Biztonság és adatvédelem a helyfelügyelethez a Configuration Manager

A következőre vonatkozik: Configuration Manager (aktuális ág)

Ez a cikk Configuration Manager webhelyekre és a hierarchiára vonatkozó biztonsági és adatvédelmi információkat tartalmaz.

Biztonsági útmutató a helyfelügyelethez

Az alábbi útmutató segítségével biztonságossá teheti Configuration Manager helyeket és a hierarchiát.

A telepítés futtatása megbízható forrásból és biztonságos kommunikációval

Ha meg szeretné akadályozni, hogy valaki módosítsa a forrásfájlokat, futtassa Configuration Manager beállítást egy megbízható forrásból. Ha a fájlokat a hálózaton tárolja, gondoskodjon a hálózati hely védelméről.

Ha hálózati helyről futtatja a telepítőt, a telepítőfájlok forráshelye és a helykiszolgáló között használjon IPsec- vagy SMB-aláírást, hogy a támadó ne módosíthassa a fájlokat a hálózaton keresztüli továbbítás során.

Ha a telepítőletöltővel tölti le a telepítéshez szükséges fájlokat, győződjön meg arról, hogy biztonságos helyen tárolja ezeket a fájlokat. A beállítás futtatásakor a kommunikációs csatornát is biztonságossá teheti ehhez a helyhez.

Az Active Directory-séma kiterjesztése és webhelyek közzététele a tartományban

A sémabővítmények nem szükségesek a Configuration Manager futtatásához, de biztonságosabb környezetet hoznak létre. Az ügyfelek és a helykiszolgálók megbízható forrásból tudnak adatokat lekérni.

Ha az ügyfelek nem megbízható tartományban vannak, telepítse a következő helyrendszerszerepköröket az ügyfelek tartományaiban:

• Felügyeleti pont

• Terjesztési pont

Megjegyzés:

A Configuration Manager megbízható tartományához Kerberos-hitelesítés szükséges. Ha az ügyfelek olyan másik erdőben találhatók, amely nem rendelkezik kétirányú erdőmegbízhatóságtal a helykiszolgáló erdőjével, akkor ezek az ügyfelek nem megbízható tartománynak minősülnek. A külső bizalmi kapcsolat nem elegendő ehhez a célra.

Az IPsec használata a kommunikáció biztonságossá tételéhez

Bár Configuration Manager biztonságos kommunikációt végez a helykiszolgáló és a SQL Server futtató számítógép között, Configuration Manager nem biztosítja a helyrendszerszerepkörök és a SQL Server közötti kommunikációt. Csak bizonyos helyrendszerek konfigurálhatók HTTPS-kapcsolattal a helyek közötti kommunikációhoz.

Ha nem használ további vezérlőket ezeknek a kiszolgálók közötti csatornáknak a védelméhez, a támadók különböző hamisítási és közbeékelt támadásokat használhatnak a helyrendszerek ellen. Használjon SMB-aláírást, ha nem tudja használni az IPsec-et.

Fontos

Biztonságossá teheti a kommunikációs csatornát a helykiszolgáló és a csomag forráskiszolgálója között. Ez a kommunikáció SMB-t használ. Ha nem tudja az IPsec használatával biztonságossá tenni ezt a kommunikációt, az SMB-aláírással győződjön meg arról, hogy a fájlok nincsenek illetéktelenül módosítva, mielőtt az ügyfelek letöltik és futtatják őket.

Ne módosítsa az alapértelmezett biztonsági csoportokat

Ne módosítsa az alábbi biztonsági csoportokat, amelyeket Configuration Manager a helyrendszer kommunikációjához hoz létre és kezel:

• <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager automatikusan létrehozza és kezeli ezeket a biztonsági csoportokat. Ez a viselkedés magában foglalja a számítógépfiókok eltávolítását a helyrendszerszerepkör eltávolításakor.

A szolgáltatás folytonosságának és a minimális jogosultságok biztosításához ne szerkessze manuálisan ezeket a csoportokat.

A megbízható legfelső szintű kulcs kiépítési folyamatának kezelése

Ha az ügyfelek nem tudják lekérdezni Configuration Manager információkat a globális katalógusból, az érvényes felügyeleti pontok hitelesítéséhez a megbízható legfelső szintű kulcsra kell támaszkodniuk. A megbízható legfelső szintű kulcsot a rendszer az ügyfélregisztrációs adatbázisban tárolja. Csoportházirenddel vagy manuális konfigurálással állítható be.

Ha az ügyfél nem rendelkezik a megbízható legfelső szintű kulcs másolatával, mielőtt első alkalommal kapcsolatba lép egy felügyeleti ponttal, akkor megbízik az első felügyeleti pontban, amellyel kommunikál. Ha csökkenteni szeretné annak kockázatát, hogy egy támadó jogosulatlan felügyeleti pontra irányozza az ügyfeleket, előre kiépítheti az ügyfeleket a megbízható legfelső szintű kulccsal. További információ: Planning for the trusted root key (A megbízható legfelső szintű kulcs tervezése).

