Sdílet prostřednictvím


Zabezpečení a ochrana osobních údajů pro správu lokalit v nástroji Configuration Manager

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Tato část obsahuje informace o zabezpečení a ochraně osobních údajů pro lokality a hierarchii System Center 2012 Configuration Manager:

  • Doporučené postupy zabezpečení pro správu lokality

    • Doporučené postupy zabezpečení pro server lokality

    • Doporučené postupy zabezpečení pro server SQL

    • Doporučené postupy zabezpečení pro systémy lokality, které spouštějí IIS

    • Doporučené postupy zabezpečení pro bod správy

    • Doporučené postupy zabezpečení pro bod stavu pro použití náhradní lokality

    • Problémy se zabezpečením pro správu lokality

  • Ochrana osobních údajů při zjišťování

Doporučené postupy zabezpečení pro správu lokality

Pro zajištění lokality a hierarchie System Center 2012 Configuration Manager použijte následující doporučené postupy zabezpečení.

Doporučené zabezpečení

Další informace

Instalaci spouštějte pouze z důvěryhodných zdrojů a komunikační kanál mezi instalačním médiem a serverem lokality zabezpečte.

Chcete-li zabránit manipulaci se zdrojovými soubory, spusťte instalaci z důvěryhodného zdroje. Pokud soubory ukládáte na síť, zabezpečte umístění v síti.

Jestliže spouštíte instalaci z umístění v síti, při přenosu souborů sítí použijte protokol IPsec nebo podepisování SMB mezi umístěním zdroje instalačních souborů a serverem lokality, abyste případnému útočníkovi zabránili v manipulaci se soubory.

Kromě toho, pokud pro stahování souborů požadovaných instalačním programem používáte nástroj pro stažení instalačního programu, ujistěte se, zda jste při spouštění instalačního programu také zabezpečili umístění, kde jsou tyto soubory uloženy, a rovněž komunikační kanál pro toto umístění.

Rozšíření schématu služby Active Directory pro System Center 2012 Configuration Manager a publikování lokalit ve službě AD DS (Active Directory Domain Services).

Rozšíření schématu nejsou pro spuštění Microsoft System Center 2012 Configuration Manager požadována, ale tato rozšíření vytvářejí bezpečnější prostředí, neboť klienti a servery lokality Configuration Manager mohou načítat informace z důvěryhodného zdroje.

Pokud se klienti nacházejí v nedůvěryhodné doméně, nasaďte následující role systému lokality v doméně klientů:

  • Bod správy

  • Distribuční bod

  • Bod lokality Application Catalog

Poznámka

Důvěryhodná doména pro Configuration Manager vyžaduje ověřování protokolu Kerberos, takže pokud se klienti nacházejí v jiné doménové struktuře, která se nevyznačuje dvousměrnou důvěryhodností mezi doménami s doménovou strukturou serveru lokality, tito klienti jsou považování za klienty z nedůvěryhodné domény. Externí vztah důvěryhodnosti není pro tento účel dostatečný.

Pro zabezpečení komunikace mezi servery systému lokality a lokalitami použijte protokol IPsec.

Přestože Configuration Manager zabezpečuje komunikaci mezi serverem lokality a počítačem, který spouští server SQL, Configuration Manager nezabezpečuje komunikaci mezi rolemi systému lokality a serverem SQL. Pouze některé systémy lokality (bod registrace a bod služeb webu Katalog aplikací) lze nakonfigurovat pro protokol HTTPS pro komunikaci v lokalitě.

Pokud nepoužíváte další kontroly pro zabezpečení těchto kanálů pro komunikaci mezi servery, útočníci mohou používat různé způsoby falšování a útoky prostředníkem proti systémům lokality. Pokud nemůžete použít protokol IPsec, použijte podepisování SMB.

Poznámka

To je zvláště důležité pro zabezpečení komunikačního kanálu mezi serverem lokality a zdrojového serveru balíčku. Tato komunikace používá podepisování SMB. Jestliže nemůžete pro zabezpečení této komunikace použít protokol IPsec, použijte podepisování SMB, abyste zajistili, že se soubory předtím, než je klient stáhl a spustil, nebylo manipulováno.

Neměňte skupiny zabezpečení, které Configuration Manager vytváří a spravuje pro komunikaci se systémem lokality:

  • SMS_SiteSystemToSiteServerConnection_MP_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_SMSProv_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_Stat_<SiteCode>

Configuration Manager tyto skupiny zabezpečení automaticky vytváří a spravuje. To zahrnuje odstranění účtů počítačů, pokud je odebrána role systému lokality.

