Sicurezza e privacy per l'amministrazione del sito in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Questo articolo contiene informazioni sulla sicurezza e sulla privacy per Configuration Manager siti e la gerarchia.
Indicazioni sulla sicurezza per l'amministrazione del sito
Usare le indicazioni seguenti per proteggere Configuration Manager siti e la gerarchia.
Eseguire l'installazione da un'origine attendibile e comunicazioni sicure
Per impedire a qualcuno di manomettere i file di origine, eseguire Configuration Manager programma di installazione da un'origine attendibile. Se si archivia i file in rete, proteggere il percorso di rete.
Se si esegue l'installazione da un percorso di rete, per impedire a un utente malintenzionato di manomettere i file durante la trasmissione in rete, usare la firma IPsec o SMB tra il percorso di origine dei file di installazione e il server del sito.
Se si usa l'utilità di download del programma di installazione per scaricare i file richiesti dal programma di installazione, assicurarsi di proteggere il percorso in cui sono archiviati questi file. Proteggere anche il canale di comunicazione per questa posizione quando si esegue l'installazione.
Estendere lo schema di Active Directory e pubblicare siti nel dominio
Le estensioni dello schema non sono necessarie per eseguire Configuration Manager, ma creano un ambiente più sicuro. I client e i server del sito possono recuperare informazioni da un'origine attendibile.
Se i client si trovano in un dominio non attendibile, distribuire i ruoli del sistema del sito seguenti nei domini dei client:
Punto di gestione
Punto di distribuzione
Nota
Un dominio attendibile per Configuration Manager richiede l'autenticazione Kerberos. Se i client si trovano in un'altra foresta che non dispone di un trust tra foreste bidirezionale con la foresta del server del sito, questi client sono considerati in un dominio non attendibile. Un trust esterno non è sufficiente a questo scopo.
Usare IPsec per proteggere le comunicazioni
Anche se Configuration Manager protegge le comunicazioni tra il server del sito e il computer che esegue SQL Server, Configuration Manager non protegge le comunicazioni tra i ruoli del sistema del sito e SQL Server. È possibile configurare solo alcuni sistemi del sito con HTTPS per la comunicazione all'interno del sito.
Se non si usano controlli aggiuntivi per proteggere questi canali da server a server, gli utenti malintenzionati possono usare vari attacchi di spoofing e man-in-the-middle contro i sistemi del sito. Usare la firma SMB quando non è possibile usare IPsec.
Importante
Proteggere il canale di comunicazione tra il server del sito e il server di origine del pacchetto. Questa comunicazione usa SMB. Se non è possibile usare IPSec per proteggere questa comunicazione, usare la firma SMB per assicurarsi che i file non vengano manomessi prima che i client li scarichino ed eserciti.
Non modificare i gruppi di sicurezza predefiniti
Non modificare i gruppi di sicurezza seguenti che Configuration Manager crea e gestisce per la comunicazione del sistema del sito:
<SMS_SiteSystemToSiteServerConnection_MP_SiteCode>
<SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>
<SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>
Configuration Manager crea e gestisce automaticamente questi gruppi di sicurezza. Questo comportamento include la rimozione di account computer quando viene rimosso un ruolo del sistema del sito.
Per assicurarsi che la continuità del servizio e i privilegi minimi siano minimi, non modificare manualmente questi gruppi.
Gestire il processo di provisioning della chiave radice attendibile
Se i client non possono eseguire query sul catalogo globale per Configuration Manager informazioni, devono basarsi sulla chiave radice attendibile per autenticare i punti di gestione validi. La chiave radice attendibile viene archiviata nel Registro di sistema client. Può essere impostato usando criteri di gruppo o la configurazione manuale.
