Helyfelügyelet biztonsága és adatvédelme a Configuration Manager alkalmazásban
Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
![]() |
---|
Ez a témakör itt jelenik meg: a Site Administration for System Center 2012 Configuration Manager (A System Center 2012 Configuration Manager-helyek felügyelete) útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban. |
Ez a rész a System Center 2012 Configuration Manager helyeinek és hierarchiájának biztonságával és adatvédelmével kapcsolatos tudnivalókat tartalmazza:
A helyfelügyelet legjobb biztonsági megoldásai
A helykiszolgálóhoz kapcsolódó ajánlott biztonsági eljárások
Az SQL Serverhez kapcsolódó ajánlott biztonsági eljárások
Ajánlott biztonsági eljárások az IIS-t futtató helyrendszerekhez
Ajánlott biztonsági eljárások a felügyeleti ponthoz
Ajánlott biztonsági eljárások a tartalék állapotkezelő ponthoz
A helyfelügyelet biztonsági problémái
Adatvédelmi tájékoztatás a felderítéshez
A helyfelügyelet legjobb biztonsági megoldásai
A következő legjobb biztonsági megoldások alkalmazásával gondoskodhat a System Center 2012 Configuration Manager-helyek és a hierarchia biztonságáról.
Bevált biztonsági gyakorlat |
További információ |
||
---|---|---|---|
A telepítőt csak megbízható forrásból futtassa, és használjon biztonságos kommunikációs csatornát a telepítési adathordozó és a helykiszolgáló között. |
A forrásfájlok illetéktelen módosításának megakadályozása érdekében a telepítőt megbízható forrásból futtassa. Ha a fájlokat a hálózatban tárolja, lássa el védelemmel az adott hálózati helyet. Ha a telepítőt hálózati helyről futtatja, a hálózaton keresztül továbbított fájlokat úgy védheti meg a támadók általi illetéktelen módosításoktól, hogy IPsec protokollt vagy SMB-aláírást használ a telepítőfájlok forráshelye és a helykiszolgáló között. Ha a telepítő letöltési segédprogramját használja a telepítéshez szükséges fájlok letöltéséhez, a letöltendő fájlok helyének védelméről és az ezzel a hellyel folytatott kommunikáció védelméről is gondoskodnia kell, amikor futtatja a telepítőt. |
||
Terjessze ki a System Center 2012 Configuration Manager Active Directory-sémáját, és tegye közzé a helyeket az Active Directory tartományi szolgáltatásokba. |
A sémakiterjesztések nem szükségesek a Microsoft System Center 2012 Configuration Manager futtatásához, de a segítségükkel biztonságosabb környezet alakítható ki, mert a Configuration Manager-ügyfelek és a helykiszolgálók megbízható forrásból tudják lekérni az adatokat. Ha az ügyfelek nem megbízható tartományban találhatók, telepítse a következő helyrendszerszerepköröket az ügyfelek tartományában:
|
||
A helyrendszer-kiszolgálók és a helyek közötti kommunikáció biztonságossá tételéhez használja az IPsec protokollt. |
A Configuration Manager biztonságossá teszi a helykiszolgáló és az SQL Server rendszert futtató számítógépek közötti kommunikációt, azonban a helyrendszerszerepkörök és az SQL Server közötti kommunikáció nincs biztonságossá téve a Configuration Manager által. Csak néhány helyrendszer (a beléptetési pont és az alkalmazáskatalógus webszolgáltatási pontja) állítható be HTTPS használatára a helyen belüli kommunikáció esetében. Ha nem használ további megoldásokat a kiszolgálók közötti csatornák védelmére, a támadók különböző hamisítási és betolakodó illetéktelen személyek általi támadásokkal veszélyeztethetik a helyrendszereket. Ha nem tudja használni az IPsec protokollt, használja az SMB-aláírást.