Chcete-li zajistit kontinuitu služeb při co nejnižších oprávněních, tyto skupiny ručně neupravujte.

Pokud klienti nemohou zadat dotaz na server globálního katalogu ohledně informací Configuration Manager, spravujte proces zajišťování důvěryhodného kořenového klíče.

Pokud klienti nemohou zadat dotaz na globální katalog ohledně informací Configuration Manager, musí při ověřování platných bodů správy spoléhat na důvěryhodný kořenový klíč. Důvěryhodný kořenový klíč je uložen v registru klienta a lze ho nastavit pomocí zásad skupiny nebo ruční konfigurace.

Pokud klient předtím, než kontaktuje bod správy poprvé, nemá kopii důvěryhodného kořenového klíče, důvěřuje prvnímu bodu správy, se kterým komunikuje. Pro snížení rizika u klientů uvedených v omyl útočníky na neautorizovaný bod správy můžete klientům předem poskytnout důvěryhodný kořenový klíč. Další informace naleznete v části Plánování důvěryhodného kořenového klíče.

Používejte jiná než výchozí čísla portů.

Pokud používáte jiná než výchozí čísla portů, můžete tím zvýšit zabezpečení, neboť pro útočníky je při přípravě na útok obtížnější prostředí prozkoumávat. Jestliže se rozhodnete používat jiná než výchozí čísla portů, naplánujte si je ještě před instalací Configuration Manager a používejte je konzistentně ve všech lokalitách v hierarchii. Porty podle požadavků klienta a funkce Wake on LAN jsou příklady, v nichž můžete jiná než výchozí čísla portů použít.

Použití rozdělení rolí v systémech lokality.

Přestože všechny role systému lokality můžete instalovat na jeden počítač, tento postup se v produkčních sítích používá zřídka, neboť vytváří jediný bod selhání.

Omezení profilu útoku.

Pokud izolujete každou roli systému lokality na jiný server, sníží se tím možnost, že by útok na zranitelná místa systému s jednou lokalitou mohl být použit proti systému s různými lokalitami. Role systému s mnoha lokalitami vyžaduje instalaci internetové informační služby (IIS) na systém lokality, čímž se zvětšuje prostor pro útoky. Jestliže musíte kombinovat role systému lokality, aby se snížily výdaje na hardware, kombinujte role systému lokality IIS pouze s jinými rolemi systému lokality, které vyžadují IIS.

System_CAPS_importantDůležité

Role bodu záložního stavu je výjimkou: Vzhledem k tomu, že tato role systému lokality akceptuje neověřená data od klientů, role bodu záložního stavu by neměla být nikdy přiřazena k žádné jiné roli systému lokality Configuration Manager.

Na všech systémech lokality dodržujte doporučené postupy zabezpečení pro Windows Server a spusťte Průvodce nastavením zabezpečení.

Průvodce nastavením zabezpečení (SCW) pomáhá vytvářet zásady zabezpečení, které můžete použít u jakéhokoli serveru ve vaší síti. Po instalaci šablony System Center 2012 Configuration Manager SCW rozpozná role systému lokality Configuration Manager, služby, porty a aplikace. Potom povolí komunikaci, která je požadována pro Configuration Manager, a blokuje komunikaci, která požadována není.

Průvodce nastavením zabezpečení je součástí sady nástrojů pro System Center 2012 Configuration Manager, kterou můžete stáhnout z centra Stažení softwaru společnosti Microsoft: System Center 2012 – Configuration Manager Component Add-ons and Extensions (System Center 2012 – Doplňky a rozšíření součástí nástroje Configuration Manager).

Konfigurace statických IP adres pro systémy lokality.

Statické IP adresy se snadněji chrání před útoky na překlad adres IP.

Statické IP adresy rovněž usnadňují konfiguraci protokolu IPsec, což je doporučovaný postup zabezpečení pro zabezpečení komunikace mezi systémy lokality v Configuration Manager.

Na servery systému lokality neinstalujte žádné další aplikace.

Pokud na servery systému lokality nainstalujete další aplikace, zvětšíte tím prostor pro útoky u Configuration Manager a také riziko problémů s nekompatibilitou.

Požaduje podepsání a povoluje šifrování jako možnost lokality.

