Безопасность и конфиденциальность для управления содержимым в Configuration Manager
Относится к Configuration Manager (Current Branch)
Эта статья содержит сведения о безопасности и конфиденциальности для управления содержимым в Configuration Manager.
Руководство по безопасности
Преимущества и недостатки HTTPS или HTTP для точек распространения интрасети
Для точек распространения в интрасети рассмотрите преимущества и недостатки использования HTTPS или HTTP. В большинстве случаев использование учетных записей доступа ПО HTTP и пакетов для авторизации обеспечивает большую безопасность, чем использование HTTPS с шифрованием, но без авторизации. Однако если в содержимом есть конфиденциальные данные, которые вы хотите зашифровать во время передачи, используйте ПРОТОКОЛ HTTPS.
При использовании HTTPS для точки распространения: Configuration Manager не использует учетные записи доступа к пакету для авторизации доступа к содержимому. Содержимое шифруется при передаче по сети.
При использовании HTTP для точки распространения: для авторизации можно использовать учетные записи доступа к пакету. Содержимое не шифруется при передаче по сети.
Рассмотрите возможность включения расширенного протокола HTTP для сайта. Эта функция позволяет клиентам использовать проверку подлинности Microsoft Entra для безопасного взаимодействия с точкой распространения HTTP. Дополнительные сведения см. в разделе Расширенный протокол HTTP.
Важно!
Начиная с Configuration Manager версии 2103, сайты, которые разрешают обмен данными с клиентом HTTP, не рекомендуется использовать. Настройте сайт для HTTPS или расширенного HTTP. Дополнительные сведения см. в статье Включение сайта только для HTTPS или расширенного HTTP.
Защита файла сертификата проверки подлинности клиента
Если для точки распространения используется сертификат проверки подлинности клиента PKI, а не самозаверяющий сертификат, защитите файл сертификата (PFX-файл) надежным паролем. Если файл хранится в сети, защитите сетевой канал при импорте файла в Configuration Manager.
Если требуется пароль для импорта сертификата проверки подлинности клиента, который точка распространения использует для взаимодействия с точками управления, эта конфигурация помогает защитить сертификат от злоумышленника. Чтобы предотвратить незаконное изменение файла сертификата, используйте подписывание блока сообщений сервера (SMB) или IPsec между сетевым расположением и сервером сайта.
Удаление роли точки распространения с сервера сайта
По умолчанию Configuration Manager программа установки устанавливает точку распространения на сервере сайта. Клиентам не нужно взаимодействовать напрямую с сервером сайта. Чтобы уменьшить область атаки, назначьте роль точки распространения другим системам сайта и удалите ее с сервера сайта.
Защита содержимого на уровне доступа к пакету
Общий ресурс точки распространения предоставляет доступ на чтение всем пользователям. Чтобы ограничить доступ пользователей к содержимому, используйте учетные записи доступа к пакету, когда точка распространения настроена для HTTP. Эта конфигурация не применяется к шлюзам управления облачными службами с поддержкой содержимого, которые не поддерживают учетные записи доступа к пакетам.
Дополнительные сведения см. в разделе Учетные записи доступа к пакету.
Настройка СЛУЖБ IIS в роли точки распространения
Если Configuration Manager устанавливает СЛУЖБЫ IIS при добавлении роли системы сайта точки распространения, удалите перенаправление HTTP и скрипты и средства управления IIS по завершении установки точки распространения. Для точки распространения эти компоненты не требуются. Чтобы уменьшить область атак, удалите эти службы ролей для роли веб-сервера.
Дополнительные сведения о службах ролей для роли веб-сервера для точек распространения см. в разделе Предварительные требования для сайта и системы сайта.
Установка разрешений на доступ к пакету при создании пакета
Так как изменения в учетных записях доступа в файлах пакета вступает в силу только при повторном распространении пакета, тщательно устанавливайте разрешения на доступ к пакету при первом создании пакета. Эта конфигурация важна, если пакет большой или распределен по нескольким точкам распространения, а также когда пропускная способность сети для распространения содержимого ограничена.