Se il client non dispone di una copia della chiave radice attendibile prima di contattare un punto di gestione per la prima volta, considera attendibile il primo punto di gestione con cui comunica. Per ridurre il rischio che un utente malintenzionato indirizzi erroneamente i client a un punto di gestione non autorizzato, è possibile effettuare il pre-provisioning dei client con la chiave radice attendibile. Per altre informazioni, vedere Pianificazione della chiave radice attendibile.
Usare numeri di porta non predefiniti
L'uso di numeri di porta non predefiniti può offrire sicurezza aggiuntiva. Rendono più difficile per gli utenti malintenzionati esplorare l'ambiente in preparazione a un attacco. Se si decide di usare porte non predefinite, pianificarle prima di installare Configuration Manager. Usarli in modo coerente in tutti i siti della gerarchia. Le porte di richiesta client e la lan di riattivazione sono esempi in cui è possibile usare numeri di porta non predefiniti.
Usare la separazione dei ruoli nei sistemi del sito
Sebbene sia possibile installare tutti i ruoli del sistema del sito in un singolo computer, questa procedura viene usata raramente nelle reti di produzione. Crea un singolo punto di errore.
Ridurre il profilo di attacco
L'isolamento di ogni ruolo del sistema del sito in un server diverso riduce la possibilità che un attacco alle vulnerabilità in un sistema del sito possa essere usato contro un sistema del sito diverso. Molti ruoli richiedono l'installazione di Internet Information Services (IIS) nel sistema del sito e questa esigenza aumenta la superficie di attacco. Se è necessario combinare i ruoli per ridurre la spesa hardware, combinare i ruoli IIS solo con altri ruoli che richiedono IIS.
Importante
Il ruolo del punto di stato di fallback è un'eccezione. Poiché questo ruolo del sistema del sito accetta dati non autenticati dai client, non assegnare il ruolo del punto di stato di fallback ad altri Configuration Manager ruolo del sistema del sito.
Configurare gli indirizzi IP statici per i sistemi del sito
Gli indirizzi IP statici sono più facili da proteggere dagli attacchi di risoluzione dei nomi.
Gli indirizzi IP statici semplificano anche la configurazione di IPSec. L'uso di IPsec è una procedura consigliata per la sicurezza per la protezione delle comunicazioni tra i sistemi del sito in Configuration Manager.
Non installare altre applicazioni nei server del sistema del sito
Quando si installano altre applicazioni nei server del sistema del sito, si aumenta la superficie di attacco per Configuration Manager. Si rischia anche problemi di incompatibilità.
Richiedere la firma e abilitare la crittografia come opzione del sito
Abilitare le opzioni di firma e crittografia per il sito. Assicurarsi che tutti i client possano supportare l'algoritmo hash SHA-256 e quindi abilitare l'opzione Richiedi SHA-256.
Limitare e monitorare gli utenti amministrativi
Concedere l'accesso amministrativo ai Configuration Manager solo agli utenti attendibili. Concedere quindi le autorizzazioni minime usando i ruoli di sicurezza predefiniti o personalizzando i ruoli di sicurezza. Gli utenti amministratori che possono creare, modificare e distribuire software e configurazioni possono potenzialmente controllare i dispositivi nella gerarchia Configuration Manager.
Controllare periodicamente le assegnazioni di utenti amministrativi e il relativo livello di autorizzazione per verificare le modifiche necessarie.
Per altre informazioni, vedere Configurare l'amministrazione basata su ruoli.
Proteggere i backup Configuration Manager
Quando si esegue il backup Configuration Manager, queste informazioni includono certificati e altri dati sensibili che potrebbero essere usati da un utente malintenzionato per la rappresentazione.
Usare la firma SMB o IPsec quando si trasferiscono questi dati in rete e si protegge il percorso di backup.
Percorsi sicuri per gli oggetti esportati
Ogni volta che si esportano o si importano oggetti dalla console di Configuration Manager in un percorso di rete, proteggere il percorso e proteggere il canale di rete.
Limitare gli utenti che possono accedere alla cartella di rete.