Povoluje možnosti podepisování a šifrování pro danou lokalitu. Zajistěte, aby všichni klienti podporovali algoritmus hash SHA-256, a pak povolte možnost Požadovat SHA-256.

Omezte a monitorujte správce Configuration Manager a používejte správu na základě rolí, abyste těmto uživatelům přidělili minimální oprávnění, která vyžadují.

Udělujte přístup pro správu Configuration Manager pouze uživatelům, kterým důvěřujete, a pak jim přidělte minimální oprávnění za použití předdefinovaných rolí zabezpečení nebo přizpůsobením rolí zabezpečení. Správci, kteří mohou vytvářet, měnit a nasazovat aplikace, pořadí úloh, softwarové aktualizace, položky konfigurace a standardní hodnoty konfigurace, mohou potenciálně ovládat zařízení v hierarchii Configuration Manager.

Pravidelně přiřazení správců a úroveň jejich autorizace auditujte, abyste ověřili požadované změny.

Další informace o konfigurování správy na základě rolí najdete v tématu Konfigurace správy na základě rolí.

Při zálohování a obnově zabezpečte zálohy Configuration Manager a zabezpečte i komunikační kanál.

Pokud zálohujete Configuration Manager, zálohované informace obsahují certifikáty a další citlivá data, která by mohl útočník zneužít pro zosobnění.

Při přenosu dat sítí používejte podepisování SMB nebo protokol IPsec a zabezpečte umístění zálohy.

Kdykoli exportujete nebo importujete objekty z konzoly Configuration Manager do umístění v síti, zabezpečte umístění a zabezpečte i síťový kanál.

Omezte přístup k síťové složce neoprávněným uživatelům.

Podepisování SMB nebo protokol IPsec mezi umístěním v síti a serverem lokality, a mezi počítačem, který spouští konzolu Configuration Manager a server lokality, aby zabránil útočníkovi v manipulaci s exportovanými daty. Pro šifrování dat na síti používejte protokol IPsec, abyste zabránili odhalení informací.

Pokud systém lokality nelze odinstalovat nebo systém přestane fungovat a nelze ho obnovit, ručně odeberte certifikáty Configuration Manager pro tento server z jiných serverů Configuration Manager.

Chcete-li odebrat PeerTrust, který byl původně vytvořen se systémem lokality a rolemi systému lokality, ručně odeberte certifikáty Configuration Manager pro tento server s chybou v úložišti certifikátů Důvěryhodné osoby na ostatních serverech systému lokality. To je zvláště důležité, pokud změníte účel serveru, aniž byste ho přeformátovali.

Další informace o těchto certifikátech naleznete v části Kryptografické kontroly pro komunikaci serveru v Technické informace o kryptografických kontrolách použitých v nástroji Configuration Manager.

Nekonfigurujte internetové systémy lokality, abyste přemostili hraniční síť a intranet.

Nekonfigurujte servery systému lokality, aby byly vícedomé a byly připojeny k hraniční síti a intranetu. I když tato konfigurace umožňuje, aby internetové systémy lokality přijaly připojení klienta z internetu a intranetu, eliminuje hranice zabezpečení mezi hraniční sítí a intranetem.

Pokud server systému lokality je připojen k nedůvěryhodné síti (jako např. hraniční síti), nakonfigurujte server lokality, aby inicializoval připojení k systému lokality.

Ve výchozím nastavení systémy lokality inicializují připojení k serveru lokality pro přenos dat, což může být v případě inicializace připojení z nedůvěryhodné sítě k důvěryhodné síti bezpečnostní riziko. Pokud systémy lokality přijmou připojení z internetu nebo se nacházejí v nedůvěryhodné doménové struktuře, nakonfigurujte možnost systému lokality Vyžadovat, aby server lokality inicializoval připojení k tomuto systému lokality tak, aby po instalaci systému lokality a jakýchkoli rolí systému lokality byla všechna připojení inicializována z důvěryhodné sítě.

Pokud používáte webový proxy server pro internetovou správu klientů, použijte přemostění SSL-to-SSL, a to za použití ukončení s ověřením.

Při konfiguraci ukončení protokolu SSL na webovém proxy serveru se pakety z internetu před předáním na interní síť podrobují kontrole. Webový proxy server ověří připojení z klienta, ukončí ho, a pak otevře nové ověřené připojení k internetovým systémům lokality.

