Biztonság tervezése a Configuration Manager alkalmazásban
Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Megjegyzés |
---|
Ez a témakör itt jelenik meg: a Site Administration for System Center 2012 Configuration Manager (A System Center 2012 Configuration Manager-helyek felügyelete) útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban. |
A következő részek a Microsoft System Center 2012 Configuration Manager biztonságának tervezéséhez nyújtanak segítséget.
A tanúsítványok tervezése (önaláírt és PKI)
A PKI-tanúsítványok visszavonásának tervezése
A megbízható PKI-főtanúsítványok és a tanúsítványkibocsátók listájának tervezése
A PKI-ügyféltanúsítvány kiválasztásának tervezése
Áttérési stratégia tervezése a PKI-tanúsítványokhoz és az internetalapú ügyfélfelügyelethez
A megbízható legfelső szintű kulcs tervezése
Az aláírás és a titkosítás tervezése
Szerepköralapú felügyelet tervezése
Ezenkívül tekintse át a következő részeket is: Helyfelügyelet biztonsága és adatvédelme a Configuration Manager alkalmazásban.
További információ a Configuration Manager által használt tanúsítványokról és titkosítási funkciókról: Műszaki útmutató a Configuration Managerben használt titkosítási funkciókhoz.
A tanúsítványok tervezése (önaláírt és PKI)
A Configuration Manager önaláírt tanúsítványokat és nyilvános kulcsokra épülő infrastruktúrájú (PKI) tanúsítványokat is használ.
Legjobb biztonsági megoldásként használjon PKI-tanúsítványokat, amikor csak lehetséges. További információ a nyilvános kulcsú infrastruktúra tanúsítványainak követelményeiről: PKI-tanúsítványkövetelmények a Configuration Managerben. Amikor a Configuration Manager PKI-tanúsítványokat igényel, például a mobileszközök beléptetése vagy az AMT kiépítés során, az Active Directory tartományi szolgáltatásokat és vállalati hitelesítésszolgáltatót kell használnia. A többi PKI-tanúsítvány esetében a Configuration Manager alkalmazástól függetlenül kell telepítenie és felügyelnie azokat.
PKI-tanúsítványokra van szükség akkor is, amikor az ügyfélszámítógépek internetalapú helyrendszerekhez csatlakoznak, és akkor is ilyen tanúsítványokat ajánlott választani, amikor az ügyfelek az Internet Information Services (IIS) rendszert futtató helyrendszerekhez csatlakoznak. További információ az ügyfél-kommunikáció beállításairól: Az ügyfél-kommunikáció tervezése a Configuration Manager alkalmazásban.
Amikor PKI-tanúsítványt használ, az IPsec protokoll használatával teheti biztonságossá a helyek helyrendszerei és a helyek közötti kiszolgáló-kiszolgáló kommunikációt, illetve minden olyan egyéb kommunikációt, amelynek során adatátvitel történik a számítógépek között. Az IPsec protokollt a Configuration Manager alkalmazástól függetlenül kell konfigurálnia és alkalmaznia.
A Configuration Manager automatikusan elő tud állítani önaláírt tanúsítványokat, amikor nem érhetők el PKI-tanúsítványok, és a Configuration Manager néhány tanúsítványa mindig el van látva saját aláírással. Az esetek többségében a Configuration Manager automatikusan felügyeli az önaláírt tanúsítványokat, Önnek nincs további teendője. Az egyetlen lehetséges kivétel a helykiszolgáló aláíró tanúsítványa. A helykiszolgáló aláíró tanúsítványa mindig önaláírt tanúsítvány, és azt igazolja, hogy az ügyfelek által a felügyeleti pontról letöltött ügyfélházirendek a helykiszolgálóról származnak, és nem lettek illetéktelenül módosítva.
A helykiszolgáló aláíró tanúsítványának tervezése (önaláírt tanúsítvány)
Az ügyfelek a helykiszolgáló aláíró tanúsítványát biztonságosan beszerezhetik az Active Directory tartományi szolgáltatásokból és az ügyfélleküldéses telepítésből. Ha az ügyfelek ezekkel a mechanizmusokkal nem tudnak hozzájutni a helykiszolgáló aláíró tanúsítványához, legjobb biztonsági megoldásként az ügyfél telepítésekor telepítse a helykiszolgáló aláíró tanúsítványának példányát. Ez különösen akkor fontos, amikor az ügyfél első kommunikációja a hellyel az interneten történik, mivel ekkor a felügyeleti pont nem megbízható hálózathoz csatlakozik, emiatt ki van téve a támadások veszélyének. Ha nem hajtja végre ezt a kiegészítő lépést, az ügyfelek automatikusan letöltik a felügyeleti pontról a helykiszolgáló aláíró tanúsítványának példányát.
Az ügyfelek a következő helyzetekben nem tudnak biztonságosan hozzájutni a helykiszolgáló tanúsítványához:
Az ügyfelet nem ügyfélleküldéssel telepíti, és igaz az alábbi feltételek bármelyike:
Az Active Directory-séma nincs kiterjesztve a Configuration Manager alkalmazásra.
Az ügyfél helye nincs közzétéve az Active Directory tartományi szolgáltatásokban.
Az ügyfél nem megbízható erdőhöz vagy munkacsoporthoz tartozik.
Akkor telepíti az ügyfelet, amikor az az interneten található.
A következő eljárással telepítheti az ügyfeleket a helykiszolgáló aláíró tanúsítványával együtt.
Az ügyfelek telepítése a helykiszolgáló aláíró tanúsítványával együtt
-
Az ügyfél elsődleges helykiszolgálóján keresse meg a helykiszolgáló aláíró tanúsítványát. Ezt a tanúsítványt az SMS tanúsítványtároló tárolja, a tulajdonos neve Helykiszolgáló, rövid neve pedig Helykiszolgáló aláíró tanúsítványa.
-
Exportálja a tanúsítványt a titkos kulcs nélkül, tárolja biztonságos helyen a fájlt, és csak biztonságos csatornán keresztül férjen hozzá (például SMB-aláírás vagy az IPsec használatával).
-
Telepítse az ügyfelet a CCMSetup.exe használatával úgy, hogy megadja a Client.msi SMSSIGNCERT=<Teljes elérési út és fájlnév> tulajdonságát.
