Biztonsági terv a Configuration Managerben

A következőre vonatkozik: Configuration Manager (aktuális ág)

Ez a cikk az alábbi fogalmakat ismerteti, amelyeket figyelembe kell vennie a Configuration Manager implementációjának biztonsági tervezésekor:

• Tanúsítványok (önaláírt és PKI)

• A megbízható legfelső szintű kulcs

• Aláírás és titkosítás

• Szerepköralapú felügyelet

• Microsoft Entra ID

• SMS-szolgáltató hitelesítése

Mielőtt hozzákezd, győződjön meg arról, hogy ismeri a Configuration Manager biztonságának alapjait.

Tanúsítványok

A Configuration Manager önaláírt és nyilvános kulcsú infrastruktúra (PKI) digitális tanúsítványok kombinációját használja. Amikor csak lehetséges, használjon PKI-tanúsítványokat. Egyes forgatókönyvek PKI-tanúsítványokat igényelnek. Ha a PKI-tanúsítványok nem érhetők el, a webhely automatikusan önaláírt tanúsítványokat hoz létre. Egyes forgatókönyvek mindig önaláírt tanúsítványokat használnak.

További információ: Plan for certificates (Tanúsítványok tervezése).

A megbízható legfelső szintű kulcs

A Configuration Manager megbízható legfelső szintű kulcsa mechanizmust biztosít a Configuration Manager-ügyfelek számára annak ellenőrzéséhez, hogy a helyrendszerek a hierarchiájukhoz tartoznak-e. Minden helykiszolgáló létrehoz egy helycserekulcsot, hogy más helyekkel kommunikáljon. A hierarchia legfelső szintű helyének helycserekulcsát megbízható legfelső szintű kulcsnak nevezzük.

A Configuration Manager megbízható főkulcsának függvénye hasonlít a nyilvános kulcsú infrastruktúrában található főtanúsítványra. A megbízható legfelső szintű kulcs titkos kulcsa által aláírt adatok a hierarchia további részeiben megbízhatók. Az ügyfelek a hely megbízható legfelső szintű kulcsának másolatát tárolják a root\ccm\locationservices WMI-névtérben.

A hely például egy tanúsítványt ad ki a felügyeleti pontnak, amelyet a megbízható legfelső szintű kulcs titkos kulcsával ír alá. A webhely megosztja az ügyfelekkel a megbízható legfelső szintű kulcs nyilvános kulcsát. Ezután az ügyfelek megkülönböztethetik a hierarchiájukban lévő felügyeleti pontokat és a nem a hierarchiájukban lévő felügyeleti pontokat.

Az ügyfelek két mechanizmus használatával automatikusan megkapják a megbízható legfelső szintű kulcs nyilvános másolatát:

• Kiterjesztheti a Configuration Manager Active Directory-sémáját, és közzéteheti a helyet az Active Directory Domain Servicesben. Ezután az ügyfelek lekérik ezt a helyadatokat egy globáliskatalógus-kiszolgálóról. További információ: Az Active Directory előkészítése a webhely közzétételére.

• Ha az ügyfeleket az ügyfél leküldéses telepítési módszerével telepíti. További információ: Ügyfél leküldéses telepítése.

Ha az ügyfelek nem tudják lekérni a megbízható legfelső szintű kulcsot ezen mechanizmusok egyikével, megbíznak az első felügyeleti pont által biztosított megbízható legfelső szintű kulcsban, amellyel kommunikálnak. Ebben a forgatókönyvben előfordulhat, hogy egy ügyfél nem a támadó felügyeleti pontjára van irányítva, ahol szabályzatot kap a rosszindulatú felügyeleti ponttól. Ehhez a művelethez kifinomult támadóra van szükség. Ez a támadás arra a rövid időre korlátozódik, amíg az ügyfél lekéri a megbízható legfelső szintű kulcsot egy érvényes felügyeleti pontról. Ha csökkenteni szeretné annak kockázatát, hogy egy támadó tévesen irányítsa az ügyfeleket egy rosszindulatú felügyeleti pontra, előzetesen építse ki az ügyfeleket a megbízható legfelső szintű kulccsal.

A megbízható legfelső szintű kulcs kezelésével kapcsolatos további információkért és eljárásokért lásd: A biztonság konfigurálása.

Aláírás és titkosítás

Ha minden ügyfélkommunikációhoz PKI-tanúsítványokat használ, nem kell megterveznie az aláírást és a titkosítást az ügyfél-adatkommunikáció biztonságossá tételéhez. Ha olyan helyrendszereket állít be, amelyek IIS-t futtatnak a HTTP-ügyfélkapcsolatok engedélyezéséhez, döntse el, hogyan segíti a hely ügyfél-kommunikációjának védelmét.

Fontos

A Configuration Manager 2103-es verziójától kezdődően a HTTP-ügyfélkommunikációt engedélyező webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.

Az ügyfelek által a felügyeleti pontokra küldött adatok védelme érdekében megkövetelheti az ügyfelektől az adatok aláírását. Az aláíráshoz szükség lehet az SHA-256 algoritmusra is. Ez a konfiguráció biztonságosabb, de csak akkor igényel SHA-256-ot, ha az összes ügyfél támogatja. Számos operációs rendszer natív módon támogatja ezt az algoritmust, de a régebbi operációs rendszerekhez frissítésre vagy gyorsjavításra lehet szükség.

Az aláírás segít megvédeni az adatokat az illetéktelen módosítástól, a titkosítás pedig segít megvédeni az adatokat az információfelfedéstől. Engedélyezheti a titkosítást a leltáradatokhoz és az állapotüzenetekhez, amelyeket az ügyfelek a hely felügyeleti pontjaira küldenek. A beállítás támogatásához nem kell frissítéseket telepítenie az ügyfelekre. Az ügyfelek és a felügyeleti pontok nagyobb processzorhasználatot igényelnek a titkosításhoz és a visszafejtéshez.