Pokud počítače klienta Configuration Manager používají webový proxy server pro připojení k internetovým systémům lokality, identita klienta (identifikátor GUID) je bezpečně obsažena v datové části paketu, takže bod správy nepovažuje webový proxy server za klienta. Pokud váš webový proxy server nepodporuje požadavky na přemostění SSL, je podporováno také tunelování SSL. To je méně bezpečná možnost, neboť pakety SSL z internetu se předávají do systémů lokality bez ukončení, a tak nemohou být prověřovány na škodlivý obsah.

Pokud váš webový proxy server nepodporuje požadavky na přemostění SSL, můžete použít tunelování SSL. To je však méně bezpečná možnost, neboť pakety SSL z internetu se předávají do systémů lokality bez ukončení, a tak nemohou být prověřovány na škodlivý obsah.

System_CAPS_warningUpozornění

Mobilní zařízení, která jsou zaregistrována Configuration Manager, nemohou používat přemostění SSL a musí používat pouze tunelování SSL.

Pokud nakonfigurujete lokalitu, aby budila počítače za účelem instalace softwaru:

  • Používejte raději příkazy pro zapnutí pomocí AMT než tradiční pakety pro probuzení

  • Pokud používáte tradiční pakety pro probuzení, používejte raději jednosměrná vysílání než všesměrová vysílání směrovaná na podsíť

  • Pokud musíte použít všesměrová vysílání směrovaná na podsíť, nakonfigurujte routery, aby umožňovaly vysílání se směrováním IP pouze ze serveru lokality a pouze s jiným než výchozím číslem portu

Další informace o různých Wake on LAN technologiích naleznete v části Plánování komunikace klientů v Configuration Manageru.

Pokud používáte e-mailové oznámení, nakonfigurujte ověřený přístup k poštovnímu serveru SMTP.

Je-li to možné, používejte poštovní server, který podporuje ověřený přístup a používání počítačového účtu k ověření. Pokud je nutné určit uživatelský účet pro ověření, použijte účet s nejnižšími oprávněními.

Poznámka

Od verze Configuration Manager SP1 už nejsou e-mailová oznámení omezená na funkci Endpoint Protection.

Doporučené postupy zabezpečení pro server lokality

Pro zajištění serveru lokality nástroje Configuration Manager použijte následující doporučené postupy zabezpečení.

Doporučené zabezpečení

Další informace

Nainstalujte nástroj Configuration Manager na členský server místo řadiče domény.

Server lokality nástroje Configuration Manager a systémy lokality nevyžadují instalaci řadiče domény. Řadiče domény nemusí mít místní databázi SAM (Security Accounts Management) jinou než databázi domény. Pokud instalujete nástroj Configuration Manager na členský server, je možné uchovávat účty nástroje Configuration Manager v místní databázi SAM místo databáze domény.

Tento postup také zmenšuje prostor pro útoky v řadičích domény.

Nainstalujte sekundární lokality, chcete-li se vyhnout kopírování souborů na server sekundární lokality v síti.

Pokud spustíte instalaci a vytvoříte sekundární lokalitu, nevybírejte možnost kopírování souborů z nadřazené lokality do sekundární lokality nebo použijte umístění zdroje sítě. Při kopírování souborů v síti může zkušený útočník napadnout instalační balíček sekundární lokality a manipulovat se soubory před jeho instalací, i když načasování tohoto útoku může být obtížné. Tento útok lze zmírnit použitím protokolu IPsec nebo SMB při přenosu souborů.

Místo kopírování souborů v síti na serveru sekundární lokality zkopírujte zdrojové soubory z média do místní složky. Poté při spuštění instalace za účelem vytvoření sekundární lokality na stránce Zdrojové instalační soubory vyberte možnost Použijte zdrojové soubory v následujícím umístění na počítači sekundární lokality (nejbezpečnější) a vyberte tuto složku.

Další informace najdete v části Instalace sekundární lokality v tématu Instalace lokalit a vytvoření hierarchie pro nástroj Configuration Manager.

Doporučené postupy zabezpečení pro server SQL

Nástroj Configuration Manager používá jako záložní databázi systém SQL Server. Pokud dojde k ohrožení databáze, útočníci mohou nástroj Configuration Manager obejít a přejít k systému SQL Server přímo za účelem spuštění útoků prostřednictvím nástroje Configuration Manager. Útoky na systém SQL Server jsou považovány za velmi rizikové a je třeba se pokusit je odpovídajícím způsobem zmírnit.

Pro zajištění systému SQL Server nástroje Configuration Manager použijte následující doporučené postupy zabezpečení.