Per impedire a un utente malintenzionato di manomettere i dati esportati, usare la firma SMB o IPsec tra il percorso di rete e il server del sito. Proteggere anche la comunicazione tra il computer che esegue la console Configuration Manager e il server del sito. Usare IPsec per crittografare i dati nella rete per impedire la divulgazione di informazioni.
Rimuovere manualmente i certificati dai server non riusciti
Se un sistema del sito non viene disinstallato correttamente o smette di funzionare e non può essere ripristinato, rimuovere manualmente i certificati Configuration Manager per questo server da altri server Configuration Manager.
Per rimuovere l'attendibilità peer originariamente stabilita con i ruoli del sistema del sito e del sistema del sito, rimuovere manualmente i certificati Configuration Manager per il server non riuscito nell'archivio certificati trusted Persone in altri server del sistema del sito. Questa azione è importante se si riutilizza il server senza riformattarlo.
Per altre informazioni, vedere Controlli crittografici per la comunicazione con il server.
Non configurare sistemi del sito basati su Internet per collegare la rete perimetrale
Non configurare i server del sistema del sito in modo che siano multi-homed in modo che si connettono alla rete perimetrale e alla Intranet. Anche se questa configurazione consente ai sistemi del sito basati su Internet di accettare connessioni client da Internet e intranet, elimina un limite di sicurezza tra la rete perimetrale e la intranet.
Configurare il server del sito per avviare le connessioni alle reti perimetrali
Se un sistema del sito si trova in una rete non attendibile, ad esempio una rete perimetrale, configurare il server del sito per avviare le connessioni al sistema del sito.
Per impostazione predefinita, i sistemi del sito avviano connessioni al server del sito per trasferire i dati. Questa configurazione può essere un rischio per la sicurezza quando l'avvio della connessione proviene da una rete non attendibile alla rete attendibile. Quando i sistemi del sito accettano connessioni da Internet o si trovano in una foresta non attendibile, configurare l'opzione del sistema del sito su Richiedi al server del sito di avviare le connessioni al sistema del sito. Dopo l'installazione del sistema del sito e di tutti i ruoli, tutte le connessioni vengono avviate dal server del sito dalla rete attendibile.
Usare il bridging SSL e la terminazione con l'autenticazione
Se si usa un server proxy Web per la gestione client basata su Internet, usare il bridging SSL a SSL usando la terminazione con l'autenticazione.
Quando si configura la terminazione SSL nel server Web proxy, i pacchetti da Internet sono soggetti a ispezione prima che vengano inoltrati alla rete interna. Il server Web proxy autentica la connessione dal client, la termina e quindi apre una nuova connessione autenticata ai sistemi del sito basati su Internet.
Quando Configuration Manager computer client usano un server Web proxy per connettersi ai sistemi del sito basati su Internet, l'identità client (GUID) è contenuta in modo sicuro all'interno del payload del pacchetto. Il punto di gestione non considera quindi il server Web proxy come client.
Se il server Web proxy non supporta i requisiti per il bridging SSL, è supportato anche il tunneling SSL. Questa opzione è meno sicura. I pacchetti SSL da Internet vengono inoltrati ai sistemi del sito senza terminazione. Non è quindi possibile esaminarne la presenza di contenuto dannoso.
Avviso
I dispositivi mobili registrati da Configuration Manager non possono usare il bridging SSL. Devono usare solo il tunneling SSL.
Configurazioni da usare se si configura il sito per riattivare i computer per installare il software
Se si usano pacchetti di riattivazione tradizionali, usare le trasmissioni unicast anziché quelle dirette alla subnet.
Se è necessario usare le trasmissioni dirette alla subnet, configurare i router per consentire le trasmissioni dirette tramite IP solo dal server del sito e solo su un numero di porta non predefinito.
Per altre informazioni sulle diverse tecnologie di riattivazione LAN, vedere Pianificazione di come riattivare i client.
