné metody publikování, konfigurujte klientské počítače tak, aby nepřecházely k použití služby WINS, výběrem možnosti SMSDIRECTORYLOOKUP=NoWINS. Pokud k umístění služby musíte použít službu WINS, použijte možnost SMSDIRECTORYLOOKUP=WINSSECURE (výchozí nastavení), která využívá důvěryhodný kořenový klíč nástroje Configuration Manager k ověření certifikátu bodu správy s podpisem držitele.

Poznámka

Pokud je klient nakonfigurovaný na možnost SMSDIRECTORYLOOKUP=WINSSECURE a najde bod správy ze služby WINS, klient zkontroluje jeho kopii důvěryhodného kořenového klíče nástroje Configuration Manager, který je v rozhraní WMI. Pokud se podpis na certifikátu bodu správy shoduje s klientskou kopií důvěryhodného kořenového klíče, certifikát se ověří a klient naváže komunikaci s bodem správy, který našel pomocí služby WINS. Pokud se podpis na certifikátu bodu správy neshoduje s klientskou kopií důvěryhodného kořenového klíče, certifikát nebude platný a klient nenaváže komunikaci s bodem správy, který našel pomocí služby WINS.

Ujistěte se, že časové intervaly pro správu a údržbu jsou pro nasazení důležitých aktualizací softwaru dostatečně velké.

Časové intervaly pro správu a údržbu můžete nakonfigurovat pro kolekce zařízení a omezit tak dobu, po kterou nástroj Configuration Manager může instalovat software na tato zařízení. Pokud nakonfigurujete časové intervaly pro správu a údržbu jako moc malé, klient nebude moct instalovat důležité aktualizace softwaru. Klient pak bude zranitelný vůči útokům, které může aktualizace softwaru zmírnit.

Pro zařízení se systémem Windows Embedded s filtry zápisu je potřeba zavést další bezpečnostní opatření, aby se snížil prostor pro útoky, pokud nástroj Configuration Manager zakáže filtry zápisu za účelem zachování instalace a změn softwaru.

Pokud jsou filtry zápisu v zařízeních se systémem Windows Embedded povolené, jakékoli instalace a změny softwaru se provedou jenom v překrytí a po restartu zařízení se nezachovají. Pokud používáte nástroj Configuration Manager k dočasnému zakázání filtrů zápisu za účelem zachování instalací a změn softwaru, je během této doby zařízení se systémem Embedded citlivé na změny ve všech svazcích – i ve sdílených složkách.

I když nástroj Configuration Manager během této doby počítač zamkne, aby se mohli přihlásit jenom místní správci, zaveďte další bezpečnostní opatření pro zvýšení ochrany počítače, pokud to jde. Můžete třeba povolit další omezení brány firewall a odpojit zařízení od sítě.

Pokud používáte časové intervaly pro správu a údržbu k zachování změn, naplánujte tyto intervaly pečlivě a zkraťte dobu, kdy můžou být filtry zápisu zakázané. Zároveň musí být dostatečně dlouhé, aby se dala dokončit instalace softwaru a restarty.

Pokud používáte instalaci klienta na základě aktualizace softwaru a v lokalitě nainstalujete novější verzi klienta, aktualizujte aktualizaci softwaru, která je publikovaná v bodě aktualizace softwaru, aby klienti získali nejnovější verzi.

Pokud v lokalitě nainstalujete novější verzi klienta, třeba provedete upgrade lokality, aktualizace softwaru pro nasazení klienta, která je publikovaná v bodě aktualizace softwaru, se nebude aktualizovat automaticky. Klienta nástroje Configuration Manager je potřeba publikovat znovu do bodu aktualizace softwaru a kliknutím na tlačítko Ano aktualizovat číslo verze.

Další informace najdete v postupu Publikování klienta nástroje Configuration Manager v bodu aktualizace softwaru v části v Instalace klientů nástroje Configuration Manager metodou instalace na základě aktualizace softwaru v tématu Instalace klientů v počítačích se systémem Windows v nástroji Configuration Manager.

Konfigurujte nastavení klientského zařízení Počítačový agent, možnost Pozastavit zadání kódu PIN nástroje BitLocker při restartu na hodnotu Vždy jenom pro počítače, kterým důvěřujete a které mají omezený fyzický přístup.