A PKI-tanúsítványok visszavonásának tervezése
Amikor PKI-tanúsítványokat használ a Configuration Manager alkalmazással, tervezze meg, hogy az ügyfelek és kiszolgálók használjanak-e tanúsítvány-visszavonási listát (CRL) a csatlakozó számítógépen lévő tanúsítvány ellenőrzéséhez. A tanúsítvány-visszavonási lista (CRL) a hitelesítésszolgáltató által létrehozott és aláírt fájl, amely a kiállított, de visszavont tanúsítványok listáját tartalmazza. A tanúsítványokat a hitelesítésszolgáltató rendszergazdája vonhatja vissza, például olyankor, amikor egy kiállított tanúsítványról tudható vagy gyanítható, hogy illetéktelenül módosították.
Fontos! |
---|
Mivel a tanúsítvány-visszavonási lista helyét a rendszer akkor adja meg a tanúsítványban, amikor a hitelesítésszolgáltató kiállítja a tanúsítványt, tervezze meg, hogyan fogja használni a tanúsítvány-visszavonási listát, mielőtt telepíti azokat a PKI-tanúsítványokat, amelyeket a Configuration Manager használni fog. |
Alapértelmezés szerint az IIS mindig ellenőrzi az ügyféltanúsítványokat a tanúsítvány-visszavonási listában, és ez a konfiguráció nem módosítható a Configuration Manager alkalmazásban. A Configuration Manager-ügyfelek alapértelmezés szerint mindig ellenőrzik a helyrendszereket is a tanúsítvány-visszavonási listában, de ezt a beállítást letilthatja egy helytulajdonság és egy CCMSetup tulajdonság megadásával. Amikor Intel AMT-alapú számítógépek sávon kívüli felügyeletét végzi, a tanúsítvány-visszavonási listához beállíthatja a sávon kívüli szolgáltatási pont és a sávon kívüli felügyeleti konzolt futtató számítógépek ellenőrzését is.
Ha a számítógépek használják a tanúsítvány-visszavonás ellenőrzését, de nem találják a tanúsítvány-visszavonási listát, úgy fognak működni, mintha a tanúsítványláncban lévő összes tanúsítvány vissza lenne vonva, mivel nem tudják ellenőrizni, hogy a tanúsítványok nincsenek rajta a listán. Ebben az esetben sikertelen lesz az összes olyan kapcsolat, amely tanúsítványt igényel és tanúsítvány-visszavonási listát használ.
A tanúsítvány-visszavonási lista minden alkalommal történő ellenőrzése nagyobb védelmet kínál a visszavont tanúsítványokkal szemben, de csatlakozási késedelmet és feldolgozási többletet eredményez az ügyfélen. Ezt a kiegészítő biztonsági ellenőrzést akkor érdemes beállítania, ha az ügyfelek az interneten vagy nem megbízható hálózatban vannak.
Kérje a PKI-rendszergazdák tanácsát, mielőtt eldönti, hogy a Configuration Manager-ügyfeleknek kell-e ellenőrizniük a tanúsítvány-visszavonási listát, és fontolja meg a beállítás engedélyezését a Configuration Manager alkalmazásban, ha igaz mindkét következő feltétel:
A PKI-infrastruktúra támogatja a tanúsítvány-visszavonási listát, és az olyan helyen van közzétéve, ahol az összes Configuration Manager-ügyfél meg tudja találni. Ne feledje, hogy ebbe beletartozhatnak az interneten lévő ügyfelek is, ha internetalapú ügyfélfelügyeletet használ, valamint a nem megbízható erdőkben található ügyfelek is.
Az a követelmény, amely szerint a tanúsítvány-visszavonási listát a PKI-tanúsítványok használatára beállított helyrendszerekre irányuló összes kapcsolatnál ellenőrizni kell, magasabb szintű követelmény, mint a gyorsabb kapcsolatok és a hatékony feldolgozás az ügyfélen, és magasabb szintű annál a kockázatnál is, hogy az ügyfelek nem tudnak csatlakozni a kiszolgálókhoz, ha nem találják a tanúsítvány-visszavonási listát.
A megbízható PKI-főtanúsítványok és a tanúsítványkibocsátók listájának tervezése
Ha az IIS-helyrendszerei PKI-ügyféltanúsítványokat használnak az ügyfél-hitelesítéshez a HTTP protokollon vagy az ügyfél-hitelesítéshez és a titkosításhoz a HTTPS protokollon, előfordulhat, hogy a hitelesítésszolgáltató főtanúsítványát helytulajdonságként kell importálnia. A két említett helyzet a következő:
Az operációs rendszerek központi telepítését a Configuration Manager használatával végzi, és a felügyeleti pontok csak HTTPS-ügyfélkapcsolatokat fogadnak el.
Olyan PKI-ügyféltanúsítványokat használ, amelyek nincsenek hozzákapcsolva a felügyeleti pontokon megbízhatónak minősülő hitelesítésszolgáltatói főtanúsítványhoz.
Megjegyzés Amikor attól a hitelesítésszolgáltatótól származó PKI-ügyféltanúsítványokat állít ki, amelyik a felügyeleti pontokhoz használt kiszolgálói tanúsítványokat állítja ki, akkor nem kell megadnia ezt a főtanúsítványt. Ha azonban több hitelesítésszolgáltatói hierarchiát használ, és nem biztos abban, hogy ezek megbízhatónak minősítik-e egymást, importálja a legfelső szintű hitelesítésszolgáltatót az ügyfelek hitelesítésszolgáltatói hierarchiájába.
Ha importálnia kell a főtanúsítványokat a Configuration Manager számára, exportálja azokat a kiállító hitelesítésszolgáltatóról vagy az ügyfélszámítógépről. Ha a tanúsítványt a kiállító hitelesítésszolgáltatóról exportálja, és az egyúttal a legfelső szintű hitelesítésszolgáltató is, ügyeljen arra, hogy a titkos kulcsot ne exportálja. Az exportált tanúsítványfájlt biztonságos helyen tárolja, hogy megakadályozza az illetéktelen módosítását. A fájlhoz hozzá kell férnie, amikor a helyet konfigurálja, ezért ha a hálózaton keresztül fér hozzá a fájlhoz, a kommunikáció védelméhez használjon SMB-aláírást vagy az IPsec protokollt.
Ha az importált főtanúsítványok bármelyikét meg kellett újítani, importálnia kell a megújított tanúsítványokat.
Ezek az importált főtanúsítványok és az egyes felügyeleti pontok főtanúsítványai alkotják a tanúsítványkibocsátók listáját, amelyet a Configuration Manager számítógépei a következőképpen használnak:
Amikor az ügyfelek csatlakoznak a felügyeleti pontokhoz, a felügyeleti pont ellenőrzi, hogy az ügyféltanúsítvány megbízható főtanúsítványhoz kapcsolódik-e a hely tanúsítványkibocsátói listájában. Ha nem, akkor a felügyeleti pont elutasítja a tanúsítványt, és nem lehet létrehozni a PKI-kapcsolatot.
Amikor az ügyfelek PKI-tanúsítványt választanak, a tanúsítványkibocsátók listájának rendelkezésre állása esetén olyan tanúsítványt választanak, amely megbízható főtanúsítványhoz kapcsolódik a tanúsítványkibocsátók listájában. Ha nem találnak ilyen tanúsítványt, az ügyfelek nem választanak PKI-tanúsítványt. További információt az ügyféltanúsítvány kiválasztásáról a jelen témakör A PKI-ügyféltanúsítvány kiválasztásának tervezése című szakaszában talál.
A helykonfigurációtól függetlenül előfordulhat, hogy főtanúsítványt kell importálnia, amikor mobileszközöket vagy Mac számítógépeket léptet be, vagy amikor Intel AMT-alapú számítógépeket kell kiépítenie vezeték nélküli hálózatokhoz.
A PKI-ügyféltanúsítvány kiválasztásának tervezése
Ha az IIS-helyrendszerei PKI-ügyféltanúsítványokat fognak használni az ügyfél-hitelesítéshez a HTTP protokollon és az ügyfél-hitelesítéshez és a titkosításhoz a HTTPS protokollon, tervezze meg, hogy a Windows rendszerű ügyfelek hogyan fogják kiválasztani a Configuration Manager alkalmazáshoz használandó tanúsítványt.
Megjegyzés |
---|
Nem minden eszköz támogatja a tanúsítványválasztás módszerét, ezek az eszközök automatikusan a tanúsítványra vonatkozó követelményeknek megfelelő első tanúsítványt választják ki. Például a Mac számítógépeken és a mobileszközökön futó ügyfelek nem támogatják a tanúsítványválasztás módszerét. |
Sok esetben elegendő az alapértelmezett konfiguráció és működés. A Windows rendszerű számítógépeken futó Configuration Manager-ügyfél a következő feltételek alapján szűri ki a tanúsítványokat:
A tanúsítványkibocsátók listája: A tanúsítvány a felügyeleti pont által megbízhatónak minősített főtanúsítványhoz kapcsolódik.
A tanúsítvány az alapértelmezett Személyes tanúsítványtárolóban található.
A tanúsítvány érvényes, nincs visszavonva és nem járt le. Az érvényesség ellenőrzése magában foglalja a titkos kulcs elérhetőségének megállapítását, valamint annak megállapítását, hogy a tanúsítvány nem 3-as verziójú tanúsítványsablonnal készült-e, ugyanis ez nem kompatibilis a Configuration Manager alkalmazással.
A tanúsítvány rendelkezik ügyfél-hitelesítési funkcióval, vagy a számítógép nevére van kiállítva.
A tanúsítvány a leghosszabb érvényességi idővel rendelkezik.
Az ügyfelek a következő műveletekkel állíthatók be a tanúsítványkibocsátók listájának használatára:
A Configuration Manager helyinformációjaként van közzétéve az Active Directory tartományi szolgáltatásokban.
Az ügyfelek telepítése ügyfélleküldéssel történik.
Az ügyfelek letöltik a felügyeleti pontról, miután sikeresen hozzá lettek rendelve a helyükhöz.
Az ügyfél telepítésekor van megadva a CCMSetup client.msi CCMCERTISSUERS tulajdonságaként.
Ha az ügyfelek az első telepítésük közben nem rendelkeznek tanúsítványkibocsátói listával, és még nincsenek hozzárendelve a helyhez, akkor kihagyják ezt az ellenőrzést. Amikor rendelkeznek tanúsítványkibocsátói listával, és nincs olyan PKI-tanúsítványuk, amely megbízható főtanúsítványhoz kapcsolódik a tanúsítványkibocsátók listájában, akkor a tanúsítványválasztás sikertelen lesz, és az ügyfelek nem folytatják a műveletet a többi tanúsítványválasztási feltétellel.
Az esetek többségében a Configuration Manager-ügyfél helyesen ismeri fel a használandó egyedi és megfelelő PKI-tanúsítványt. Ha azonban ez nem sikerül, az ügyfél-hitelesítési funkción alapuló tanúsítványválasztás helyett két másik módszert konfigurálhat:
Részleges karakterlánc-egyezés a tanúsítvány Tulajdonos neve mezőjében. Ebben az esetben nem számít különbségnek a kis- és nagybetűs írásmód, és akkor alkalmazható, ha a mezőben egy számítógép teljes tartományneve van megadva, és a tanúsítványválasztáshoz a tartományutótagot szeretné használni, például contoso.com. Ezzel a választási módszerrel bármely olyan karaktersorozatot azonosíthat a tanúsítvány Tulajdonos neve mezőjében lévő értéken belül, amely megkülönbözteti a tanúsítványt a tanúsítványtárolóban lévő többi tanúsítványtól.
Megjegyzés A részleges karakterlánc-egyeztetés nem használható a Tulajdonos alternatív neve helybeállítással. Bár a CCMSetup eszközzel megadhat részleges karakterlánc-egyeztetést a tulajdonos alternatív nevéhez, a hely tulajdonságai ezt a következő esetekben felül fogják írni:
Ha az ügyfelek az Active Directory tartományi szolgáltatásokban közzétett helyinformációkat kérnek le.
Ha az ügyfelek telepítése ügyfélleküldéssel történik.
Csak akkor használjon részleges karakterlánc-egyeztetést a tulajdonos alternatív nevében, ha manuális módszerrel telepít ügyfeleket, és ha az ügyfelek nem kérnek le helyinformációkat az Active Directory tartományi szolgáltatásokból. Ilyenek például a csak internetes ügyfelek.
Egyeztetés az ügyféltanúsítvány tulajdonosnevének vagy a tulajdonos alternatív nevének attribútumértékeivel. Ez az egyeztetési módszer különbséget tesz a kis- és nagybetűk között, és akkor biztosít megfelelő megoldást, ha X500 típusú megkülönböztető nevet vagy ezzel egyenértékű objektumazonosítót használ az RFC 3280 szabványnak megfelelően, és szeretné, hogy a tanúsítványkiválasztás az attribútumértékek alapján történjen. Csak azokat az attribútumokat és -értékeket kell megadnia, amelyek szükségesek a tanúsítvány egyedi azonosításához vagy érvényesítéséhez, illetve a tanúsítvány megkülönböztetéséhez a tanúsítványtár többi tagjától.