Nem alapértelmezett portszámok használata

A nem alapértelmezett portszámok használata további biztonságot nyújthat. Megnehezítik a támadók számára, hogy a támadásra való felkészülés során felfedezzék a környezetet. Ha úgy dönt, hogy nem alapértelmezett portokat használ, tervezze meg őket a Configuration Manager telepítése előtt. Használja őket következetesen a hierarchia összes helyén. Az ügyfélkérési portok és a hálózati ébresztés olyan példák, amelyekben nem alapértelmezett portszámokat használhat.

Szerepkörök elkülönítésének használata helyrendszereken

Bár az összes helyrendszerszerepkört egyetlen számítógépre telepítheti, ezt a gyakorlatot ritkán használják éles hálózatokon. Egyetlen meghibásodási pontot hoz létre.

A támadási profil csökkentése

Az egyes helyrendszerszerepkörök elkülönítése egy másik kiszolgálón csökkenti annak esélyét, hogy az egyik helyrendszer biztonsági rései elleni támadás egy másik helyrendszer ellen használható. Számos szerepkörhöz szükség van az Internet Information Services (IIS) telepítésére a helyrendszerben, és ez növeli a támadási felületet. Ha a hardverköltségek csökkentése érdekében egyesítenie kell a szerepköröket, az IIS-szerepköröket csak az IIS-t igénylő más szerepkörökkel kombinálhatja.

Fontos

A tartalék állapotkezelő pont szerepkör kivétel. Mivel ez a helyrendszerszerepkör nem hitelesített adatokat fogad el az ügyfelektől, ne rendelje hozzá a tartalék állapotkezelő pont szerepkört más Configuration Manager helyrendszerszerepkörhöz.

Statikus IP-címek konfigurálása helyrendszerekhez

A statikus IP-címek könnyebben védhetők a névfeloldási támadásokkal szemben.

A statikus IP-címek megkönnyítik az IPsec konfigurálását is. Az IPsec használata ajánlott biztonsági eljárás a helyrendszerek közötti kommunikáció biztonságossá tételéhez Configuration Manager.

Ne telepítsen más alkalmazásokat helyrendszer-kiszolgálókra

Amikor más alkalmazásokat telepít a helyrendszer-kiszolgálókra, növeli a Configuration Manager támadási felületét. Inkompatibilitási problémákat is kockáztat.

Aláírás megkövetelése és a titkosítás engedélyezése helyként beállítás

Engedélyezze a webhely aláírási és titkosítási beállításait. Győződjön meg arról, hogy minden ügyfél támogatja az SHA-256 kivonatoló algoritmust, majd engedélyezze az SHA-256 megkövetelése beállítást.

Rendszergazda felhasználók korlátozása és figyelése

Csak a megbízható felhasználók számára adjon rendszergazdai hozzáférést a Configuration Manager számára. Ezután a beépített biztonsági szerepkörök használatával vagy a biztonsági szerepkörök testreszabásával adjon nekik minimális engedélyeket. Azok a rendszergazda felhasználók, akik szoftvereket és konfigurációkat hozhatnak létre, módosíthatnak és telepíthetnek, akár a Configuration Manager hierarchiában lévő eszközöket is vezérelhetik.

Rendszeres időközönként naplózhatja a rendszergazdai felhasználó-hozzárendeléseket és azok engedélyezési szintjét a szükséges módosítások ellenőrzéséhez.

További információ: Szerepköralapú felügyelet konfigurálása.

Biztonsági Configuration Manager biztonsági másolatok védelme

A Configuration Manager biztonsági mentésekor ezek az információk tanúsítványokat és más bizalmas adatokat tartalmaznak, amelyeket a támadók megszemélyesítésre használhatnak.

Használjon SMB-aláírást vagy IPsec-et, amikor ezeket az adatokat a hálózaton keresztül viszi át, és biztonságossá teszi a biztonsági mentés helyét.

Az exportált objektumok biztonságos helyei

Amikor objektumokat exportál vagy importál a Configuration Manager-konzolról egy hálózati helyre, gondoskodjon a hely biztonságáról és a hálózati csatorna védelméről.

Korlátozza, hogy ki férhet hozzá a hálózati mappához.

Ha meg szeretné akadályozni, hogy egy támadó illetéktelenül módosítsa az exportált adatokat, használjon SMB-aláírást vagy IPsec-et a hálózati hely és a helykiszolgáló között. A Configuration Manager-konzolt futtató számítógép és a helykiszolgáló közötti kommunikáció biztonságossá tételét is. Az IPsec használatával titkosíthatja a hálózaton lévő adatokat az információfelfedés megakadályozása érdekében.