Když pro toto nastavení klienta vyberete hodnotu Vždy, nástroj Configuration Manager bude moct dokončit instalaci softwaru. Zajistíte tak, že se nainstalují důležité aktualizace softwaru a nedojde k přerušení služeb. Pokud ale útočník zabrání restartování, může získat kontrolu nad počítačem. Toto nastavení používejte jenom v případě, že počítači důvěřujete a fyzický přístup k němu je omezený. Toto nastavení může být vhodné třeba pro servery v datovém centru.

Nekonfigurujte nastavení Zásady spouštění aplikace PowerShell klientského zařízení Počítačový agent na hodnotu Nepoužívat.

Toto nastavení klienta umožňuje klientovi nástroje Configuration Manager spouštět nepodepsané skripty prostředí PowerShell, díky kterým by se mohl na klientských počítačích spouštět malware. Pokud tuto volbu musíte vybrat, přidělte ji pomocí vlastního nastavení klienta jenom klientským počítačům, které musí spouštět nepodepsané skripty prostředí PowerShell.

Pro mobilní zařízení, která zapíšete do nástroje Configuration Manager a budou podporovaná na internetu: Nainstalujte zprostředkující bod registrace v hraniční síti a bod registrace v intranetu.

Toto rozdělení rolí přispívá k ochraně bodu registrace před útokem. Pokud by došlo k ohrožení bezpečnosti bodu registrace, mohl by útočník získat ověřovací certifikáty a zcizit přihlašovací údaje uživatelů zapisujících svá mobilní zařízení.

Pro mobilní zařízení: Proveďte konfiguraci nastavení hesla za účelem ochrany mobilních zařízení před neoprávněným přístupem.

Pro mobilní zařízení, která jsou zapsaná nástrojem Configuration Manager: Pomocí příslušné položky konfigurace mobilního zařízení proveďte konfiguraci složitosti hesla na hodnotu PIN a nastavte aspoň výchozí hodnotu pro minimální délku hesla.

Pro mobilní zařízení, která nemají nainstalovaného klienta Configuration Manager, ale spravuje je konektor systému Exchange Server: Proveďte konfiguraci Nastavení hesla pro konektor systému Exchange Server tak, aby se pro složitost hesla zvolila hodnota PIN, a zadejte aspoň výchozí hodnotu pro minimální délku hesla.

Pro mobilní zařízení: Zvyšte ochranu před prováděním změn v informacích inventáře a v informacích o stavu tak, že povolíte spouštění aplikací jenom tehdy, když budou podepsané společnostmi, kterým důvěřujete, a zakážete instalaci nepodepsaných souborů.

Pro další mobilní zařízení zapsaná nástrojem Configuration Manager: Pomocí příslušné položky konfigurace mobilních zařízení proveďte konfiguraci nastavení zabezpečení Nepodepsané aplikace na hodnotu Zakázáno a nakonfigurujte Instalace nepodepsaných souborů tak, aby byly důvěryhodnými zdroji.

Pro mobilní zařízení, která nemají nainstalovaného klienta Configuration Manager, ale spravuje je konektor systému Exchange Server: Proveďte konfiguraci Nastavení aplikace pro konektor systému Exchange Server tak, aby se Instalace nepodepsaných souborů a Nepodepsané aplikace nastavily na hodnotu Zakázáno.

Pro mobilní zařízení: Zabraňte útokům z důvodu zvýšení oprávnění tak, že zamknete mobilní zařízení v době, kdy se nepoužívá.

Pro další mobilní zařízení zapsaná nástrojem Configuration Manager: Pomocí příslušné položky konfigurace mobilního zařízení proveďte konfiguraci nastavení hesla Čas nečinnosti v minutách, než se mobilní zařízení uzamkne.

Pro mobilní zařízení, která nemají nainstalovaného klienta Configuration Manager, ale spravuje je konektor systému Exchange Server: Nastavením položky Nastavení hesla pro konektor systému Exchange Server nastavte možnost Čas nečinnosti v minutách, než se mobilní zařízení uzamkne.

Pro mobilní zařízení: Zabraňte zvýšení oprávnění tak, že omezíte uživatele, kteří můžou provést zápis svých mobilních zařízení.

Pokud chcete zápis mobilních zařízení povolit jenom autorizovaným uživatelům, použijte vlastní nastavení klienta místo výchozího nastavení klienta.

Pro mobilní zařízení: Nenasazujte aplikace pro uživatele, kteří zapsali mobilní zařízení pomocí nástroje Configuration Manager nebo služby Microsoft Intune, v těchto scénářích:

  • Když mobilní zařízení využívá víc než jedna osoba.