Az alábbi táblázatban szerepelnek a Configuration Managerben az ügyféltanúsítvány kiválasztási szempontjaként használható attribútumértékek.
Objektumazonosító attribútuma |
Megkülönböztető név attribútuma |
Attribútumdefiníció |
---|---|---|
0.9.2342.19200300.100.1.25 |
DC |
Tartomány-összetevő |
1.2.840.113549.1.9.1 |
E vagy E-mail |
E-mail cím |
2.5.4.3 |
CN |
Köznapi név |
2.5.4.4 |
SN |
Tulajdonos neve |
2.5.4.5 |
SERIALNUMBER |
Sorozatszám |
2.5.4.6 |
C |
Országkód |
2.5.4.7 |
L |
Helység |
2.5.4.8 |
S vagy ST |
Állam vagy megye neve |
2.5.4.9 |
STREET |
Utca, házszám |
2.5.4.10 |
O |
Szervezetnév |
2.5.4.11 |
OU |
Szervezeti egység |
2.5.4.12 |
T vagy Title |
Beosztás |
2.5.4.42 |
G vagy GN vagy GivenName |
Utónév |
2.5.4.43 |
I vagy Initials |
Monogram |
2.5.29.17 |
(nincs érték) |
Tulajdonos alternatív neve |
Ha a rendszer a kiválasztási feltétel alkalmazása után több megfelelő tanúsítványt is talál, felülbírálható az alapértelmezett konfiguráció, amely a leghosszabb ideig érvényes tanúsítványt választja, helyette pedig beállítható, hogy a rendszer ne válasszon tanúsítványt. Ebben az esetben az ügyfél nem tud majd PKI-tanúsítvány használatával kommunikálni IIS-helyrendszerekkel. Az ügyfél a hozzárendelt tartalék állapotkezelő pontra küldött hibaüzenettel ad értesítést a tanúsítványkiválasztás hibájáról, így módosíthatja vagy pontosíthatja a tanúsítványválasztási feltételeket. Ebben az esetben az ügyfél viselkedése attól függ, hogy a sikertelen kapcsolódás HTTPS- vagy HTTP-kapcsolaton keresztül történt-e:
Ha a sikertelen kapcsolódás HTTPS protokollal történt: Az ügyfél megpróbál HTTP-kapcsolaton keresztül csatlakozni, és az ügyfél önaláírt tanúsítványát használja.
Ha a sikertelen kapcsolódás HTTP protokollal történt: Az ügyfél megpróbál újabb HTTP-kapcsolatot létesíteni az önaláírt ügyféltanúsítvány használatával.
A Számítógép alapértelmezett Személyes tárolója helyett egyéni tárolót is megadhat az egyedi PKI-ügyféltanúsítvány azonosításának megkönnyítésére. Ezt a tárolót ugyanakkor a Configuration Managertől függetlenül kell létrehoznia, és képesnek kell lennie tanúsítványokat telepítenie az egyéni tárolóba, majd megújítani őket az érvényességi idejük lejárata előtt.
Az ügyféltanúsítványok beállításainak konfigurálásáról a következő témakör Beállítások konfigurálása PKI-ügyféltanúsítványokhoz című szakaszban tájékozódhat: A biztonság konfigurálása a Configuration Managerben.
Áttérési stratégia tervezése a PKI-tanúsítványokhoz és az internetalapú ügyfélfelügyelethez
A Configuration Manager rugalmas konfigurációs beállításai lehetővé teszik a fokozatos áttérést a PKI-tanúsítványok használatára az ügyfelekkel és a hellyel az ügyfélvégpontok biztonságának fokozása érdekében. A PKI-tanúsítványok nagyobb biztonságot nyújtanak, és lehetővé teszik az ügyfelek felügyeletét az interneten.
A Configuration Manager sokrétű konfigurációs beállításai és lehetőségei miatt nem lehet egyetlen konkrét módszert meghatározni a HTTPS-kapcsolatra való áttéréshez minden ügyféllel egy adott helyen. Az alábbi lépések ugyanakkor iránymutatásként szolgálhatnak ehhez:
Telepítse a Configuration Manager-helyet, majd konfigurálja úgy, hogy a helyrendszerek HTTPS- és HTTP-alapú ügyfélkapcsolatokat egyaránt fogadjanak.
A hely tulajdonságai között az Ügyfélszámítógép-kommunikáció lapon a Helyrendszer beállítása értékeként HTTP vagy HTTPS értéket adjon meg, és jelölje be a PKI-ügyféltanúsítvány használata (ügyfél-hitelesítési képesség), ha elérhető négyzetet. Igény szerint konfigurálja a lap egyéb beállításait. További információ: Beállítások konfigurálása PKI-ügyféltanúsítványokhoz című rész, A biztonság konfigurálása a Configuration Managerben témakör.
Próbaüzemben vezesse be a PKI-ügyféltanúsítványok használatát. A következő témakör Az ügyféltanúsítvány központi telepítése Windows rendszerű számítógépeken című szakasza egy példával szemlélteti a telepítést: Példa a Configuration Manager PKI tanúsítványainak központi telepítési lépéseire: Windows Server 2008 tanúsítványszolgáltató.
Ügyfélleküldéses módszerrel telepítse az ügyfeleket. További információ: A Configuration Manager-ügyfelek telepítése ügyfélleküldés használatával című rész, Ügyfélszoftverek telepítése Windows-alapú számítógépekre a Configuration Manager segítségével témakör.
A Configuration Manager konzol jelentéseivel és információival figyelje az ügyfelek központi telepítését és állapotát.
Az Eszközök csomópont Eszközök és megfelelőség munkaterületén az Ügyféltanúsítvány oszlopban kísérje figyelemmel, hogy hány ügyfél használ PKI-tanúsítványt.
Emellett a Configuration Manager HTTPS Readiness Assessment eszközt (cmHttpsReadiness.exe) is telepítheti a számítógépekre, és a jelentéseken megtekintheti, hogy hány számítógép képes PKI-ügyféltanúsítványt használni a Configuration Managerrel.