Tanúsítványok manuális eltávolítása a sikertelen kiszolgálókról

Ha egy helyrendszert nem távolít el megfelelően, vagy nem működik, és nem állítható vissza, manuálisan távolítsa el a kiszolgáló Configuration Manager tanúsítványait más Configuration Manager kiszolgálókról.

Az eredetileg a helyrendszer- és helyrendszerszerepkörökkel létrehozott társmegbízhatóság eltávolításához manuálisan távolítsa el a hibás kiszolgáló Configuration Manager tanúsítványait a megbízható Kapcsolatok tanúsítványtárolóból más helyrendszer-kiszolgálókon. Ez a művelet akkor fontos, ha újra felhasználja a kiszolgálót anélkül, hogy újraformázta volna.

További információ: Titkosítási vezérlők a kiszolgálói kommunikációhoz.

Ne konfiguráljon internetes helyrendszereket a szegélyhálózat áthidalására

Ne konfigurálja úgy a helyrendszer-kiszolgálókat, hogy többhelyesek legyenek, hogy a szegélyhálózathoz és az intranethez csatlakozzanak. Bár ez a konfiguráció lehetővé teszi, hogy az internetes helyrendszerek fogadják az internetről és az intranetről érkező ügyfélkapcsolatokat, kiküszöböli a szegélyhálózat és az intranet közötti biztonsági határt.

A helykiszolgáló konfigurálása a szegélyhálózatokhoz való csatlakozás kezdeményezéséhez

Ha egy helyrendszer nem megbízható hálózaton, például szegélyhálózaton található, konfigurálja a helykiszolgálót a helyrendszerrel való kapcsolat kezdeményezésére.

Alapértelmezés szerint a helyrendszerek kapcsolatot kezdeményeznek a helykiszolgálóval az adatok átviteléhez. Ez a konfiguráció biztonsági kockázatot jelenthet, ha a kapcsolat kezdeményezése nem megbízható hálózatról a megbízható hálózatra történik. Ha a helyrendszerek internetről fogadnak kapcsolatokat, vagy nem megbízható erdőben tartózkodnak, a helyrendszer beállításánál adja meg A helykiszolgálónak kell kapcsolatot kezdeményeznie ehhez a helyrendszerhez beállítást. A helyrendszer és a szerepkörök telepítése után az összes kapcsolatot a helykiszolgáló kezdeményezi a megbízható hálózatról.

SSL-áthidalás és -leállítás használata hitelesítéssel

Ha webproxy-kiszolgálót használ az internetalapú ügyfélkezeléshez, ssl-áthidalást használjon az SSL-hez a hitelesítéssel történő leállítással.

Ha a proxy webkiszolgálón konfigurálja az SSL leállítását, az internetről érkező csomagokat a rendszer ellenőrzi, mielőtt azokat a belső hálózatra továbbítanák. A proxy webkiszolgáló hitelesíti a kapcsolatot az ügyféltől, megszakítja azt, majd megnyit egy új hitelesített kapcsolatot az internetalapú helyrendszerekhez.

Ha Configuration Manager ügyfélszámítógépek proxy webkiszolgálót használnak az internetalapú helyrendszerekhez való csatlakozáshoz, az ügyfélidentitás (GUID) biztonságosan megtalálható a csomag hasznos adatai között. Ezután a felügyeleti pont nem tekinti a proxy webkiszolgálót ügyfélnek.

Ha a proxy webkiszolgálója nem tudja támogatni az SSL-áthidalás követelményeit, az SSL-bújtatás is támogatott. Ez a beállítás kevésbé biztonságos. Az internetről érkező SSL-csomagokat a rendszer megszakítás nélkül továbbítja a helyrendszereknek. Ezután nem lehet ellenőrizni a kártékony tartalmakat.

Figyelmeztetés

A Configuration Manager által regisztrált mobileszközök nem használhatnak SSL-áthidalást. Csak SSL-bújtatást kell használniuk.

Konfigurációk, ha úgy konfigurálja a helyet, hogy felébresztse a számítógépeket a szoftverek telepítéséhez

• Ha hagyományos ébresztési csomagokat használ, az alhálózat által irányított közvetítések helyett használjon egyedi küldést.

• Ha alhálózat által irányított szórásokat kell használnia, konfigurálja az útválasztókat úgy, hogy az IP-cím által irányított szórásokat csak a helykiszolgálóról engedélyezze, és csak egy nem alapértelmezett portszámon.

A különböző hálózati ébresztési technológiákról a Planning how to wake up clients (Ügyfelek felébresztési módjának megtervezése) című témakörben talál további információt.