  • Když zařízení zapisuje správce jménem uživatele.

  • Když se zařízení přenese na jinou osobu bez toho, aby se předtím vyřadilo a pak znovu zapsalo.

Během zápisu dojde k vytvoření vztahu spřažení uživatelského zařízení, během kterého se namapuje zapisující uživatel na mobilní zařízení. Pokud mobilní zařízení používá jiný uživatel, bude moct spouštět aplikace, které jste nasadili pro původního uživatele. Následkem pak může být zvýšení oprávnění. Podobně platí i to, že pokud správce zapíše mobilní zařízení pro uživatele, nenainstalují se do mobilního zařízení aplikace nasazené uživateli a místo se můžou nainstalovat aplikace nasazené správci.

Na rozdíl od spřažení zařízení a uživatele pro počítače s Windows se informace o spřažení zařízení a uživatele pro mobilní zařízení zapsaná službou Microsoft Intune nedají definovat ručně.

Pokud předáte vlastnictví mobilního zařízení zapsaného službou Intune, vyřaďte toto zařízení ze služby Intune, aby se odebralo spřažení zařízení a uživatele, a pak požádejte aktuálního uživatele, aby zařízení zapsal znovu.

Pro mobilní zařízení: Ověřte, že uživatelé zapsali svá mobilní zařízení pro službu Microsoft Intune.

Protože k vytvoření vztahu spřažení uživatelského zařízení dojde během zápisu, který namapuje uživatele provádějícího zápis na mobilní zařízení, platí, že pokud mobilní zařízení pro uživatele zapisuje správce, nenainstalují se aplikace nasazené pro uživatele do mobilního zařízení a místo toho se můžou nainstalovat aplikace nasazené pro správce.

Pro konektor systému Exchange Server: Ujistěte se, že je připojení mezi serverem lokality aplikace Configuration Manager a počítačem systému Exchange Server chráněné.

Pokud jde o místní systém Exchange Server, použijte zabezpečení IPsec; hostovaný systém Exchange automaticky zabezpečí připojení pomocí technologie SSL.

Pro konektor systému Exchange Server: Použijte pro konektor princip nejnižších oprávnění.

Seznam minimálních rutin, které vyžaduje konektor systému Exchange Server, najdete v části Správa mobilních zařízení pomocí nástroje Configuration Manager a serveru Exchange.

Pro počítače Mac: Přistupujte ke klientským zdrojovým souborům ze zabezpečeného umístění a ukládejte je tam.

Nástroj Configuration Manager neověřuje, jestli se tyto klientské zdrojové soubory před instalací nebo zápisem klienta na počítači Mac úmyslně nepoškodily. Stahujte tyto soubory z důvěryhodného zdroje a při přístupu k nim využívejte zabezpečení.

Pro počítače Mac: Nezávisle na nástroji Configuration Manager sledujte období platnosti certifikátu, který se pro uživatele zapsal.

V zájmu zachování nepřetržitého provozu monitorujte a sledujte dobu platnosti certifikátů používaných pro počítače Mac. Nástroj Configuration Manager SP1 nepodporuje automatické obnovení tohoto certifikátu ani varování, že se blíží konec platnosti certifikátu. Typická doba platnosti je 1 rok.

Informace o obnovení certifikátu najdete v částech Obnovení klientského certifikátu počítače Mac v tématu Instalace klientů v počítačích Mac v Configuration Manageru.

Pro počítače Mac: Zvažte nastavení certifikátu od důvěryhodné kořenové certifikační autority tak, aby byl důvěryhodný jenom pro protokol SSL. Zvýšíte tak ochranu proti zvýšení oprávnění.

Při zápisu počítačů Mac se automaticky nainstaluje uživatelský certifikát ke správě klienta nástroje Configuration Manager, společně s důvěryhodným kořenovým certifikátem, se kterým se řetězí uživatelský certifikát. Pokud chcete omezit důvěru tohoto kořenového certifikátu jenom na protokol SSL, můžete postupovat podle těchto kroků.

Po dokončení tohoto postupu nebude kořenový certifikát důvěryhodný k ověřování platnosti jiných protokolů než SSL – třeba Secure Mail (S/MIME), Extensible Authentication (EAP) nebo podepisování kódu.

Poznámka

Tento postup můžete využít i v případě, že jste nainstalovali klientský certifikát nezávisle na nástroji Configuration Manager.

