Megosztás a következőn keresztül:

  • Cikk

Ügyfélszoftverek biztonsága és adatvédelme a Configuration Managerben

 

Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Ez a szakasz biztonsági és adatvédelmi információkkal szolgál a System Center 2012 Configuration Manager által felügyelt ügyfelekről, illetve az Exchange Server-összekötővel felügyelt mobileszközökről:

  • Ajánlott biztonsági eljárások Configuration Manager-ügyfelekhez és az Exchange Server-összekötővel felügyelt mobileszközökhöz

    • A Configuration Manager-ügyfelek biztonsági problémái

  • A Configuration Manager-ügyfelekre vonatkozó adatvédelmi információ

  • Az Exchange Server-összekötő használatával felügyelt mobileszközökre vonatkozó adatvédelmi információ

Ajánlott biztonsági eljárások Configuration Manager-ügyfelekhez és az Exchange Server-összekötővel felügyelt mobileszközökhöz

Ha a Configuration Manager adatokat fogad a Configuration Manager-ügyfelet futtató eszközökről, az azzal a kockázattal jár, hogy az ügyfelek megtámadhatják a helyet, például nem megfelelően formázott leltárat küldhetnek, vagy megkísérelhetik túlterhelni a helyrendszereket. A Configuration Manager-ügyfelet csak megbízható eszközökre telepítse. Emellett az alábbi ajánlott biztonsági eljárásokkal erősítheti a hely védelmét a rosszindulatú vagy veszélyeztetett biztonságú eszközökkel szemben:

Bevált biztonsági gyakorlat

További információ

Használjon PKI-tanúsítványokat az IIS-t futtató helyrendszerek ügyfél-kommunikációjához:

  • A hely tulajdonságainál a Helyrendszer beállításai elemnél válassza a Csak HTTPS értéket.

  • A /UsePKICert CCMSetup-tulajdonsággal telepítse az ügyfeleket.

  • Használja a visszavont tanúsítványok listáját (CRL), és ügyeljen arra, hogy a lista mindig elérhető legyen az ügyfelek és a kommunikáló kiszolgálók számára.

Ezek a tanúsítványok a mobileszközügyfelekhez és az interneten keresztül csatlakozó ügyfélszámítógépekhez szükségesek, és használatuk a terjesztési pontok kivételével az intraneten folytatott minden ügyfél-kommunikációhoz ajánlott.

További információ a PKI-tanúsítványok követelményeiről, valamint arról, hogyan használhatók a tanúsítványok a Configuration Manager védelmének erősítésére: PKI-tanúsítványkövetelmények a Configuration Managerben.

Automatikusan hagyja jóvá a megbízható tartományból csatlakozó ügyfélszámítógépeket, és manuálisan ellenőrizze és hagyja jóvá a többi számítógépet.

A jóváhagyással azonosíthatja azokat a számítógépeket, amelyeket megbízhatónak tart a Configuration Manager általi felügyeletre, ha nem használható PKI-alapú hitelesítés.

A hierarchiában beállíthat manuális jóváhagyást, a megbízható tartományba tartozó számítógépek automatikus jóváhagyását, illetve az összes számítógép automatikus jóváhagyását. A legbiztonságosabb jóváhagyási módszer a megbízható tartományba tartozó ügyfelek automatikus jóváhagyása, majd az összes többi számítógép manuális ellenőrzése és jóváhagyása. Az összes ügyfél automatikus jóváhagyása csak abban az esetben ajánlott, ha más hozzáférés-szabályozási funkciókat használ annak megakadályozására, hogy a nem megbízható számítógépek hozzáférjenek a hálózathoz.

További információ a számítógépek manuális jóváhagyásáról: Ügyfelek kezelése az Eszközök csomópontból.

Ne blokkolással akadályozza meg a nem kívánt ügyfelek hozzáférését a Configuration Manager-hierarchiához

A blokkolt ügyfeleket a Configuration Manager-infrastruktúra visszautasítja, így azok nem kommunikálhatnak a helyrendszerekkel, így nem tölthetnek le házirendeket, nem tölthetnek fel leltáradatokat, és nem küldhetnek állapotinformációkat vagy -üzeneteket. Ennek ellenére nem javasoljuk, hogy kizárólag blokkolással védje a Configuration Manager-hierarchiát a nem megbízható számítógépekkel szemben, ha a helyrendszerek fogadják a HTTP-ügyfélkapcsolatokat. Ebben az esetben ugyanis a blokkolt ügyfelek egy új önaláírt tanúsítvánnyal és új hardverazonosítóval újracsatlakozhatnak a helyhez. A blokkolás az elveszett vagy sérült biztonságú rendszerindító adathordozók letiltására szolgál olyan esetekben, amikor központilag telepít operációs rendszert ügyfelekre, és az összes helyrendszer fogadja a HTTPS-ügyfélkapcsolatokat. Amennyiben olyan nyilvános kulcsú infrastruktúrát (PKI) használ, amely támogatja a visszavont tanúsítványok listáját (CRL), érdemes a tanúsítványok visszavonását használnia elsődleges védelmi vonalként a potenciálisan veszélyeztetett tanúsítványokkal szemben. Az ügyfelek blokkolása másodlagos védelmi vonalként szolgálhat a Configuration Manager-hierarchia védelmére.

További információ: Ügyfélszoftverek letiltásának meghatározása a Configuration Managerben.