|
||
Ne változtassa meg azokat a biztonsági csoportokat, amelyeket a Configuration Manager hoz létre és felügyel a helyrendszer kommunikációjának védelméhez:
|
A Configuration Manager automatikusan hozza létre és felügyeli ezeket a biztonsági csoportokat. Ebbe beletartozik a számítógépfiókok eltávolítása is a helyrendszerszerepkörök eltávolításakor. A szolgáltatás folytonosságának és a minimálisan szükséges jogosultságok biztosításához ne szerkessze kézzel ezeket a csoportokat. |
||
Ha az ügyfelek nem tudják lekérdezni a globális katalógus kiszolgálójától a Configuration Manager adatait, a megbízható legfelső szintű kulcs létesítésének folyamatát kell használnia. |
Ha az ügyfelek nem tudják lekérdezni a globális katalógusból a Configuration Manager adatait, a megbízható legfelső szintű kulcsot kell alkalmazniuk az érvényes felügyeleti pontok hitelesítéséhez. A megbízható legfelső szintű kulcsot az ügyfél beállításjegyzéke tárolja, és csoportházirend használatával vagy kézi konfigurálással állítható be. Ha az ügyfél nem rendelkezik a megbízható legfelső szintű kulcs példányával, mielőtt első alkalommal csatlakozik egy felügyeleti ponthoz, megbízhatónak fogja tekinteni az első felügyeleti pontot, amellyel kommunikál. Ha csökkenteni kívánja annak kockázatát, hogy a támadók nem hitelesített felügyeleti pontra irányítják át az ügyfeleket, előzetesen elláthatja az ügyfeleket a megbízható legfelső szintű kulccsal. További információ: A megbízható legfelső szintű kulcs tervezése. |
||
Használjon nem alapértelmezett portszámokat. |
A nem alapértelmezett portszámok használatával növelheti a biztonságot, mert ezzel megnehezíti a támadók számára a környezet felderítését a támadás előkészítésekor. Ha a nem alapértelmezett portok használata mellett dönt, tervezze meg ezt körültekintően a Configuration Manager telepítése előtt, és használja ezeket a portokat következesen a hierarchiában lévő összes helyen. Például az ügyfélkérelmek és a hálózati ébresztés esetében használhat nem alapértelmezett portszámokat. |
||
Különítse el a szerepköröket a helyrendszereken. |
Bár az összes helyrendszerszerepkört telepítheti ugyanarra a számítógépre, ezt a megoldást ritkán alkalmazzák a munkakörnyezeti hálózatokban, mivel ez hibalehetőséget teremt. |
||
Csökkentse a támadható felületet. |
Ha különböző kiszolgálókon elkülönítve használja az egyes helyrendszerszerepköröket, csökkentheti annak lehetőségét, hogy az egyik helyrendszer sebezhető pontjai utat nyitnak a többi helyrendszer elleni támadásoknak. Több helyrendszerszerepkör az IIS (Internet Information Services) telepítését igényli a helyrendszeren, és ez megnöveli a támadható felületet. Ha a hardverrel kapcsolatos költségek csökkentése érdekében kombináltan kell alkalmaznia a helyrendszerszerepköröket, az IIS helyrendszerszerepkört csak olyan más helyrendszerszerepkörökkel kombinálja, amelyek igénylik az IIS használatát.
|
||
Alkalmazza a Windows Server legjobb biztonsági megoldásait, és futtassa a Biztonság beállítása varázslót az összes helyrendszeren. |
A Biztonság beállítása varázsló segítségével létrehozhat egy olyan biztonsági házirendet, amelyet a hálózatban lévő bármelyik kiszolgálón alkalmazhat. Miután telepítette a System Center 2012 Configuration Manager sablonját, a Biztonság beállítása varázsló felismeri a Configuration Manager helyrendszerszerepköreit, szolgáltatásait, portjait és alkalmazásait. Ezután engedélyezi a Configuration Manager számára szükséges kommunikációt, és letiltja azt a kommunikációt, amelyre nincs szükség. A Biztonság beállítása varázslót a System Center 2012 Configuration Manager eszközkészlete tartalmazza, amely a Microsoft letöltőközpontból tölthető le: System Center 2012 – Configuration Manager Component Add-ons and Extensions. |
||
Állítson be statikus IP-címeket a helyrendszerekhez. |
A statikus IP-címeket könnyebb védeni a névfeloldásos támadások ellen. A statikus IP-címek megkönnyítik az IPsec konfigurációját is, ami bevált biztonsági megoldásként használható a Configuration Manager helyrendszerei közötti kommunikáció biztonságossá tételéhez. |
||
Ne telepítsen más alkalmazásokat a helyrendszer-kiszolgálókra. |
Ha más alkalmazásokat is telepít a helyrendszer-kiszolgálókra, megnöveli a Configuration Manager támadható felületét és a kompatibilitási problémák kockázatát. |
||
Írja elő helybeállításként az aláírást és engedélyezze a titkosítást. |
Engedélyezze az aláírási és a titkosítási beállításokat a helyre vonatkozóan. Győződjön meg arról, hogy az összes ügyfél támogatja az SHA-256 kivonatoló algoritmust, majd engedélyezze az SHA-256 megkövetelése beállítást. |
||
Korlátozza és figyelje a Configuration Manager rendszergazda felhasználóit, és szerepalapú felügyelet használatával adja meg számukra a minimálisan szükséges engedélyeket. |