Ha e-mail-értesítést használ, konfigurálja a hitelesített hozzáférést az SMTP-levelezési kiszolgálóhoz

Amikor csak lehetséges, használjon olyan levelezési kiszolgálót, amely támogatja a hitelesített hozzáférést. Hitelesítéshez használja a helykiszolgáló számítógépfiókját. Ha meg kell adnia egy felhasználói fiókot a hitelesítéshez, használjon olyan fiókot, amely a legkisebb jogosultságokkal rendelkezik.

LDAP-csatornakötés és LDAP-aláírás kényszerítése

Az Active Directory-tartományvezérlők biztonsága javítható azáltal, hogy úgy konfigurálja a kiszolgálót, hogy elutasítsa az aláírást nem kérő EGYSZERŰ hitelesítési és biztonsági rétegbeli (SASL) LDAP-kötéseket, vagy elutasítja a világos szöveges kapcsolaton végrehajtott egyszerű LDAP-kötéseket. Az 1910-es verziótól kezdődően a Configuration Manager támogatja az LDAP-csatornakötés és az LDAP-aláírás kényszerítését. További információ: 2020 LDAP-csatornakötési és LDAP-aláírási követelmények Windows rendszeren.

Biztonsági útmutató a helykiszolgálóhoz

Az alábbi útmutató segítségével biztonságossá teheti a Configuration Manager helykiszolgálót.

Figyelmeztetés

Hálózati hozzáférési fiók – Ne adjon interaktív bejelentkezési jogosultságokat ehhez a fiókhoz az SQL Serveren. Ne adjon jogosultságot a fióknak a számítógépek tartományhoz való csatlakoztatásához. Ha a feladatütemezés során számítógépeket kell csatlakoztatnia a tartományhoz, használja a Feladatütemezés tartományhoz való csatlakozás fiókot.

Configuration Manager telepítése tagkiszolgálóra tartományvezérlő helyett

A Configuration Manager helykiszolgáló és helyrendszerek nem igényelnek telepítést egy tartományvezérlőn. A tartományvezérlők nem rendelkeznek helyi Biztonsági fiókok kezelése (SAM) adatbázissal, kivéve a tartományi adatbázist. Ha Configuration Manager telepít egy tagkiszolgálóra, a tartományi adatbázis helyett a helyi SAM-adatbázisban tarthatja fenn Configuration Manager-fiókokat.

Ez a gyakorlat a tartományvezérlők támadási felületét is csökkenti.

Másodlagos helyek telepítése a fájlok hálózaton keresztüli másolása nélkül

Amikor futtatja a telepítőt, és létrehoz egy másodlagos helyet, ne jelölje be a fájlok másolását a szülőhelyről a másodlagos helyre. Ne használjon hálózati forráshelyet sem. Amikor fájlokat másol a hálózaton keresztül, egy képzett támadó eltérítheti a másodlagos hely telepítési csomagját, és illetéktelenül módosíthatja a fájlokat a telepítés előtt. A támadás időzítése nehéz lenne. Ez a támadás az IPsec vagy az SMB használatával elhárítható a fájlok átvitelekor.

Ahelyett, hogy a hálózaton keresztül másolná a fájlokat, a másodlagos helykiszolgálón másolja a forrásfájlokat a médiamappából egy helyi mappába. Ezután, amikor a telepítő futtatásával létrehoz egy másodlagos helyet, a Telepítési forrásfájlok lapon válassza a Forrásfájlok használata a következő helyen a másodlagos hely számítógépén (a legbiztonságosabb) lehetőséget, és adja meg ezt a mappát.

További információ: Másodlagos hely telepítése.

A helyszerepkörök telepítése a meghajtó gyökerétől örökli az engedélyeket

Az első helyrendszerszerepkör bármely kiszolgálóra való telepítése előtt győződjön meg arról, hogy megfelelően konfigurálta a rendszermeghajtó-engedélyeket. Például örökli C:\SMS_CCM az engedélyeket a következőtől C:\: . Ha a meghajtó gyökerének védelme nem megfelelő, akkor az alacsony jogosultságú felhasználók hozzáférhetnek a Configuration Manager mappában lévő tartalmakhoz, vagy módosíthatják azt.

Biztonsági útmutató SQL Server

Configuration Manager SQL Server használ háttéradatbázisként. Ha az adatbázis biztonsága sérül, a támadók megkerülhetik Configuration Manager. Ha közvetlenül férnek hozzá SQL Server, támadásokat indíthatnak Configuration Manager keresztül. A SQL Server elleni támadások magas kockázatnak tekinthetők, és megfelelően mérsékelhetők.

Az alábbi biztonsági útmutató segítségével biztonságossá teheti Configuration Manager SQL Server.