Se si usa la notifica tramite posta elettronica, configurare l'accesso autenticato al server di posta SMTP
Quando possibile, usare un server di posta elettronica che supporta l'accesso autenticato. Usare l'account computer del server del sito per l'autenticazione. Se è necessario specificare un account utente per l'autenticazione, usare un account con i privilegi minimi.
Applicare l'associazione di canale LDAP e la firma LDAP
La sicurezza dei controller di dominio Active Directory può essere migliorata configurando il server per rifiutare i binding LDAP SASL (Simple Authentication and Security Layer) che non richiedono la firma o per rifiutare i binding LDAP semplici eseguiti su una connessione non crittografati. A partire dalla versione 1910, Configuration Manager supporta l'applicazione dell'associazione di canale LDAP e della firma LDAP. Per altre informazioni, vedere 2020 LDAP channel binding and LDAP signing requirements for Windows (Requisiti di firma LDAP per Windows).
Indicazioni sulla sicurezza per il server del sito
Usare le indicazioni seguenti per proteggere il server del sito Configuration Manager.
Avviso
Account di accesso alla rete: non concedere diritti di accesso interattivi a questo account in SQL Server. Non concedere a questo account il diritto di aggiungere computer al dominio. Se è necessario aggiungere computer al dominio durante una sequenza di attività, usare l'account di aggiunta al dominio della sequenza di attività.
Installare Configuration Manager in un server membro anziché in un controller di dominio
Il server del sito e i sistemi del sito Configuration Manager non richiedono l'installazione in un controller di dominio. I controller di dominio non dispongono di un database SAM (Security Accounts Management) locale diverso dal database di dominio. Quando si installa Configuration Manager in un server membro, è possibile gestire Configuration Manager account nel database SAM locale anziché nel database di dominio.
Questa procedura riduce anche la superficie di attacco nei controller di dominio.
Installare siti secondari senza copiare i file in rete
Quando si esegue l'installazione e si crea un sito secondario, non selezionare l'opzione per copiare i file dal sito padre al sito secondario. Inoltre, non usare un percorso di origine di rete. Quando si copiano file in rete, un utente malintenzionato esperto potrebbe dirottare il pacchetto di installazione del sito secondario e manomettere i file prima che vengano installati. La tempistica di questo attacco sarebbe difficile. Questo attacco può essere attenuato usando IPsec o SMB quando si trasferiscono i file.
Anziché copiare i file in rete, nel server del sito secondario copiare i file di origine dalla cartella multimediale in una cartella locale. Quando si esegue il programma di installazione per creare un sito secondario, nella pagina File di origine di installazione selezionare Usa i file di origine nel percorso seguente nel computer del sito secondario (più sicuro) e specificare questa cartella.
Per altre informazioni, vedere Installare un sito secondario.
L'installazione del ruolo del sito eredita le autorizzazioni dalla radice dell'unità
Assicurarsi di configurare correttamente le autorizzazioni dell'unità di sistema prima di installare il primo ruolo del sistema del sito in qualsiasi server. Ad esempio, C:\SMS_CCM
eredita le autorizzazioni da C:\
. Se la radice dell'unità non è protetta correttamente, gli utenti con diritti limitati possono accedere o modificare il contenuto nella cartella Configuration Manager.
Indicazioni sulla sicurezza per SQL Server
Configuration Manager usa SQL Server come database back-end. Se il database è compromesso, gli utenti malintenzionati potrebbero ignorare Configuration Manager. Se accedono direttamente a SQL Server, possono lanciare attacchi tramite Configuration Manager. Considerare gli attacchi contro SQL Server ad alto rischio e mitigare in modo appropriato.
Usare le indicazioni di sicurezza seguenti per proteggere SQL Server per Configuration Manager.