Csak a megbízható felhasználóknak adjon rendszergazdai hozzáférést a Configuration Manager alkalmazáshoz, és csak a minimálisan szükséges engedélyeket adja meg számukra a beépített biztonsági szerepkörök használatával vagy a biztonsági szerepkörök testreszabásával. Azok a rendszergazda jogosultságú felhasználók, akik létrehozhatják, módosíthatják és telepíthetik az alkalmazásokat, a feladatütemezéseket, a szoftverfrissítéseket, a konfigurációelemeket és az alapkonfigurációkat, a Configuration Manager hierarchiájában található eszközöket is vezérelhetik. Rendszeres időközönként ellenőrizze a rendszergazdai jogosultságok kiosztását és a jogosultsági szinteket, és vizsgálja meg, hogy nincs-e szükség változtatásokra. További információ a szerepköralapú felügyelet konfigurálásáról: Szerepkör alapú felügyelet konfigurálása. |
||
Tegye biztonságossá a Configuration Manager biztonsági mentéseit és a biztonsági mentéshez és a visszaállításhoz használt kommunikációs csatornát. |
A Configuration Manager biztonsági mentésének végrehajtásakor ezek az adatok tanúsítványokat és más bizalmas adatokat is tartalmaznak, amelyeket a támadók a személyek azonosítására használhatnak fel. Használjon SMB-aláírást vagy az IPsec protokollt, amikor a hálózaton keresztül küldi ezeket az adatokat, és lássa el megfelelő védelemmel a biztonsági mentést tároló helyet. |
||
Amikor objektumokat exportál vagy importál a Configuration Manager konzolon egy hálózati helyre, tegye biztonságossá a helyet és a hálózati csatornát. |
Korlátozza a hálózati mappához hozzáférő felhasználók körét. Használjon SMB-aláírást vagy az IPsec protokollt a hálózati hely és a helykiszolgáló között, valamint a Configuration Manager konzolt futtató számítógép és a helykiszolgáló között az exportált adatok illetéktelen módosításának megakadályozására. Használja az IPsec protokollt az adatok titkosításához a hálózatban az információ felfedésének megakadályozására. |
||
Ha nem sikerül egy helyrendszer eltávolítása, vagy ha leáll a működése, és nem állítható helyre, kézzel távolítsa el a Configuration Manager ehhez a kiszolgálóhoz tartozó tanúsítványait a többi Configuration Manager-kiszolgálóról. |
A helyrendszer és a helyrendszerszerepkörökkel eredetileg létrehozott megbízható társkapcsolat eltávolításához kézzel törölje a Configuration Manager meghibásodott kiszolgálóhoz tartozó tanúsítványait a többi helyrendszer-kiszolgáló Megbízható személyek tanúsítványtárolójából. Ez különösen fontos, ha újbóli formázás nélkül kívánja újból használni a kiszolgálót. További információ ezekről a tanúsítványokról: Titkosítási funkciók kiszolgálói kommunikációhoz című rész, Műszaki útmutató a Configuration Managerben használt titkosítási funkciókhoz. |
||
Ne konfiguráljon internetes helyrendszereket hídként a szegélyhálózathoz és az intranethez. |
Ne konfigurálja többhelyűnek a helyrendszer-kiszolgálókat, hogy csatlakozzanak a szegélyhálózathoz és az intranethez. Bár ez a konfiguráció lehetővé teszi, hogy az internetes helyrendszerek fogadják az internetről és az intranetről érkező ügyfélkapcsolatokat, de kiiktatja a biztonsági határt a szegélyhálózat és az intranet között. |
||
Ha a helyrendszer-kiszolgáló nem megbízható hálózatban található (például szegélyhálózatban), állítsa be a helykiszolgálót úgy, hogy kapcsolatokat kezdeményezzen a helyrendszerrel. |
Alapértelmezés szerint a helyrendszerek kezdeményeznek kapcsolatokat a helykiszolgálóhoz az adatok átvitele céljából, ami biztonsági kockázatot jelenthet, amikor a kezdeményezett kapcsolat nem megbízható hálózatból irányul a megbízható hálózatba. Amikor a helyrendszerek fogadják az internetről érkező kapcsolatokat vagy nem megbízható erdőben találhatók, adja meg a Kapcsolatok kezdeményezésének megkövetelése a helykiszolgálótól ehhez a helyrendszerhez helyrendszer-beállítást, hogy a helyrendszer és a helyrendszerszerepkörök telepítése után minden kapcsolat kezdeményezése a megbízható hálózatból történjen. |
||
Ha proxy-webkiszolgálót használ az internetes ügyfélfelügyelethez, használja az SSL-hídképzést az SSL-hez lezárásos hitelesítéssel. |
Amikor beállítja az SSL-lezárást a proxy-webkiszolgálón, a rendszer megvizsgálja az internetről érkező csomagokat, mielőtt továbbítja azokat a belső hálózatba. A proxy-webkiszolgáló hitelesíti az ügyféltől érkező kapcsolatot, lezárja azt, majd új hitelesített kapcsolatot nyit az internetes helyrendszerek felé. Amikor a Configuration Manager ügyfélszámítógépei proxy-webkiszolgáló használatával csatlakoznak az internetes helyrendszerekhez, az ügyfél azonosítójának (GUID) tárolása biztonságosan történik csomagszinten, így a felügyeleti pont nem tekinti a proxy-webkiszolgálót az ügyfélnek. Ha a proxy-webkiszolgáló nem támogatja az SSL-hídképzés követelményeit, az SSL protokollbújtatás is használható. Ez kevésbé biztonságos megoldás, mert a rendszer lezárás nélkül továbbítja az internetről érkező SSL-csomagokat a helyrendszerekbe, így nem vizsgálható meg, hogy nem tartalmaznak-e rosszindulatú tartalmat. Ha a proxy-webkiszolgáló nem támogatja az SSL-hídképzés követelményeit, az SSL-protokollbújtatás is használható. Ez azonban kevésbé biztonságos megoldás, mert a rendszer lezárás nélkül továbbítja az internetről érkező SSL-csomagokat a helyrendszerekbe, így nem vizsgálható meg, hogy nem tartalmaznak-e rosszindulatú tartalmat.
