Nozioni fondamentali sulla sicurezza per Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Questo articolo riepiloga i componenti di sicurezza fondamentali seguenti di qualsiasi ambiente Configuration Manager:
- Livelli di sicurezza
- Amministrazione basata su ruoli
- Protezione degli endpoint client
- Configuration Manager account e gruppi
- Privacy
Livelli di sicurezza
La sicurezza per Configuration Manager è costituita dai livelli seguenti:
- Sistema operativo Windows e sicurezza di rete
- Infrastruttura di rete: firewall, rilevamento delle intrusioni, infrastruttura a chiave pubblica (PKI)
- Configuration Manager controlli di sicurezza
- Provider SMS
- Autorizzazioni del database del sito
Sistema operativo Windows e sicurezza di rete
Il primo livello è fornito dalle funzionalità di sicurezza di Windows sia per il sistema operativo che per la rete. Questo livello include i componenti seguenti:
Condivisione file per trasferire file tra Configuration Manager componenti.
Controllo di accesso elenchi di controllo di accesso (ACL) per proteggere i file e le chiavi del Registro di sistema.
Internet Protocol Security (IPsec) per proteggere le comunicazioni.
Criteri di gruppo per impostare i criteri di sicurezza.
Autorizzazioni DCOM (Distributed Component Object Model) per le applicazioni distribuite, ad esempio la console Configuration Manager.
Active Directory Domain Services per archiviare le entità di sicurezza.
Sicurezza degli account di Windows, inclusi alcuni gruppi creati Configuration Manager durante l'installazione.
Infrastruttura di rete
I componenti di sicurezza di rete, ad esempio firewall e rilevamento delle intrusioni, consentono di proteggere l'intero ambiente. I certificati rilasciati dalle implementazioni PKI (Public Key Infrastructure) standard del settore consentono di fornire autenticazione, firma e crittografia.
Configuration Manager controlli di sicurezza
Per impostazione predefinita, solo gli amministratori locali dispongono dei diritti per i file e le chiavi del Registro di sistema richiesti dalla console di Configuration Manager nei computer in cui viene installato.
Provider SMS
Il livello di sicurezza successivo si basa sull'accesso al provider SMS. Il provider SMS è un componente Configuration Manager che concede a un utente l'accesso per eseguire query sul database del sito per ottenere informazioni. Il provider SMS espone principalmente l'accesso tramite Strumentazione gestione Windows (WMI), ma anche un'API REST denominata servizio di amministrazione.
Per impostazione predefinita, l'accesso al provider è limitato ai membri del gruppo SMS Admins locale. Questo gruppo contiene inizialmente solo l'utente che ha installato Configuration Manager. Per concedere ad altri account l'autorizzazione per il repository CIM (Common Information Model) e il provider SMS, aggiungere gli altri account al gruppo SMS Admins.
È possibile specificare il livello di autenticazione minimo per consentire agli amministratori di accedere ai siti Configuration Manager. Questa funzionalità impone agli amministratori di accedere a Windows con il livello richiesto. Per altre informazioni, vedere Pianificare il provider SMS.
Autorizzazioni del database del sito
Il livello finale di sicurezza si basa sulle autorizzazioni per gli oggetti nel database del sito. Per impostazione predefinita, l'account del sistema locale e l'account utente usato per installare Configuration Manager possono amministrare tutti gli oggetti nel database del sito. Concedere e limitare le autorizzazioni ad altri utenti amministratori nella console di Configuration Manager usando l'amministrazione basata sui ruoli.
Amministrazione basata su ruoli
Configuration Manager usa l'amministrazione basata sui ruoli per proteggere oggetti come raccolte, distribuzioni e siti. Questo modello di amministrazione definisce e gestisce centralmente le impostazioni di accesso di sicurezza a livello di gerarchia per tutti i siti e le impostazioni del sito.
Un amministratore assegna ruoli di sicurezza agli utenti amministratori e alle autorizzazioni di gruppo. Le autorizzazioni sono connesse a diversi tipi di oggetto Configuration Manager, ad esempio per creare o modificare le impostazioni client.
Gli ambiti di sicurezza includono istanze specifiche di oggetti che un utente amministratore è responsabile di gestire. Ad esempio, un'applicazione che installa la console Configuration Manager.
La combinazione di ruoli di sicurezza, ambiti di sicurezza e raccolte definisce gli oggetti che un utente amministratore può visualizzare e gestire. Configuration Manager installa alcuni ruoli di sicurezza predefiniti per le attività di gestione tipiche. Creare ruoli di sicurezza personalizzati per supportare i requisiti aziendali specifici.
Per altre informazioni, vedere Nozioni fondamentali sull'amministrazione basata su ruoli.
Protezione degli endpoint client
Configuration Manager protegge la comunicazione client con i ruoli del sistema del sito usando certificati autofirmati o PKI o token di Microsoft Entra. Alcuni scenari richiedono l'uso di certificati PKI. Ad esempio, la gestione client basata su Internet e per i client di dispositivi mobili.
È possibile configurare i ruoli del sistema del sito a cui i client si connettono per la comunicazione client HTTPS o HTTP. I computer client comunicano sempre usando il metodo più sicuro disponibile. I computer client rientreranno nell'uso del metodo di comunicazione meno sicuro solo se si dispone di ruoli dei sistemi del sito che consentono la comunicazione HTTP.
Importante
A partire da Configuration Manager versione 2103, i siti che consentono la comunicazione client HTTP sono deprecati. Configurare il sito per HTTPS o HTTP avanzato. Per altre informazioni, vedere Abilitare il sito solo PER HTTPS o HTTP avanzato.
Per altre informazioni, vedere Pianificare la sicurezza.
Configuration Manager account e gruppi
Configuration Manager usa l'account di sistema locale per la maggior parte delle operazioni del sito. Alcune operazioni del sito consentono l'uso di un account del servizio, invece di usare l'account computer di dominio del server del sito. Alcune attività di gestione potrebbero richiedere la creazione e la gestione di altri account. Ad esempio, per aggiungere il dominio durante una sequenza di attività di distribuzione del sistema operativo.
Configuration Manager crea diversi gruppi predefiniti e ruoli di SQL Server durante l'installazione. Potrebbe essere necessario aggiungere manualmente account computer o utente ai gruppi predefiniti e ai ruoli SQL Server.
Per altre informazioni, vedere Account usati in Configuration Manager.
Privacy
Prima di implementare Configuration Manager, prendere in considerazione i requisiti di privacy. Anche se i prodotti di gestione aziendale offrono molti vantaggi perché possono gestire in modo efficace molti client, questo software potrebbe influire sulla privacy degli utenti dell'organizzazione. Configuration Manager include molti strumenti per raccogliere dati e monitorare i dispositivi. Alcuni strumenti potrebbero sollevare problemi di privacy nell'organizzazione.
Ad esempio, quando si installa il client Configuration Manager, per impostazione predefinita vengono abilitate molte impostazioni di gestione. Questa configurazione fa sì che il software client invii informazioni al sito Configuration Manager. Il sito archivia le informazioni client nel database del sito. Le informazioni sul client non vengono inviate direttamente a Microsoft. Per altre informazioni, vedere Dati di diagnostica e utilizzo.