Non usare il server di database del sito Configuration Manager per eseguire altre applicazioni SQL Server
Quando si aumenta l'accesso al server di database del sito Configuration Manager, questa azione aumenta il rischio per i dati Configuration Manager. Se il database del sito Configuration Manager viene compromesso, vengono messe a rischio anche altre applicazioni nello stesso computer SQL Server.
Configurare SQL Server per l'uso di autenticazione di Windows
Anche se Configuration Manager accede al database del sito usando un account di Windows e autenticazione di Windows, è comunque possibile configurare SQL Server per l'uso di SQL Server modalità mista. SQL Server modalità mista consente ad altri SQL Server di accedere al database. Questa configurazione non è necessaria e aumenta la superficie di attacco.
Aggiornare SQL Server Express nei siti secondari
Quando si installa un sito primario, Configuration Manager scarica SQL Server Express dall'Area download Microsoft. Copia quindi i file nel server del sito primario. Quando si installa un sito secondario e si seleziona l'opzione che installa SQL Server Express, Configuration Manager installa la versione scaricata in precedenza. Non controlla se sono disponibili nuove versioni. Per assicurarsi che il sito secondario disponga delle versioni più recenti, eseguire una delle attività seguenti:
Dopo aver installato il sito secondario, eseguire Windows Update nel server del sito secondario.
Prima di installare il sito secondario, installare manualmente SQL Server Express nel server del sito secondario. Assicurarsi di installare la versione più recente e tutti gli aggiornamenti software. Installare quindi il sito secondario e selezionare l'opzione per usare un'istanza di SQL Server esistente.
Eseguire periodicamente Windows Update per tutte le versioni installate di SQL Server. Questa procedura garantisce che siano disponibili gli aggiornamenti software più recenti.
Seguire le indicazioni generali per SQL Server
Identificare e seguire le indicazioni generali per la versione di SQL Server. Tenere tuttavia in considerazione i requisiti seguenti per Configuration Manager:
L'account computer del server del sito deve essere un membro del gruppo Administrators nel computer che esegue SQL Server. Se si segue la raccomandazione SQL Server "effettuare il provisioning esplicito delle entità amministratore", l'account usato per eseguire l'installazione nel server del sito deve essere membro del gruppo SQL Server Users.
Se si installa SQL Server usando un account utente di dominio, assicurarsi che l'account computer del server del sito sia configurato per un nome dell'entità servizio pubblicato in Active Directory Domain Services. Senza il nome SPN, l'autenticazione Kerberos non riesce e l'installazione Configuration Manager non riesce.
Indicazioni sulla sicurezza per i sistemi del sito che eseguono IIS
Diversi ruoli del sistema del sito in Configuration Manager richiedono IIS. Il processo di protezione di IIS consente Configuration Manager di funzionare correttamente e riduce il rischio di attacchi alla sicurezza. Quando possibile, ridurre al minimo il numero di server che richiedono IIS. Ad esempio, eseguire solo il numero di punti di gestione necessari per supportare la base client, tenendo conto della disponibilità elevata e dell'isolamento della rete per la gestione client basata su Internet.
Usare le indicazioni seguenti per proteggere i sistemi del sito che eseguono IIS.
Disabilitare le funzioni IIS non necessarie
Installare solo le funzionalità IIS minime per il ruolo del sistema del sito installato. Per altre informazioni, vedere Prerequisiti del sito e del sistema del sito.
Configurare i ruoli del sistema del sito per richiedere HTTPS
Quando i client si connettono a un sistema del sito usando HTTP anziché HTTPS, usano autenticazione di Windows. Questo comportamento potrebbe tornare all'uso dell'autenticazione NTLM anziché dell'autenticazione Kerberos. Quando si usa l'autenticazione NTLM, i client potrebbero connettersi a un server non autorizzato.