Megjegyzés:

Az adatok titkosításához az ügyfél a felügyeleti pont titkosítási tanúsítványának nyilvános kulcsát használja. Csak a felügyeleti pont rendelkezik a megfelelő titkos kulccsal, így csak az adatok visszafejtésére képes.

Az ügyfél ezt a tanúsítványt a felügyeleti pont aláíró tanúsítványával indítja el, amelyet a hely megbízható legfelső szintű kulcsával indít el. Győződjön meg arról, hogy biztonságosan kiépítette a megbízható legfelső szintű kulcsot az ügyfeleken. További információ: A megbízható legfelső szintű kulcs.

További információ az aláírási és titkosítási beállítások konfigurálásáról: Aláírás és titkosítás konfigurálása.

Az aláíráshoz és titkosításhoz használt titkosítási algoritmusokkal kapcsolatos további információkért lásd a titkosítási vezérlők műszaki útmutatóját.

Szerepköralapú felügyelet

A Configuration Managerrel szerepköralapú felügyelettel biztosíthatja a hozzáférést, amelyet a rendszergazdáknak a Configuration Manager használatához kell használniuk. Emellett biztonságos hozzáférést biztosít a felügyelt objektumokhoz, például gyűjteményekhez, üzemelő példányokhoz és helyekhez.

A biztonsági szerepkörök, a biztonsági hatókörök és a gyűjtemények kombinációjával elkülönítheti a szervezet igényeinek megfelelő felügyeleti hozzárendeléseket. Együtt definiálják a felhasználók felügyeleti hatókörét . Ez a felügyeleti hatókör szabályozza azokat az objektumokat, amelyeket egy rendszergazda felhasználó megtekint a Configuration Manager-konzolon, és azokat az engedélyeket szabályozza, amelyekkel a felhasználó rendelkezik az adott objektumokon.

További információ: A szerepköralapú felügyelet alapjai.

Microsoft Entra ID

A Configuration Manager integrálható a Microsoft Entra-azonosítóval, hogy a hely és az ügyfelek modern hitelesítést használhassanak.

A Microsoft Entra-azonosítóról további információt a Microsoft Entra dokumentációjában talál.

A webhely Microsoft Entra ID azonosítóval való előkészítése a következő Configuration Manager-forgatókönyveket támogatja:

Ügyfélforgatókönyvek

• Ügyfelek kezelése az interneten felhőfelügyeleti átjárón keresztül

• Felhőbeli tartományhoz csatlakoztatott eszközök kezelése

• Közös felügyelet

• Felhasználó által elérhető alkalmazások üzembe helyezése

• Microsoft Store Vállalati online alkalmazások

• Nagyvállalati Microsoft 365-alkalmazások kezelése

Kiszolgálói forgatókönyvek

• Bérlői csatolás

• Végponti elemzés

• Azure Log Analytics

• Közösségi központ

• Felhasználófelderítés

SMS-szolgáltató hitelesítése

Megadhatja, hogy a rendszergazdák milyen minimális hitelesítési szintet érhessenek el a Configuration Manager-webhelyekhez. Ez a funkció arra kényszeríti a rendszergazdákat, hogy a szükséges szinttel jelentkezzenek be a Windowsba, mielőtt hozzáférhetnének a Configuration Managerhez. Az SMS-szolgáltatóhoz hozzáférő összes összetevőre vonatkozik. Ilyenek például a Configuration Manager-konzol, az SDK-metódusok és a Windows PowerShell-parancsmagok.

A Configuration Manager a következő hitelesítési szinteket támogatja:

• Windows-hitelesítés: Hitelesítés megkövetelése Active Directory-tartományi hitelesítő adatokkal. Ez a beállítás az előző és az aktuális alapértelmezett beállítás.

• Tanúsítványhitelesítés: Hitelesítés megkövetelése egy megbízható PKI-hitelesítésszolgáltató által kiállított érvényes tanúsítvánnyal. Ezt a tanúsítványt nem konfigurálja a Configuration Managerben. A Configuration Manager megköveteli, hogy a rendszergazda PKI használatával legyen bejelentkezve a Windowsba.

• Vállalati Windows Hello-hitelesítés: Olyan erős kétfaktoros hitelesítés megkövetelése, amely egy eszközhöz van kötve, és biometrikus adatokat vagy PIN-kódot használ. További információ: Vállalati Windows Hello.

  Fontos

  Ha ezt a beállítást választja, az SMS-szolgáltató és a felügyeleti szolgáltatás megköveteli, hogy a felhasználó hitelesítési jogkivonata tartalmazzon egy többtényezős hitelesítési (MFA) jogcímet a Vállalati Windows Hello szolgáltatásból. Más szóval a konzol, az SDK, a PowerShell vagy a felügyeleti szolgáltatás felhasználójának hitelesítenie kell magát a Windowsban a Vállalati Windows Hello PIN-kódjával vagy biometrikus azonosítójával. Ellenkező esetben a webhely elutasítja a felhasználó műveletét.

  Ez a viselkedés a Vállalati Windows Hello esetében működik, nem a Windows Hello esetében.

A beállítás konfigurálásával kapcsolatos további információkért lásd: Az SMS-szolgáltató hitelesítésének konfigurálása.

Következő lépések

• Tanúsítványok a Configuration Managerben

• PKI-tanúsítványok tervezése

• Biztonság konfigurálása

• A kriptográfiai vezérlők technikai referenciája