|
||
Ha a helyet úgy állítja be, hogy felébressze a számítógépeket a szoftvertelepítéshez:
|
További információ a különböző hálózati ébresztési eljárásokról: Az ügyfél-kommunikáció tervezése a Configuration Manager alkalmazásban. |
||
E-mail értesítés használata esetén hitelesített hozzáférést konfiguráljon az SMTP-levelezőkiszolgálóhoz. |
Amikor csak lehetséges, olyan levelezőkiszolgálót használjon, amely támogatja a hitelesített hozzáférést, és a helykiszolgáló számítógépfiókját használja hitelesítésre. Ha felhasználói fiókot kell megadnia a hitelesítéshez, olyan fiókot használjon, amely a lehető legkevesebb jogosultsággal rendelkezik.
|
A helykiszolgálóhoz kapcsolódó ajánlott biztonsági eljárások
A Configuration Manager-helykiszolgáló védelmét az alábbi ajánlott biztonsági eljárásokkal erősítheti.
Bevált biztonsági gyakorlat |
További információ |
---|---|
A Configuration Manager rendszert ne tartományvezérlőre, hanem tagkiszolgálóra telepítse. |
A Configuration Manager-helykiszolgálót és a helyrendszereket nem kell tartományvezérlőre telepíteni. A tartományvezérlők a tartomány-adatbázison kívül nem rendelkeznek helyi biztonsági fiókkezelő (SAM) adatbázissal. Ha a Configuration Managert tagkiszolgálóra telepíti, a tartomány-adatbázis helyett a helyi SAM-adatbázisban kezelheti a Configuration Manager-fiókokat. Ez az eljárás a tartományvezérlők támadási felületét is csökkenti. |
Másodlagos hely telepítésekor lehetőleg ne a hálózaton keresztül másolja a szükséges fájlokat a másodlagos hely kiszolgálójára. |
A telepítő futtatásakor és másodlagos hely létrehozásakor ne jelölje be azt a beállítást, amellyel a rendszer a szülőhelyről a másodlagos helyre másolja a fájlokat, és ne használjon hálózati forráshelyet. Ha a hálózaton keresztül másol fájlokat, egy gyakorlott támadó eltérítheti a másodlagos hely telepítési csomagját, és a telepítés előtt illetéktelenül módosíthatja a fájlokat – bár egy ilyen jellegű támadás igen nehezen időzíthető. A támadás kivédhető, ha IPsec vagy SMB protokollt használ a fájlok átviteléhez. A fájlok hálózaton keresztüli másolása helyett adathordozóról másolja a forrásfájlokat egy helyi mappába a másodlagos hely kiszolgálóján. Ebben az esetben amikor a telepítő futtatásával másodlagos helyet hoz létre, a Telepítési forrásfájlok lapon jelölje be A következő helyen lévő forrásfájlok használata a másodlagos hely számítógépén (ez a legbiztonságosabb lehetőség) elemet, majd jelölje ki a helyi mappát. További információ: Másodlagos hely telepítése című rész, Helyek telepítése és hierarchia létrehozása a Configuration Manager részére témakör. |
Az SQL Serverhez kapcsolódó ajánlott biztonsági eljárások
A Configuration Manager SQL Server-kiszolgálót használ háttéradatbázisként. Ha az adatbázis biztonsága megsérül, a támadók a Configuration Manager megkerülésével közvetlenül hozzáférhetnek az SQL Server-kiszolgálóhoz, és támadásokat indíthatnak a Configuration Manageren keresztül. Az SQL Serverre irányuló támadások rendkívül nagy kockázatot jelenthetnek – ennek megfelelően védekezzen ellenük.