Ne használja a Configuration Manager helyadatbázis-kiszolgálót más SQL Server alkalmazások futtatásához

Ha növeli a Configuration Manager helyadatbázis-kiszolgálóhoz való hozzáférést, ez a művelet növeli a Configuration Manager adatok kockázatát. Ha a Configuration Manager helyadatbázis biztonsága sérül, az ugyanazon SQL Server számítógépen található egyéb alkalmazások is veszélybe kerülnek.

SQL Server konfigurálása Windows-hitelesítés használatára

Bár Configuration Manager Windows-fiókkal és Windows-hitelesítéssel fér hozzá a helyadatbázishoz, SQL Server továbbra is konfigurálható SQL Server vegyes mód használatára. SQL Server vegyes mód lehetővé teszi, hogy további SQL Server bejelentkezések férhessenek hozzá az adatbázishoz. Ez a konfiguráció nem szükséges, és növeli a támadási felületet.

SQL Server Express frissítése másodlagos helyeken

Amikor elsődleges helyet telepít, Configuration Manager letölti SQL Server Express a Microsoft letöltőközpontból. Ezután átmásolja a fájlokat az elsődleges helykiszolgálóra. Amikor telepít egy másodlagos helyet, és kiválasztja a SQL Server Express telepítő lehetőséget, Configuration Manager telepíti a korábban letöltött verziót. Nem ellenőrzi, hogy elérhetők-e új verziók. Ha meg szeretne győződni arról, hogy a másodlagos hely a legújabb verziókkal rendelkezik, végezze el az alábbi feladatok egyikét:

• A másodlagos hely telepítése után futtassa a Windows Update a másodlagos helykiszolgálón.

• A másodlagos hely telepítése előtt manuálisan telepítse a SQL Server Express a másodlagos helykiszolgálóra. Győződjön meg arról, hogy a legújabb verziót és a szoftverfrissítéseket telepíti. Ezután telepítse a másodlagos helyet, és válassza ki a meglévő SQL Server-példány használatát.

Rendszeresen futtassa a Windows Update az SQL Server összes telepített verziójához. Ez a gyakorlat biztosítja, hogy a legújabb szoftverfrissítésekkel rendelkezzenek.

Kövesse az általános útmutatást a SQL Server

Azonosítsa és kövesse a SQL Server verziójára vonatkozó általános útmutatást. Vegye figyelembe azonban a Configuration Manager következő követelményeit:

• A helykiszolgáló számítógépfiókjának a Rendszergazdák csoport tagjának kell lennie a SQL Server futtató számítógépen. Ha követi a "rendszergazdai tagok explicit kiosztása" SQL Server javaslatot, a helykiszolgálón a telepítés futtatásához használt fióknak a SQL Server Felhasználók csoport tagjának kell lennie.

• Ha tartományi felhasználói fiók használatával telepíti SQL Server, győződjön meg arról, hogy a helykiszolgáló számítógépfiókja konfigurálva van a Active Directory tartományi szolgáltatások közzétett egyszerű szolgáltatásnévhez (SPN). Az egyszerű szolgáltatásnév nélkül a Kerberos-hitelesítés meghiúsul, és Configuration Manager beállítása meghiúsul.

Biztonsági útmutató IIS-t futtató helyrendszerekhez

A Configuration Manager számos helyrendszerszerepköre igényel IIS-t. Az IIS biztonságossá tételének folyamata lehetővé teszi a Configuration Manager megfelelő működését, és csökkenti a biztonsági támadások kockázatát. Gyakorlati esetben minimalizálja az IIS-t igénylő kiszolgálók számát. Futtassa például csak az ügyfélbázis támogatásához szükséges felügyeleti pontok számát, figyelembe véve az internetalapú ügyfélfelügyelet magas rendelkezésre állását és hálózatelkülönítését.

Az alábbi útmutató segítségével biztonságossá teheti az IIS-t futtató helyrendszereket.

A nem szükséges IIS-függvények letiltása

Csak a telepített helyrendszerszerepkör minimális IIS-funkcióit telepítse. További információ: Hely- és helyrendszer előfeltételei.

A helyrendszerszerepkörök konfigurálása HTTPS megkövetelésére

Amikor az ügyfelek HTTPS helyett HTTP-vel csatlakoznak egy helyrendszerhez, Windows-hitelesítést használnak. Ez a viselkedés a Kerberos-hitelesítés helyett az NTLM-hitelesítésre is visszaállhat. Ha NTLM-hitelesítést használ, előfordulhat, hogy az ügyfelek egy rosszindulatú kiszolgálóhoz csatlakoznak.

Ez alól az útmutató alól kivételt képezhetnek a terjesztési pontok. A csomaghozzáférési fiókok nem működnek, ha a terjesztési pont HTTPS-hez van konfigurálva. A csomaghozzáférési fiókok biztosítják a tartalom engedélyezését, így korlátozhatja, hogy mely felhasználók férhetnek hozzá a tartalomhoz. További információ: Biztonsági útmutató a tartalomkezeléshez.