L'eccezione a questa guida potrebbe essere i punti di distribuzione. Gli account di accesso ai pacchetti non funzionano quando il punto di distribuzione è configurato per HTTPS. Gli account di accesso ai pacchetti forniscono l'autorizzazione al contenuto, in modo da limitare gli utenti che possono accedere al contenuto. Per altre informazioni, vedere Indicazioni sulla sicurezza per la gestione dei contenuti.
Importante
A partire da Configuration Manager versione 2103, i siti che consentono la comunicazione client HTTP sono deprecati. Configurare il sito per HTTPS o HTTP avanzato. Per altre informazioni, vedere Abilitare il sito solo PER HTTPS o HTTP avanzato.
Configurare un elenco di attendibilità dei certificati (CTL) in IIS per i ruoli del sistema del sito
Ruoli del sistema del sito:
Un punto di distribuzione configurato per HTTPS
Punto di gestione configurato per HTTPS e abilitato per il supporto dei dispositivi mobili
Un elenco CTL è un elenco definito di autorità di certificazione radice attendibili. Quando si usa un elenco CTL con criteri di gruppo e una distribuzione dell'infrastruttura a chiave pubblica (PKI), un elenco CTL consente di integrare le CA radice attendibili esistenti configurate nella rete. Ad esempio, le CA che vengono installate automaticamente con Microsoft Windows o aggiunte tramite le CA radice dell'organizzazione di Windows. Quando un elenco CTL è configurato in IIS, definisce un subset di tali CA radice attendibili.
Questo subset offre un maggiore controllo sulla sicurezza. L'elenco CTL limita i certificati client accettati solo ai certificati emessi dall'elenco di CA nell'elenco CTL. Ad esempio, Windows include una serie di certificati ca di terze parti noti.
Per impostazione predefinita, il computer che esegue IIS considera attendibili i certificati concatenati a queste autorità di certificazione note. Quando non si configura IIS con un elenco CTL per i ruoli del sistema del sito elencati, il sito accetta come client valido qualsiasi dispositivo con un certificato emesso da queste CA. Se si configura IIS con un valore CTL che non include queste CA, il sito rifiuta le connessioni client, se il certificato viene concatenato a queste CA. Per Configuration Manager client da accettare per i ruoli del sistema del sito elencati, è necessario configurare IIS con un elenco CTL che specifica le CA usate dai client Configuration Manager.
Nota
Solo i ruoli del sistema del sito elencati richiedono di configurare un elenco CTL in IIS. L'elenco di autorità di certificazione che Configuration Manager usa per i punti di gestione fornisce la stessa funzionalità per i computer client quando si connettono ai punti di gestione HTTPS.
Per altre informazioni su come configurare un elenco di CA attendibili in IIS, vedere la documentazione di IIS.
Non inserire il server del sito in un computer con IIS
La separazione dei ruoli consente di ridurre il profilo di attacco e migliorare la recuperabilità. L'account computer del server del sito dispone in genere di privilegi amministrativi per tutti i ruoli del sistema del sito. Se si usa l'installazione push client, può anche disporre di questi privilegi nei client Configuration Manager.
Usare server IIS dedicati per Configuration Manager
Sebbene sia possibile ospitare più applicazioni basate sul Web nei server IIS usati anche da Configuration Manager, questa procedura può aumentare significativamente la superficie di attacco. Un'applicazione configurata in modo non corretto potrebbe consentire a un utente malintenzionato di ottenere il controllo di un sistema del sito Configuration Manager. Questa violazione potrebbe consentire a un utente malintenzionato di ottenere il controllo della gerarchia.
Se è necessario eseguire altre applicazioni basate sul Web in sistemi del sito Configuration Manager, creare un sito Web personalizzato per Configuration Manager sistemi del sito.
Usare un sito Web personalizzato
Per i sistemi del sito che eseguono IIS, configurare Configuration Manager per l'uso di un sito Web personalizzato anziché del sito Web predefinito. Se è necessario eseguire altre applicazioni Web nel sistema del sito, è necessario usare un sito Web personalizzato. Questa impostazione è un'impostazione a livello di sito anziché un'impostazione per un sistema del sito specifico.