A Configuration Managert kiszolgáló SQL Server védelmét az alábbi ajánlott biztonsági eljárásokkal erősítheti.
Bevált biztonsági gyakorlat |
További információ |
---|---|
Ne használja a Configuration Manager-helyadatbázist más SQL Server-alkalmazások futtatására. |
A Configuration Manager helyadatbázis-kiszolgálójához való hozzáférés kiszélesítésével párhuzamosan nő a Configuration Manager adatait fenyegető veszélyek kockázata. Ha a Configuration Manager-helyadatbázis biztonsága sérül, az más alkalmazásokra is kockázatot jelent ugyanazon az SQL Server-számítógépen. |
Az SQL Servert Windows-hitelesítés használatára konfigurálja. |
Bár a Configuration Manager Windows-fiókkal és Windows-hitelesítéssel fér hozzá a helyadatbázishoz, az SQL Server-kiszolgáló SQL Server vegyes üzemmóddal is konfigurálható. Az SQL Server vegyes üzemmód további SQL-bejelentkezéseket is engedélyez az adatbázis eléréséhez, ami szükségtelen, és növeli a támadási felületet. |
Fokozottan ügyeljen arra, hogy az SQL Server Expresst használó másodlagos helyeken telepítve legyenek a legújabb szoftverfrissítések. |
Elsődleges hely telepítésekor a Configuration Manager letölti az SQL Server Express programot a Microsoft letöltőközpontból, és az elsődleges hely kiszolgálójára másolja a fájlokat. Ha másodlagos helyet telepít, és bejelöli az SQL Server Express telepítésére vonatkozó beállítást, a Configuration Manager a korábban letöltött verziót telepíti, és nem ellenőrzi, hogy elérhetők-e új verziók. A következő műveletekkel győződhet meg arról, hogy a másodlagos helyen a legújabb verziók találhatók-e:
Rendszeresen futtassa a Windows Update szolgáltatást a helyek és az SQL Server valamennyi telepített verziójának frissítéséhez annak érdekében, hogy mindig a legújabb szoftverfrissítésekkel rendelkezzenek. |
Kövesse az SQL Serverhez ajánlott eljárásokat. |
Ismerje meg és kövesse az adott SQL Server-verzióra vonatkozó ajánlott eljárásokat. Ezzel együtt vegye figyelembe a következő követelményeket a Configuration Manager kapcsán:
|
Ajánlott biztonsági eljárások az IIS-t futtató helyrendszerekhez
A Configuration Managerben több helyrendszerszerepkörnek is szüksége van az IIS szolgáltatásra. Az IIS védelme lehetővé teszi a Configuration Manager számára a megfelelő működést, és csökkenti a biztonsági támadások kockázatát. Ha megoldható, minimalizálja az IIS szolgáltatást igénylő kiszolgálók számát – például csak annyi felügyeleti pontot futtasson, amennyire feltétlenül szükség van az ügyfelek támogatásához, figyelembe véve az internetalapú ügyfélfelügyelet magas rendelkezésre állási és hálózati elkülönítési követelményeit.
Az IIS-t futtató helykiszolgáló biztonságáról az alábbi ajánlott eljárásokkal gondoskodhat.
