A tartalomkezelésre vonatkozó biztonság és adatvédelem a Configuration Managerben
Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
![]() |
---|
Ez a témakör itt jelenik meg: a Deploying Software and Operating Systems in System Center 2012 Configuration Manager (Szoftverek és operációs rendszerek telepítése a System Center 2012 Configuration Managerrel) útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban. |
Ez a témakör a System Center 2012 Configuration Manager tartalomkezelésével kapcsolatos biztonsági és adatvédelmi tudnivalókat tartalmazza. Olvassa el ezeket a következő témakörökkel együtt:
A tartalomkezelés biztonsági védelmének bevált gyakorlata
Használja a tartalomkezelés biztonsági védelmének következő bevált gyakorlatát:
Bevált biztonsági gyakorlat |
További információ |
||
---|---|---|---|
Intraneten lévő terjesztési pontok esetén vegye figyelembe a HTTPS és a HTTP előnyeit és hátrányait. |
A HTTPS és a HTTP használata közötti különbségek terjesztési pontok esetén:
A HTTP és a hitelesítéshez a csomaghozzáférési fiókok használata a legtöbb esetben több védelmet biztosít, mint a HTTPS titkosítással de hitelesítés nélküli használata. Azonban, ha a tartalom olyan kényes adatokat tartalmaz, amelyeket az átvitelkor titkosítani kíván, használja a HTTPS protokollt. |
||
Ha a terjesztési pontnál a nyilvános kulcsú (PKI) ügyfélhitelesítési tanúsítványt használja az önaláírt tanúsítvány helyett, a tanúsítványfájlt (.pfx) erős jelszóval kell védeni. Ha ezt a fájlt hálózaton tárolja, védeni kell a hálózati csatornát, amikor a fájlt importálja a Configuration Manager alkalmazásba. |
Ha jelszó kell a felügyeleti pontokkal kommunikáló terjesztési pont által használt ügyfélhitelesítési tanúsítvány importálásához, ez segít megvédeni a tanúsítványt a támadóktól. A hálózati hely és a helykiszolgáló között használja az SMB-aláírást vagy az IPsec protokollt, hogy megakadályozza a tanúsítványfájl támadók általi illetéktelen módosítását. |
||
Távolítsa el a helykiszolgálóról a terjesztési ponti szerepkört. |
Alapértelmezésben a terjesztési pont ugyanarra a kiszolgálóra van telepítve, mint a helykiszolgáló. Az ügyfélgépeknek nem kell közvetlenül a helykiszolgálóval kommunikálni, ezért a támadási felület csökkentése érdekében a terjesztési ponti szerepkört rendelje más helyrendszerekhez, és távolítsa el a terjesztési pontról. |
||
A tartalom biztonságát biztosítsa a csomaghozzáférési szinten.
|
A terjesztési pont megosztása lehetővé teszi az olvasási hozzáférést minden felhasználó számára. Az egyes felhasználók tartalomhozzáférésének korlátozásához a csomaghozzáférési fiókokat kell használni, ha a terjesztési pontra a HTTP lett konfigurálva. További információ a csomaghozzáférési fiókról: Fiókok kezelése a csomagok tartalmának eléréséhez című rész, Tartalomkezelési tevékenység és karbantartása a Configuration Managerben témakör. |
||
Ha a Configuration Manager akkor telepíti az IIS szolgáltatásait, amikor terjesztési ponti helyrendszerszerepkört vesz fel, távolítsa el a HTTP átirányítást és az IIS-kezelés parancsfájljait és eszközeit amikor befejeződött a terjesztési pont telepítése. |
A terjesztési pont részére a HTTP átirányítás és az IIS-kezelés parancsfájljai és eszközei nem szükségesek. A támadási felület csökkentése érdekében távolítsa el ezeket a szerepköri szolgáltatásokat a webkiszolgálói (IIS) szerepkörből. További információ a terjesztési pont webkiszolgálói (IIS) szerepkörének szerepköri szolgáltatásairól: című rész, témakör.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq |
||
A csomaghozzáférési engedélyek beállítása a csomag létrehozásakor |
Mivel a csomagfájlokra vonatkozó hozzáférési fiókok megváltozása csak a csomag újraterjesztésekor lép érvénybe, a csomag első létrehozásakor körültekintően kell beállítani a csomaghozzáférési engedélyeket. Ez különösen fontos a következő esetekben:
|
||
Hozzon létre hozzáférés-vezérlést, hogy védje a manuálisan előkészített tartalmat tartalmazó adathordozót. |
A manuálisan előkészített tartalom tömörített, de nem titkosított. A támadó képes lehet olvasni és módosítani a fájlokat, amik aztán letöltődnek az eszközökre. A Configuration Manager ügyfélszoftverei elutasítják az illetéktelenül módosított tartalmat, de még letöltik. |
||
A manuálisan előkészített tartalom importálását azzal a parancssori ExtractContent eszközzel (ExtractContent.exe) végezze, amelyiket a Configuration Manager részeként kapott, és győződjön meg arról is, hogy azt a Microsoft aláírta. |