Fontos

A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.

Tanúsítványmegbízhatósági lista (CTL) konfigurálása az IIS-ben helyrendszerszerepkörökhöz

Helyrendszerszerepkörök:

• A HTTPS-hez konfigurált terjesztési pont

• A HTTPS-hez konfigurált és a mobileszközök támogatásához engedélyezett felügyeleti pont

A CTL a megbízható legfelső szintű hitelesítésszolgáltatók (CA-k) definiált listája. Ha csoportházirendet és nyilvános kulcsú infrastruktúrát (PKI) használó CTL-t használ, a CTL lehetővé teszi a hálózaton konfigurált meglévő megbízható legfelső szintű hitelesítésszolgáltatók kiegészítését. Ilyenek például a Microsoft Windows rendszerrel automatikusan telepített vagy a Windows vállalati legfelső szintű hitelesítésszolgáltatókon keresztül hozzáadott hitelesítésszolgáltatók. Amikor egy CTL konfigurálva van az IIS-ben, meghatározza a megbízható legfelső szintű hitelesítésszolgáltatók egy részhalmazát.

Ez az alkészlet nagyobb biztonságot biztosít. A CTL csak azokra a tanúsítványokra korlátozza az elfogadott ügyféltanúsítványokat, amelyeket a CTL hitelesítésszolgáltatói listájából állítottak ki. A Windows például számos jól ismert, külső hitelesítésszolgáltatói tanúsítványt tartalmaz.

Alapértelmezés szerint az IIS-t futtató számítógép megbízhatónak tartja azokat a tanúsítványokat, amelyek ezekhez a jól ismert hitelesítésszolgáltatókhoz láncolnak. Ha nem konfigurálja az IIS-t CTL-lel a felsorolt helyrendszerszerepkörökhöz, a hely érvényes ügyfélként fogad el minden olyan eszközt, amely rendelkezik tanúsítvánnyal ezekből a hitelesítésszolgáltatókból. Ha olyan CTL-lel konfigurálja az IIS-t, amely nem tartalmazza ezeket a hitelesítésszolgáltatókat, a hely elutasítja az ügyfélkapcsolatokat, ha a tanúsítvány ezekhez a hitelesítésszolgáltatókhoz kapcsolódik. Ahhoz, hogy Configuration Manager-ügyfeleket el lehessen fogadni a felsorolt helyrendszerszerepkörökhöz, az IIS-t olyan CTL-vel kell konfigurálnia, amely meghatározza az Configuration Manager-ügyfelek által használt hitelesítésszolgáltatókat.

Megjegyzés:

Csak a felsorolt helyrendszerszerepkörök igénylik a CTL konfigurálását az IIS-ben. A Configuration Manager által a felügyeleti pontokhoz használt tanúsítványkibocsátók listája ugyanazokat a funkciókat biztosítja az ügyfélszámítógépek számára, amikor HTTPS felügyeleti pontokhoz csatlakoznak.

A megbízható hitelesítésszolgáltatók listájának az IIS-ben való konfigurálásáról az IIS dokumentációjában talál további információt.

Ne helyezze a helykiszolgálót IIS-t futtató számítógépre

A szerepkörök elkülönítése segít csökkenteni a támadási profilt és javítani a helyreállíthatóságot. A helykiszolgáló számítógépfiókja általában minden helyrendszerszerepkörhöz rendszergazdai jogosultságokkal rendelkezik. Ezek a jogosultságok Configuration Manager ügyfeleken is lehetnek, ha ügyfél leküldéses telepítést használ.

Dedikált IIS-kiszolgálók használata Configuration Manager

Bár a Configuration Manager által is használt IIS-kiszolgálókon több webalapú alkalmazást is üzemeltethet, ez a gyakorlat jelentősen növelheti a támadási felületet. A rosszul konfigurált alkalmazások lehetővé tehetik a támadók számára, hogy átvegyen egy Configuration Manager helyrendszer irányítását. Ez a támadás lehetővé teheti, hogy a támadó átvehesse az irányítást a hierarchia felett.

Ha más webalapú alkalmazásokat kell futtatnia Configuration Manager helyrendszereken, hozzon létre egy egyéni webhelyet Configuration Manager helyrendszerekhez.

Egyéni webhely használata

Az IIS-t futtató helyrendszerek esetében konfigurálja a Configuration Manager, hogy az alapértelmezett webhely helyett egyéni webhelyet használjon. Ha más webalkalmazásokat kell futtatnia a helyrendszeren, egyéni webhelyet kell használnia. Ez a beállítás nem egy adott helyrendszer, hanem egy webhelyszintű beállítás.