Ajánlott biztonsági eljárás |
További információ |
||
---|---|---|---|
Tiltsa le az IIS szükségtelen funkcióit. |
Csak a telepített helyrendszerszerepkörhöz minimálisan szükséges IIS-funkciókat telepítse. További információt a A Configuration Manager által támogatott konfigurációk című témakör Helyrendszer követelményei című szakaszában talál. |
||
Konfigurálja a helyrendszerszerepköröket úgy, hogy HTTPS-kapcsolatot tegyenek kötelezővé. |
A helyrendszerhez HTTPS- helyett HTTP-kapcsolaton keresztül csatlakozó ügyfelek Windows-hitelesítést használnak, amely adott esetben NTLM-hitelesítésre állhat vissza Kerberos-hitelesítés helyett. NTLM-alapú hitelesítés esetén fennáll a veszélye, hogy az ügyfél engedélyezetlen kiszolgálóhoz csatlakozik. Az ajánlott biztonsági eljárás alól kivételt jelenthetnek a terjesztési pontok, ugyanis a csomag-hozzáférési fiókok nem működnek, ha a terjesztési pont HTTPS-kapcsolatra van konfigurálva. A csomag-hozzáférési fiókok lehetővé teszik az engedélyeztetést, amivel korlátozható, hogy mely felhasználók férhetnek hozzá a tartalomhoz. További információ: A tartalomkezelés biztonsági védelmének bevált gyakorlata. |
||
Az IIS szolgáltatásban állítsa be a megbízható tanúsítványok listáját az alábbi helyrendszerszerepkörökhöz:
|
A megbízható tanúsítványok listája (CTL) a megbízható legfelső szintű hitelesítésszolgáltatók előre definiált listája. Ha CTL-listát, csoportházirendet és PKI-hierarchiát használ, a CTL-lista lehetővé teszi a hálózaton konfigurált megbízható – például a Microsoft Windows rendszerrel automatikusan telepített vagy a Windowsban felvett vállalati – legfelső szintű hitelesítésszolgáltatók meglévő listájának kiegészítését. Ugyanakkor ha a CTL-lista az IIS-ben van konfigurálva, a CTL egy részhalmazt határoz meg ezekből a megbízható legfelső szintű hitelesítésszolgáltatókból. Ez erősebb biztonságot tesz lehetővé, hiszen a CTL-lista a benne szereplő hitelesítésszolgáltatók által kibocsátott tanúsítványokra korlátozza az elfogadható ügyfél-tanúsítványok körét. A Windows például jól ismert külső hitelesítésszolgáltatóktól – például VeriSign, Thawte – származó tanúsítványokat tartalmaz. Alapértelmezés szerint az IIS-t futtató számítógép megbízhatónak tartja azokat a tanúsítványokat, amelyek ezektől az ismert hitelesítésszolgáltatóktól származnak. Ha az IIS-ben nem konfigurál CTL-listát a felsorolt helyrendszerszerepkörökhöz, a rendszer minden olyan eszközt érvényes Configuration Manager-ügyfélként fogad el, amely az említett hitelesítésszolgáltatóktól származó ügyféltanúsítvánnyal rendelkezik. Ha az IIS-ben konfigurált CTL-listán nem szerepelnek ezek a hitelesítésszolgáltatók, a csatlakozni kívánó ügyfél tanúsítványa azonban ezek valamelyikétől származik, a rendszer elutasítja az ügyfélkapcsolatot. Ahhoz azonban, hogy a rendszer elfogadja a Configuration Manager-ügyfeleket a felsorolt helyrendszerszerepkörökhöz, az IIS-ben beállított CTL-listán szerepelnie kell a Configuration Manager-ügyfelek által használt hitelesítésszolgáltatóknak.
Az IIS dokumentációja további információval szolgál arról, miként konfigurálható a megbízható hitelesítésszolgáltatók listája az IIS szolgáltatásban. |
||
A helykiszolgálót ne telepítse IIS-t futtató számítógépre. |
A szerepkörök elkülönítése csökkenti a támadási felületet és javítja a helyreállíthatóságot. Emellett a helykiszolgáló számítógépfiókja jellemzően az összes helyrendszerszerepkörhöz rendelkezik rendszergazdai jogosultságokkal (továbbá esetlegesen a Configuration Manager-ügyfelekhez is, ha ügyfélleküldéses telepítést használ). |
||
A Configuration Managerhez használjon dedikált IIS-kiszolgálókat. |
Bár egy IIS-kiszolgálón több, a Configuration Manager által használt webes alkalmazás is üzemeltethető, a dedikált kiszolgáló használata jelentősen csökkenti a támadási felületet. Egy nem megfelelően konfigurált alkalmazás olyan biztonsági rést jelenthet, amelyen a támadók átvehetik az irányítást a Configuration Manager-helyrendszer, ezen keresztül pedig akár a teljes hierarchia felett. Ha más webes alkalmazásokat is kell futtatnia a Configuration Manager-helyrendszereken, készítsen külön webhelyet a Configuration Manager-helyrendszerekhez. |
||
Használjon egyedi webhelyet. |
Beállíthatja, hogy a Configuration Manager az IIS alapértelmezett webhelye helyett egyedi webhelyet használjon az IIS-helyrendszerekhez. Ha más webalkalmazásokat is futtatnia kell a helyrendszeren, egyedi webhelyet kell használnia. Ez a beállítás egy adott helyre vonatkozik, nem pedig egy konkrét helyrendszerre. Az egyéb biztonsági lépések mellett mindenképpen egyedi webhelyet kell használnia, ha más webalkalmazásokat is futtat a helyrendszeren. |
||
Ha úgy vált alapértelmezett webhelyről egyéni webhelyre, hogy előtte már terjesztési pontot is telepített, távolítsa el az alapértelmezett virtuális könyvtárakat. |
A Configuration Manager nem távolítja el a régi virtuális könyvtárakat, amikor az alapértelmezett webhelyről egyéni webhely használatára vált. Távolítsa el a Configuration Manager által az alapértelmezett webhelyen eredetileg létrehozott virtuális könyvtárakat. Terjesztési pont esetében például az alábbi virtuális könyvtárakat kell törölnie:
|
||
Kövesse az IIS Serverhez ajánlott eljárásokat. |
Ismerje meg és kövesse az adott IIS Server-verzió ajánlott eljárásait. Ezzel együtt vegye figyelembe a Configuration Manager által az egyes helyrendszerszerepkörökkel szemben támasztott követelményeket is. További információ: Helyrendszer követelményei című rész, A Configuration Manager által támogatott konfigurációk témakör. |
Ajánlott biztonsági eljárások a felügyeleti ponthoz
A felügyeleti pontok jelentik az elsődleges kapcsolódási felületet az eszközök és a Configuration Manager között. A felügyeleti pontra és az azt futtató kiszolgálóra irányuló támadások rendkívül nagy kockázatot jelenthetnek – ennek megfelelően védekezzen ellenük. Kövesse az összes releváns ajánlott biztonsági eljárást, és figyelje az esetleges szokatlan tevékenységeket.