Megjegyzés A Configuration Manager-ügyfél telepítésekor a rendszer a számítógép %windir%\CCM mappájába telepíti a cmHttpsReadiness.exe eszközt. Amikor ügyfélen futtatja az eszközt, az alábbi kapcsolókat használhatja:
/Store:<név>
/Issuers:<lista>
/Criteria:<feltételek>
/SelectFirstCert
Ezek a kapcsolók a CCMCERTSTORE, a CCMCERTISSUERS, a CCMCERTSEL, illetve a CCMFIRSTCERT Client.msi-tulajdonságok hozzárendelésére szolgálnak. További információ a kapcsolókról: Információ a Configuration Manager ügyféltelepítési tulajdonságairól.
Ha meggyőződött arról, hogy elegendő számú ügyfél használja sikeresen PKI-ügyféltanúsítványát HTTP-hitelesítésre, tegye a következőket:
Telepítsen webkiszolgálói PKI-tanúsítványt egy tagkiszolgálóra, amely kiegészítő felügyeleti pontot fog futtatni a helyhez, majd konfigurálja a tanúsítványt az IIS-ben. További információ: A webkiszolgáló-tanúsítvány telepítése az IIS-t futtató helyrendszereken című rész, Példa a Configuration Manager PKI tanúsítványainak központi telepítési lépéseire: Windows Server 2008 tanúsítványszolgáltató témakör.
Telepítse a felügyeleti pont szerepkört ezen a kiszolgálón, majd a felügyeleti pont tulajdonságai között állítsa az Ügyfélkapcsolatok beállítást HTTPS értékre.
Győződjön meg arról, hogy a PKI-tanúsítvánnyal rendelkező ügyfelek az új felügyeleti pontot használják HTTPS-kapcsolaton keresztül. Ennek ellenőrzéséhez használhatja az IIS naplóit vagy teljesítményszámlálóit.
Konfigurálja újra a többi helyrendszerszerepkört HTTPS-alapú ügyfélkapcsolatok használatára. Ha az interneten szeretné felügyelni az ügyfeleket, győződjön meg arról, hogy a helyrendszerek internetes teljes tartománynévvel (FQDN) rendelkeznek, és konfiguráljon külön felügyeleti és terjesztési pontokat az internetről érkező ügyfélkapcsolatok fogadására.
Fontos! Mielőtt a helyrendszerszerepkörökön beállítaná az internetről érkező kapcsolatok fogadását, olvassa el az internetalapú ügyfélfelügyeletre vonatkozó tervezési információkat és előfeltételeket. További információ: Az internetalapú ügyfélfelügyelet tervezése című rész, A kommunikáció tervezése a Configuration Manager alkalmazásban témakör.
Folytassa a PKI-tanúsítványok bevezetését az ügyfeleken és az IIS-t futtató helyrendszereken, és állítsa be a helyrendszerszerepköröket HTTPS-alapú ügyfélkapcsolatokra és internetes kapcsolatokra, igény szerint.
A maximális biztonság érdekében: Ha biztos abban, hogy minden ügyfél PKI-tanúsítványt használ hitelesítésre és titkosításra, módosítsa a hely tulajdonságait csak HTTPS-kapcsolatok fogadására.
Ha ezt az eljárást követi a PKI-tanúsítványok fokozatos bevezetéséhez – tehát először a csak HTTP-alapú hitelesítéshez, majd a HTTPS-alapú hitelesítéshez és titkosításhoz –, azzal csökken a kockázata annak, hogy az ügyfelek felügyelet nélkül maradnak; emellett a Configuration Managerrel lehetséges legmagasabb szintű biztonság előnyeit élvezheti.
A megbízható legfelső szintű kulcs tervezése
A Configuration Managerben a Configuration Manager-ügyfelek a megbízható legfelső szintű kulccsal ellenőrizhetik, hogy az egyes helyrendszerek saját hierarchiájukhoz tartoznak-e. Minden helykiszolgáló generál egy helycserekulcsot a többi hellyel való kommunikációhoz. A megbízható legfelső szintű kulcs a hierarchia legfelső szintű helyétől származó helycserekulcs.
A megbízható legfelső szintű kulcs a Configuration Managerben funkcionalitás tekintetében a nyilvános kulcsú infrastruktúra főtanúsítványára hasonlít abban az értelemben, hogy a megbízható legfelső szintű kulcs titkos kulcsával aláírt minden elem megbízhatóvá válik a hierarchia valamennyi alsóbb szintjén. Tehát ha például a felügyeleti pont tanúsítványa alá van írva a megbízható legfelső szintű kulcspár titkos kulcsával, és az ügyfelek számára elérhető a megbízható legfelső szintű kulcspár nyilvános kulcsának egy példánya, az ügyfelek képesek megkülönböztetni a saját hierarchiájukhoz tartozó és az azon kívüli felügyeleti pontokat. Az ügyfelek a WMI segítségével tárolják a megbízható legfelső szintű kulcs másolatát a root\ccm\locationservices névtérben.
Az ügyfelek kétféle módon képesek automatikusan lekérni a megbízható legfelső szintű kulcs nyilvános példányát:
Ha az Active Directory-séma ki van bővítve a Configuration Managerre, és a hely közzé van téve az Active Directory tartományi szolgáltatásokban, az ügyfelek egy globáliskatalógus-kiszolgálóról lekérhetik ezeket a helyinformációkat.
Az ügyfelek telepítése ügyfélleküldéssel történik.
Ha az ügyfelek nem tudják lekérni a megbízható legfelső szintű kulcsot a fenti módszerek egyikével, azt a megbízható legfelső szintű kulcsot fogják használni, amelyet a velük először kapcsolatba lépő felügyeleti pont biztosít számukra. Ebben a helyzetben fennáll a veszélye, hogy az ügyfelet egy támadó felügyeleti pontjához irányítják, ahol a rosszindulatú felügyeleti pont házirendét kapja meg. Ehhez ugyanakkor igen kifinomult támadás szükséges, amely csak korlátozott ideig mehet végbe, mielőtt az ügyfél egy érvényes felügyeleti pontról lekérné a megbízható legfelső szintű kulcsot. Ha azonban az ügyfeleket előre ellátja a megbízható legfelső szintű kulccsal, csökkentheti a kockázatát annak, hogy egy esetleges támadó rosszindulatú felügyeleti pontra irányítsa át az ügyfeleket.
Az alábbi módszereket veheti igénybe a Configuration Manager-ügyfelek előzetes ellátásához a megbízható legfelső szintű kulccsal, majd a kulcs ellenőrzéséhez:
Az ügyfél előre ellátása a megbízható legfelső szintű kulccsal fájl segítségével.
Az ügyfél előre ellátása a megbízható legfelső szintű kulccsal fájl nélkül.
A megbízható legfelső szintű kulcs ellenőrzése az ügyfélen.