Pokud chcete omezit certifikát od kořenové certifikační autority jenom na protokol SSL:

  1. Na počítači Mac otevřete okno terminálu.

  2. Zadejte příkaz sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. V dialogovém okně Přístup do řetězce klíčů v části Řetězce klíčů klikněte na možnost Systém a pak v části Kategorie klikněte na položku Certifikáty.

  4. Najděte certifikát od kořenové certifikační autority pro klientský certifikát počítače Mac a dvakrát na něho klikněte.

  5. V dialogovém okně pro certifikát od kořenové certifikační autority rozbalte část Důvěryhodnost a proveďte tyto změny:

    1. U položky Kdy použít tento certifikát změňte výchozí nastavení Vždy důvěřovat na hodnotu Použít výchozí systémové nastavení.

    2. U položky Secure Sockets Layer (SSL) změňte hodnotu nezadána žádná hodnota na hodnotu Vždy důvěřovat.

  6. Zavřete dialogové okno a až se zobrazí výzva, zadejte heslo správce. Pak klikněte na Aktualizovat nastavení.

Problémy se zabezpečením klientů nástroje Configuration Manager

Tyto problémy se zabezpečením se nedají zmírnit:

  • Stavové zprávy nejsou ověřené.

    U stavových zpráv neprobíhá žádné ověřování. Když bod správy přijme připojení klienta HTTP, může stavové zprávy na bod správy posílat jakékoli zařízení. Pokud bod správy přijímá jenom připojení klienta HTTPS, zařízení musí získat platný certifikát ověření uživatele od důvěryhodné kořenové certifikační autority, ale pak může taky posílat jakékoli stavové zprávy. Pokud klient pošle neplatnou stavovou zprávu, zpráva se zahodí.

    Existuje několik možných útoků, které by mohly tohoto ohrožení zabezpečení využít. Útočník může odeslat neplatnou stavovou zprávu a získat tak členství v kolekci, která je založená na dotazech stavové zprávy. Jakýkoli klient může zahájit útok DoS proti bodu správy tak, že ho zahltí stavovými zprávami. Pokud se stavové zprávy spouštějí akcemi v pravidlech filtru stavových zpráv, útočník může spustit pravidlo filtru stavových zpráv. Útočník taky může odeslat stavovou zprávu, která způsobí nepřesné vykreslení informací o struktuře řízení.

  • U zásady se dá změnit cíl na necílené klienty.

    Existuje několik způsobů, které můžou útočníci využít k tomu, aby zásada cílená na jednoho klienta platila i pro úplně jiného klienta. Například útočník na důvěryhodném klientovi může odeslat nepravdivé informace o zjišťování nebo inventáři, aby se počítač přidal do kolekce, do které nepatří, a pak se do této kolekce přijala všechna nasazení. Přestože existují ovládací prvky bránící útočníkům v přímém upravování zásad, mohli by útočníci využít existující zásady k opakovanému formátování a nasazení operačního systému a jeho odeslání na jiný počítač. To by způsobilo odepření služby. Tyto typy útoků by vyžadovaly přesné načasování a rozsáhlé znalosti o infrastruktuře nástroje Configuration Manager.

  • Klientské protokoly umožňují přístup uživatelů.

    Všechny soubory protokolu klienta umožňují uživatelům přístup pro čtení a interaktivním uživatelům přístup pro zápis. Pokud povolíte podrobné protokolování, útočníci můžou číst soubory protokolu a hledat v nich informace o ohrožení zabezpečení systému nebo kompatibility. Procesy, jako je třeba instalace softwaru prováděná v kontextu uživatele, se musí dát zapisovat do protokolů s uživatelským účtem s omezenými právy. To znamená, že útočník by mohl taky zapisovat do protokolů pomocí účtu s omezenými právy.

    Nejvážnější riziko představuje fakt, že by útočník mohl ze souborů protokolu odstranit informace, které by mohl správce potřebovat k auditování a odhalování útočníků.

  • Počítač by se mohl dát použít k získání certifikátu, který slouží k zápisu mobilního zařízení.

    Když nástroj Configuration Manager zpracovává žádost o zápis, nemůže ověřit, jestli tato žádost pochází z mobilního zařízení nebo z počítače. Pokud se jedná o žádost z počítače, může nainstalovat certifikát PKI, který pak umožní registraci v nástroji Configuration Manager. V rámci zvýšení ochrany proti útokům z důvodu zvýšení oprávnění v tomto scénáři umožněte zápis mobilních zařízení jenom důvěryhodným uživatelům a pečlivě monitorujte aktivity zápisu.