Doporučené zabezpečení

Další informace

Nepoužívejte server databáze lokality nástroje Configuration Manager ke spuštění jiných aplikací SQL Server.

Pokud zvýšíte přístup k serveru databáze lokality nástroje Configuration Manager, zvyšuje se ohrožení dat nástroje Configuration Manager. Pokud dojde k ohrožení databáze lokality Configuration Manager, budou ohroženy také další aplikace na stejném počítači se systémem SQL Server.

Proveďte konfiguraci systému SQL Server na používání služby ověřování systému Windows.

Ačkoli nástroj Configuration Manager k databázi lokality přistupuje pomocí účtu Windows a ověřování systému Windows, je stále možné konfigurovat systém SQL Server na používání smíšeného režimu SQL Server. Smíšený režim SQL Server umožňuje přístup k databázi dalším přihlašovacím údajům k systému SQL, které není vyžadováno a zvětšuje prostor pro útoky.

Proveďte další kroky, chcete-li zajistit, že sekundární lokality se systémem SQL Server Express budou mít nejnovější aktualizace softwaru.

Při instalaci primární lokality nástroj Configuration Manager stáhne systém SQL Server Express z webu Microsoft Download Center a zkopíruje soubory na server primární lokality. Při instalaci sekundární lokality a výběru možnosti, která nainstaluje systém SQL Server Express, nástroj Configuration Manager nainstaluje předchozí stažené verze a nekontroluje dostupnost nových verzí. Chcete-li zajistit, že sekundární lokalita bude mít k dispozici nejnovější verze, proveďte jeden z následujících postupů:

  • Po instalaci sekundární lokality spusťte službu Windows Update na server sekundární lokality.

  • Před instalací sekundární lokality ručně nainstalujte systém SQL Server Express do počítače, který bude spouštět server sekundární lokality, a ujistěte se, že instalujete nejnovější verzi a všechny aktualizace softwaru. Poté nainstalujte sekundární lokalitu a vyberte možnost použití existující instance systému SQL Server.

Pravidelně spouštějte službu Windows Update pro tyto lokality a nainstalované verze systému SQL Server, čímž zajistíte, že budete mít k dispozici nejnovější aktualizace softwaru.

Dodržujte doporučené postupy zabezpečení pro systém SQL Server.

Určete a dodržujte doporučené postupy pro vaši verzi systému SQL Server. Je však třeba vzít v úvahu následující požadavky na nástroj Configuration Manager:

  • Počítačový účet serveru lokality musí být člen skupiny správců v počítači, na kterém je systém SQL Server spuštěn. Pokud dodržíte doporučení systému SQL Server k „výslovnému zajištění admin hlavních správců“, účet, který používáte ke spuštění instalace na serveru lokality, musí být členem skupiny uživatelů systému SQL.

  • Pokud instalujete systém SQL Server pomocí uživatelského účtu domény, ujistěte se, že počítačový účet serveru lokality je konfigurován pro hlavní název služby (SPN), který je publikován ve službě AD DS (Active Directory Domain Services). Bez služby SPN se ověřování Kerberos nezdaří a instalace nástroje Configuration Manager rovněž.

Doporučené postupy zabezpečení pro systémy lokality, které spouštějí IIS

Několik rolí systému lokality v nástroje Configuration Manager vyžaduje služby IIS. Při zabezpečení služeb IIS tato funkce umožňuje nástroji Configuration Manager řádně fungovat a snižuje riziko bezpečnostních útoků. Je-li to vhodné, minimalizujte počet serverů, které vyžadují službu IIS. Například spusťte pouze tolik bodů správy, které požadujete pro podporu klientské báze, a vezměte v úvahu vysokou dostupnost a izolaci sítě pro správu internetových klientů.

Pro zajištění systémů lokality, které spouštějí služby IIS, použijte následující doporučené postupy zabezpečení.

Doporučené zabezpečení

Další informace

Zakažte funkce IIS, které nepožadujete.

Nainstalujte pouze minimální počet funkcí IIS pro roli systému lokality, kterou instalujete. Další informace najdete v části v tématu .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Konfigurujte role systému lokality, které vyžadují protokol HTTPS.

Pokud se klienti připojují k systému lokality pomocí protokolu HTTP místo protokolu HTTPS, používají ověřování Windows, které se může přepnout na používání ověřování NTLM spíše než ověřování Kerberos. Je-li použito ověřování NTLM, klienti se mohou připojit k podvodnému serveru.