Megjegyzés |
---|
Nem kell előre ellátnia az ügyfeleket a megbízható legfelső szintű kulccsal, ha a kulcsot az ügyfelek lekérhetik az Active Directory tartományi szolgáltatásokból, vagy ha telepítésük ügyfélleküldéses módszerrel történt. Emellett akkor sem kell előre ellátnia az ügyfeleket, ha HTTPS-alapú kommunikációt folytatnak a felügyeleti ponttal, mivel a megbízható kapcsolat kialakítása ebben az esetben PKI-tanúsítvánnyal történik. |
A megbízható legfelső szintű kulcs a RESETKEYINFORMATION = TRUE Client.msi-tulajdonsággal távolítható el az ügyfelekről a CCMSetup.exe segítségével. A megbízható legfelső szintű kulcs cseréjéhez telepítse újra az ügyfelet az új kulccsal, például ügyfélleküldéses módszerrel, vagy az SMSPublicRootKey Client.msi-tulajdonság CCMSetup.exe eszközzel történő megadásával.
Ügyfél előre ellátása a megbízható legfelső szintű kulccsal fájl használatával
-
Nyissa meg a <Configuration Manager-könyvtár>\bin\mobileclient.tcf fájlt egy szövegszerkesztőben.
-
Keresse meg az SMSPublicRootKey= bejegyzést, másolja a vágólapra a kulcsot a sorból, majd zárja be a fájlt módosítás nélkül.
-
Hozzon létre egy új szövegfájlt, majd illessze be a mobileclient.tcf fájlból másolt kulcsot.
-
Mentse a fájlt olyan helyre, ahol minden számítógép hozzáférhet, ugyanakkor legyen védett az illetéktelen módosítással szemben.
-
Telepítse az ügyfelet bármely olyan telepítési módszerrel, amely támogatja a Client.msi-tulajdonságokat, és adja meg a következőt: SMSROOTKEYPATH=<Teljes elérési út és fájlnév>.
Fontos! Ha az ügyfél telepítése során a fokozott biztonság érdekében a megbízható legfelső szintű kulcsot is megadja, abban az esetben a helykódot is meg kell határoznia az SMSSITECODE=<helykód> Client.msi-tulajdonsággal.
Ügyfél előre ellátása a megbízható legfelső szintű kulccsal fájl nélkül
-
Nyissa meg a <Configuration Manager-könyvtár>\bin\mobileclient.tcf fájlt egy szövegszerkesztőben.
-
Keresse meg az SMSPublicRootKey= bejegyzést, jegyezze fel vagy másolja a vágólapra a kulcsot a sorból, majd zárja be a fájlt módosítások nélkül.
-
Telepítse az ügyfelet bármely olyan telepítési módszerrel, amely támogatja a Client.msi-tulajdonságokat, és adja meg a következőt: SMSPublicRootKey=<kulcs>, ahol a <kulcs> a mobileclient.tcf fájlból másolt karakterláncot jelenti.
Fontos! Ha az ügyfél telepítése során a fokozott biztonság érdekében a megbízható legfelső szintű kulcsot is megadja, abban az esetben a helykódot is meg kell határoznia az SMSSITECODE=<helykód> Client.msi-tulajdonsággal.
A megbízható legfelső szintű kulcs ellenőrzése az ügyfélen
-
A Start menüben kattintson a Futtatás elemre, majd írja be a Wbemtest parancsot.
-
A Windows Management Instrumentation – tesztelés párbeszédpanelen kattintson a Csatlakozás gombra.
-
A Csatlakozás párbeszédpanelen a Névtér mezőbe gépelje be a következőt: root\ccm\locationservices, majd kattintson a Csatlakozás gombra.
-
A Windows Management Instrumentation – tesztelés párbeszédpanelen az IWbemServices területen kattintson az Osztályok enumerálása elemre.
-
A Szuperosztály adatai párbeszédpanelen válassza a Rekurzív elemet, majd kattintson az OK gombra.
-
A Lekérdezés eredménye ablakban görgessen a lista végére, majd kattintson duplán a TrustedRootKey () elemre.
-
A TrustedRootKey objektumszerkesztője párbeszédpanelen kattintson a Példányok gombra.
-
A TrustedRootKey példányait tartalmazó új Lekérdezés eredménye ablakban kattintson duplán a TrustedRootKey=@ elemre.
-
A TrustedRootKey=@ objektumszerkesztője párbeszédpanelen a Tulajdonságok területen görgessen le a TrustedRootKey CIM_STRING bejegyzéshez. A jobb oldali oszlopban lévő karakterlánc a megbízható legfelső szintű kulcs. Ellenőrizze, hogy a kulcs megegyezik-e az SMSPublicRootKey értékével a <Configuration Manager-könyvtár>\bin\mobileclient.tcf fájlban.
Az aláírás és a titkosítás tervezése
Amennyiben minden ügyfél-kommunikációhoz PKI-tanúsítványokat használ, nincs szüksége aláírás és titkosítás alkalmazásának megtervezésére az ügyfél-adatkommunikáció védelméhez. Bármely, az IIS-t futtató helyrendszernek a HTTP-alapú ügyfélkapcsolatok engedélyezéséhez való konfigurálása esetén azonban el kell döntenie, hogy miként szeretné biztonságosabbá tenni az ügyfél és a hely kommunikációját.
Az ügyfelek által a felügyeleti pontoknak küldött adatok védelméhez beállíthatja, hogy a kommunikációnak aláírtnak kell lennie. Ezenkívül azt is megkövetelheti, hogy a HTTP protokollt használó ügyfelektől érkező összes aláírt adat az SHA-256 algoritmus használatával legyen aláírva. Jóllehet ez a beállítás nagyobb biztonságot nyújt, csak akkor engedélyezze, ha az összes ügyfél támogatja az SHA-256 használatát. Ezt számos operációs rendszer natív módon támogatja, de egyes régebbi operációs rendszerek frissítést vagy gyorsjavítást igényelhetnek. A Windows Server 2003 SP2 rendszert futtató számítógépeken például a 938397-es számú tudásbáziscikk által ismertetett gyorsjavítást kell telepíteni.
Míg az aláírás az adatok módosítása ellen nyújt védelmet, a titkosítás az információfelfedés ellen védi azokat. Lehetősége van a 3DES titkosítás engedélyezésére a leltáradatok és az ügyfelek által a hely felügyeleti pontjainak küldött állapotüzenetek esetén. A beállítás támogatásához nem szükséges frissítéseket telepíteni az ügyfeleken, de vegye figyelembe, hogy a titkosítás és a visszafejtés megnövekedett processzorhasználatot igényel az ügyfélszámítógépeken és a felügyeleti ponton.