A felügyeleti pontok biztonságát a Configuration Managerben az alábbi ajánlott eljárásokkal erősítheti.
Bevált biztonsági gyakorlat |
További információ |
---|---|
A felügyeleti pontra telepített Configuration Manager-ügyfelet rendelje hozzá a felügyeleti pont helyéhez. |
A felügyeleti pont helyrendszerén telepített Configuration Manager-ügyfél lehetőleg ne legyen olyan helyhez rendelve, amely nem a felügyeleti ponthoz tartozik. Ha a Configuration Manager 2007-ről a System Center 2012 Configuration Manager rendszerre tér át, minél hamarabb frissítse az Configuration Manager 2007-ügyfelet is a System Center 2012 Configuration Manager verzióra. |
Ajánlott biztonsági eljárások a tartalék állapotkezelő ponthoz
Ha tartalék állapotkezelő pontot telepít a Configuration Managerben, kövesse az itt leírt ajánlott biztonsági eljárásokat.
További információ a tartalék állapotkezelő pontok telepítésekor figyelembe venni szükséges biztonsági szempontokról: A tartalék állapotkezelő pont szükségességének eldöntése.
Bevált biztonsági gyakorlat |
További információ |
---|---|
Ne futtasson más helyrendszerszerepköröket a helyrendszeren, és ne telepítse a tartalék állapotkezelő pontot tartományvezérlőn. |
Mivel a tartalék állapotkezelő pont kialakításából eredően hitelesítés nélküli kommunikációt is fogad bármilyen számítógépről, a más helyrendszerszerepkörökkel vagy tartományvezérlőn való futtatás igen nagy kockázattal jár az adott kiszolgáló számára. |
Ha PKI-tanúsítványokat használ az ügyfél-kommunikációhoz a Configuration Manager rendszerben, az ügyfelek előtt telepítse a tartalék állapotkezelő pontot. |
Ha a Configuration Manager-helyrendszerek nem fogadnak HTTP-alapú ügyfél-kommunikációt, előfordulhat, hogy nem tudja megállapítani, ha egy ügyfél PKI-tanúsítvánnyal kapcsolatos problémák miatt felügyelet nélkül marad. Ha azonban az ügyfeleket tartalék állapotkezelő ponthoz rendeli, a tartalék állapotkezelő pont értesíteni fogja ezekről a tanúsítványproblémákról. Biztonsági okokból a telepítés után már nem rendelhet tartalék állapotkezelő pontot az ügyfelekhez; a szerepkör hozzárendelése csak az ügyfél telepítése közben lehetséges. |
Kerülje a tartalék állapotkezelő pont használatát szegélyhálózatban. |
A kiépítése szerint a tartalék állapotkezelő pont bármely ügyféltől fogad adatokat. Bár a szegélyhálózatban a tartalék állapotkezelő pont segítheti az internet alapú ügyfelek hibaelhárítását, egyensúlyozni kell a hibaelhárítás előnyei és annak kockázata között, ha olyan a helyrendszer, hogy elfogadja a nyilvánosan elérhető hálózat hitelesítés nélküli adatait. Ha a tartalék állapotkezelő pontot szegélyhálózatra vagy nem megbízható hálózatra telepíti, konfigurálja a helykiszolgálót úgy, hogy inkább adatátvitelt kezdeményezzen, mint megengedje, hogy a tartalék állapotkezelő pont kezdeményezzen kapcsolatot a helykiszolgálóhoz. |
A helyfelügyelet biztonsági problémái
Tekintse át a Configuration Manager következő biztonsági problémáit:
A Configuration Manager nem rendelkezik védelemmel az olyan nem hitelesített rendszergazda felhasználó ellen, aki a Configuration Manager használatával támadja a hálózatot. A jogosulatlan rendszergazda felhasználók nagy biztonsági kockázatot jelentenek, és számos támadást indíthatnak, köztük a következőket:
Használhatnak központi szoftvertelepítést, hogy automatikusan telepítsenek és futtassanak kártevő szoftvert a vállalatnál a Configuration Manager valamennyi ügyfélszámítógépén.
