Biztonság konfigurálása Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
A cikkben található információk segítségével biztonsági beállításokat állíthat be a Configuration Manager. Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik biztonsági csomaggal.
Fontos
A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.
Ügyfél PKI-tanúsítványai
Ha nyilvános kulcsú infrastruktúra- (PKI-) tanúsítványokat szeretne használni az Internet Information Servicest (IIS) használó helyrendszerekhez való ügyfélkapcsolatokhoz, az alábbi eljárással konfigurálhatja ezeknek a tanúsítványoknak a beállításait.
A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Helyek csomópontot. Válassza ki a konfigurálni kívánt elsődleges helyet.
A menüszalagon válassza a Tulajdonságok lehetőséget. Ezután váltson a Kommunikációbiztonság lapra.
Válassza ki az IIS-t használó helyrendszerek beállításait.
Csak HTTPS: A helyhez rendelt ügyfelek mindig PKI-ügyféltanúsítványt használnak, amikor IIS-t használó helyrendszerekhez csatlakoznak. Például egy felügyeleti pont és egy terjesztési pont.
HTTPS vagy HTTP: Az ügyfeleknek nem kell PKI-tanúsítványokat használniuk.
Configuration Manager által létrehozott tanúsítványok használata HTTP-helyrendszerekhez: Erről a beállításról további információt a Bővített HTTP című témakörben talál.
Válassza ki az ügyfélszámítógépek beállításait.
Ha elérhető, használjon PKI-ügyféltanúsítványt (ügyfél-hitelesítési képességet): Ha a HTTPS- vagy HTTP-helykiszolgáló-beállítást választotta, akkor ezt a lehetőséget választva ügyféloldali PKI-tanúsítványt használhat HTTP-kapcsolatokhoz. Az ügyfél ezt a tanúsítványt használja önaláírt tanúsítvány helyett a helyrendszerekben való hitelesítéshez. Ha csak a HTTPS protokollt választotta, a rendszer automatikusan ezt a beállítást választja.
Ha egy ügyfélen több érvényes PKI-ügyféltanúsítvány is elérhető, válassza a Módosítás lehetőséget az ügyféltanúsítvány-kiválasztási módszerek konfigurálásához. További információ az ügyféltanúsítvány-kiválasztási módszerről: Planning for PKI client certificate selection (A PKI-ügyféltanúsítvány kiválasztásának megtervezése).
Az ügyfelek ellenőrzik a helyrendszerek tanúsítvány-visszavonási listáját (CRL): Engedélyezze ezt a beállítást, hogy az ügyfelek ellenőrizhessék a szervezet visszavont tanúsítványok crL-jét. További információ az ügyfelek CRL-ellenőrzéséről: A PKI-tanúsítványok visszavonásának tervezése.
A megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványainak importálásához, megtekintéséhez és törléséhez válassza a Beállítás lehetőséget. További információ: A PKI megbízható főtanúsítványainak tervezése és a tanúsítványkibocsátók listája.
Ismételje meg ezt az eljárást a hierarchia összes elsődleges helyén.
A megbízható legfelső szintű kulcs kezelése
Ezekkel az eljárásokkal előre kiépíthet és ellenőrizhet egy Configuration Manager-ügyfél megbízható legfelső szintű kulcsát.
Megjegyzés:
Ha az ügyfelek lekérhetik a megbízható legfelső szintű kulcsot Active Directory tartományi szolgáltatások vagy ügyfél leküldéséből, nem kell előre kiépítenie.
Ha az ügyfelek HTTPS-kommunikációt használnak a felügyeleti pontok felé, nem kell előre kiépítenie a megbízható legfelső szintű kulcsot. A PKI-tanúsítványok megbízhatóságot hoznak létre.
A megbízható legfelső szintű kulccsal kapcsolatos további információkért lásd: A biztonság megtervezése.
Ügyfél előzetes kiépítése a megbízható legfelső szintű kulccsal fájl használatával
A helykiszolgálón keresse meg a Configuration Manager telepítési könyvtárát.
\bin\<platform>
Az almappában nyissa meg a következő fájlt egy szövegszerkesztőben:mobileclient.tcf
Keresse meg a következő bejegyzést:
SMSPublicRootKey
. Másolja ki az értéket ebből a sorból, és zárja be a fájlt módosítások mentése nélkül.Hozzon létre egy új szövegfájlt, és illessze be a mobileclient.tcf fájlból másolt kulcsértéket.
Mentse a fájlt olyan helyre, ahol az összes számítógép hozzáférhet, de ahol a fájl nem módosítható.
