Delen via


Basisprincipes van beveiliging voor Configuration Manager

Van toepassing op: Configuration Manager (current branch)

Dit artikel bevat een overzicht van de volgende fundamentele beveiligingsonderdelen van een Configuration Manager-omgeving:

Beveiligingslagen

Beveiliging voor Configuration Manager bestaat uit de volgende lagen:

Windows-besturingssysteem en netwerkbeveiliging

De eerste laag wordt geleverd door Windows-beveiligingsfuncties voor zowel het besturingssysteem als het netwerk. Deze laag bevat de volgende onderdelen:

  • Bestanden delen om bestanden over te dragen tussen Configuration Manager onderdelen.

  • Access Control lijsten (ACL's) om bestanden en registersleutels te beveiligen.

  • Internet Protocol Security (IPsec) om de communicatie te beveiligen.

  • Groepsbeleid om beveiligingsbeleid in te stellen.

  • DCOM-machtigingen (Distributed Component Object Model) voor gedistribueerde toepassingen, zoals de Configuration Manager-console.

  • Active Directory Domain Services beveiligingsprincipals opslaan.

  • Windows-accountbeveiliging, waaronder enkele groepen die Configuration Manager tijdens de installatie maakt.

Netwerkinfrastructuur

Netwerkbeveiligingsonderdelen, zoals firewalls en inbraakdetectie, bieden bescherming voor de hele omgeving. Certificaten die zijn uitgegeven door PKI-implementaties (Public Key Infrastructure) van de industriestandaard helpen verificatie, ondertekening en versleuteling te bieden.

beveiligingsbesturingselementen Configuration Manager

Standaard hebben alleen lokale beheerders rechten voor de bestanden en registersleutels die de Configuration Manager-console vereist op computers waarop u de console installeert.

SMS-provider

De volgende beveiligingslaag is gebaseerd op toegang tot de SMS-provider. De SMS-provider is een Configuration Manager-onderdeel dat een gebruiker toegang verleent om een query uit te voeren op de sitedatabase voor informatie. De SMS-provider biedt voornamelijk toegang via Windows Management Instrumentation (WMI), maar ook via een REST API met de naam beheerservice.

De toegang tot de provider is standaard beperkt tot leden van de lokale sms-beheerdersgroep . Deze groep bevat in eerste instantie alleen de gebruiker die Configuration Manager heeft geïnstalleerd. Als u andere accounts wilt machtigen voor de CIM-opslagplaats (Common Information Model) en de SMS-provider, voegt u de andere accounts toe aan de groep SMS-beheerders.

U kunt het minimale verificatieniveau opgeven voor beheerders voor toegang tot Configuration Manager sites. Met deze functie kunnen beheerders zich met het vereiste niveau aanmelden bij Windows. Zie Plannen voor de SMS-provider voor meer informatie.

Machtigingen voor sitedatabase

De laatste beveiligingslaag is gebaseerd op machtigingen voor objecten in de sitedatabase. Standaard kunnen het lokale systeemaccount en het gebruikersaccount dat u hebt gebruikt om Configuration Manager te installeren, alle objecten in de sitedatabase beheren. Machtigingen verlenen en beperken voor andere gebruikers met beheerdersrechten in de Configuration Manager-console met behulp van op rollen gebaseerd beheer.

Beheer op basis van rollen

Configuration Manager maakt gebruik van op rollen gebaseerd beheer om objecten zoals verzamelingen, implementaties en sites te beveiligen. Met dit beheermodel worden instellingen voor beveiligingstoegang voor alle sites en site-instellingen voor de hele hiërarchie centraal gedefinieerd en beheerd.

Een beheerder wijst beveiligingsrollen toe aan gebruikers met beheerdersrechten en groepsmachtigingen. De machtigingen zijn verbonden met verschillende Configuration Manager objecttypen, bijvoorbeeld om clientinstellingen te maken of te wijzigen.

Beveiligingsbereiken omvatten specifieke exemplaren van objecten die een gebruiker met beheerdersrechten moet beheren. Bijvoorbeeld een toepassing waarmee de Configuration Manager-console wordt geïnstalleerd.

De combinatie van beveiligingsrollen, beveiligingsbereiken en verzamelingen definieert de objecten die een gebruiker met beheerdersrechten kan bekijken en beheren. Configuration Manager installeert enkele standaardbeveiligingsrollen voor typische beheertaken. Maak uw eigen beveiligingsrollen om uw specifieke bedrijfsvereisten te ondersteunen.

Zie Basisprincipes van op rollen gebaseerd beheer voor meer informatie.

Clienteindpunten beveiligen

Configuration Manager beveiligt clientcommunicatie naar sitesysteemrollen met behulp van zelfondertekende of PKI-certificaten of Microsoft Entra-tokens. Voor sommige scenario's is het gebruik van PKI-certificaten vereist. Bijvoorbeeld clientbeheer op basis van internet en voor clients met mobiele apparaten.

U kunt de sitesysteemrollen configureren waarmee clients verbinding maken voor HTTPS- of HTTP-clientcommunicatie. Clientcomputers communiceren altijd met behulp van de veiligste methode die beschikbaar is. Clientcomputers vallen alleen terug op het gebruik van de minder veilige communicatiemethode als u sitesysteemrollen hebt die HTTP-communicatie toestaan.

Belangrijk

Vanaf Configuration Manager versie 2103 worden sites die HTTP-clientcommunicatie toestaan, afgeschaft. Configureer de site voor HTTPS of Verbeterde HTTP. Zie De site inschakelen voor alleen HTTPS of verbeterde HTTP voor meer informatie.

Zie Plannen voor beveiliging voor meer informatie.

accounts en groepen Configuration Manager

Configuration Manager gebruikt het lokale systeemaccount voor de meeste sitebewerkingen. Sommige sitebewerkingen staan het gebruik van een serviceaccount toe, in plaats van het domeincomputeraccount van de siteserver te gebruiken. Voor sommige beheertaken moet u mogelijk andere accounts maken en onderhouden. Bijvoorbeeld om lid te worden van het domein tijdens een takenreeks voor de implementatie van het besturingssysteem.

Configuration Manager maakt tijdens de installatie verschillende standaardgroepen en SQL Server rollen. Mogelijk moet u handmatig computer- of gebruikersaccounts toevoegen aan de standaardgroepen en SQL Server rollen.

Zie Accounts die worden gebruikt in Configuration Manager voor meer informatie.

Privacy

Voordat u Configuration Manager implementeert, moet u rekening houden met uw privacyvereisten. Hoewel bedrijfsbeheerproducten veel voordelen bieden omdat ze veel clients effectief kunnen beheren, kan deze software de privacy van gebruikers in uw organisatie beïnvloeden. Configuration Manager bevat veel hulpprogramma's voor het verzamelen van gegevens en het bewaken van apparaten. Sommige hulpprogramma's kunnen zorgen voor privacyproblemen in uw organisatie.

Wanneer u bijvoorbeeld de Configuration Manager-client installeert, worden er standaard veel beheerinstellingen ingeschakeld. Deze configuratie zorgt ervoor dat de clientsoftware informatie naar de Configuration Manager site verzendt. De site slaat clientgegevens op in de sitedatabase. De clientgegevens worden niet rechtstreeks naar Microsoft verzonden. Zie Diagnostische gegevens en gebruiksgegevens voor meer informatie.

Volgende stappen

Basisprincipes van op rollen gebaseerd beheer

Beveiliging plannen