Ha egyéni webhelyeket használ, távolítsa el az alapértelmezett virtuális könyvtárakat

Ha az alapértelmezett webhelyről egyéni webhelyre vált, Configuration Manager nem távolítja el a régi virtuális könyvtárakat. Távolítsa el azokat a virtuális könyvtárakat, amelyek eredetileg az alapértelmezett webhelyen Configuration Manager létre.

Távolítsa el például a következő virtuális könyvtárakat egy terjesztési ponthoz:

• SMS_DP_SMSPKG$

• SMS_DP_SMSSIG$

• NOCERT_SMS_DP_SMSPKG$

• NOCERT_SMS_DP_SMSSIG$

Kövesse az IIS-kiszolgáló biztonsági útmutatója

Azonosítsa és kövesse az IIS-kiszolgáló verziójára vonatkozó általános útmutatást. Vegye figyelembe a Configuration Manager adott helyrendszerszerepkörökre vonatkozó követelményeket. További információ: Hely- és helyrendszer előfeltételei.

Egyéni IIS-fejlécek konfigurálása

Konfigurálja a következő egyéni fejléceket a MIME-sniffing letiltásához:

x-content-type-options: nosniff

További információ: Egyéni fejlécek.

Ha más szolgáltatások ugyanazt az IIS-példányt használják, győződjön meg arról, hogy ezek az egyéni fejlécek kompatibilisek.

Biztonsági útmutató a felügyeleti ponthoz

A felügyeleti pontok az eszközök és a Configuration Manager közötti elsődleges interfészek. Fontolja meg a felügyeleti pont és az általa futtatott kiszolgáló elleni támadásokat, hogy magas kockázatnak legyenek kitéve, és megfelelően mérsékeljék a támadásokat. Alkalmazza az összes megfelelő biztonsági útmutatást, és figyelje a szokatlan tevékenységeket.

Az alábbi útmutató segítségével biztonságossá teheti a felügyeleti pontot a Configuration Manager-ben.

Az ügyfél hozzárendelése egy felügyeleti ponton ugyanahhoz a helyhez

Kerülje el azt a forgatókönyvet, amelyben a felügyeleti ponton található Configuration Manager-ügyfelet a felügyeleti pont helyétől eltérő helyre rendeli.

Ha egy korábbi verzióról Configuration Manager aktuális ágra migrál, migrálja a felügyeleti ponton lévő ügyfelet a lehető leghamarabb az új helyre.

Biztonsági útmutató a tartalék állapotkezelő ponthoz

Ha tartalék állapotkezelő pontot telepít Configuration Manager, kövesse az alábbi biztonsági útmutatót:

A tartalék állapotkezelő pont telepítésekor megfontolandó biztonsági szempontokról további információt a Tartalék állapotkezelő pont megkövetelése című témakörben talál.

Ne futtasson más szerepköröket ugyanazon a helyrendszeren

A tartalék állapotkezelő pont úgy lett kialakítva, hogy bármilyen számítógépről fogadjon nem hitelesített kommunikációt. Ha ezt a helyrendszerszerepkört más szerepkörökkel vagy tartományvezérlővel futtatja, a kiszolgálóra vonatkozó kockázat jelentősen megnő.

A tartalék állapotkezelő pont telepítése a PKI-tanúsítványokkal rendelkező ügyfelek telepítése előtt

Ha Configuration Manager helyrendszerek nem fogadják el a HTTP-ügyfélkommunikációt, előfordulhat, hogy nem tudja, hogy az ügyfelek nem felügyeltek a PKI-hez kapcsolódó tanúsítványproblémák miatt. Ha tartalék állapotkezelő ponthoz rendeli az ügyfeleket, a tartalék állapotkezelő ponton keresztül jelentik ezeket a tanúsítványproblémákat.

Biztonsági okokból a telepítés után nem rendelhet tartalék állapotpontot az ügyfelekhez. Ezt a szerepkört csak az ügyfél telepítése során rendelheti hozzá.

Kerülje a tartalék állapotkezelő pont használatát a szegélyhálózaton

A tartalék állapotkezelő pont a tervek szerint bármely ügyféltől fogad adatokat. Bár a szegélyhálózat tartalék állapotkezelő pontja segíthet az internetalapú ügyfelek hibaelhárításában, a hibaelhárítási előnyöket ki kell egyensúlyoznia egy olyan helyrendszer kockázatával, amely nem hitelesített adatokat fogad el egy nyilvánosan elérhető hálózaton.

Ha telepíti a tartalék állapotkezelő pontot a szegélyhálózaton vagy bármely nem megbízható hálózatban, konfigurálja a helykiszolgálót az adatátvitel indítására. Ne használja azt az alapértelmezett beállítást, amely lehetővé teszi, hogy a tartalék állapotkezelő pont kapcsolatot létesítsen a helykiszolgálóval.