Az illetéktelen módosítás és a jogok kiterjesztésének elkerülése érdekében csak a Configuration Manager részeként kapott hitelesített parancssori eszközt használja. |
||
A helykiszolgáló és a csomag forráshelye közötti kommunikációs csatornát védeni kell. |
Az alkalmazások és csomagok létrehozásakor a helykiszolgáló és a csomag forráshelye között használja az IPsec vagy az SMB aláírásos protokollt. Ez segít megakadályozni a forrásfájlok támadó általi illetéktelen módosítását. |
||
Ha valamelyik terjesztési ponti szerepkör telepítése után úgy változtatja meg a helykonfigurálási lehetőséget, hogy az alapértelmezett webhely helyett egyéni webhelyet használjon, el kell távolítani az alapértelmezett virtuális könyvtárakat. |
A Configuration Manager nem távolítja el a régi virtuális könyvtárakat, amikor az alapértelmezett webhelyről egyéni webhely használatára vált. El kell távolítani az olyan virtuális könyvtárakat, amelyeket a Configuration Manager eredetileg az alapértelmezett webhely alatt hozott létre:
|
||
Az olyan felhő alapú terjesztési pontok esetén, amelyeknek az eleje Configuration Manager SP1: Védeni kell az előfizetési részleteket és tanúsítványokat |
A felhő alapú terjesztési pontok esetén védeni kell a következő nagy értékű elemeket:
A tanúsítványokat tárolja biztonságosan, és ha azokat a felhő alapú terjesztési ponton böngészi, a helyrendszer-kiszolgáló és a forráshely között használja az IPsec vagy az SMB aláírásos protokollt. |
||
Az olyan felhő alapú terjesztési pontok esetén, amelyeknek az eleje Configuration Manager SP1: A szolgáltatás folyamatossága érdekében figyelje a tanúsítványok lejárati idejét |
A Configuration Manager nem figyelmeztet, amikor a felhő alapú terjesztési pont szolgáltatásának felügyeletéhez importált tanúsítványok lejárati ideje már közel van. Az esedékes lejárati dátumokat a Configuration Manager alkalmazástól függetlenül kell figyelni, azt mindenképpen megújítani, majd a lejárat dátuma előtt importálni. Ez különösen fontos, ha a Configuration Manager felhő alapú terjesztési pont szolgáltatásának tanúsítványát külső hitelesítésszolgáltatótól (CA) vásárolta, mivel lehet, hogy több idő szükséges a megújított tanúsítvány megkapásához.
|
A tartalomkezelés biztonsági problémái
A tartalomkezelés a következő biztonsági kérdéseket veti fel:
Az ügyfélszoftverek addig nem ellenőrzik a tartalom érvényességét, amíg nincs letöltve.
A Configuration Manager ügyfélszoftverei a tartalom kivonatát (hash) csak azután ellenőrzik, hogy azok le lettek töltve az ügyfélgépük gyorsítótárába. Ha egy támadó illetéktelenül módosít a letöltendő fájlok listáján vagy magán a tartalmon, a letöltési folyamat az ügyfélnél figyelemre méltóan nagy sávszélességet vesz igénybe ahhoz, hogy megsemmisítse a tartalmat, ha érvénytelen kivonatba ütközik.
A felhő alapú terjesztési pontokon kezelt tartalom hozzáférését itt nem lehet felhasználókra vagy csoportokra korlátozni.
A Configuration Manager SP1 kiadásától kezdve a felhő alapú terjesztési pontok használatakor a tartalom hozzáférése automatikusan az Önök vállalatára korlátozódik, és azt Ön nem tudja tovább korlátozni kiválasztott felhasználókra vagy csoportokra.
A blokkolt ügyfél folytathatja a tartalom letöltését a felhő alapú terjesztési pontról még legfeljebb 8 óráig.
A Configuration Manager SP1 kiadásától kezdve a felhő alapú terjesztési pontok használatakor az ügyfeleket a felügyeleti pont hitelesíti, és a Configuration Manager tokenjét használja a felhő alapú terjesztési pontok eléréséhez. A token 8 óráig érvényes, és ha blokkolja az ügyfelet, mert már nem megbízható, az addig folytathatja a tartalom letöltését a felhő alapú terjesztési pontról, amíg a token érvényességi ideje nem jár le. Ezt a pontot elérve a felügyeleti pont nem ad ki másik tokent az ügyfélnek, mivel az blokkolt.
A blokkolt ügyfél letöltésének 8 órán belüli megakadályozásához le lehet állítani a felhő alapú szolgáltatást a Configuration Manager konzolon az Adminisztráció munkaterületen a Felhő csomópontból a Hierarchiakonfiguráció használatával. További információ: A Configuration Manager felhőalapú szolgáltatásainak felügyelete.
Adatvédelmi információ a tartalomkezeléshez
A Configuration Manager nem vesz be semmilyen felhasználói adatot a tartalomfájlokba, bár egy rendszergazda felhasználó megteheti azt.
A tartalomkezelés konfigurálása előtt gondolja át az adatvédelmi követelményeit.