Biztonsági terv a Configuration Managerben
A következőre vonatkozik: Configuration Manager (aktuális ág)
Ez a cikk az alábbi fogalmakat ismerteti, amelyeket figyelembe kell vennie a Configuration Manager implementációjának biztonsági tervezésekor:
Tanúsítványok (önaláírt és PKI)
A megbízható legfelső szintű kulcs
Aláírás és titkosítás
Szerepköralapú felügyelet
Microsoft Entra ID
SMS-szolgáltató hitelesítése
Mielőtt hozzákezd, győződjön meg arról, hogy ismeri a Configuration Manager biztonságának alapjait.
Tanúsítványok
A Configuration Manager önaláírt és nyilvános kulcsú infrastruktúra (PKI) digitális tanúsítványok kombinációját használja. Amikor csak lehetséges, használjon PKI-tanúsítványokat. Egyes forgatókönyvek PKI-tanúsítványokat igényelnek. Ha a PKI-tanúsítványok nem érhetők el, a webhely automatikusan önaláírt tanúsítványokat hoz létre. Egyes forgatókönyvek mindig önaláírt tanúsítványokat használnak.
További információ: Plan for certificates (Tanúsítványok tervezése).
A megbízható legfelső szintű kulcs
A Configuration Manager megbízható legfelső szintű kulcsa mechanizmust biztosít a Configuration Manager-ügyfelek számára annak ellenőrzéséhez, hogy a helyrendszerek a hierarchiájukhoz tartoznak-e. Minden helykiszolgáló létrehoz egy helycserekulcsot, hogy más helyekkel kommunikáljon. A hierarchia legfelső szintű helyének helycserekulcsát megbízható legfelső szintű kulcsnak nevezzük.
A Configuration Manager megbízható főkulcsának függvénye hasonlít a nyilvános kulcsú infrastruktúrában található főtanúsítványra. A megbízható legfelső szintű kulcs titkos kulcsa által aláírt adatok a hierarchia további részeiben megbízhatók. Az ügyfelek a hely megbízható legfelső szintű kulcsának másolatát tárolják a root\ccm\locationservices
WMI-névtérben.
A hely például egy tanúsítványt ad ki a felügyeleti pontnak, amelyet a megbízható legfelső szintű kulcs titkos kulcsával ír alá. A webhely megosztja az ügyfelekkel a megbízható legfelső szintű kulcs nyilvános kulcsát. Ezután az ügyfelek megkülönböztethetik a hierarchiájukban lévő felügyeleti pontokat és a nem a hierarchiájukban lévő felügyeleti pontokat.
Az ügyfelek két mechanizmus használatával automatikusan megkapják a megbízható legfelső szintű kulcs nyilvános másolatát:
Kiterjesztheti a Configuration Manager Active Directory-sémáját, és közzéteheti a helyet az Active Directory Domain Servicesben. Ezután az ügyfelek lekérik ezt a helyadatokat egy globáliskatalógus-kiszolgálóról. További információ: Az Active Directory előkészítése a webhely közzétételére.
Ha az ügyfeleket az ügyfél leküldéses telepítési módszerével telepíti. További információ: Ügyfél leküldéses telepítése.
Ha az ügyfelek nem tudják lekérni a megbízható legfelső szintű kulcsot ezen mechanizmusok egyikével, megbíznak az első felügyeleti pont által biztosított megbízható legfelső szintű kulcsban, amellyel kommunikálnak. Ebben a forgatókönyvben előfordulhat, hogy egy ügyfél nem a támadó felügyeleti pontjára van irányítva, ahol szabályzatot kap a rosszindulatú felügyeleti ponttól. Ehhez a művelethez kifinomult támadóra van szükség. Ez a támadás arra a rövid időre korlátozódik, amíg az ügyfél lekéri a megbízható legfelső szintű kulcsot egy érvényes felügyeleti pontról. Ha csökkenteni szeretné annak kockázatát, hogy egy támadó tévesen irányítsa az ügyfeleket egy rosszindulatú felügyeleti pontra, előzetesen építse ki az ügyfeleket a megbízható legfelső szintű kulccsal.
A megbízható legfelső szintű kulcs kezelésével kapcsolatos további információkért és eljárásokért lásd: A biztonság konfigurálása.
Aláírás és titkosítás
Ha minden ügyfélkommunikációhoz PKI-tanúsítványokat használ, nem kell megterveznie az aláírást és a titkosítást az ügyfél-adatkommunikáció biztonságossá tételéhez. Ha olyan helyrendszereket állít be, amelyek IIS-t futtatnak a HTTP-ügyfélkapcsolatok engedélyezéséhez, döntse el, hogyan segíti a hely ügyfél-kommunikációjának védelmét.
Fontos
A Configuration Manager 2103-es verziójától kezdődően a HTTP-ügyfélkommunikációt engedélyező webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.
Az ügyfelek által a felügyeleti pontokra küldött adatok védelme érdekében megkövetelheti az ügyfelektől az adatok aláírását. Az aláíráshoz szükség lehet az SHA-256 algoritmusra is. Ez a konfiguráció biztonságosabb, de csak akkor igényel SHA-256-ot, ha az összes ügyfél támogatja. Számos operációs rendszer natív módon támogatja ezt az algoritmust, de a régebbi operációs rendszerekhez frissítésre vagy gyorsjavításra lehet szükség.