Az adott környezetben legbiztonságosabb és legcélszerűbb ügyfél-telepítési módszereket használja:

  • Tartományi számítógépek esetén a csoportházirendre, illetve a szoftverfrissítésre alapuló ügyfél-telepítési módszerek biztonságosabb megoldást nyújtanak az ügyfélleküldéses telepítésnél.

  • A lemezképkészítés és a manuális telepítés a megfelelő hozzáférés-szabályozási és változáskezelési intézkedések használata esetén rendkívül biztonságos megoldást nyújthat.

Az ügyfélleküldéses telepítés a számos függőségi viszony – például a helyi rendszergazdai engedélyek, az Admin$-megosztás és a számos tűzfalkivétel – miatt az összes ügyfél-telepítési módszer közül a legkevésbé biztonságos. Ezek a függőségi viszonyok növelik a támadási felületet.

További információ a különböző ügyfél-telepítési módszerekről: Windows alapú számítógépek ügyféltelepítési módszerének meghatározása a Configuration Manager alkalmazásban.

Emellett ahol csak lehetséges, olyan ügyfél-telepítési módszert válasszon, amelyhez a legalacsonyabb biztonsági engedélyek szükségesek a Configuration Manager programban, és korlátozza az olyan biztonsági szerepkörökhöz rendelt rendszergazdai felhasználók számát, amelyek nem csak ügyféltelepítésre jogosító engedélyeket tartalmaznak. Az automatikus ügyfélfrissítéshez például Teljes körű rendszergazda biztonsági szerepkör szükséges, amely minden biztonsági engedélyt megad a rendszergazdának.

További információt az egyes ügyfél-telepítési módszerek függőségeiről és a szükséges biztonsági engedélyekről a következő témakör A számítógépre telepített ügyfelekre vonatkozó előfeltételek című szakaszának „A telepítési módszer függőségei” című részében talál: A Windows központi ügyféltelepítés előfeltételei a Configuration Managerben.

Ha mindenképpen ügyfélleküldéses telepítést kell használnia, további lépésekkel gondoskodjon az ügyfélleküldéses telepítési fiók biztonságáról.

Bár ennek a fióknak a helyi Rendszergazdák csoporthoz kell tartoznia minden egyes számítógépen, amelyen a Configuration Manager-ügyfélszoftvert telepíti, semmiképpen ne vegye fel az ügyfélleküldéses telepítési fiókot a Tartománygazdák csoportba. Ehelyett hozzon létre egy globális csoportot, és vegye fel azt a helyi Rendszergazdák csoportba az ügyfélszámítógépeken. Ezen felül olyan csoportházirend-objektumot is létrehozhat, amellyel egy „Korlátozott csoport” típusú beállítással hozzáadhatja az ügyfélleküldéses telepítési fiókot a helyi Rendszergazdák csoporthoz.

A biztonság további erősítése érdekében több ügyfélleküldéses telepítési fiókot is létrehozhat, amelyek mind korlátozott számú számítógéphez rendelkezhetnek rendszergazdai hozzáféréssel, így ha az egyik fiók biztonsága sérül, csak az adott fiók által elérhető ügyfélszámítógépek kerülnek veszélybe.

Mielőtt az ügyfélszámítógépekről lemezképet készítene, távolítsa el a tanúsítványokat

Ha lemezkép-készítési technológiával szeretne központi ügyféltelepítést végezni, a lemezkép rögzítése előtt mindig távolítsa el az ügyféloldali hitelesítő adatokat tartalmazó (például PKI-) és az önaláírt tanúsítványokat. Ha nem távolítja el ezeket, az ügyfelek megszemélyesíthetik egymást, így az egyes ügyfelekhez tartozó adatok ellenőrzése lehetetlenné válik.

A Windows központi telepítési dokumentációjában részletesebb tájékoztatást olvashat a Sysprep eszköz használatáról a számítógépek előkészítésére lemezképkészítés előtt.

Ügyeljen arra, hogy a Configuration Manager ügyfélszámítógépei hiteles példányt kapjanak a következő tanúsítványokból:

  • A Configuration Manager megbízható legfelső szintű kulcsából

  • A helykiszolgáló aláíró tanúsítványából

  • Megbízható legfelső szintű kulcs:

    Ha nem bővítette ki a Configuration Manager Active Directory-sémáját, és az ügyfelek nem használnak PKI-tanúsítványokat a felügyeleti pontokkal való kommunikáció során, akkor az ügyfelek a Configuration Manager megbízható legfelső szintű kulcsát használják az érvényes felügyeleti pontok hitelesítéséhez. Ebben a helyzetben az ügyfelek egyedül a megbízható legfelső szintű kulcs használatával ellenőrizhetik, hogy a felügyeleti pont megbízható-e a hierarchia számára. A megbízható legfelső szintű kulcs nélkül a gyakorlott támadók rosszindulatú felügyeleti ponthoz irányíthatják az ügyfeleket.

    Ha az ügyfelek nem tölthetik le a Configuration Manager megbízható legfelső szintű kulcsát a globális katalógusból vagy PKI-tanúsítványok használatával, előre adja meg az ügyfeleknek a megbízható legfelső szintű kulcsot, így biztosan nem irányíthatják őket rosszindulatú felügyeleti ponthoz. További információ: A megbízható legfelső szintű kulcs tervezése című rész, Biztonság tervezése a Configuration Manager alkalmazásban témakör.

  • Helykiszolgáló aláíró tanúsítványa:

    Az ügyfelek a helykiszolgáló aláíró tanúsítványával ellenőrizhetik, hogy a helykiszolgáló aláírta-e a felügyeleti pontról letöltött ügyfélházirendet. A tanúsítványt a helykiszolgáló maga írja alá és teszi közzé az Active Directory tartományi szolgáltatásokban.

    Ha az ügyfelek nem tudják letölteni a helykiszolgáló aláíró tanúsítványát a globális katalógusból, alapértelmezés szerint a felügyeleti pontról fogják azt letölteni. Ha a felügyeleti pont nem megbízható hálózathoz kapcsolódik (például az internethez), manuálisan telepítse a helykiszolgáló aláíró tanúsítványát az ügyfeleken, így gondoskodhat arról, hogy az ügyfelek nem futtathatnak illetéktelenül módosított ügyfélházirendeket veszélyeztetett biztonságú felügyeleti pontokról.

    A helykiszolgáló aláíró tanúsítványának manuális telepítéséhez használja a CCMSetup eszköz SMSSIGNCERT client.msi-tulajdonságát. További információ: Információ a Configuration Manager ügyféltelepítési tulajdonságairól.

Ne használjon automatikus helyhozzárendelést, ha az ügyfél fogja letölteni a megbízható legfelső szintű kulcsot az első felügyeleti pontról, amelyhez csatlakozik

Ez az ajánlott biztonsági eljárás az előző bejegyzéshez kapcsolható. Annak elkerülése érdekében, hogy egy új ügyfél rosszindulatú felügyeleti pontról töltse le a megbízható legfelső szintű kulcsot, kizárólag a következő helyzetekben használjon automatikus helyhozzárendelést:

  • Ha az ügyfél hozzáférhet az Active Directory tartományi szolgáltatásokban közzétett Configuration Manager-helyinformációkhoz.

  • Ha előre ellátja az ügyfelet a megbízható legfelső szintű kulccsal.

  • Ha PKI-tanúsítványokat használ egy vállalati hitelesítésszolgáltatótól ahhoz, hogy megbízhatósági kapcsolatot létesítsen az ügyfél és a felügyeleti pont között.

További információt a megbízható legfelső szintű kulcsról a A megbízható legfelső szintű kulcs tervezése című témakör Biztonság tervezése a Configuration Manager alkalmazásban című szakaszában talál.

Az ügyfélszámítógépek telepítéséhez használja a SMSDIRECTORYLOOKUP=NoWINS Client.msi-beállítást a CCMSetup eszközben.

Az Active Directory tartományi szolgáltatások jelentik az ügyfelek által használható legbiztonságosabb szolgáltatás-helymeghatározó módszert a helyek és felügyeleti pontok megtalálására. Ha ez nem lehetséges, például mert a Configuration Manager Active Directory-sémája nem bővíthető, vagy az ügyfelek nem megbízható erdőben vagy munkacsoportban találhatók, alternatív szolgáltatás-helymeghatározó módszerként DNS-közzétételt is használhat. Ha a fentiek közül egyik módszer sem működik, az ügyfelek visszatérhetnek a WINS használatára, ha a felügyeleti pont nincs beállítva a HTTPS-ügyfélkapcsolatok kezelésére.

Mivel a WINS-közzététel a többi közzétételi módszernél kevésbé biztonságos, az „SMSDIRECTORYLOOKUP=NoWINS” beállítással gondoskodjon arról, hogy az ügyfélszámítógépek ne térjenek vissza a WINS használatára. Ha mindenképpen WINS-alapú módszert kell alkalmaznia a szolgáltatás helyének meghatározására, az SMSDIRECTORYLOOKUP=WINSSECURE alapértelmezett beállítást használja, amely a Configuration Manager megbízható legfelső szintű kulcsával ellenőrzi a felügyeleti pont önaláírt tanúsítványát.

System_CAPS_noteMegjegyzés

Ha az ügyfél az SMSDIRECTORYLOOKUP=WINSSECURE konfigurációs beállítással talál egy felügyeleti pontot a WINS szolgáltatásból, az ügyfél ellenőrzi a Configuration Manager megbízható legfelső szintű kulcsát a WMI-ben. Ha a felügyeleti pont tanúsítványának aláírása megfelel a megbízható legfelső szintű kulcs példányának az ügyfélen, a rendszer érvényesíti a tanúsítványt, és az ügyfél kommunikálni fog a WINS segítségével talált felügyeleti ponttal. Ha a felügyeleti pont tanúsítványának aláírása nem felel meg a megbízható legfelső szintű kulcs példányának az ügyfélen, a tanúsítvány érvénytelen lesz, és az ügyfél nem fog kommunikálni a WINS segítségével talált felügyeleti ponttal.

Ügyeljen arra, hogy a karbantartási időszakok kellőképpen hosszúak legyenek a kritikus szoftverfrissítések telepítésére

Az eszközgyűjteményekhez karbantartási időszakokat állíthat be, amelyekkel korlátozható, hogy a Configuration Manager mikor telepíthet szoftvereket a gyűjteménybe tartozó eszközökön. Túl rövid karbantartási időszak konfigurálása esetén előfordulhat, hogy az ügyfél nem tudja telepíteni a kritikus szoftverfrissítéseket, így védtelen marad azokkal a támadásokkal szemben, amelyek elhárítására az érintett frissítések hivatottak.

Írási szűrőket használó Windows Embedded-eszközök esetén további biztonsági intézkedésekre van szükség a támadási felület csökkentéséhez, ha a Configuration Manager letiltja az írási szűrőket a szoftvertelepítések és -módosítások végrehajtásához.

Ha az írási szűrők engedélyezve vannak a Windows Embedded-eszközön, a szoftvertelepítések és -módosítások kizárólag az átmeneti területet fogják érinteni, és a készülék újraindításával elvesznek. Ha a Configuration Manager segítségével átmenetileg letiltja az írási szűrőket, hogy a szoftvertelepítések és -módosítások megmaradjanak, az Embedded-eszköz ebben az időszakban sérülékeny lesz az összes kötet módosításával szemben, beleértve a megosztott mappákat is.

A Configuration Manager erre az időre zárolja a számítógépet, tehát csak a helyi rendszergazdák jelentkezhetnek be, ennek ellenére további biztonsági intézkedésekkel erősítse a számítógép védelmét, amikor csak lehetséges – például engedélyezzen további korlátozásokat a tűzfalon, vagy válassza le az eszközt a hálózatról.

Ha karbantartási időszakokat használ a tartós módosítások végrehajtására, körültekintően tervezze meg az ütemezést úgy, hogy az írási szűrők minél rövidebb ideig legyenek letiltva, de elegendő ideig ahhoz, hogy a szoftvertelepítések és -újraindítások befejeződhessenek.

Ha szoftverfrissítés-alapú ügyféltelepítést használ, és az ügyfél egy későbbi verzióját telepíti a helyre, a szoftverfrissítési ponton közzétett frissítést úgy frissítse, hogy az ügyfélre a legújabb verzió jusson el.

Ha az ügyfél egy későbbi verziót telepíti a helyre – például a hely frissítése esetén –, a rendszer nem frissíti automatikusan a szoftverfrissítési ponton közzétett szoftverfrissítést, amely az ügyfél központi telepítésére szolgál. Újra tegye közzé a Configuration Manager-ügyfelet a szoftverfrissítési ponton, majd kattintson az Igen gombra a verziószám frissítéséhez.

További tudnivalókat a következő témakör A Configuration Manager-ügyfelek telepítése szoftverfrissítés-alapú telepítéssel című szakaszának „A Configuration Manager-ügyfél közzététele a szoftverfrissítési ponton” című része tartalmaz: Ügyfélszoftverek telepítése Windows-alapú számítógépekre a Configuration Manager segítségével.

A SzámítógépügynökBitLocker PIN-kód bevitelének felfüggesztése újrainduláskor ügyféleszköz-beállítását csak a megbízható, korlátozott fizikai hozzáféréssel rendelkező számítógépek esetében állítsa Mindig értékre.

Ha ezt az ügyfélbeállítást Mindig értékre állítja, a Configuration Manager be tudja fejezni a szoftvertelepítést, így biztosítható, hogy a fontos szoftverfrissítések telepítve lesznek és a szolgáltatások folytatódnak. Ha azonban egy támadó elfogja az újraindítási folyamatot, akkor átveheti a számítógép irányítását. Csak akkor használja ezt a beállítást, ha megbízik a számítógépben, és ha a számítógéphez való fizikai hozzáférés korlátozott. Ez a beállítás megfelelő lehet például egy adatközpont kiszolgálói számára.

Ne konfigurálja a SzámítógépügynökPowerShell végrehajtási házirend ügyféleszköz-beállítását Áteresztő értékre.

Ez az ügyfélbeállítás engedélyezi a Configuration Manager-ügyfél számára aláíratlan PowerShell-parancsfájlok futtatását, ami lehetővé teheti kártevő szoftverek futtatását az ügyfélszámítógépeken. Ha mindenképp ezt a beállítást kell megadnia, használjon egyéni ügyfélbeállítást, és csak azokhoz az ügyfélszámítógépekhez rendelje hozzá, amelyeken szükséges az aláíratlan PowerShell-parancsfájlok futtatása.

A Configuration Manager rendszerbe beléptetett és az interneten támogatott mobileszközök: Telepítse a beléptetési proxypontot egy peremhálózatra, a beléptetési pontot pedig az intranetre

A szerepkörök ilyen elválasztása hozzájárul a beléptetési pont támadások elleni védelméhez. Ha a beléptetési pont biztonsága sérül, a támadó megszerezhet hitelesítési tanúsítványokat és ellophatja azon felhasználók hitelesítési adatait, akik beléptetik mobileszközeiket.

Mobileszközök esetén: Konfigurálja a jelszóbeállításokat a mobileszközök illetéktelen hozzáférés elleni védelmének elősegítésére

A Configuration Manager által beléptetett mobileszközök esetén: Egy mobileszköz-konfigurációelemmel állítsa be a jelszó erősségét a PIN-kódra, a minimális jelszóhosszt pedig legalább az alapértelmezett hosszra.

Olyan mobileszközök esetén, amelyeken nincs telepítve a Configuration Manager ügyfél, azonban az Exchange Server-összekötő által felügyeltek: Adja meg úgy a jelszóbeállításokat az Exchange Server-összekötőhöz, hogy a jelszó erőssége a PIN-kód legyen, és adja meg legalább az alapértelmezett hosszt a minimális jelszóhosszhoz.

Mobileszközök esetén: A leltárinformációk és az állapotinformációk illetéktelen módosításának megelőzése érdekében az alkalmazások futását csak akkor engedélyezze, ha azokat megbízható cégek írták alá, és ne engedélyezze az aláíratlan fájlok telepítését

A Configuration Manager által beléptetett további mobileszközök esetén: Egy mobileszköz-konfigurációelemmel állítsa be az Aláíratlan alkalmazások biztonsági beállítást Tiltott értékre, az Aláíratlan fájlok telepítése beállítást pedig egy megbízható forrásra.

Olyan mobileszközök esetén, amelyeken nincs telepítve a Configuration Manager ügyfél, azonban az Exchange Server-összekötő által felügyeltek: Az Exchange Server-összekötő alkalmazásbeállításait úgy konfigurálja, hogy az Aláíratlan fájlok telepítése és az Aláíratlan alkalmazások beállítás értéke Tiltott legyen.

Mobileszközök esetén: A jogok kiterjesztését felhasználó támadások megelőzése érdekében zárolja a mobileszközt, amikor nincs használatban

A Configuration Manager által beléptetett további mobileszközök esetén: Egy mobileszköz-konfigurációelemmel konfigurálja a Tétlenségi idő (percben) a mobileszköz zárolása előtt jelszóbeállítást.

Olyan mobileszközök esetén, amelyeken nincs telepítve a Configuration Manager ügyfél, azonban az Exchange Server-összekötő által felügyeltek: Konfigurálja a jelszóbeállításokat az Exchange Server-összekötőhöz a Tétlenségi idő (percben) a mobileszköz zárolása előtt beállítás megadásához.

Mobileszközök esetén: A jogok kiterjesztésének megelőzése érdekében korlátozza, hogy mely felhasználók léptethetik be mobileszközüket.

Az alapértelmezettek helyett használjon egyéni ügyfélbeállításokat, amelyek csak a hitelesített felhasználóknak engedélyezik a mobileszközük beléptetését.

Mobileszközök esetén: Az alábbi esetekben ne telepítsen alkalmazásokat olyan felhasználók számára, akiknek mobileszközét a Configuration Manager vagy a Microsoft Intune léptette be:

  • Ha a mobileszközt többen használják.

  • Ha az eszközt egy rendszergazda léptette be egy felhasználó nevében.

  • Ha az eszközt átruházzák egy másik személyre kiléptetés és újbóli beléptetés nélkül.

Beléptetés közben létrejön egy felhasználó-eszköz kapcsolat, amely a beléptetést végző felhasználót hozzárendeli a mobileszközhöz. Ha egy másik felhasználó használja a mobileszközt, tudja futtatni az eredeti felhasználó számára központilag telepített alkalmazásokat, ami a jogok kiterjesztésével járhat. Hasonlóképpen, ha egy rendszergazda belépteti a mobileszközt egy felhasználó számára, akkor a felhasználónak központilag telepített alkalmazások nem települnek a mobileszközre, hanem előfordulhat, hogy helyettük a rendszergazda számára központilag telepített alkalmazások kerülnek rá.

A Windows rendszerű számítógépek felhasználó–eszköz kapcsolatától eltérően a Microsoft Intune által beléptetett mobileszközökhöz nem lehet manuálisan definiálni a felhasználó–eszköz kapcsolatot.

Ha átadja egy Intune által beléptetett mobileszköz tulajdonjogát, a felhasználó-eszköz kapcsolat törléséhez vonja ki a mobileszközt a Intune szolgáltatásból, majd kérje meg az új felhasználót, hogy léptesse be újra az eszközt.

Mobileszközök esetén: Győződjön meg arról, hogy a felhasználók saját mobileszközüket léptetik be a Microsoft Intune-ba.

Mivel a beléptetést végző felhasználót a mobileszközhöz rendelő felhasználó-eszköz kapcsolat beléptetéskor jön létre, ha egy rendszergazda végzi el a mobileszköz beléptetését a felhasználó helyett, akkor a felhasználó számára központilag telepített alkalmazások nem települnek a mobileszközre, hanem előfordulhat, hogy helyettük a rendszergazda számára központilag telepített alkalmazások kerülnek rá.

Az Exchange Server-összekötőhöz: Győződjön meg arról, hogy a Configuration Manager helykiszolgálója és az Exchange Server rendszert futtató számítógép közötti kapcsolat védve van

Használjon IPsec-et, ha az Exchange Server helyszíni; a szolgáltatott Exchange automatikusan SSL-t használ a kapcsolat biztonságossá tételére.

Az Exchange Server-összekötőhöz: Használja a legalacsonyabb jogosultságok elvét az összekötőhöz

Az Exchange Server-összekötő számára szükséges minimális parancsmagok listáját a következő helyen találja: Mobileszközök kezelése a Configuration Manager és az Exchange használatával.

Mac számítógépek esetén: Az ügyfél forrásfájljait tárolja és használja biztonságos helyről.

A Configuration Manager nem ellenőrzi, hogy az ügyfél forrásfájljait módosították-e illetéktelenül, mielőtt telepíti vagy belépteti az ügyfelet a Mac számítógépen. A fájlokat megbízható forrásból töltse le, és a tárolásukat és a hozzáférésüket biztonságosan végezze.

Mac számítógépek esetén: A Configuration Manager szolgáltatástól függetlenül figyelje és kövesse a felhasználókat beléptető tanúsítvány érvényességi időtartamát.

Az üzletmenet folytonosságának biztosításához figyelje és kövesse a Mac számítógépekhez használt tanúsítvány érvényességi időtartamát. A Configuration Manager SP1 nem támogatja ennek a tanúsítványnak az automatikus megújítását, és nem figyelmezteti a tanúsítvány közelgő lejáratára. Az érvényesség általában 1 év.

A tanúsítvány megújításával kapcsolatos tudnivalókat a Mac ügyféltanúsítványainak megújításával foglalkozó részben találja a következő témakörben: Ügyfélszoftverek telepítése Mac alapú számítógépekre a Configuration Manager alkalmazásban.

Mac számítógépek esetén: Érdemes úgy konfigurálni a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt, hogy csak az SSL protokoll számára legyen megbízható, ami hozzájárul a jogok kiterjesztése elleni védelemhez.

Ha Mac számítógépeket léptet be, a Configuration Manager-ügyfél felügyeletéhez szükséges felhasználói tanúsítvány automatikusan települ azzal a megbízható legfelső szintű tanúsítvánnyal együtt, amellyel a felhasználói tanúsítvány láncot alkot. Ha a legfelső szintű tanúsítvány megbízhatóságát korlátozni szeretné csak az SSL protokollra, azt az alábbi módon teheti meg.

Miután elvégezte ezt az eljárást, a legfelső szintű tanúsítvány nem lesz megbízható az SSL-től különböző protokollok (például S/MIME, EAP vagy kódaláírás) érvényesítésére.

System_CAPS_noteMegjegyzés

Ezt az eljárást akkor is használhatja, ha az ügyféltanúsítványt a Configuration Manager rendszertől függetlenül telepítette.

A legfelső szintű tanúsítvány korlátozása az SSL protokollra:

  1. A Mac számítógépen nyisson meg egy terminálablakot.

  2. Írja be a következő parancsot: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. A Keychain Access (Kulcscsomó-hozzáférés) párbeszédpanelen a Keychains (Kulcscsomók) szakaszban kattintson a System (Rendszer) elemre, majd a Category (Kategória) szakaszban a Certificates (Tanúsítványok) lehetőségre.

  4. Keresse meg a legfelső szintű hitelesítésszolgáltatói tanúsítványt a Mac ügyféltanúsítványhoz, és kattintson rá duplán.

  5. A legfelső szintű hitelesítésszolgáltatói tanúsítvány párbeszédpanelén bontsa ki a Trust (Megbízhatóság) szakaszt, és végezze el a következő módosításokat:

    1. A When using this certificate (A tanúsítvány használatakor) beállításban módosítsa az Always Trust (Mindig megbízható) alapértelmezett értéket Use System Defaults (A rendszer alapértelmezéseinek használata) értékre.

    2. A Secure Sockets Layer (SSL) részben módosítsa a no value specified (nincs megadva érték) beállítást Always Trust (Mindig megbízható) beállításra.

  6. Zárja be a párbeszédpanelt, és amikor a rendszer rákérdez, írja be a rendszergazdai jelszót, majd kattintson az Update Settings (Beállítások frissítése) lehetőségre.

A Configuration Manager-ügyfelek biztonsági problémái

A következő biztonsági problémákra nincs megoldás:

  • Az állapotüzenetek nincsenek hitelesítve

    Az állapotüzeneteken nem történik hitelesítés. Ha egy felügyeleti pont elfogadja a HTTP-ügyfélkapcsolatokat, bármely eszköz küldhet állapotüzeneteket a felügyeleti pontra. Ha a felügyeleti pont csak a HTTPS-ügyfélkapcsolatokat fogadja el, az eszköznek érvényes ügyfél-hitelesítési tanúsítványt kell beszereznie egy megbízható legfelső szintű hitelesítésszolgáltatótól, de ezután bármilyen állapotüzenetet küldhet. Ha egy ügyfél érvénytelen állapotüzenetet küld, azt a rendszer elveti.

    Létezik néhány lehetséges támadás ezen biztonsági rés ellen. A támadó küldhet hamis állapotüzenetet, hogy tagságot szerezzen egy olyan gyűjteményben, amely állapotüzenet-lekérdezéseken alapul. Bármely ügyfél elindíthat egy szolgáltatásmegtagadási támadást a felügyeleti pont ellen úgy, hogy elárasztja állapotüzenetekkel. Ha az állapotüzenetek műveleteket váltanak ki állapotüzenet-szűrő szabályokban, akkor a támadó elindíthatja az állapotüzenet-szűrő szabályt. A támadó küldhet olyan állapotüzenetet is, amely az információjelentést pontatlanná teszi.

  • A házirendek átirányíthatók általuk nem érintett ügyfelekre

    A támadók többféleképpen irányíthatják át az egyik ügyfélnek szánt házirendet egy másik ügyfélre. Egy megbízható ügyfélről induló támadás például hamis leltár- vagy felderítési információt küldhet, hogy a számítógép bekerüljön egy olyan gyűjteménybe, amelyben nem szabadna benne lennie, majd megkapja a gyűjteményhez rendelt összes központi telepítést. Léteznek vezérlők, amelyekkel csökkenthető annak az esélye, hogy a támadók közvetlenül módosítsák a házirendet, azonban a támadók egy meglévő házirenddel is újraformázást végezhetnek és újratelepíthetik az operációs rendszert, majd elküldhetik azt egy másik számítógépre, szolgáltatásmegtagadást idézve elő. Ezekhez a támadástípusokhoz pontos időzítés és a Configuration Manager infrastruktúrájának alapos ismerete szükséges.

  • Az ügyfél naplóihoz hozzáférnek a felhasználók

    Az ügyfél összes naplófájljához olvasási hozzáférése van a felhasználóknak és írási hozzáférése az interaktív felhasználóknak. Ha engedélyezi a részletes naplózást, a támadók olvashatják a naplófájlokat, és azokban megkereshetik a megfelelőséggel vagy a rendszer biztonsági réseivel kapcsolatos információkat. A felhasználó környezetében futó folyamatoknak, mint például a szoftvertelepítés, alacsony jogosultságszintű felhasználói fiókkal kell írási hozzáférést kapniuk a naplófájlokhoz. Ez azt jelenti, hogy a támadó is alacsony jogosultságszintű fiókkal tud a naplókba írni.

    A legnagyobb veszély az, hogy a támadó törölhet olyan adatokat a naplófájlból, amelyekre a rendszergazdának szüksége lehet a rendszer vizsgálatához és a behatolások észleléséhez.

  • Egy számítógép felhasználható olyan tanúsítvány beszerzésére, amely a mobileszközök beléptetésére szolgál

    Amikor a Configuration Manager feldolgoz egy beléptetési kérést, nem tudja ellenőrizni, hogy a kérés mobileszközről vagy számítógépről érkezett-e. Ha a kérés számítógépről érkezett, telepíthet egy PKI-tanúsítványt, amely lehetővé teszi számára a Configuration Manager rendszerben való regisztrálást. Ilyen esetben a jogok kiterjesztését felhasználó támadások megelőzése érdekében csak a megbízható felhasználóknak engedélyezze a mobileszközeik beléptetését, és körültekintően figyelje a beléptetési aktivitást.

  • A kapcsolat egy ügyfél és a felügyeleti pont között nem szakad meg, ha letilt egy ügyfelet, és a letiltott ügyfél továbbra is küldhet ügyfél-értesítési csomagokat a felügyeleti pontra életben tartási üzenetekként

    A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:

    Ha letilt egy ügyfelet, amelyben már nem bízik meg, és az létesített ügyfél-értesítési kommunikációt, a Configuration Manager nem választja le a munkamenetet. A letiltott ügyfél továbbra is küldhet csomagokat a felügyeleti pontjára, amíg az ügyfél le nem kapcsolódik a hálózatról. Ezek a csomagok csak kicsi, életben tartási csomagok, és ezeket az ügyfeleket nem tudja felügyelni a Configuration Manager, amíg a tiltásukat fel nem oldják.

  • Amikor automatikus ügyfélfrissítést használ, és az ügyfél egy felügyeleti pontra van irányítva az ügyfél-forrásfájlok letöltéséhez, a felügyeleti pont mint forrás megbízhatóságát nem ellenőrzi a rendszer

    A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:

    Ha automatikus ügyfélfrissítést használ egy Configuration Manager-hierarchiában, ahol egyes helyek Configuration Manager SP1, más helyek szervizcsomag nélküli Configuration Manager rendszert futtatnak, a szervizcsomag nélküli Configuration Manager-helyen lévő ügyfelet nem a terjesztési pontokról, hanem a hozzárendelt felügyeleti pontról irányítja a rendszer az ügyfél-forrásfájlok letöltéséhez. Ez biztosítja, hogy a szervizcsomag nélküli Configuration Manager-helyekhez hozzárendelt ügyfelek ne telepíthessék a Configuration Manager SP1 ügyfél-forrásfájljait, mert az azt okozná, hogy az ügyfél nem lenne felügyelve. Ilyen esetben nem ellenőrzik az ügyfelek, hogy a felügyeleti pont megbízható forrás-e, és lehetségessé válik az ügyfelek átirányítása egy engedélyezetlen felügyeleti pontra az ügyfél-telepítési fájlok beszerzéséhez. Azonban ennek az esélye kicsi, mert az ügyfelek elutasítják azokat az ügyfél-telepítési fájlokat, amelyeket nem írt alá a Microsoft. Az ügyfelek mindig ellenőrzik a megbízhatóságot, mielőtt ügyfélházirendet töltenek le a felügyeleti pontokról.

  • Amikor a felhasználók először léptetnek be Mac számítógépet, fennáll a címlopás veszélye

    Amikor a Mac számítógép kapcsolódik a beléptetési proxypontra beléptetéskor, nem valószínű, hogy a Mac számítógép már rendelkezik a legfelső szintű hitelesítésszolgáltatói tanúsítvánnyal. Ekkor a Mac számítógép nem bízik meg a kiszolgálóban, és megkérdezi a felhasználót, hogy folytatja-e a műveletet. Ha a beléptetési proxypont teljes nevét feloldja egy engedélyezetlen DNS-kiszolgáló, az a Mac számítógépet egy engedélyezetlen beléptetési proxypontra irányíthatja, és tanúsítványokat telepíthet egy nem megbízható forrásból. A kockázat csökkentése érdekében kövesse a bevált gyakorlatokat, amelyekkel elkerülheti a címlopást a környezetében.

  • A Mac beléptetése nem korlátozza a tanúsítványkéréseket

    A felhasználók mindig újból beléptethetik a Mac gépüket, amikor új ügyféltanúsítványt kérnek. A Configuration Manager nem ellenőrzi a többszörös kéréseket, és nem korlátozza az egyetlen számítógépről kért tanúsítványok számát. Egy rosszindulatú felhasználó futtathat olyan parancsfájlt, amely megismétli a parancssori beléptetési kérést, ezzel szolgáltatásmegtagadást okozva a hálózaton vagy a kibocsátó hitelesítésszolgáltatónál. Hogy ennek a veszélyét csökkentse, körültekintően figyelje a kibocsátó hitelesítésszolgáltató esetleges ilyen típusú gyanús viselkedését. Az ilyen viselkedésmintát mutató számítógépet azonnal le kell tiltani a Configuration Manager-hierarchiából.

  • A törlési visszaigazolás nem ellenőrzi, hogy az eszköz tartalmának törlése sikeres volt-e

    Amikor elindít egy tartalomtörlési műveletet egy mobileszközhöz, és a Configuration Manager visszaigazoltként jeleníti meg a tartalomtörlési állapotot, az ellenőrzés arra vonatkozik, hogy a Configuration Manager sikeresen elküldte-e az üzenetet, nem pedig arra, hogy az eszköz el is végezte-e a kért műveletet. Az Exchange Server-összekötő által felügyelt mobileszközök esetén a tartalomtörlési visszaigazolás azt ellenőrzi, hogy az Exchange (nem az eszköz) fogadta-e a parancsot.

  • Ha a változtatások véglegesítésének beállításait használja a Windows Embedded-eszközökön a Configuration Manager SP1 alkalmazásban, a fiókok zárolása a vártnál hamarabb történhet meg.

    Ha a Windows Embedded-eszközön a Windows 7 rendszernél korábbi operációs rendszer fut, és egy felhasználó megpróbál bejelentkezni, amikor a fájlok írása le van tiltva a Configuration Manager SP1 által végrehajtott változtatások véglegesítéséhez, akkor a fiók zárolása előtti sikertelen bejelentkezési kísérletek engedélyezett száma megfeleződik. Ha például a Fiókzárolás küszöbe beállítás értéke 6, és a felhasználó 3 alkalommal helytelenül írja be a jelszavát, a rendszer zárolja a fiókot, és szolgáltatásmegtagadási helyzet jön létre. Ha a felhasználóknak ebben a helyzetben kell bejelentkezniük a beágyazott eszközökre, figyelmeztesse őket arra, hogy valószínűleg kevesebb bejelentkezési próbálkozásra van lehetőségük.

A Configuration Manager-ügyfelekre vonatkozó adatvédelmi információ

A Configuration Manager-ügyfél telepítésekor meg kell adnia az ügyfélbeállításokat, hogy használhassa a Configuration Manager felügyeleti funkcióit. A funkciók konfigurálására használt beállítások a Configuration Manager-hierarchiában található összes ügyfélre érvényesek lehetnek, függetlenül attól, hogy közvetlenül vannak-e csatlakoztatva a vállalati hálózathoz, távoli kapcsolaton keresztül csatlakoznak-e, vagy az internethez csatlakoznak-e a Configuration Manager által támogatott módon.

A rendszer a Configuration Manager adatbázisában tárolja az ügyféladatokat, a Microsoftnak nem küldi el azokat. Ezek az adatok addig maradnak az adatbázisban, amíg a 90 naponta végrehajtott Elavult eszközfelderítési adatok törlése helykarbantartási feladat el nem távolítja azokat. Beállíthatja a törlési időközt.

A Configuration Manager-ügyfél konfigurálása előtt gondolja át az adatvédelmi követelményeit.

A mobileszközre telepített és a Configuration Manager által beléptetett ügyfelekre vonatkozó adatvédelmi információ

További adatvédelmi információ a Configuration Manager által beléptetett mobileszközökhöz: A Microsoft System Center 2012 Configuration Manager adatvédelmi nyilatkozatának mobileszközökre vonatkozó kiegészítése.

Ügyfélállapot

A Configuration Manager figyeli és rendszeres időközönként kiértékeli az ügyfelek tevékenységét, és javítani tudja a Configuration Manager-ügyfelet és annak függőségeit. Az Ügyfélállapot funkció alapértelmezés szerint engedélyezve van, és kiszolgálóoldali metrikákat használ az ügyféltevékenység ellenőrzéséhez, illetve ügyféloldali műveleteket az önellenőrzéshez, a szervizeléshez, valamint az ügyfélállapot-adatok elküldéséhez a Configuration Manager-helyre. Az ügyfél az Ön által konfigurált ütemezés szerint futtatja az önellenőrzéseket. Az ügyfél elküldi az ellenőrzések eredményeit a Configuration Manager-helyre. Az adatok átvitele titkosított formában történik.

A rendszer a Configuration Manager adatbázisában tárolja az ügyfélállapot-adatokat, a Microsoftnak nem küldi el azokat. A helyadatbázis titkosítás nélkül tárolja az információt. Ezek az adatok addig maradnak az adatbázisban, amíg le nem telik Az ügyfélállapot előzményeinek lekérése a következő számú napra ügyfélállapot-beállításnál megadott időszak. A beállítás alapértelmezett értéke 31 nap.

A Configuration Manager-ügyfél állapotellenőrzésének beállítása előtt gondolja át az adatvédelmi követelményeit.

Az Exchange Server-összekötő használatával felügyelt mobileszközökre vonatkozó adatvédelmi információ

Az Exchange Server-összekötő megkeresi és felügyeli azokat az eszközöket, amelyek az ActiveSync protokoll használatával kapcsolódnak a helyszíni vagy szolgáltatott Exchange Server-kiszolgálóhoz. Az Exchange Server-összekötő által talált rekordokat a Configuration Manager adatbázisa tárolja. Az adatok összegyűjtése az Exchange Server-kiszolgálóról történik. A kiszolgáló csak azokat az adatokat tartalmazza, amelyeket a mobileszközök küldenek az Exchange Server-kiszolgálónak.

A program nem küld a mobileszközökre vonatkozó adatokat a Microsoftnak. A mobileszközökre vonatkozó adatokat a Configuration Manager adatbázisa tárolja. Ezek az adatok addig maradnak az adatbázisban, amíg a 90 naponta végrehajtott Elavult eszközfelderítési adatok törlése helykarbantartási feladat el nem távolítja azokat. Beállíthatja a törlési időközt.

Az Exchange Server-összekötő telepítése és konfigurálása előtt gondolja át az adatvédelmi követelményeit.