Výjimkou z tohoto doporučeného postupu zabezpečení mohou být distribuční body, protože účty pro přístup k balíčkům nefungují, pokud je distribuční bod konfigurován pro protokol HTTPS. Účty pro přístup k balíčku umožňují ověření obsahu, aby bylo možné omezit uživatele, kteří mohou k obsahu přistupovat. Další informace naleznete v části Osvědčené postupy zabezpečení pro správu obsahu.

Proveďte konfiguraci seznamu důvěryhodných certifikátů (CTL) ve službě IIS pro následující role systému lokality:

  • Distribuční bod, který je konfigurován pro protokol HTTPS.

  • Správa, která je konfigurována pro protokol HTTPS a povoluje podporu mobilních zařízení.

Seznam důvěryhodných certifikátů (CTL) je definovaný seznam úřadů vydávajících důvěryhodné kořenové certifikáty. Pokud používáte seznam CTL se zásadou skupiny a nasazením PKI, seznam CTL umožňuje doplnit existující úřady pro vydávání důvěryhodných kořenových certifikátů konfigurované v síti, například automaticky instalované se systémem Microsoft Windows nebo přidané prostřednictvím kořenová CA rozlehlé sítě systému Windows. Pokud je seznam CTL konfigurován ve službě IIS, seznam CTL definuje podsadu úřadů pro vydávání důvěryhodných kořenových certifikátů.

Tato podsada vám nabízí větší kontrolu nad zabezpečením, protože seznam CTL omezuje klientské certifikáty pouze na ty, které jsou vydávány ze seznamu certifikačních autorit v seznamu CTL. Například systém Windows je dodáván s řadou známých certifikátů certifikačních autorit třetích stran, jako je například VeriSign a Thawte. Ve výchozím nastavení počítač, ve kterém je spuštěna služba IIS, důvěřuje certifikátům, které jsou spojeny se známými certifikačními autoritami. Pokud službu IIS nenakonfigurujete se seznamem CTL pro uvedené role systému lokality, jakékoli zařízení, které má klientský certifikát vydaný certifikačními autoritami, bude přijato jako platný klient nástroje Configuration Manager. Pokud službu IIS nakonfigurujete se seznamem CTL, který neobsahuje tyto certifikační autority, připojení klienta bude odmítnuto, pokud se certifikát váže k těmto certifikačním autoritám. Aby však mohli být klienti nástroje Configuration Manager přijaty pro uvedené role systému lokality, je třeba službu IIS konfigurovat se seznamem CTL, který určuje certifikační autority používané klienty nástroje Configuration Manager.

Poznámka

Pouze uvedené role systému lokality vyžadují konfiguraci seznamu CTL ve službě IIS. Seznam vydavatelů certifikátů, který používá nástroj Configuration Manager pro body správy, nabízí stejné funkce pro klientské počítače, pokud se připojí k bodům správy HTTPS.

Další informace o konfiguraci seznamu úřadů pro vydávání důvěryhodných certifikátů ve službě IIS najdete v dokumentaci ke službě IIS.

Server lokality neumisťujte do počítače se službou IIS.

Rozdělení rolí pomáhá omezovat profil útoku a zlepšuje obnovení. Kromě toho počítačový účet serveru lokality má obvykle oprávnění správce ve všech rolích systému lokality (pravděpodobně také v klientech nástroje Configuration Manager, pokud používáte nabízenou instalaci klienta).

Pro nástroj Configuration Manager použijte vyhrazené servery IIS.

Ačkoli je možné hostovat několik webových aplikací na serveru IIS, které používá také nástroj Configuration Manager, tento postup může značně zvýšit prostor pro útoky. Nesprávně konfigurovaná aplikace by mohla útočníka dovolit také převzít kontrolu nad systémem lokality nástroje Configuration Manager, díky útočník může převzít kontrolu nad hierarchií.

Pokud je nutné spustit další webové aplikace v systémech lokality nástroje Configuration Manager, vytvořte vlastní webovou stránku pro systémy lokality nástroje Configuration Manager.

Použijte vlastní web.

Pro systémy lokality, na kterých běží služba IIS, je možné nakonfigurovat nástroj Configuration Manager pro použití vlastního webu místo výchozího webu služby IIS. Je-li nutné spustit další webové aplikace v systému lokality, je nutné použít vlastní web. Toto nastavení je nastavení pro celý web spíše než nastavení konkrétního systému lokality.