A helyfelügyelet biztonsági problémái

Tekintse át a következő biztonsági problémákat a Configuration Manager:

• Configuration Manager nem rendelkezik védelemmel egy jogosult rendszergazda felhasználóval szemben, aki Configuration Manager használ a hálózat megtámadásához. A jogosulatlan rendszergazdai felhasználók magas biztonsági kockázatot jelentenek. Számos támadást indíthatnak, amelyek a következő stratégiákat foglalják magukban:

  • A szoftvertelepítéssel automatikusan telepíthet és futtathat kártevő szoftvereket a szervezet minden Configuration Manager ügyfélszámítógépén.

  • Configuration Manager-ügyfél távoli vezérlése ügyfélengedély nélkül.

  • Gyors lekérdezési időközöket és rendkívüli mennyiségű leltárt konfigurálhat. Ez a művelet szolgáltatásmegtagadási támadásokat hoz létre az ügyfelek és kiszolgálók ellen.

  • A hierarchia egyik helyének használatával adatokat írhat egy másik hely Active Directory-adataiba.

  A helyhierarchia a biztonsági határ. A helyeket csak felügyeleti határoknak kell tekinteni.

  Naplózza az összes rendszergazdai felhasználói tevékenységet, és rendszeresen tekintse át az auditnaplókat. A felvétel előtt minden Configuration Manager rendszergazda felhasználónak háttérellenőrzést kell végeznie. Rendszeres újraellenőrzés megkövetelése a foglalkoztatás feltételeként.

• Ha a regisztrációs pont biztonsága sérül, a támadó tanúsítványokat szerezhet be a hitelesítéshez. Ellophatják a mobileszközeiket regisztráló felhasználók hitelesítő adatait.

  A regisztrációs pont kommunikál egy hitelesítésszolgáltatóval. Active Directory-objektumokat hozhat létre, módosíthat és törölhet. Soha ne telepítse a regisztrációs pontot a szegélyhálózaton. Mindig figyelje a szokatlan tevékenységeket.

• Ha engedélyezi a felhasználói házirendeket az internetalapú ügyfélkezeléshez, növelheti a támadási profilt.

  Amellett, hogy PKI-tanúsítványokat használ az ügyfelek és a kiszolgálók közötti kapcsolatokhoz, ezek a konfigurációk Windows-hitelesítést igényelnek. Előfordulhat, hogy nem Kerberos, hanem NTLM-hitelesítést használnak. Az NTLM-hitelesítés sebezhető a megszemélyesítési és visszajátszási támadásokkal szemben. Ha sikeresen hitelesíteni szeretne egy felhasználót az interneten, engedélyeznie kell az internetes helyrendszer és a tartományvezérlő közötti kapcsolatot.

• A Rendszergazda$ megosztás szükséges a helyrendszer-kiszolgálókon.

  A Configuration Manager helykiszolgáló a Rendszergazda$ megosztást használja a helyrendszerekhez való csatlakozáshoz és szolgáltatásműveletek elvégzéséhez. Ne tiltsa le vagy távolítsa el ezt a megosztást.

• Configuration Manager névfeloldási szolgáltatásokkal csatlakozik más számítógépekhez. Ezeket a szolgáltatásokat nehéz biztonságossá tenni a következő biztonsági támadásokkal szemben:

  • Svindli
  • Hamisít
  • Eltitkolás
  • Információfelfedés
  • Szolgáltatásmegtagadás
  • Jogosultsági szint emelése

  Azonosítsa és kövesse a DNS névfeloldáshoz használt verziójára vonatkozó biztonsági útmutatót.

Adatvédelmi információk a felderítéshez

A felderítés rekordokat hoz létre a hálózati erőforrásokhoz, és azokat a Configuration Manager adatbázisban tárolja. A felderítési adatrekordok számítógépadatokat tartalmaznak, például IP-címeket, operációsrendszer-verziókat és számítógépneveket. Az Active Directory felderítési módszereit úgy is konfigurálhatja, hogy a szervezet által Active Directory tartományi szolgáltatások tárolt adatokat adja vissza.

Az egyetlen felderítési módszer, amelyet alapértelmezés szerint Configuration Manager engedélyez, a szívverés-felderítés. Ez a módszer csak azokat a számítógépeket deríti fel, amelyeken már telepítve van a Configuration Manager ügyfélszoftver.

A felderítési információkat a rendszer nem küldi el közvetlenül a Microsoftnak. A Configuration Manager adatbázisban van tárolva. Configuration Manager mindaddig megőrzi az adatbázisban lévő adatokat, amíg az adatokat nem törli. Ez a folyamat 90 naponta történik az Elavult felderítési adatok törlése helykarbantartási feladattal.