Telepítse az ügyfelet bármely olyan telepítési módszerrel, amely elfogadja client.msi tulajdonságokat. Adja meg a következő tulajdonságot:
SMSROOTKEYPATH=<full path and file name>
Fontos
Amikor az ügyfél telepítése során megadja a megbízható legfelső szintű kulcsot, adja meg a helykódot is. Használja a következő client.msi tulajdonságot:
SMSSITECODE=<site code>
Ügyfél előzetes kiépítése a megbízható legfelső szintű kulccsal fájl használata nélkül
A helykiszolgálón keresse meg a Configuration Manager telepítési könyvtárát.
\bin\<platform>
Az almappában nyissa meg a következő fájlt egy szövegszerkesztőben:mobileclient.tcf
Keresse meg a következő bejegyzést:
SMSPublicRootKey
. Másolja ki az értéket ebből a sorból, és zárja be a fájlt módosítások mentése nélkül.Telepítse az ügyfelet bármely olyan telepítési módszerrel, amely elfogadja client.msi tulajdonságokat. Adja meg a következő client.msi tulajdonságot:
SMSPublicRootKey=<key>
ahol<key>
a mobileclient.tcf fájlból másolt sztring.Fontos
Amikor az ügyfél telepítése során megadja a megbízható legfelső szintű kulcsot, adja meg a helykódot is. Használja a következő client.msi tulajdonságot:
SMSSITECODE=<site code>
A megbízható legfelső szintű kulcs ellenőrzése egy ügyfélen
Nyisson meg egy Windows PowerShell konzolt rendszergazdaként.
Futtassa az alábbi parancsot:
(Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
A visszaadott sztring a megbízható legfelső szintű kulcs. Ellenőrizze, hogy megegyezik-e a helykiszolgáló mobileclient.tcf fájljának SMSPublicRootKey értékével.
A megbízható legfelső szintű kulcs eltávolítása vagy cseréje
Távolítsa el a megbízható legfelső szintű kulcsot az ügyfélből a client.msi tulajdonság használatával. RESETKEYINFORMATION = TRUE
A megbízható legfelső szintű kulcs cseréjéhez telepítse újra az ügyfelet az új megbízható legfelső szintű kulccsal együtt. Használjon például ügyfélleküldést, vagy adja meg az SMSPublicRootKey client.msi tulajdonságot.
További információ ezekről a telepítési tulajdonságokról: Tudnivalók az ügyféltelepítés paramétereiről és tulajdonságairól.
Aláírás és titkosítás
Konfigurálja a legbiztonságosabb aláírási és titkosítási beállításokat a hely összes ügyfele által támogatott helyrendszerekhez. Ezek a beállítások különösen fontosak, ha engedélyezi az ügyfeleknek a helyrendszerekkel való kommunikációt önaláírt tanúsítványok HASZNÁLATÁVAL HTTP-kapcsolaton keresztül.
A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Helyek csomópontot. Válassza ki a konfigurálni kívánt elsődleges helyet.
A menüszalagon válassza a Tulajdonságok lehetőséget, majd váltson az Aláírás és titkosítás lapra.
Ez a lap csak elsődleges helyen érhető el. Ha nem látja az Aláírás és titkosítás lapot, győződjön meg arról, hogy nem kapcsolódik központi adminisztrációs helyhez vagy másodlagos helyhez.
Konfigurálja az aláírási és titkosítási beállításokat, hogy az ügyfelek kommunikálhassanak a hellyel.
Aláírás megkövetelése: Az ügyfelek aláírják az adatokat, mielőtt elküldenének a felügyeleti pontnak.
SHA-256 megkövetelése: Az ügyfelek az SHA-256 algoritmust használják az adatok aláírásakor.
Figyelmeztetés
Ne igényelje az SHA-256-ot anélkül, hogy először megerősítené, hogy minden ügyfél támogatja ezt a kivonatoló algoritmust. Ezek az ügyfelek olyan ügyfeleket is tartalmaznak, amelyeket a jövőben hozzárendelhetnek a webhelyhez.
Ha ezt a lehetőséget választja, és az önaláírt tanúsítványokkal rendelkező ügyfelek nem támogatják az SHA-256-ot, Configuration Manager elutasítja őket. A SMS_MP_CONTROL_MANAGER összetevő naplózza az 5443-at azonosító üzenetet.
Titkosítás használata: Az ügyfelek titkosítják az ügyfélleltár adatait és az állapotüzeneteket, mielőtt elküldenének a felügyeleti pontnak.