Quando si usano siti Web personalizzati, rimuovere le directory virtuali predefinite
Quando si passa dall'uso del sito Web predefinito all'uso di un sito Web personalizzato, Configuration Manager non rimuove le directory virtuali precedenti. Rimuovere le directory virtuali che Configuration Manager create originariamente nel sito Web predefinito.
Ad esempio, rimuovere le directory virtuali seguenti per un punto di distribuzione:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
Seguire le indicazioni sulla sicurezza del server IIS
Identificare e seguire le indicazioni generali per la versione del server IIS. Prendere in considerazione tutti i requisiti che Configuration Manager hanno per ruoli del sistema del sito specifici. Per altre informazioni, vedere Prerequisiti del sito e del sistema del sito.
Configurare intestazioni personalizzate di IIS
Configurare le intestazioni personalizzate seguenti per disabilitare l'analisi MIME:
x-content-type-options: nosniff
Per altre informazioni, vedere Intestazioni personalizzate.
Se altri servizi usano la stessa istanza di IIS, assicurarsi che queste intestazioni personalizzate siano compatibili.
Indicazioni sulla sicurezza per il punto di gestione
I punti di gestione sono l'interfaccia principale tra i dispositivi e Configuration Manager. Considerare gli attacchi contro il punto di gestione e il server su cui viene eseguito per essere ad alto rischio e mitigare in modo appropriato. Applicare tutte le indicazioni di sicurezza appropriate e monitorare le attività insolite.
Usare le indicazioni seguenti per proteggere un punto di gestione in Configuration Manager.
Assegnare il client in un punto di gestione allo stesso sito
Evitare lo scenario in cui si assegna il client Configuration Manager in un punto di gestione a un sito diverso dal sito del punto di gestione.
Se si esegue la migrazione da una versione precedente a Configuration Manager current branch, eseguire la migrazione del client nel punto di gestione al nuovo sito il prima possibile.
Linee guida per la sicurezza per il punto di stato di fallback
Se si installa un punto di stato di fallback in Configuration Manager, usare le indicazioni di sicurezza seguenti:
Per altre informazioni sulle considerazioni sulla sicurezza quando si installa un punto di stato di fallback, vedere Determinare se è necessario un punto di stato di fallback.
Non eseguire altri ruoli nello stesso sistema del sito
Il punto di stato di fallback è progettato per accettare comunicazioni non autenticate da qualsiasi computer. Se si esegue questo ruolo del sistema del sito con altri ruoli o un controller di dominio, il rischio per tale server aumenta notevolmente.
Installare il punto di stato di fallback prima di installare i client con certificati PKI
Se Configuration Manager sistemi del sito non accettano la comunicazione client HTTP, è possibile che i client non siano gestiti a causa di problemi relativi ai certificati correlati all'infrastruttura a chiave pubblica. Se si assegnano i client a un punto di stato di fallback, segnalano questi problemi di certificato tramite il punto di stato di fallback.
Per motivi di sicurezza, non è possibile assegnare un punto di stato di fallback ai client dopo l'installazione. È possibile assegnare questo ruolo solo durante l'installazione client.
Evitare di usare il punto di stato di fallback nella rete perimetrale
Per impostazione predefinita, il punto di stato di fallback accetta i dati da qualsiasi client. Anche se un punto di stato di fallback nella rete perimetrale può aiutare a risolvere i problemi dei client basati su Internet, bilanciare i vantaggi della risoluzione dei problemi con il rischio di un sistema del sito che accetta dati non autenticati in una rete accessibile pubblicamente.
Se si installa il punto di stato di fallback nella rete perimetrale o in qualsiasi rete non attendibile, configurare il server del sito per avviare i trasferimenti di dati. Non usare l'impostazione predefinita che consente al punto di stato di fallback di avviare una connessione al server del sito.