Az aláírási és titkosítási beállítások konfigurálásáról a következő témakör Aláírás és titkosítás konfigurálása című szakaszban tájékozódhat: A biztonság konfigurálása a Configuration Managerben.
Szerepköralapú felügyelet tervezése
A szerepköralapú adminisztráció lehetővé teszi a felügyeleti biztonság megtervezését és alkalmazását a System Center 2012 Configuration Manager rendszer hierarchiájában a következő lehetőségek egyikének vagy mindegyikének használatával:
Biztonsági szerepkörök
Gyűjtemények
Biztonsági hatókörök
Ezen beállítások kombinációja definiálja a felügyeleti hatókört a rendszergazda felhasználók számára. A felügyeleti hatókör szabályozza a rendszergazda felhasználók által a Configuration Manager konzolján megtekinthető objektumokat, illetve a felhasználó ezen objektumokra vonatkozó engedélyeit. A szerepköralapú adminisztrációs konfigurációkat globális adatokként a hierarchia összes helyére replikálja a rendszer, majd az összes felügyeleti kapcsolatra alkalmazza azokat.
Fontos! |
---|
A helyek közötti replikáció késései akadályozhatják a szerepköralapú adminisztráció változásainak fogadását az egyes helyeken. A helyek közötti adatbázis-replikálás figyeléséről a következő témakör Az adatbázis-replikációs hivatkozások és a replikáció állapotának figyelése című szakaszában tájékozódhat: A Configuration Manager-helyek és hierarchia figyelése. |
Biztonsági szerepkörök tervezése
Használjon biztonsági szerepköröket a biztonsági engedélyek megadására a rendszergazda felhasználóknak. A biztonsági szerepkörök olyan biztonsági engedélyek csoportjai, amelyeket a rendszergazda a felhasználókhoz rendelhet, hogy azok elláthassák felügyeleti feladataikat. Ezek a biztonsági engedélyek megadják a rendszergazda felhasználók által végrehajtható felügyeleti műveleteket, valamint az egyes objektumtípusokra vonatkozóan biztosított engedélyeket. A megfelelő biztonság érdekében célszerű a lehető legkevesebb engedélyt biztosító biztonsági szerepköröket hozzárendelni.
A System Center 2012 Configuration Manager alkalmazás számos beépített biztonsági szerepkörrel rendelkezik, amelyek támogatják a felügyeleti feladatok szokásos csoportosításait. Emellett saját speciális üzleti igényeinek támogatására létrehozhat egyéni biztonsági szerepköröket is. Beépített biztonsági szerepkörök többek között az alábbiak:
Teljes körű rendszergazda: Ez a biztonsági szerepkör az összes engedélyt megadja a Configuration Manager alkalmazásban.
Eszközelemző: Ez a biztonsági szerepkör lehetővé teszi a rendszergazda felhasználóknak az eszközintelligencia, a szoftver- és hardverleltár, illetve a szoftverhasználat-mérés által gyűjtött adatok megtekintését. A rendszergazda felhasználók mérési szabályokat, valamint eszközintelligencia-kategóriákat, -családokat és -címkéket hozhatnak létre.
Szoftverfrissítés-kezelő: Ez a biztonsági szerepkör a szoftverfrissítések definiálására és központi telepítésére vonatkozó engedélyek megadására szolgál. A szerepkörhöz társított rendszergazda felhasználók gyűjteményeket, szoftverfrissítési csoportokat, központi telepítéseket, sablonokat hozhatnak létre, és engedélyezhetik a szoftverfrissítéseket a hálózatvédelemhez (NAP).
Tipp |
---|
A Configuration Manager konzolján megtekintheti a beépített biztonsági szerepkörök listáját és az Ön által létrehozott egyéni biztonsági szerepköröket, beleértve azok leírásait is. Ehhez az Adminisztráció munkaterületen bontsa ki a Biztonság csomópontot, majd válassza a Biztonsági szerepkörök lapot. |
Mindegyik biztonsági szerepkör a különböző objektumtípusokra vonatkozó konkrét engedélyeket tartalmaz. Például az Alkalmazás-rendszergazda biztonsági szerepkör a következő, alkalmazásokra vonatkozó engedélyekkel rendelkezik: Jóváhagyás, Létrehozás, Törlés, Módosítás, Mappa módosítása, Objektum áthelyezése, Olvasás/Telepítés, Biztonsági hatókör megadása. Egy beépített biztonsági szerepkör engedélyeit nem módosíthatja, de másolatot készíthet róla, hogy módosítsa azt, majd egy új egyéni biztonsági szerepkörként mentse ezekkel a módosításokkal. Lehetősége van egy másik hierarchiából (például egy teszthálózatból) exportált biztonsági szerepkörök importálására is. Tekintse át a biztonsági szerepköröket és engedélyeiket annak eldöntéséhez, hogy használhatja-e a beépített biztonsági szerepköröket, vagy egyéni biztonsági szerepköröket kell létrehoznia.
A következő lépések a biztonsági szerepkörök tervezéséhez nyújtanak segítséget:
Azonosítsa a rendszergazda felhasználó által a System Center 2012 Configuration Manager alkalmazásban végzett műveleteket. Ezek a feladatok a felügyeleti feladatok egy vagy több csoportjához, mint például az alkalmazások és csomagok központi telepítéséhez, az operációs rendszerek és a beállítások a megfelelőség érdekében történő központi telepítéséhez, a helyek és a biztonság konfigurálásához, a naplózáshoz, a számítógépek távvezérléséhez és a leltáradatok gyűjtéséhez kapcsolódhatnak.
Rendelje hozzá ezeket a felügyeleti feladatokat egy vagy több beépített biztonsági szerepkörhöz.
Amennyiben egyes rendszergazda felhasználók több biztonsági szerepkör feladatait végzik, az ezen feladatokat tartalmazó egyetlen új biztonsági szerepkör létrehozása helyett rendeljen hozzá több biztonsági szerepkört ezen felhasználókhoz.
Ha az azonosított feladatok nem felelnek meg a beépített biztonsági szerepköröknek, hozzon létre és teszteljen új biztonsági szerepköröket.
A szerepköralapú felügyelet biztonsági szerepköreinek létrehozásáról és konfigurálásáról a következő témakör Egyéni biztonsági szerepkörök létrehozása és Biztonsági szerepkörök konfigurálása című szakaszaiban tájékozódhat: A biztonság konfigurálása a Configuration Managerben.
