Műszaki útmutató a Configuration Managerben használt titkosítási funkciókhoz
Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Megjegyzés |
|---|
Ez a témakör itt jelenik meg: a Site Administration for System Center 2012 Configuration Manager (A System Center 2012 Configuration Manager-helyek felügyelete) útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban. |
A System Center 2012 Configuration Manager aláírással és titkosítással segíti elő az eszközök felügyeletének védelmét a Configuration Manager-hierarchiában. Az aláírás biztosítja, hogy ha az adatok módosulnak útközben, azokat a rendszer elveti. A titkosítás megakadályozza, hogy egy támadó olvashassa az adatokat egy hálózati protokollelemzővel.
A Configuration Manager által használt elsődleges kivonatoló algoritmus az SHA-256. Ha két Configuration Manager-hely kommunikál egymással, az üzeneteiket az SHA-256 használatával írják alá. A Configuration Managerben megvalósított elsődleges titkosítási algoritmus a 3DES. Ezt használja a rendszer az adattárolásra a Configuration Manager adatbázisában és amikor az ügyfelek HTTP használatával kommunikálnak. Amikor HTTPS-t használ az ügyfél-kommunikációhoz, konfigurálhatja úgy a nyilvános kulcsokra épülő infrastruktúrát (PKI), hogy RSA-tanúsítványokat használjon a(z) PKI-tanúsítványkövetelmények a Configuration Managerben című témakörben megadott legerősebb kivonatoló algoritmusokkal és leghosszabb kulcsokkal.
A Windows-alapú operációs rendszerek legtöbb titkosítási műveletéhez a Configuration Manager az SHA-1 és az SHA-2, a 3DES és az AES, valamint az RSA algoritmust használja a Windows CryptoAPI kódtárából (rsaenh.dll).
További információkat a következő részekben talál.
Titkosítási funkciók a Configuration Manager műveleteihez
A Configuration Manager által használt tanúsítványok
Titkosítási funkciók kiszolgálói kommunikációhoz
Titkosítási funkciók a helyrendszerekkel HTTPS-kommunikációt használó ügyfelek számára
Titkosítási funkciók a helyrendszerekkel HTTP-kommunikációt használó ügyfelek számára
.jpeg "System_CAPS_important") Fontos! |
|---|
További információk az SSL biztonsági réseivel kapcsolat javasolt módosításokról: Az SSL biztonsági rései. |
Titkosítási funkciók a Configuration Manager műveleteihez
A Configuration Manager rendszerben az adatok aláírhatók és titkosíthatók, függetlenül attól, hogy PKI-tanúsítványokat használ-e a Configuration Manager rendszerhez.
Házirend aláírása és titkosítása
Az ügyfélházirend-hozzárendeléseket a helykiszolgáló önaláírt aláíró tanúsítványa írja alá, hogy megelőzhető legyen az a biztonsági kockázat, hogy egy sérült integritású felügyeleti pont küld illetéktelenül módosított házirendeket. Ez a biztosíték különösen fontos internetalapú ügyfélfelügyelet esetén, mert ilyen környezetben az internetes kommunikációnak kitett felügyeleti pontra van szükség.
Ha a házirend bizalmas adatokat tartalmaz, a rendszer 3DES használatával titkosítja. A bizalmas adatokat tartalmazó házirendet csak a hitelesített ügyfelek kapják meg. A bizalmas adatokat nem tartalmazó házirendet a rendszer nem titkosítja.
Ha a házirendet az ügyfelek tárolják, akkor Data Protection API-val (DPAPI) titkosítja a rendszer.
Házirend-kivonatolás
Ha a Configuration Manager-ügyfelek házirendet kérelmeznek, először házirend-hozzárendelést kapnak, amelyből megtudják, hogy mely házirendek vonatkoznak rájuk, majd csak ezeket a házirendtörzseket kérik le. Minden házirend-hozzárendelés tartalmazza a megfelelő házirendtörzs kiszámított kivonatát. Az ügyfél lekéri a megfelelő házirendtörzseket, majd kiszámítja a kivonatot az adott törzshöz. Ha a letöltött házirendtörzs kivonata nem egyezik meg a házirend-hozzárendelésben lévő kivonattal, az ügyfél elveti a házirendtörzset.
A házirendek kivonatolása SHA-1 és SHA-256 algoritmussal történik.
Tartalomkivonatolás
A helykiszolgáló terjesztéskezelő szolgáltatása kivonatolja a tartalomfájlokat az összes csomaghoz. A házirend-szolgáltató felveszi a kivonatot a szoftverterjesztési házirendbe. Amikor a Configuration Manager-ügyfél letölti a tartalmat, az ügyfél helyben újragenerálja a kivonatot, és összehasonlítja a házirendben lévővel. Ha a kivonatok megegyeznek, akkor a tartalmat nem módosították, így az ügyfél telepíti azt. Ha a tartalom akár egyetlen bájtja is módosult, akkor a kivonatok nem egyeznek meg, és a szoftver nem települ. Ez az ellenőrzés hozzájárul ahhoz, hogy a megfelelő szoftver települjön, mert a tényleges tartalmat hasonlítja össze a házirenddel.
A tartalmak alapértelmezett kivonatoló algoritmusa az SHA-256. Az alapértelmezés módosításáról a Configuration Manager szoftverfejlesztői készlet (SDK) dokumentációjában talál információkat.
Nem minden eszköz támogatja a tartalomkivonatolást. Ilyen kivételek a következők:
Windows rendszerű ügyfelek App-V tartalom adatfolyamként való továbbításakor.
Windows Phone rendszerű ügyfelek: Ezek az ügyfelek azonban ellenőrzik a megbízható forrás által aláírt alkalmazás aláírását.
Windows RT rendszerű ügyfelek: Ezek az ügyfelek azonban ellenőrzik a megbízható forrás által aláírt alkalmazás aláírását, valamint a csomag teljes nevét is ellenőrzik.
iOS: Ezek az ügyfelek azonban ellenőrzik azon alkalmazások aláírását, amelyeket egy megbízható forrás bármely fejlesztői tanúsítványával írtak alá.
Nokia-ügyfelek: Ezek az ügyfelek azonban ellenőrzik az önaláírt tanúsítványt használó alkalmazások aláírását, illetve a megbízható forrásból származó tanúsítvány aláírását, és a tanúsítvánnyal aláírhatók a Nokia Symbian Installation Source (SIS) telepítési forrású alkalmazások.
Android. Ezenkívül ezek az eszközök nem használnak aláírás-ellenőrzést az alkalmazástelepítéshez.
Az SHA-256-ot nem támogató Linux- vagy UNIX-verziókon futó ügyfelek. További információ: Linux és UNIX operációs rendszerek, hogy el nem támogatási SHA-256 című rész, Ügyfelek központi telepítése Linux és UNIX kiszolgálók tervezése témakör.
Leltár aláírása és titkosítása
Az ügyfelek által a felügyeleti pontokra küldött leltárt mindig aláírják az eszközök, függetlenül attól, hogy HTTP vagy HTTPS használatával kommunikálnak a felügyeleti pontokkal. Ha HTTP-t használnak, választhatja ezen adatok titkosítását a bevált biztonsági gyakorlat szerint.
Állapotáttelepítés titkosítása
Az operációsrendszer-telepítésre szolgáló állapotáttelepítési pontokon tárolt adatokat a Felhasználóáttelepítő (USMT) mindig titkosítja 3DES használatával.
Csoportos küldésű csomagok titkosítása operációs rendszerek telepítéséhez
Az operációs rendszerek központi telepítésére szolgáló minden csomaghoz engedélyezheti a titkosítást, ha a csomagot csoportos küldéssel továbbítják a számítógépekre. A titkosítás Advanced Encryption Standard (AES) algoritmussal történik. Ha engedélyezi a titkosítást, nincs szükség további tanúsítványkonfigurálásra. A csoportos küldésre képes terjesztési pont automatikusan generál szimmetrikus kulcsokat a csomag titkosításához. Minden csomagnak más a titkosítási kulcsa. A kulcsot a csoportos küldésre képes terjesztési pont tárolja normál Windows API-k használatával. Amikor az ügyfél csatlakozik a csoportos küldési munkamenethez, végbemegy a kulcscsere egy PKI-kiadású ügyfél-hitelesítési tanúsítvánnyal (ha az ügyfél HTTPS-t használ) vagy az önaláírt tanúsítvánnyal (ha az ügyfél HTTP-t használ) titkosított csatornán. Az ügyfél a kulcsot csak a csoportos küldési munkamenet idejére tárolja a memóriában.
Adathordozók titkosítása operációs rendszerek telepítéséhez
Amikor adathordozóval telepít központilag operációs rendszereket, és jelszót ad meg az adathordozó védelmére, a környezeti változók Advanced Encryption Standard (AES) algoritmussal vannak titkosítva. Az adathordozón lévő más adatok, köztük a csomagok és az alkalmazástartalmak nincsenek titkosítva.
Felhőalapú terjesztési pontokon szolgáltatott tartalom titkosítása
A System Center 2012 Configuration Manager SP1 óta, ha felhőalapú terjesztési pontokat használ, a terjesztési pontokra feltöltött tartalom Advanced Encryption Standard (AES) algoritmussal van titkosítva, 256 bites kulcshosszal. A tartalmat a rendszer minden tartalomfrissítéskor újra titkosítja. Amikor az ügyfelek letöltik a tartalmat, azt a HTTPS-kapcsolat titkosítja és védi.
Szoftverfrissítések aláírása
Minden szoftverfrissítést megbízható közzétevőnek kell aláírnia az illetéktelen módosítással szembeni védelem érdekében. Az ügyfélszámítógépeken a Windows Update Agent (WUA) keresi a katalógusban lévő frissítéseket, de nem telepíti a frissítést, ha nem találja meg a digitális tanúsítványt a Megbízható közzétevők tárban a helyi számítógépen. Ha önaláírt tanúsítványt (például WSUS Publishers Self-signed) használtak a frissítéskatalógus közzétételére, a tanúsítványnak szerepelnie kell a megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárában is a helyi számítógépen a tanúsítvány érvényességének ellenőrzéséhez. A WUA azt is ellenőrzi, hogy Az intraneten futó Microsoft frissítési szolgáltatás helyéről származó aláírt tartalom engedélyezése csoportházirend-beállítás engedélyezve van-e a számítógépen. Ezt a házirend-beállítást engedélyezni kell ahhoz, hogy a WUA tudjon olyan frissítéseket keresni, amelyeket a frissítés-közzétevővel hoztak létre és tettek közzé.
Amikor a szoftverfrissítéseket a System Center frissítés-közzétevő teszi közzé, egy digitális tanúsítvány aláírja a szoftverfrissítéseket, amikor azok közzététele megtörténik egy frissítési kiszolgálón. Megadhat egy PKI-tanúsítványt, vagy konfigurálhatja a System Center frissítés-közzétevőt önaláírt tanúsítvány létrehozására a szoftverfrissítés aláírásához.
Aláírt konfigurációs adatok a megfelelőségi beállításokhoz
Amikor konfigurációs adatokat importál, a Configuration Manager ellenőrzi a fájl digitális aláírását. Ha a fájlok nincsenek aláírva, vagy ha a digitális aláírás nem felel meg az ellenőrzésen, a rendszer figyelmezteti és rákérdez az importálás folytatására. Csak akkor folytassa a konfigurációs adatok importálását, ha kimondottan megbízik a közzétevőben és a fájlok integritásában.
Titkosítás és kivonatolás az ügyfélértesítéshez
Ha ügyfélértesítést használ, akkor minden kommunikáció a TLS protokollt, valamint a kiszolgáló és az ügyfél operációs rendszere által egyeztetett legerősebb titkosítást használja. Például egy Windows 7 rendszerű ügyfél és egy Windows Server 2008 R2 rendszerű felügyeleti pont támogathatja a 128 bites AES titkosítást, míg egy Vista rendszerű ügyfélszámítógép ugyanazzal a felügyeleti ponttal 3DES titkosítást fog egyeztetni. Ugyanez az egyeztetés zajlik le az ügyfélértesítés közben továbbított csomagok kivonatolásához, ami SHA-1 vagy SHA-2 algoritmust használ.
A Configuration Manager által használt tanúsítványok
A Configuration Manager rendszerben használható PKI-tanúsítványok (a nyilvános kulcsokra épülő infrastruktúra tanúsítványai) listáját, az esetleges különleges követelményeket vagy korlátozásokat, valamint a tanúsítványok használatának módját a(z) PKI-tanúsítványkövetelmények a Configuration Managerben című témakör ismerteti. A lista tartalmazza a támogatott kivonatoló algoritmusokat és kulcshosszokat. A legtöbb tanúsítvány támogatja az SHA-256 algoritmust és a 2048 bites kulcshosszt.
| Megjegyzés |
|---|
A Configuration Manager által használt minden tanúsítvány csak egybájtos karaktereket tartalmazhat a tulajdonos nevében vagy a tulajdonos alternatív nevében. |
Az alábbi helyzetekben PKI-tanúsítványok szükségesek:
Ha az interneten lévő Configuration Manager-ügyfeleket felügyel.
Ha mobileszközökön lévő Configuration Manager-ügyfeleket felügyel.
Ha Mac számítógépeket felügyel.
Ha felhőalapú terjesztési pontokat használ.
Ha Intel AMT-alapú számítógépeket felügyel sávon kívül.
A többi olyan Configuration Manager-kommunikációhoz, amely tanúsítványt igényel a hitelesítéshez, az aláíráshoz vagy a titkosításhoz, a Configuration Manager automatikusan PKI-tanúsítványokat használ, ha elérhetők ilyenek. Ha nem érhetők el, a Configuration Manager generál magának önaláírt tanúsítványokat.
A Configuration Manager nem használ PKI-tanúsítványokat, amikor mobileszközöket felügyel az Exchange Server-összekötővel.
Mobileszközök felügyelete és PKI-tanúsítványok
Ha a mobileszközt nem tiltotta le a mobilszolgáltató, akkor a Configuration Manager vagy a Microsoft Intune használatával igényelhet és telepíthet ügyféltanúsítványt. Ez a tanúsítvány kölcsönös hitelesítést biztosít a mobileszközön lévő ügyfél és a Configuration Manager-helyrendszerek vagy a Microsoft Intune szolgáltatásai között. Ha a mobileszköz le van tiltva, akkor nem használhatja a Configuration Manager rendszert vagy a Intune szolgáltatást tanúsítványok központi telepítésére. További információ: Ügyfélszoftverek mobileszközökre telepítése és igénylése a Configuration Manager használatával.
Ha engedélyezi a hardverleltárt a mobileszközök esetében, a Configuration Manager vagy a Intune szintén leltárba veszi a mobileszközön telepített tanúsítványokat.
Sávon kívüli felügyelet és PKI-tanúsítványok
Az Intel AMT-alapú sávon kívüli felügyelet legalább két típusú PKI-kiadású tanúsítványt használ: AMT kiépítési tanúsítványt és webkiszolgálói tanúsítványt.