Használhatnak távvezérlést, hogy ügyféli engedély nélkül távvezéreljék a Configuration Manager ügyfelét.
Konfigurálhatnak hirtelen lekérdezési időközöket és rengeteg leltári adatot, hogy szolgáltatásmegtagadási támadást intézzenek az ügyfelek és kiszolgálók ellen.
Használhatják az egyik hely hierarchiáját, hogy adatokat írjanak a másik hely Active Directory adataihoz.
A hely hierarchiája biztonsági határ; fontolja meg, hogy a helyek csak felügyeleti határok legyenek.
Naplózzon minden rendszergazda felhasználói tevékenységet, rendszeresen kövesse nyomon a bejegyzéseket. Követelje meg, hogy a Configuration Manager rendszergazda felhasználói alapos háttér-ellenőrzésen menjenek át az alkalmazásuk előtt, és az alkalmazás feltételeként rendszeresen alávessék magukat az ilyen újbóli ellenőrzéseknek.
Ha a beléptetési pont biztonsága sérül, a támadó megszerezhet hitelesítési tanúsítványokat és ellophatja azon felhasználók hitelesítési adatait, akik beléptetik mobileszközeiket.
A beléptetési pont kommunikál a tanúsítványszolgáltatóval, és létrehozhat, módosíthat és törölhet Active Directory objektumokat. Sohase telepítsen beléptetési pontot szegélyhálózatra, és figyelje a szokatlan tevékenységeket.
Ha a felhasználói profilok használatát megengedi az internet alapú ügyfélfelügyelethez vagy konfigurálja az alkalmazáskatalógus weboldal-elérési pontját a felhasználók részére, amikor azok az interneten vannak, növeli a profil elleni támadás kockázatát.
Azon kívül, hogy PKI-tanúsítványokat használ az ügyfélről kiszolgálóhoz való csatlakozásokhoz, ezek a konfigurációk Windows hitelesítést igényelnek, ami esetleg tartaléka lehet a Kerberos helyetti NTLM hitelesítésnek. Az NTLM sebezhető a megszemélyesítés és támadás-indítás vonatkozásában. Az interneten lévő felhasználó sikeres hitelesítéséhez lehetővé kell tenni az internet alapú helyrendszer-kiszolgálóról a tartományvezérlőre csatlakozást.
Az Admin$ megosztás szükséges a helyrendszer-kiszolgálókon.
A Configuration Manager helykiszolgálója az Admin$ megosztást használja, hogy csatlakozzon és szolgáltatási műveleteket hajtson végre a helyrendszereken. Ne tiltsa le és ne távolítsa el az Admin$ megosztást.
A Configuration Manager névfeloldási szolgáltatást használ, hogy csatlakozzon a többi számítógéphez, és ezek a szolgáltatások nehezen védhetők az olyan biztonsági támadások ellen, mint a hamisítás, illetéktelen módosítás, letagadhatóság, információfelfedés, szolgáltatásmegtagadás és a jogok kiterjesztése.
Fel és meg kell ismernie a névfeloldáshoz használt DNS és WINS verziójának megfelelő biztonság bevált gyakorlatát, és annak megfelelően kell eljárnia.
Adatvédelmi tájékoztatás a felderítéshez
A felderítés a hálózati erőforrásokról rekordokat hoz létre, és azokat a System Center 2012 Configuration Manager adatbázisában tárolja. A felderítési adatrekordok a számítógépre vonatkozó olyan információt tartalmaznak, mint az IP-cím, az operációs rendszer és a számítógép neve. Az Active Directory felderítési módszerei konfigurálhatók úgy is, hogy felderítsék az Active Directory tartományi szolgáltatásokban tárolt információt is.
Az egyetlen alapértelmezetten engedélyezett felderítési módszer a Szívveréses felderítés, de ez a módszer csak azokat a számítógépeket deríti fel, amelyek már telepítették a System Center 2012 Configuration Manager ügyfélszoftvert.
A program nem küld felderítési adatokat a Microsoftnak. A felderítési adatokat a Configuration Manager adatbázisa tárolja. Ezek az adatok addig maradnak az adatbázisban, amíg a 90 naponta végrehajtott Elavult eszközfelderítési adatok törlése helykarbantartási feladat el nem távolítja azokat. Beállíthatja a törlési időközt.
Mielőtt további felderítési módszereket konfigurálna, vagy kiterjesztené az Active Directory felderítését, vegye számításba az adatvédelmi követelményeket.