  • Spojení mezi klientem a bodem správy se nezruší, pokud klienta zablokujete, a zablokovaný klient může pořád dál odesílat pakety klientských oznámení na bod správy – jako třeba udržovací zprávy.

    Pro System Center 2012 Configuration Manager SP1 a novější:

    Když zablokujete klienta, kterému už nedůvěřujete, a on navázal komunikaci ve formě klientských oznámení, nástroj Configuration Manager tuto relaci neodpojí. Zablokovaný klient může dál pokračovat v odesílání paketů na svůj bod správy, dokud se klient neodpojí ze sítě. Tyto pakety jsou jen malé udržovací pakety a tito klienti se nedají spravovat v nástroji Configuration Manager, dokud nedojde k jejich odblokování.

  • Pokud používáte automatický upgrade klienta a klient se v rámci stahování klientských zdrojových souborů nasměruje na bod správy, bod správy se neověří jako důvěryhodný zdroj.

    Pro System Center 2012 Configuration Manager SP1 a novější:

    Pokud používáte automatický upgrade klienta v hierarchii nástroje Configuration Manager, kde některé lokality využívají nástroj Configuration Manager SP1 a některé naopak nástroj Configuration Manager bez aktualizace Service Pack, klient se v nástroji Configuration Manager bez aktualizace Service Pack nasměruje ke stažení klientských zdrojových souborů z přiřazeného bodu správy, a ne z distribučního bodu. Takhle se zaručí, že klienti, kteří jsou přiřazení k lokalitám využívajícím nástroj Configuration Manager bez aktualizace Service Pack, nebudou instalovat klientské zdrojové soubory nástroje Configuration Manager SP1, protože v opačném případě by se mohlo stát, že by se klient nespravoval. V tomto scénáři není bod správy klienty ověřený jako důvěryhodný zdroj a pro klientské instalační soubory se dají klienti přesměrovat na neautorizovaný bod správy. Toto riziko je ale malé, protože klienti odmítnou jakékoli klientské instalační soubory, které nejsou podepsané společností Microsoft. Klienti vždycky nejdřív ověřují důvěryhodnost a teprve pak stahují zásady klienta z bodu správy.

  • Když uživatelé zapíšou počítače Mac poprvé, vystavují se riziku falšování identity serveru DNS

    Když se počítač Mac během zápisu připojuje ke zprostředkujícímu bodu registrace, není pravděpodobné, že by počítač Mac už měl certifikát od kořenové certifikační autority. V tomto bodu je server podle počítače Mac nedůvěryhodný a uživateli se zobrazí výzva k pokračování. Pokud se plně kvalifikovaný název zprostředkujícího bodu registrace přeloží neautorizovaným serverem DNS, může se počítač Mac nasměrovat na neautorizovaný zprostředkující bod registrace a dojde k instalaci certifikátů z nedůvěryhodného zdroje. Pokud chcete toto riziko snížit, držte se osvědčených postupů, jak se vyhnout falšování identity serveru DNS ve vašem prostředí.

  • Zápis počítače Mac neomezuje požadavky certifikátu.

    Uživatelé můžou počítače Mac znovu zapisovat a pokaždé požadovat nový klientský certifikát.Configuration Manager nekontroluje vícenásobné požadavky ani neomezuje počet certifikátů požadovaných z jednoho počítače. Neautorizovaný uživatel by mohl spustit skript, který bude opakovat požadavek zápisu z příkazového řádku, což by mělo za následek odepření služby v síti nebo na straně vydávající certifikační autority (CA). Pokud chcete toto riziko snížit, pečlivě monitorujte vydávající certifikační autoritu pro tento typ podezřelého chování. Počítač vykazující známky takového chování by se měl v hierarchii nástroje Configuration Manager okamžitě zablokovat.

  • Potvrzení o vymazání neověřuje, jestli se zařízení opravdu úspěšně vymazalo.

    Když zahájíte akci vymazání mobilního zařízení a nástroj Configuration Manager zobrazí potvrzení stavu vymazání, ověřuje se jenom to, jestli nástroj Configuration Manager úspěšně odeslal zprávu, a ne to, jestli se zařízení zachovalo podle požadavků. Navíc platí, že pro mobilní zařízení, která spravuje konektor systému Exchange Server, potvrzení o vymazání ověřuje, jestli byl příkaz přijatý systémem Exchange, ne zařízením.