Ismételje meg ezt az eljárást a hierarchia összes elsődleges helyén.
Szerepköralapú felügyelet
A szerepköralapú felügyelet a biztonsági szerepköröket, a biztonsági hatóköröket és a hozzárendelt gyűjteményeket kombinálva határozza meg az egyes rendszergazdai felhasználók felügyeleti hatókörét. A hatókör tartalmazza azokat az objektumokat, amelyeket a felhasználó megtekinthet a konzolon, valamint azokkal az objektumokkal kapcsolatos feladatokat, amelyekhez engedéllyel rendelkezik. A szerepköralapú felügyeleti konfigurációkat a rendszer a hierarchia minden helyén alkalmazza.
További információ: Szerepköralapú felügyelet konfigurálása. Ez a cikk a következő műveleteket ismerteti:
Egyéni biztonsági szerepkörök létrehozása
Biztonsági szerepkörök konfigurálása
Objektum biztonsági hatóköreinek konfigurálása
Gyűjtemények konfigurálása a biztonság kezeléséhez
Új rendszergazdai felhasználó létrehozása
Rendszergazda felhasználó felügyeleti hatókörének módosítása
Fontos
A saját felügyeleti hatóköre határozza meg azokat az objektumokat és beállításokat, amelyeket hozzárendelhet, amikor szerepköralapú felügyeletet konfigurál egy másik rendszergazda felhasználó számára. A szerepköralapú felügyelet tervezésével kapcsolatos információkért lásd: A szerepköralapú felügyelet alapjai.
Fiókok kezelése
Configuration Manager számos különböző feladathoz és használathoz támogatja a Windows-fiókokat. A különböző feladatokhoz konfigurált fiókok megtekintéséhez és az egyes fiókokhoz Configuration Manager által használt jelszó kezeléséhez kövesse az alábbi eljárást:
A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Biztonság csomópontot, majd válassza a Fiókok csomópontot.
Egy fiók jelszavának módosításához válassza ki a fiókot a listában. Ezután válassza a menüszalag Tulajdonságok elemét .
Válassza a Beállítás lehetőséget a Windows felhasználói fiók párbeszédpanel megnyitásához. Adja meg a fiókhoz használandó Configuration Manager új jelszavát.
Megjegyzés:
A megadott jelszónak meg kell egyeznie a fiók Active Directoryban megadott jelszavával.
További információ: A Configuration Manager használt fiókok.
Microsoft Entra ID
A környezet leegyszerűsítése és felhőbeli engedélyezése érdekében integrálhatja Configuration Manager Microsoft Entra azonosítóval. Engedélyezze a hely és az ügyfelek számára a hitelesítést Microsoft Entra azonosító használatával.
További információ: Felhőfelügyeleti szolgáltatás az Azure-szolgáltatások konfigurálása című témakörben.
SMS-szolgáltató hitelesítése
Megadhatja, hogy a rendszergazdák milyen minimális hitelesítési szintet férjenek hozzá Configuration Manager webhelyekhez. Ez a funkció arra kényszeríti a rendszergazdákat, hogy a szükséges szinttel jelentkezzenek be a Windowsba, mielőtt hozzáférhetnének Configuration Manager. További információ: Plan for SMS Provider authentication (Sms-szolgáltatói hitelesítés tervezése).
Fontos
Ez a konfiguráció hierarchiaszintű beállítás. A beállítás módosítása előtt győződjön meg arról, hogy minden Configuration Manager rendszergazda bejelentkezhet a Windowsba a szükséges hitelesítési szinttel.
A beállítás konfigurálásához kövesse az alábbi lépéseket:
Először jelentkezzen be a Windowsba a kívánt hitelesítési szinttel.
A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Helyek csomópontot.
A menüszalagon válassza a Hierarchiabeállítások lehetőséget.
Váltson a Hitelesítés lapra. Válassza ki a kívánt hitelesítési szintet, majd kattintson az OK gombra.
- Csak szükség esetén válassza a Hozzáadás lehetőséget adott felhasználók vagy csoportok kizárásához. További információ: Kizárások.
Kizárások
A Hierarchiabeállítások Hitelesítés lapján bizonyos felhasználókat vagy csoportokat is kizárhat. Ezt a beállítást csak takarékosan használja. Ha például egy adott felhasználónak hozzáférésre van szüksége a Configuration Manager konzolhoz, de nem tudja hitelesíteni magát a Windowsban a szükséges szinten. Szükség lehet olyan automatizáláshoz vagy szolgáltatásokhoz is, amelyek egy rendszerfiók kontextusában futnak.