Kromě požadavku na zvýšení dalšího zabezpečení je nutné použít vlastní web také v případě, že chcete spustit další webové aplikace v systému lokality.

Pokud po instalaci libovolných rolí distribučních bodů přejdete z výchozího webu na vlastní web, odstraňte výchozí virtuální adresáře.

Když změníte nastavení, aby se místo výchozího webu používal vlastní web, nástroj Configuration Manager neodebere staré virtuální adresáře. Odeberte virtuální adresáře, které nástroj Configuration Manager původně vytvořil v rámci výchozího webu.

Virtuální adresáře pro odebrání distribučního bodu jsou například následující:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Dodržujte doporučené postupy zabezpečení pro server služby IIS.

Určete a dodržujte doporučené postupy pro váš server služby IIS. Je však třeba zvážit všechny požadavky, které má nástroj Configuration Manager pro určité role systému lokality. Další informace najdete v části v tématu .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Doporučené postupy zabezpečení pro bod správy

Body správy jsou primárním rozhraním mezi zařízením a nástrojem Configuration Manager. Útoky vůči bodu správy a serveru, na kterém je spuštěn, jsou považovány na vysoce rizikové a je třeba je neprodleně řešit. Použijte všechny vhodné doporučené postupy zabezpečení a sledujte neobvyklou činnost.

Pro zajištění bodu správy nástroje Configuration Manager použijte následující doporučené postupy zabezpečení.

Doporučené zabezpečení

Další informace

Při instalaci klienta nástroje Configuration Manager do bodu správy jej přiřaďte k lokalitě bodu správy.

Vyhýbejte se situacím, kdy je klient nástroje Configuration Manager v systému lokality bodu správy přiřazen jiné lokalitě než lokalitě bodu správy.

Pokud provádíte migraci z verze Configuration Manager 2007 na verzi System Center 2012 Configuration Manager, proveďte co nejdříve migraci klienta verze Configuration Manager 2007 na verzi System Center 2012 Configuration Manager.

Doporučené postupy zabezpečení pro bod stavu pro použití náhradní lokality

Použijte následující doporučené postupy zabezpečení, chcete-li instalovat záložní stavový bod do nástroje Configuration Manager.

Další informace o aspektech zabezpečení při instalaci bodu stavu pro použití náhradní lokality najdete v tématu Určení požadavku na bod záložního stavu.

Doporučené zabezpečení

Další informace

Role systému lokality nespouštějte v systému lokality a neinstalujte je do řadiče domény.

Protože záložní stavový bod je nastaven na přijímání neověřené komunikace z libovolného počítače, spuštění této role systému lokality s jinými rolemi systému lokality nebo v řadiči domény výrazně zvyšuje ohrožení daného serveru.

Pokud používáte certifikáty PKI pro komunikaci klientů v nástroji Configuration Manager, nainstalujte záložní stavový bod před instalací klientů.

Pokud systémy lokality nástroje Configuration Manager nepřijímají komunikaci klientů prostřednictvím protokolu HTTP, možná nevíte, že klienti nebudou spravováni kvůli problémům s certifikáty PKI. Pokud jsou však klienti přiřazeni k záložnímu stavovému bodu, problémy s certifikáty budou ohlášeny záložním stavovým bodem.

Z důvodu zabezpečení nelze klientům po instalaci přiřadit záložní stavový bod. Tuto roli je možné přiřadit pouze během instalace klientů.

Vyhněte se používání bodu stavu pro použití náhradní lokality v hraniční síti.

Konstrukce umožňuje, aby bod stavu pro použití náhradní lokality přijímal data od kteréhokoliv klienta. I když bod záložního stavu v hraniční síti může pomoci při odstraňování poruch internetových klientů, musíte vyvážit výhody plynoucí z takového odstraňování poruch s rizikem systému lokality, že ve veřejně přístupné síti dojde k příjmu neověřených dat.

Pokud nainstalujete bod záložního stavu do hraniční sítě nebo nějaké nedůvěryhodné sítě, nakonfigurujte server lokality tak, aby inicializoval přenosy dat namísto výchozího nastavení, ve kterém je možné, aby bod záložního stavu inicializoval připojení k serveru lokality.