  • Pokud ve verzi Configuration Manager SP1 používáte možnosti potvrzování změn u zařízení se systémem Windows Embedded, může dojít k neočekávanému uzamčení účtů

    Pokud zařízení se systémem Windows Embedded používá operační systém starší než Windows 7 a uživatel se pokusí přihlásit za účelem potvrzení změn provedených nástrojem Configuration Manager SP1 v době, kdy jsou zakázané filtry zápisu, počet povolených nesprávných přihlášení před uzamčením účtu je oproti jiným situacím poloviční. Pokud je třeba Prahová hodnota pro uzamčení účtu nastavená na 6 a uživatel zadá třikrát špatné heslo, dojde k uzamčení účtu a odepření služby. Pokud se uživatelé v tomto scénáři musí přihlašovat na integrovaných zařízeních, upozorněte je, že k uzamčení účtu může dojít dřív.

Ochrana osobních údajů klientů nástroje Configuration Manager

Při nasazení klienta nástroje Configuration Manager je potřeba povolit nastavení klienta, aby mohl používat funkce správy nástroje Configuration Manager. Nastavení používaná při konfiguraci funkcí se můžou týkat všech klientů v hierarchii nástroje Configuration Manager bez ohledu na to, jestli jsou připojení přímo k podnikové síti, připojení prostřednictvím vzdálené relace nebo připojení k internetu a podporuje je nástroj Configuration Manager.

Informace o klientech jsou uložené v databázi nástroje Configuration Manager a neposílají se do Microsoftu. Informace se uchovávají v databázi do doby, než je odstraní úlohy údržby lokality Odstranit stará data o prohledávání, a to každých 90 dní. Můžete provést konfiguraci intervalu odstranění.

Před konfigurací klienta nástroje Configuration Manager zvažte své požadavky na ochranu osobních údajů.

Ochrana osobních klientů mobilních zařízení zapsaných nástrojem Configuration Manager

Informace o ochraně osobních údajů při zápisu mobilních zařízení pomocí nástroje Configuration Manager najdete v tématu Prohlášení o ochraně osobních údajů nástroje Microsoft System Center 2012 Configuration Manager – dodatek pro mobilní zařízení.

Stav klienta

Configuration Manager monitoruje aktivity klientů. Klienti a jejich závislosti se pravidelně vyhodnocují a nástroj Configuration Manager je může v případě potřeby opravit. Funkce stavu klienta je ve výchozím nastavením povolená. Pro kontroly aktivity klienta se používá metrika na straně serveru, pro vlastní kontroly klienta, opravy a odesílání informací o stavu klienta do lokality nástroje Configuration Manager slouží metrika na straně klienta. Klient spouští vlastní kontroly podle plánu, který můžete nastavit. Klient odesílá výsledky kontrol do lokality nástroje Configuration Manager. Informace se při přenosu šifrují.

Informace o stavu klienta jsou uložené v databázi nástroje Configuration Manager a neposílají se do Microsoftu. Informace v databázi lokality nejsou uložené v šifrovaném tvaru. Informace se v databázi uchovávají až do svého odstranění podle hodnoty nastavení stavu klienta Uchovat historii stavu klienta po následující počet dnů. Výchozí hodnota tohoto nastavení je 31 dní.

Před instalací klienta nástroje Configuration Manager s povolenou kontrolou stavu zvažte své požadavky na ochranu osobních údajů.

Ochrana osobních údajů mobilních zařízení spravovaných pomocí konektoru systému Exchange Server

Pomocí konektoru systému Exchange Server se dají vyhledat a spravovat zařízení, která se připojují k systému Exchange Server (místnímu nebo hostovanému) přes protokol ActiveSync. Záznamy nalezené konektorem systému Exchange Server se ukládají do databáze nástroje Configuration Manager. Informace se shromažďují ze systému Exchange Server. Neobsahují žádné další údaje kromě těch, které mobilní zařízení odesílají do systému Exchange Server.

Informace o mobilních zařízeních se neposílají do Microsoftu. Informace o mobilních zařízeních jsou uložené v databázi nástroje Configuration Manager. Informace se uchovávají v databázi do doby, než je odstraní úlohy údržby lokality Odstranit stará data o prohledávání, a to každých 90 dní. Můžete provést konfiguraci intervalu odstranění.

Před instalací a konfigurací konektoru systému Exchange Server zvažte své požadavky na ochranu osobních údajů.

Viz také

Nasazení klientů pro nástroj System Center 2012 Configuration Manager