Problemi di sicurezza per l'amministrazione del sito
Esaminare i problemi di sicurezza seguenti per Configuration Manager:
Configuration Manager non ha alcuna difesa contro un utente amministratore autorizzato che usa Configuration Manager per attaccare la rete. Gli utenti amministrativi non autorizzati rappresentano un rischio elevato per la sicurezza. Potrebbero lanciare molti attacchi, tra cui le strategie seguenti:
Usare la distribuzione software per installare ed eseguire automaticamente software dannoso in ogni Configuration Manager computer client dell'organizzazione.
Controllare in remoto un client Configuration Manager senza l'autorizzazione client.
Configurare intervalli di polling rapidi e quantità estreme di inventario. Questa azione crea attacchi Denial of Service contro i client e i server.
Usare un sito nella gerarchia per scrivere dati nei dati di Active Directory di un altro sito.
La gerarchia del sito è il limite di sicurezza. Considerare i siti solo come limiti di gestione.
Controllare tutte le attività amministrative degli utenti ed esaminare regolarmente i log di controllo. Richiedere a tutti gli utenti amministratori Configuration Manager di sottoporsi a un controllo in background prima di essere assunti. Richiedere verifiche periodiche come condizione di impiego.
Se il punto di registrazione è compromesso, un utente malintenzionato potrebbe ottenere certificati per l'autenticazione. Potrebbero rubare le credenziali degli utenti che registrano i propri dispositivi mobili.
Il punto di registrazione comunica con una CA. Può creare, modificare ed eliminare oggetti Active Directory. Non installare mai il punto di registrazione nella rete perimetrale. Monitorare sempre l'attività insolita.
Se si consentono criteri utente per la gestione client basata su Internet, si aumenta il profilo di attacco.
Oltre a usare i certificati PKI per le connessioni da client a server, queste configurazioni richiedono autenticazione di Windows. Potrebbero tornare all'uso dell'autenticazione NTLM anziché kerberos. L'autenticazione NTLM è vulnerabile agli attacchi di rappresentazione e riproduzione. Per autenticare correttamente un utente su Internet, è necessario consentire una connessione dal sistema del sito basato su Internet a un controller di dominio.
La condivisione Amministrazione$ è necessaria nei server del sistema del sito.
Il server del sito Configuration Manager usa la condivisione Amministrazione$ per connettersi ed eseguire operazioni di servizio nei sistemi del sito. Non disabilitare o rimuovere questa condivisione.
Configuration Manager usa i servizi di risoluzione dei nomi per connettersi ad altri computer. Questi servizi sono difficili da proteggere dagli attacchi di sicurezza seguenti:
- Spoofing
- Manomissione
- Ripudio
- Divulgazione di informazioni
- Denial of Service
- Elevazione dei privilegi
Identificare e seguire le indicazioni sulla sicurezza per la versione di DNS usata per la risoluzione dei nomi.
Informazioni sulla privacy per l'individuazione
L'individuazione crea record per le risorse di rete e le archivia nel database Configuration Manager. I record di dati di individuazione contengono informazioni sul computer, ad esempio indirizzi IP, versioni del sistema operativo e nomi di computer. È anche possibile configurare i metodi di individuazione di Active Directory per restituire tutte le informazioni archiviate dall'organizzazione in Active Directory Domain Services.
L'unico metodo di individuazione che Configuration Manager abilita per impostazione predefinita è l'individuazione heartbeat. Questo metodo individua solo i computer in cui è già installato il software client Configuration Manager.
Le informazioni di individuazione non vengono inviate direttamente a Microsoft. Viene archiviato nel database Configuration Manager. Configuration Manager conserva le informazioni nel database fino a quando non elimina i dati. Questo processo viene eseguito ogni 90 giorni dall'attività di manutenzione del sito Elimina dati di individuazione obsoleti.