Problémy se zabezpečením pro správu lokality

Prostudujte si následující bezpečnostní problémy pro aplikaci Configuration Manager:

  • Configuration Manager nemá žádnou obranu proti oprávněným uživatelům s právy pro správu, kteří nástroj Configuration Manager použijí pro útok v síti. Neoprávnění uživatelé s právy pro správu představují vysoké bezpečnostní riziko a mohou spustit mnoho útoků, které zahrnují následující:

    • Použití nasazení softwaru pro automatické instalování a spouštění škodlivého softwaru na každém klientském počítači s aplikací Configuration Manager v podniku.

    • Použití vzdáleného ovládání pro převzetí vzdálené kontroly nad klientem aplikace Configuration Manager bez jeho svolení.

    • Konfigurování rychlých intervalů cyklického dotazování a extrémních objemů zásob pro vytvoření útoků DoS proti klientům a serverům.

    • Použití jedné lokality v hierarchii k zápisu dat do dat služby Active Directory jiné lokality.

    Hierarchie lokality je hranicí zabezpečení; považuje lokality pouze za hranice správy.

    Proveďte audit aktivity všech uživatelů s právy pro správu a pravidelně kontrolujte protokoly z těchto auditů Požadujte, aby všichni uživatelé s právy pro správu aplikace Configuration Manager před svým přijetím podstoupili kontrolu na pozadí a požadujte pravidelně opakované kontroly, jako podmínku pro jejich zaměstnání.

  • Pokud by došlo k ohrožení bezpečnosti bodu registrace, mohl by útočník získat ověřovací certifikáty a zcizit přihlašovací údaje uživatelů zapisujících svá mobilní zařízení.

    Bod registrace komunikuje s certifikační autoritou a může vytvářet, měnit a odstraňovat objekty adresářové služby Active Directory. Nikdy neinstalujte bod registrace do hraniční sítě a provádějte monitorování neobvyklé aktivity.

  • Povolíte-li uživatelům zásady pro internetovou správu klientů nebo pro ně nakonfigurujete bod webu Katalog aplikací používaný v okamžiku, kdy jsou na Internetu, zvýšíte tím profil útoku.

    Kromě používání certifikátů PKI pro připojení mezi klientem a serverem vyžadují tyto konfigurace ověřování systému Windows, které se však může vrátit zpět k použití ověřování pomocí protokolu NTLM namísto protokolu Kerberos. Ověřování pomocí protokolu NTLM je zranitelné vůči útokům využívajícím zosobnění a nahrazení. Chcete-li úspěšně ověřit uživatele na Internetu, musíte povolit připojení z internetového serveru systému lokality do řadiče domény.

  • Na serverech systému lokality se vyžaduje sdílená složka Admin$.

    Server lokality aplikace Configuration Manager využívá sdílenou složku Admin$ k připojení k systémům lokality a prováděním operací služby na těchto systémech. Nevypínejte ani neodebírejte sdílenou složku Admin$.

  • Nástroj Configuration Manager využívá stejné služby překladu adres pro připojení k ostatními počítačům a tyto služby se obtížně zabezpečují proti takovým útokům na zabezpečení, jako je falšování identity, úmyslné poškozování, popírání odpovědnosti, zpřístupnění informací, odepření služby (DoS) a neautorizované zvýšení oprávnění.

    Vyhledejte a použijte osvědčené postupy zabezpečení odpovídající verzi služby DNS a WSUS, kterou používáte pro překlad adres.

Ochrana osobních údajů při zjišťování

Zjišťování vytváří záznamy pro síťové prostředky a ukládá je v databázi aplikace System Center 2012 Configuration Manager. Záznamy dat zjišťování obsahují informace o počítači, například IP adresu, operační systém a název počítače. Metody zjišťování služby Active Directory mohou být také nakonfigurovány na zjišťování libovolných informací uložených ve službě Active Directory Domain Services.

Jediná metoda zjišťování povolená ve výchozím nastavení je zjišťování prezenčního signálu, je však schopna zjistit pouze takové počítače, které již mají nainstalovaný klientský software aplikace System Center 2012 Configuration Manager.

Informace o zjišťování nejsou zasílány společnosti Microsoft. Informace o zjišťování jsou uloženy v databázi aplikace Configuration Manager. Informace jsou uchovávány v databázi do doby, než je odstraní úlohy údržby lokality Odstranit stará data zjišťování, a to každých 90 dní. Můžete provést konfiguraci intervalu odstranění.

Před nakonfigurováním dalších metod zjišťování nebo rozšířením zjišťování služby Active Directory zvažte své požadavky na ochranu soukromí.

Viz také

Správa lokality pro nástroj System Center 2012 Configuration Manager