Gyűjtemények tervezése
A gyűjtemények a rendszergazda felhasználó által megtekinthető, illetve felügyelhető felhasználói és számítógép-erőforrásokat adják meg. Ahhoz például, hogy a rendszergazda felhasználók alkalmazásokat telepíthessenek vagy használhassák a távvezérlést, olyan biztonsági szerepkörhöz kell őket hozzárendelni, amely engedélyezi a hozzáférést egy ezen erőforrásokat tartalmazó gyűjteményhez. Ehhez felhasználókat vagy eszközöket tartalmazó gyűjteményeket jelölhet ki.
További információ a gyűjteményekről: Bevezetés a gyűjtemények a Configuration Manager.
A szerepköralapú adminisztráció konfigurálása előtt ellenőrizze, hogy valamely alábbi okból szükség van-e új gyűjtemények létrehozására:
Funkcionális szervezés, például külön gyűjtemények kialakítása a kiszolgálók és a munkaállomások számára.
Földrajzi elkülönítés, például külön gyűjtemények az észak-amerikai és az európai telephelyek számára.
Biztonsági követelmények és üzleti folyamatok, például külön gyűjtemények az üzemi környezet és a tesztgépek számára.
Szervezeti elkülönítés, például külön gyűjtemények mindegyik üzleti egység számára.
A szerepköralapú felügyelet gyűjteményeinek konfigurálásáról a következő témakör Gyűjtemények konfigurálása a biztonság kezeléséhez című szakaszában tájékozódhat: A biztonság konfigurálása a Configuration Managerben.
Biztonsági hatókörök tervezése
Biztonsági hatókörök használatával hozzáférést biztosíthat a rendszergazda felhasználóknak a biztonságos objektumokhoz. Biztonsági hatóköröknek a rendszergazda felhasználókhoz, mint csoporthoz hozzárendelt biztonságos objektumok elnevezett halmazát nevezzük. Minden biztonságos objektumot hozzá kell rendelni egy vagy több biztonsági hatókörhöz. A Configuration Manager a következő két beépített biztonsági hatókört tartalmazza:
Az összes: Ehhez a beépített biztonsági hatókörhöz, amely az összes hatókörhöz engedélyezi a hozzáférést, nem rendelhet hozzá objektumokat.
Alapértelmezés: Ezt a beépített biztonsági hatókört használja a rendszer alapértelmezetten minden objektumhoz. A System Center 2012 Configuration Manager alkalmazás első telepítésekor az összes objektum ehhez a biztonsági hatókörhöz van rendelve.
Ha korlátozni szeretné a rendszergazda felhasználók számára látható és felügyelhető objektumok körét, egyéni biztonsági hatóköröket kell létrehoznia és használnia. A biztonsági hatókörök nem támogatják a hierarchikus elrendezést, és nem ágyazhatók egymásba. Egy biztonsági hatókörben egy vagy több objektumtípus szerepelhet, többek között az alábbiak:
Riasztási előfizetések
Alkalmazások
Rendszerindító lemezképek
Határcsoportok
Konfigurációelemek
Egyedi ügyfélbeállítások
Terjesztési pontok vagy terjesztésipont-csoportok
Illesztőprogram-csomagok
Globális feltételek
Áttelepítési feladatok
Operációsrendszer-lemezképek
Operációs rendszer telepítőcsomagjai
Csomagok
Lekérdezések
Helyek
Szoftverhasználat-mérési szabályok
Szoftverfrissítési csoportok
Szoftverfrissítési csomagok
Feladatütemező csomagok
Windows CE eszközbeállítás elemek és csomagok
Van még néhány olyan objektum, amelyet nem tartalmazhatnak a biztonsági hatókörök, mert csak biztonsági szerepkörökkel vannak biztosítva. Az ezekhez való rendszergazdai hozzáférés nem korlátozható az elérhető objektumok egy részhalmazára. Például előfordulhat, hogy egy rendszergazda felhasználó egy adott helyhez használatos határcsoportokat hoz létre. Mivel a határobjektum nem támogatja a biztonsági hatóköröket, ezt a felhasználót nem rendelheti hozzá olyan biztonsági hatókörhöz, amely csak az adott hellyel társított határokhoz biztosítja a hozzáférést. Az, hogy a határobjektumok nem társíthatók biztonsági hatókörökhöz, azt jelenti, hogy amikor határobjektumokhoz való hozzáférést tartalmazó biztonsági szerepkört rendel egy felhasználóhoz, az a hierarchiában szereplő összes határhoz hozzáférést kap.
Többek között az alábbi objektumok nincsenek biztonsági hatókörök által korlátozva:
Active Directory-erdők
Rendszergazda felhasználók
Riasztások
Kártevőirtó házirendek
Határok
Számítógép-társítások
Alapértelmezett ügyfélbeállítások
Központi telepítési sablonok
Eszközillesztők
Exchange Server-összekötő
Helyek közti megfeleltetések áttelepítése
Mobileszköz-beléptetési profilok
Biztonsági szerepkörök
Biztonsági hatókörök
Helycímek
Helyrendszerszerepkörök
Szoftvercímek
Szoftverfrissítések
Állapotüzenetek
Felhasználó-eszköz kapcsolatok
Ha különálló objektumpéldányokhoz való hozzáférés korlátozására van szükség, készítsen biztonsági hatóköröket. Példa:
A rendszergazda felhasználók egy csoportjának az üzemi környezetben működő alkalmazásokat kell látnia, és nem a tesztalkalmazásokat. Létrehozhat egy biztonsági hatókört az üzemi környezetben működő alkalmazásokhoz, valamint egy másikat a tesztalkalmazásokhoz.
Különböző rendszergazda felhasználók eltérő hozzáférést igényelnek egy objektumtípus különböző példányaihoz, például az egyik csoportjuknak Olvasás engedélyre van szüksége adott szoftverfrissítési csoportokhoz, míg egy másiknak Módosítás és Törlés engedélyre más szoftverfrissítési csoportokhoz. Ekkor létrehozhat az ezekhez a szoftverfrissítési csoportokhoz tartozó különböző biztonsági hatóköröket.
A szerepköralapú felügyelet biztonsági hatóköreinek konfigurálásáról a következő témakör Biztonsági hatókörök konfigurálása objektumhoz című szakaszában tájékozódhat: A biztonság konfigurálása a Configuration Managerben.