A sávon kívüli szolgáltatási pont AMT-kiépítési tanúsítvánnyal készíti elő a számítógépeket a sávon kívüli felügyeletre. A kiépítendő AMT-alapú számítógépeknek meg kell bízniuk a sávon kívüli felügyeleti pont által bemutatott tanúsítványban. Alapértelmezésben az AMT-alapú számítógépeket külső hitelesítésszolgáltatók (például VeriSign, Go Daddy, Comodo és Starfield) használatára konfigurálja a számítógép gyártója. Ha az egyik külső hitelesítésszolgáltatótól szerez be kiépítési tanúsítványt, és a Configuration Manager rendszert ennek használatára konfigurálja, az AMT-alapú számítógépek meg fognak bízni a kiépítési tanúsítvány hitelesítésszolgáltatójában, és a kiépítés sikeres lehet. Azonban bevált biztonsági gyakorlat az AMT-kiépítési tanúsítvány saját belső hitelesítésszolgáltatóval történő kibocsátása. További információ: Biztonsági gyakorlati tanácsok sávon kívüli felügyelet.
Az AMT-alapú számítógépek egy webkiszolgáló-összetevőt futtatnak belső vezérlőprogramjukban, és ez a webkiszolgáló-összetevő titkosítja a kommunikációs csatornát a sávon kívüli szolgáltatási ponttal Transport Layer Security (TLS) használatával. Az AMT BIOS-ához nincs felhasználói felület, ahol manuálisan lehetne konfigurálni a tanúsítványt, így Microsoft vállalati hitelesítésszolgáltatóra van szükség, amely automatikusan jóváhagyja a kérelmező AMT-alapú számítógépekről érkező tanúsítványkéréseket. A kérelem a kérelemformátumhoz PKCS#10 szabványt használ, amely PKCS#7 szabvánnyal továbbítja a tanúsítványadatokat az AMT-alapú számítógépre.
Bár az AMT-alapú számítógép hitelesítve van az azt felügyelő számítógép számára, nincs ennek megfelelő PKI-ügyféltanúsítvány a felügyelő számítógépen, ezért ezek a kommunikációk Kerberos vagy HTTP Digest hitelesítést használnak. HTTP Digest használatakor a titkosítás TLS protokollal történik.
A sávon kívüli AMT-alapú számítógépek felügyeletéhez még egy tanúsítványtípus lehet szükséges: egy opcionális ügyféltanúsítvány a 802.1X-alapú hitelesítéssel rendelkező vezetékes és vezeték nélküli hálózatokhoz. Az ügyféltanúsítványra szüksége lehet az AMT-alapú számítógépnek a RADIUS-kiszolgálón történő hitelesítéshez. Ha a RADIUS-kiszolgáló EAP-TLS hitelesítésre van konfigurálva, mindig szükség van ügyféltanúsítványra. Ha a RADIUS-kiszolgáló EAP-TTLS/MSCHAPv2 vagy PEAPv0/EAP-MSCHAPv2 hitelesítésre van konfigurálva, a RADIUS-konfiguráció megadja, hogy szükség van-e ügyféltanúsítványra. Ezt a tanúsítványt az AMT-alapú számítógép kérelmezi ugyanazzal az eljárással, mint a webkiszolgálói tanúsítvány igénylésekor.
Operációs rendszer központi telepítése és PKI-tanúsítványok
Ha a Configuration Manager rendszerrel központilag telepít operációs rendszereket, és egy felügyeleti pont HTTPS-ügyfélkapcsolatokat igényel, akkor az ügyfélszámítógépnek is rendelkeznie kell tanúsítvánnyal, hogy kommunikálni tudjon a felügyeleti ponttal, annak ellenére, hogy átmeneti fázisban van, például egy feladatütemezési adathordozóról vagy PXE-t támogató terjesztési pontról indítja a rendszert. Az ilyen helyzet támogatásához létre kell hozni egy ügyfél-hitelesítési PKI-tanúsítványt, és exportálni kell a titkos kulccsal, majd importálni kell a helykiszolgáló tulajdonságaiba, és hozzá kell adni a felügyeleti pont megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványát is.
Ha rendszerindító adathordozót hoz létre, akkor a rendszerindító adathordozó létrehozásakor importálja az ügyfél-hitelesítési tanúsítványt. Állítson be jelszót a rendszerindító adathordozón a titkos kulcs és a feladatütemezésben konfigurált többi bizalmas adat védelme érdekében. A rendszerindító adathordozóról indított minden számítógép ugyanazt a tanúsítványt mutatja be a felügyeleti pontnak, amely szükséges az ügyfélfunkciókhoz, például az ügyfélházirend igényléséhez.
Ha PXE-rendszerindítást végez, akkor importálja az ügyfél-hitelesítési tanúsítványt a PXE-t támogató terjesztési pontra, így a rendszer ugyanazt a tanúsítványt használja minden ügyfélhez, amely erről a PXE-t támogató terjesztési pontról indul. A bevált biztonsági gyakorlatnak megfelelően tegye kötelezővé a számítógépüket PXE szolgáltatáshoz csatlakoztató felhasználóknak jelszó megadását a titkos kulcs és a feladatütemezésben lévő többi bizalmas adat védelme érdekében.
Ha az ügyfél-hitelesítési tanúsítványok bármelyikének integritása sérül, tiltsa le a tanúsítványokat a Tanúsítványok beállításban az Adminisztráció munkaterület Biztonság csomópontjában. A tanúsítványok kezeléséhez rendelkeznie kell Operációs rendszer központi telepítéséhez szükséges tanúsítvány kezelése jogosultsággal.
Miután az operációs rendszer központi telepítése befejeződött, és a Configuration Manager telepítve lett, az ügyfélnek szüksége van ügyfél-hitelesítési PKI tanúsítványra a HTTPS-t használó ügyfél-kommunikációhoz.
Független szoftverszállítói proxymegoldások és PKI-tanúsítványok
A független szoftverszállítók (ISV) készíthetnek a Configuration Manager rendszert bővítő alkalmazásokat. Például létrehozhatnak olyan bővítményeket, amelyek támogatják a nem Windows-alapú ügyfélplatformokat (például Macintosh vagy UNIX rendszerű számítógépeket). Ha viszont a helyrendszerek HTTPS ügyfélkapcsolatokat igényelnek, ezeknek az ügyfeleknek a hellyel való kommunikációhoz is PKI-tanúsítványokat kell használniuk. A Configuration Manager lehetővé teszi egy tanúsítvány ISV-proxyhoz való hozzárendelését, így az ISV-proxy ügyfelek és a felügyeleti pont kommunikálni tudnak. Ha olyan bővítményeket használ, amelyekhez ISV-proxytanúsítvány szükséges, nézze meg az adott termék dokumentációját. Az ISV-proxytanúsítványok létrehozásával kapcsolatban lásd a Configuration Manager szoftverfejlesztői készletét (SDK).
Ha az ISV-tanúsítvány integritása sérül, tiltsa le a tanúsítványt a Tanúsítványok beállításban az Adminisztráció munkaterület Biztonság csomópontjában.
Eszközintelligencia és tanúsítványok
A Configuration Manager egy X.509-alapú tanúsítvánnyal települ, amelyet a Készletintelligencia szinkronizálási pont használ a Microsofthoz való csatlakozásra. A Configuration Manager ezzel a tanúsítvánnyal kér ügyfélhitelesítési tanúsítványt a Microsoft tanúsítványszolgáltatástól. Az ügyfél-hitelesítési tanúsítvány települ az Eszközintelligencia szinkronizációs pontjának helyrendszer-kiszolgálójára, és a kiszolgáló ezzel lesz hitelesítve a Microsoft számára. A Configuration Manager az ügyfél-hitelesítési tanúsítvánnyal tölti le az Eszközintelligencia-katalógust és tölti fel a szoftvereket.
Ennek a tanúsítványnak a kulcsa 1024 bites.
Felhőalapú terjesztési pontok és tanúsítványok
A System Center 2012 Configuration Manager SP1 verzióval kezdődően a felhőalapú terjesztési pontokhoz szükség van egy (önaláírt vagy PKI) felügyeleti tanúsítványra, amelyet fel kell töltenie a Microsoft Azure-ba. Ehhez a felügyeleti tanúsítványhoz kiszolgálóhitelesítési funkció és 2048 bites tanúsítványkulcs szükséges. Ezenkívül minden felhőalapú terjesztési ponthoz konfigurálni kell egy szolgáltatástanúsítványt, amely nem lehet önaláírt, de kiszolgálóhitelesítési funkcióval és legalább 2048 bites tanúsítványkulccsal kell rendelkeznie.
| Megjegyzés |
|---|
Az önaláírt felügyeleti tanúsítvány csak tesztelési célokat szolgál, nem használható éles hálózati környezetben. |
Az ügyfeleknek nem szükséges PKI-tanúsítvánnyal rendelkezniük a felhőalapú terjesztési pontokhoz; hitelesíthetik magukat a felügyelet felé akár önaláírt tanúsítvánnyal, akár PKI-ügyféltanúsítvánnyal. Ezután a felügyeleti pont kiadja a Configuration Manager hozzáférési jogkivonatát az ügyfélnek, és ezt mutatja be az ügyfél a felhőalapú terjesztési pontnak. A jogkivonat érvényessége 8 óra.
Microsoft Intune-összekötő és -tanúsítványok
Amikor a Microsoft Intune mobileszközöket léptet be, ezeket a mobileszközöket egy Microsoft Intune-összekötő létrehozásával felügyelheti a Configuration Managerben. Az összekötő egy ügyfél-hitelesítésre alkalmas PKI-tanúsítvánnyal hitelesíti a Configuration Managert a Microsoft Intune-ban, és minden információt SSL használatával továbbít köztük. A tanúsítvány 2048 bites kulcshosszt és SHA-1 kivonatoló algoritmust használ.
Az összekötő telepítésekor létrejön egy aláírási tanúsítvány, amelyet a helykiszolgáló tárol a kulcsok közvetlen telepítéséhez, valamint egy titkosítási tanúsítvány, amelyet a tanúsítványregisztrációs pont tárol az Egyszerű tanúsítványigénylési protokoll (SCEP) kérdésének titkosításához. Ezen tanúsítványok is 2048 bites kulcshosszt és SHA-1 kivonatoló algoritmust használnak.
Amikor a Intune mobileszközöket léptet be, azokon PKI-tanúsítványt telepít. Ez a tanúsítvány alkalmas az ügyfél-hitelesítésre, 2048 bites kulcshosszt és SHA-1 kivonatoló algoritmust használ.
A PKI-tanúsítványok igénylését, létrehozását és telepítését automatikusan elvégzi a Microsoft Intune.
PKI-tanúsítványok CRL-ellenőrzése
A PKI visszavont tanúsítványainak listája (CRL) növeli az adminisztrációs és feldolgozási terheket, de a biztonságot is. Ha azonban a CRL ellenőrzése engedélyezett, ám a CRL nem érhető el, akkor a PKI-kapcsolat sikertelen lesz. További információ: A PKI-tanúsítványok visszavonásának tervezése című rész, Biztonság tervezése a Configuration Manager alkalmazásban témakör.
A visszavont tanúsítványok listájának (CRL) ellenőrzése alapértelmezésben engedélyezett az IIS-ben, így ha CRL-t használ a PKI-telepítésben, akkor az IIS-t futtató legtöbb Configuration Manager helyrendszeren nincs szükség további konfigurációra. Kivételt képeznek a szoftverfrissítések; ezekhez szükség van egy manuális lépésre annak engedélyezéséhez, hogy a CRL-ellenőrzés vizsgálhassa a szoftverfrissítési fájlok aláírását.
A CRL-ellenőrzés alapértelmezésben engedélyezve van az ügyfélszámítógépekhez, ha HTTPS-ügyfélkapcsolatokat használnak. A CRL-ellenőrzés alapértelmezésben nincs engedélyezve, amikor a sávon kívüli felügyeleti konzolt futtatja egy AMT-alapú számítógéphez történő kapcsolódáshoz, de engedélyezhető ez a beállítás. A CRL-ellenőrzés nem tiltható le Mac számítógépeken lévő ügyfelekhez a Configuration Manager SP1 vagy újabb verziókban.
A CRL-ellenőrzés nem támogatott a következő kapcsolatokhoz a Configuration Manager rendszerben:
Kiszolgálók közötti kapcsolatok.
A Configuration Manager által beléptetett mobileszközök.
A Microsoft Intune által beléptetett mobileszközök.
Titkosítási funkciók kiszolgálói kommunikációhoz
A Configuration Manager az alábbi titkosítási funkciókat használja a kiszolgálói kommunikációhoz.
Helyen belüli kiszolgálói kommunikáció
Minden helyrendszer tanúsítványt használ az adatok egy Configuration Manager-helyen belüli más helyrendszerekbe történő továbbítására. Egyes helyrendszeri szerepkörök szintén tanúsítványokat használnak a hitelesítéshez. Ha például az egyik kiszolgálóra telepíti a beléptetési proxypontot, egy másik kiszolgálóra pedig a beléptetési pontot, akkor ezzel az identitástanúsítvánnyal tudják egymást hitelesíteni. Ha a Configuration Manager tanúsítványt használ ehhez a kommunikációhoz, és van elérhető, kiszolgáló hitelesítésére alkalmas PKI-tanúsítvány, akkor a Configuration Manager automatikusan használja azt; ha nincs, akkor a Configuration Manager önaláírt tanúsítványt hoz létre. Ez az önaláírt tanúsítvány kiszolgáló-hitelesítési képességgel rendelkezik, és SHA-256 algoritmust és 2048 bites kulcshosszt használ. A Configuration Manager a Megbízható személyek tárolóba másolja a tanúsítványt más helyrendszer-kiszolgálókon is, amelyeknek szükségük lehet a helyrendszer megbízhatóként való azonosítására. Ezután a helyrendszerek megbízhatnak egymásban ezen tanúsítványok és a társmegbízhatóság használatával.
Ezen a tanúsítványon kívül az egyes helyrendszer-kiszolgálók számára a Configuration Manager a legtöbb helyrendszeri szerepkörhöz létrehoz egy önaláírt tanúsítványt is. Ha egy helyen a helyrendszeri szerepkör több példánya is megtalálható, akkor ugyanazt a tanúsítványt használják. Például egy helyen belül rendelkezhet több felügyeleti ponttal vagy beléptetési ponttal. Ez az önaláírt tanúsítvány szintén SHA-256 algoritmust és 2048 bites kulcshosszt használ. Bekerül a Megbízható személyek tárba azokon a helyrendszer-kiszolgálókon is, amelyeknek szüksége lehet a tanúsítvány megbízhatóként való azonosítására. Az alábbi helyrendszeri szerepkörök hozzák létre ezt a tanúsítványt:
Alkalmazáskatalógus webszolgáltatási pontja
Alkalmazáskatalógus weboldal-elérési pontja
Eszközintelligencia-katalógus szinkronizálási pontja
Tanúsítványregisztrációs pont
Endpoint Protection-pont
Beléptetési pont
Tartalék állapotkezelő pont
Felügyeleti pont
Csoportos küldésre képes terjesztési pont
Sávon kívüli szolgáltatási pont
Jelentéskészítési szolgáltatási pont
Szoftverfrissítési pont
Állapotáttelepítési pont
Rendszerállapot-érvényesítő pont
Microsoft Intune-összekötő
Ezeket a tanúsítványokat a Configuration Manager automatikusan kezeli, és ahol szükséges, automatikusan létrehozza.
A Configuration Manager szintén ügyfél-hitelesítési tanúsítványt használ az állapotüzenetek küldésére a terjesztési pontról a felügyeleti pontra. Ha a felügyeleti pont csak HTTPS-ügyfélkapcsolatokhoz van konfigurálva, akkor PKI-tanúsítványt kell használni. Ha a felügyeleti pont fogadja a HTTP-kapcsolatokat, használhat PKI-tanúsítványt, vagy választhatja ügyfél-hitelesítésre alkalmas, SHA-256 algoritmust alkalmazó, 2048 bit hosszúságú önaláírt tanúsítvány használatát.
Helyek közötti kiszolgálói kommunikáció
A Configuration Manager a helyek közötti adattovábbításhoz adatbázis-replikációt és fájlalapú replikációt használ. További információ: Technikai referencia a Configuration Manager helyek közti kommunikációjához.
A Configuration Manager automatikusan konfigurálja az adatbázis-replikálást a helyek között, és kiszolgálóhitelesítésre alkalmas PKI-tanúsítványokat használ, ha elérhetők; ha nem, akkor a Configuration Manager önaláírt tanúsítványokat hoz létre a kiszolgálóhitelesítéshez. A helyek közötti hitelesítés mindkét esetben a társmegbízhatóságot használó Megbízható személyek tárban lévő tanúsítványokkal történik. Ennek a tanúsítványtárnak a használatával biztosítható, hogy csak a Configuration Manager hierarchia által használt, SQL Server rendszert futtató számítógépek vegyenek részt a helyek közötti replikációban. Míg az elsődleges helyek és a központi felügyeleti hely tudják replikálni a konfigurációs változásokat a hierarchia minden helyére, a másodlagos helyek csak saját szülőhelyükre tudják replikálni azokat.
A helykiszolgálók a helyek közötti kommunikációt automatikusan végbemenő biztonságos kulcscserével hozzák létre. A küldő helykiszolgáló létrehoz egy kivonatot, és aláírja azt saját titkos kulcsával. A fogadó helykiszolgáló ellenőrzi az aláírást a nyilvános kulccsal, és összehasonlítja a kivonatot egy helyileg generált értékkel. Ha megegyeznek, a fogadó hely elfogadja a replikált adatokat. Ha az értékek nem egyeznek meg, a Configuration Manager elutasítja a replikált adatokat.
Az adatbázis-replikáció a Configuration Manager rendszerben az SQL Server Service Broker szolgáltatást használja a helyek közötti adattovábbításra a következő mechanizmusok alapján:
SQL Server rendszerek közötti kapcsolat: Ez a kapcsolat a Windows rendszerbeli hitelesítő adatokat használja kiszolgálóhitelesítéshez, az adatok aláírására és titkosítására pedig 1024 bites önaláírt tanúsítványokat alkalmaz Advanced Encryption Standard (AES) használatával. Ha elérhetők kiszolgálóhitelesítésre alkalmas PKI-tanúsítványok, akkor a rendszer ezeket használja. A tanúsítványnak a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie.
SQL Service Broker: Ez az adatok aláírására és titkosítására 2048 bites önaláírt tanúsítványokat használ Advanced Encryption Standard (AES) titkosítással. A tanúsítványnak az SQL Server főadatbázisában kell lennie.
A fájlalapú replikáció SMB protokollt használ, és SHA-256 algoritmussal írja alá az adatokat, amelyek nem titkosítottak, de nem tartalmaznak bizalmas információt. Ha titkosítani szeretné az adatokat, IPsec-et kell használnia, és ezt a Configuration Manager rendszertől függetlenül kell megvalósítania.
Titkosítási funkciók a helyrendszerekkel HTTPS-kommunikációt használó ügyfelek számára
Ha a helyrendszeri szerepkörök fogadják az ügyfélkapcsolatokat, konfigurálhatja őket a HTTPS- és a HTTP-kapcsolatok vagy csak a HTTPS-kapcsolatok fogadására. Azok a helyrendszeri szerepkörök, amelyek fogadnak kapcsolatokat az internetről, csak a HTTPS-t használó ügyfélkapcsolatokat fogadják el.
A HTTPS-t használó ügyfélkapcsolatok magasabb szintű biztonságot kínálnak a nyilvános kulcsokra épülő infrastruktúrával (PKI) való integráción keresztül az ügyfél és a kiszolgáló közötti kommunikáció védelme érdekében. Ha azonban a HTTPS-ügyfélkapcsolatokat a PKI tervezésének, központi telepítésének és működtetésének alapos ismerete nélkül konfigurálja, továbbra is sebezhető maradhat a rendszer. Ha például nem biztosítja a legfelső szintű hitelesítésszolgáltató védelmét, a támadók a teljes PKI infrastruktúra megbízhatóságát veszélyeztethetik. Ha a PKI-tanúsítványokat nem kontrollált és biztonságos eljárásokkal telepíti és felügyeli, az felügyelet nélkül maradt ügyfeleket eredményezhet, amelyek nem kapják meg a kritikus szoftverfrissítéseket és csomagokat.
| Fontos! |
|---|
Az ügyfél-kommunikációban használt PKI-tanúsítványok csak az ügyfél és bizonyos helyrendszerek között védik a kommunikációt. Nem védik meg a kommunikációs csatornát a helykiszolgáló és a helyrendszerek között, valamint a helykiszolgálók között. |
Titkosítatlan kommunikáció HTTPS használatával kommunikáló ügyfelek esetén
Ha az ügyfelek HTTPS használatával kommunikálnak a helyrendszerekkel, a kommunikáció titkosítása általában SSL használatával történik. Azonban az alábbi helyzetekben az ügyfelek titkosítás nélkül kommunikálnak a helyrendszerekkel:
Az ügyfél nem tud HTTPS-kapcsolatot létrehozni az intraneten, és HTTP-t használ helyette, ha a helyrendszerek ezt lehetővé teszik
Kommunikáció a következő helyrendszeri szerepkörökkel:
Az ügyfelek állapotüzeneteket küldenek a tartalék állapotkezelő pontra
Az ügyfél PXE-kérelmeket küld egy PXE-t támogató terjesztési pontra
Az ügyfél értesítési adatokat küld egy felügyeleti pontra
A jelentéskészítési szolgáltatási pontok HTTP vagy HTTPS használatára vannak konfigurálva az ügyfél-kommunikáció módjától függetlenül.
Titkosítási funkciók a helyrendszerekkel HTTP-kommunikációt használó ügyfelek számára
Ha az ügyfelek HTTP-kommunikációt használnak a helyrendszeri szerepkörökhöz, az ügyfél-hitelesítéshez használhatnak PKI-tanúsítványokat vagy a Configuration Manager által létrehozott önaláírt tanúsítványokat. Amikor a Configuration Manager önaláírt tanúsítványokat hoz létre, azok rendelkeznek egy egyéni objektumazonosítóval az aláíráshoz és a titkosításhoz, és ezek a tanúsítványok egyedileg azonosítják az ügyfelet. A támogatott operációs rendszerekben (a Windows Server 2003 rendszer kivételével) ezek az önaláírt tanúsítványok SHA-256 algoritmust és 2048 bites kulcsot használnak. A Windows Server 2003 rendszerben SHA1 algoritmust és 1024 bites kulcsot használnak.
Operációs rendszer központi telepítése és önaláírt tanúsítványok
Ha a Configuration Manager használatával központilag telepít operációs rendszereket önaláírt tanúsítványokkal, akkor az ügyfélszámítógépeknek is rendelkezniük kell tanúsítvánnyal ahhoz, hogy kommunikálni tudjanak a felügyeleti ponttal, még akkor is, ha átmeneti fázisban vannak, például egy feladatütemezési adathordozóról vagy PXE-t támogató terjesztési pontról végeznek rendszerindítást. Ahhoz, hogy támogassa ezt a forgatókönyvet a HTTP-ügyfélkapcsolatoknál, a Configuration Manager olyan önaláírt tanúsítványokat hoz létre, amelyek rendelkeznek egy egyéni objektumazonosítóval az aláíráshoz és a titkosításhoz, és ezek a tanúsítványok egyedileg azonosítják az ügyfelet. A támogatott operációs rendszerekben (a Windows Server 2003 rendszer kivételével) ezek az önaláírt tanúsítványok SHA-256 algoritmust és 2048 bites kulcsot használnak. A Windows Server 2003 rendszerben SHA1 algoritmust és 1024 bites kulcsot használnak. Ha az önaláírt tanúsítványok integritása sérül, tiltsa le a tanúsítványokat a Tanúsítványok csomópontban, az Adminisztráció munkaterület Biztonság csomópontjában annak érdekében, hogy az esetleges támadók ne tudják megszemélyesíteni a megbízható ügyfeleket.
Ügyfél- és kiszolgálóhitelesítés
Ha az ügyfelek HTTP-n keresztül csatlakoznak, a felügyeleti pontokat vagy az Active Directory tartományi szolgáltatások, vagy a Configuration Manager megbízható legfelső szintű kulcsa segítségével hitelesítik. Az ügyfelek nem hitelesítenek más helyrendszerszerepköröket, például az állapotáttelepítési pontokat vagy a szoftverfrissítési pontokat.
Amikor egy felügyeleti pont kezdetben hitelesít egy ügyfelet az önaláírt ügyféltanúsítvány segítségével, akkor ez a módszer minimális mértékű biztonságot nyújt, mivel minden számítógép létre tud hozni önaláírt tanúsítványt. Ennek a forgatókönyvnek a használata esetén az ügyfélidentitás bizonyítási eljárását jóváhagyással kell megerősíteni. Csak a megbízható számítógépeket kell jóváhagyni, akár automatikusan, a Configuration Manager segítségével, akár manuálisan, egy rendszergazda felhasználónak. További információ: Ügyfél által kezdeményezett kommunikáció című témakör jóváhagyással foglalkozó része.
Az SSL biztonsági rései
A Configuration Manager-kiszolgálók biztonságának javítása érdekében javasoljuk, hogy tiltsa le az SSL 3.0-t, és engedélyezze a TLS 1.1-et és 1.2-t, valamint rendelje újra a TLS-hez kapcsolódó titkosítási csomagokat. A műveletek végrehajtásának leírását ebben a tudásbáziscikkben találja. Ez a művelet nem befolyásolja a Configuration Manager működését.