Реализация элементов управления доступом для защиты мультимедиа, содержащего предварительно подготовленное содержимое
Предварительно подготовленное содержимое сжимается, но не шифруется. Злоумышленник может считывать и изменять файлы, скачанные на устройства. Configuration Manager клиенты отклоняют содержимое, которое было изменено, но по-прежнему скачивают его.
Импорт предварительно подготовленного содержимого с помощью ExtractContent
Импортируйте только предварительно подготовленное содержимое с помощью средства командной строки ExtractContent.exe. Чтобы избежать незаконного изменения и повышения привилегий, используйте только авторизованное средство командной строки, которое поставляется с Configuration Manager.
Дополнительные сведения см. в статье Развертывание содержимого и управление ими.
Защита канала связи между сервером сайта и расположением источника пакета
Используйте подписывание IPsec или SMB между сервером сайта и расположением источника пакета при создании приложений, пакетов и других объектов с содержимым. Эта конфигурация помогает предотвратить незаконное изменение исходных файлов злоумышленником.
Удаление виртуальных каталогов по умолчанию для пользовательского веб-сайта с ролью точки распространения
Если после установки роли точки распространения вы измените параметр конфигурации сайта на использование пользовательского веб-сайта, а не веб-сайта по умолчанию, удалите виртуальные каталоги по умолчанию. При переключении с веб-сайта по умолчанию на пользовательский веб-сайт Configuration Manager не удаляет старые виртуальные каталоги. Удалите следующие виртуальные каталоги, которые Configuration Manager изначально созданы на веб-сайте по умолчанию:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
Дополнительные сведения об использовании пользовательского веб-сайта см. в разделе Веб-сайты для серверов системы сайта.
Для шлюзов управления облачными клиентами с поддержкой содержимого защитите сведения о подписке и сертификатах Azure.
При использовании шлюзов управления облачными клиентами (CMG) с поддержкой содержимого защитите следующие ценные элементы:
- Имя пользователя и пароль для подписки Azure
- Секретные ключи для регистрации приложений Azure
- Сертификат проверки подлинности сервера
Безопасное хранение сертификатов. Если вы просматриваете их по сети при настройке CMG, используйте протокол IPsec или SMB для подписывания между сервером системы сайта и исходным расположением.
Для обеспечения непрерывности служб отслеживайте дату окончания срока действия сертификатов CMG.
Configuration Manager не предупреждает о том, что импортированные сертификаты для CMG скоро истечет. Отслеживайте даты окончания срока действия независимо от Configuration Manager. Убедитесь, что вы продлеваете и импортируете новые сертификаты до даты окончания срока действия. Это действие важно при получении сертификата проверки подлинности сервера от внешнего общедоступного поставщика, так как для получения обновленного сертификата может потребоваться больше времени.
Если срок действия сертификата истекает, диспетчер облачных служб Configuration Manager создает сообщение о состоянии с идентификатором 9425. Файл CloudMgr.log содержит запись, указывающую, что срок действия сертификата истек, с датой окончания срока действия также в формате UTC.
Рекомендации по безопасности
Клиенты не проверяют содержимое до тех пор, пока оно не будет загружено. Configuration Manager клиенты проверяют хэш на содержимом только после его загрузки в кэш клиента. Если злоумышленник изменяет список файлов для скачивания или само содержимое, процесс скачивания может занять значительную пропускную способность сети. Затем клиент удаляет содержимое, когда находит недопустимый хэш.
При использовании шлюзов управления облачными клиентами с поддержкой содержимого:
Он автоматически ограничивает доступ к содержимому вашей организации. Его нельзя ограничить только выбранными пользователями или группами.
Точка управления сначала проверяет подлинность клиента. Затем клиент использует маркер Configuration Manager для доступа к облачному хранилищу. Маркер действителен в течение восьми часов. Это означает, что если вы заблокируете клиент, так как он больше не является доверенным, он может продолжать скачивать содержимое из облачного хранилища до истечения срока действия этого маркера. Точка управления не выдаст другой маркер для клиента, так как она заблокирована.
Чтобы запретить клиенту загружать содержимое в течение этого восьмичасового периода, остановите облачную службу. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Облачные службы и выберите узел Шлюз управления облачными клиентами.
Сведения о конфиденциальности
Configuration Manager не включает пользовательские данные в файлы содержимого, хотя пользователь с правами администратора может выполнить это действие.