Az aláírás segít megvédeni az adatokat az illetéktelen módosítástól, a titkosítás pedig segít megvédeni az adatokat az információfelfedéstől. Engedélyezheti a titkosítást a leltáradatokhoz és az állapotüzenetekhez, amelyeket az ügyfelek a hely felügyeleti pontjaira küldenek. A beállítás támogatásához nem kell frissítéseket telepítenie az ügyfelekre. Az ügyfelek és a felügyeleti pontok nagyobb processzorhasználatot igényelnek a titkosításhoz és a visszafejtéshez.
Megjegyzés:
Az adatok titkosításához az ügyfél a felügyeleti pont titkosítási tanúsítványának nyilvános kulcsát használja. Csak a felügyeleti pont rendelkezik a megfelelő titkos kulccsal, így csak az adatok visszafejtésére képes.
Az ügyfél ezt a tanúsítványt a felügyeleti pont aláíró tanúsítványával indítja el, amelyet a hely megbízható legfelső szintű kulcsával indít el. Győződjön meg arról, hogy biztonságosan kiépítette a megbízható legfelső szintű kulcsot az ügyfeleken. További információ: A megbízható legfelső szintű kulcs.
További információ az aláírási és titkosítási beállítások konfigurálásáról: Aláírás és titkosítás konfigurálása.
Az aláíráshoz és titkosításhoz használt titkosítási algoritmusokkal kapcsolatos további információkért lásd a titkosítási vezérlők műszaki útmutatóját.
Szerepköralapú felügyelet
A Configuration Managerrel szerepköralapú felügyelettel biztosíthatja a hozzáférést, amelyet a rendszergazdáknak a Configuration Manager használatához kell használniuk. Emellett biztonságos hozzáférést biztosít a felügyelt objektumokhoz, például gyűjteményekhez, üzemelő példányokhoz és helyekhez.
A biztonsági szerepkörök, a biztonsági hatókörök és a gyűjtemények kombinációjával elkülönítheti a szervezet igényeinek megfelelő felügyeleti hozzárendeléseket. Együtt definiálják a felhasználók felügyeleti hatókörét . Ez a felügyeleti hatókör szabályozza azokat az objektumokat, amelyeket egy rendszergazda felhasználó megtekint a Configuration Manager-konzolon, és azokat az engedélyeket szabályozza, amelyekkel a felhasználó rendelkezik az adott objektumokon.
További információ: A szerepköralapú felügyelet alapjai.
Microsoft Entra ID
A Configuration Manager integrálható a Microsoft Entra-azonosítóval, hogy a hely és az ügyfelek modern hitelesítést használhassanak.
A Microsoft Entra-azonosítóról további információt a Microsoft Entra dokumentációjában talál.
A webhely Microsoft Entra ID azonosítóval való előkészítése a következő Configuration Manager-forgatókönyveket támogatja:
Ügyfélforgatókönyvek
Kiszolgálói forgatókönyvek
SMS-szolgáltató hitelesítése
Megadhatja, hogy a rendszergazdák milyen minimális hitelesítési szintet érhessenek el a Configuration Manager-webhelyekhez. Ez a funkció arra kényszeríti a rendszergazdákat, hogy a szükséges szinttel jelentkezzenek be a Windowsba, mielőtt hozzáférhetnének a Configuration Managerhez. Az SMS-szolgáltatóhoz hozzáférő összes összetevőre vonatkozik. Ilyenek például a Configuration Manager-konzol, az SDK-metódusok és a Windows PowerShell-parancsmagok.
A Configuration Manager a következő hitelesítési szinteket támogatja:
Windows-hitelesítés: Hitelesítés megkövetelése Active Directory-tartományi hitelesítő adatokkal. Ez a beállítás az előző és az aktuális alapértelmezett beállítás.
Tanúsítványhitelesítés: Hitelesítés megkövetelése egy megbízható PKI-hitelesítésszolgáltató által kiállított érvényes tanúsítvánnyal. Ezt a tanúsítványt nem konfigurálja a Configuration Managerben. A Configuration Manager megköveteli, hogy a rendszergazda PKI használatával legyen bejelentkezve a Windowsba.
Vállalati Windows Hello-hitelesítés: Olyan erős kétfaktoros hitelesítés megkövetelése, amely egy eszközhöz van kötve, és biometrikus adatokat vagy PIN-kódot használ. További információ: Vállalati Windows Hello.
Fontos
Ha ezt a beállítást választja, az SMS-szolgáltató és a felügyeleti szolgáltatás megköveteli, hogy a felhasználó hitelesítési jogkivonata tartalmazzon egy többtényezős hitelesítési (MFA) jogcímet a Vállalati Windows Hello szolgáltatásból. Más szóval a konzol, az SDK, a PowerShell vagy a felügyeleti szolgáltatás felhasználójának hitelesítenie kell magát a Windowsban a Vállalati Windows Hello PIN-kódjával vagy biometrikus azonosítójával. Ellenkező esetben a webhely elutasítja a felhasználó műveletét.
Ez a viselkedés a Vállalati Windows Hello esetében működik, nem a Windows Hello esetében.
A beállítás konfigurálásával kapcsolatos további információkért lásd: Az SMS-szolgáltató hitelesítésének konfigurálása.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: