Share via


Beveiliging en privacy voor inhoudsbeheer in Configuration Manager

Van toepassing op: Configuration Manager (current branch)

Dit artikel bevat informatie over beveiliging en privacy voor inhoudsbeheer in Configuration Manager.

Beveiligingsrichtlijnen

Voor- en nadelen van HTTPS of HTTP voor intranetdistributiepunten

Voor distributiepunten op het intranet moet u rekening houden met de voor- en nadelen van het gebruik van HTTPS of HTTP. In de meeste scenario's biedt het gebruik van HTTP- en pakkettoegangsaccounts voor autorisatie meer beveiliging dan het gebruik van HTTPS met versleuteling, maar zonder autorisatie. Als u echter gevoelige gegevens in uw inhoud hebt die u tijdens de overdracht wilt versleutelen, gebruikt u HTTPS.

  • Wanneer u HTTPS gebruikt voor een distributiepunt: Configuration Manager gebruikt geen pakkettoegangsaccounts om toegang tot de inhoud te autoriseren. De inhoud wordt versleuteld wanneer deze via het netwerk wordt overgedragen.

  • Wanneer u HTTP gebruikt voor een distributiepunt: u kunt pakkettoegangsaccounts gebruiken voor autorisatie. De inhoud wordt niet versleuteld wanneer deze via het netwerk wordt overgedragen.

Overweeg verbeterde HTTP in te schakelen voor de site. Met deze functie kunnen clients Microsoft Entra-verificatie gebruiken om veilig te communiceren met een HTTP-distributiepunt. Zie Verbeterde HTTP voor meer informatie.

Belangrijk

Vanaf Configuration Manager versie 2103 worden sites die HTTP-clientcommunicatie toestaan, afgeschaft. Configureer de site voor HTTPS of Verbeterde HTTP. Zie De site inschakelen voor alleen HTTPS of verbeterde HTTP voor meer informatie.

Het certificaatbestand voor clientverificatie beveiligen

Als u een PKI-clientverificatiecertificaat gebruikt in plaats van een zelfondertekend certificaat voor het distributiepunt, beveiligt u het certificaatbestand (.pfx) met een sterk wachtwoord. Als u het bestand in het netwerk opslaat, beveiligt u het netwerkkanaal wanneer u het bestand in Configuration Manager importeert.

Wanneer u een wachtwoord nodig hebt om het clientverificatiecertificaat te importeren dat het distributiepunt gebruikt om te communiceren met beheerpunten, helpt deze configuratie het certificaat te beschermen tegen een aanvaller. Als u wilt voorkomen dat een aanvaller met het certificaatbestand kan knoeien, gebruikt u SMB-ondertekening (Server Message Block) of IPsec tussen de netwerklocatie en de siteserver.

De distributiepuntrol van de siteserver verwijderen

Standaard installeert Configuration Manager setup een distributiepunt op de siteserver. Clients hoeven niet rechtstreeks met de siteserver te communiceren. Als u de kwetsbaarheid voor aanvallen wilt verminderen, wijst u de distributiepuntrol toe aan andere sitesystemen en verwijdert u deze van de siteserver.

Inhoud beveiligen op pakkettoegangsniveau

De distributiepuntshare biedt leestoegang voor alle gebruikers. Als u wilt beperken welke gebruikers toegang hebben tot de inhoud, gebruikt u pakkettoegangsaccounts wanneer het distributiepunt is geconfigureerd voor HTTP. Deze configuratie is niet van toepassing op cloudbeheergateways met inhoud, die geen ondersteuning bieden voor pakkettoegangsaccounts.

Zie Toegangsaccounts voor pakketten voor meer informatie.

IIS configureren voor de distributiepuntrol

Als Configuration Manager IIS installeert wanneer u een sitesysteemrol voor distributiepunten toevoegt, verwijdert u HTTP-omleiding en IIS-beheerscripts en -hulpprogramma's wanneer de installatie van het distributiepunt is voltooid. Voor het distributiepunt zijn deze onderdelen niet vereist. Als u de kwetsbaarheid voor aanvallen wilt verminderen, verwijdert u deze functieservices voor de webserverfunctie.

Zie Vereisten voor site - en sitesysteem voor meer informatie over de functieservices voor de webserverfunctie voor distributiepunten.

Toegangsmachtigingen voor pakketten instellen wanneer u het pakket maakt

Omdat wijzigingen in de toegangsaccounts in de pakketbestanden alleen van kracht worden wanneer u het pakket opnieuw distribueren, moet u de toegangsmachtigingen voor het pakket zorgvuldig instellen wanneer u het pakket de eerste keer maakt. Deze configuratie is belangrijk wanneer het pakket groot is of wordt gedistribueerd naar veel distributiepunten en wanneer de netwerkbandbreedtecapaciteit voor inhoudsdistributie beperkt is.

Toegangsbeheer implementeren om media te beveiligen die voorbereide inhoud bevatten

Voorbereide inhoud wordt gecomprimeerd, maar niet versleuteld. Een aanvaller kan de bestanden lezen en wijzigen die naar apparaten worden gedownload. Configuration Manager clients weigeren inhoud waarmee is geknoeid, maar ze downloaden deze nog steeds.

Voorbereide inhoud importeren met ExtractContent

Importeer alleen voorbereide inhoud met behulp van het opdrachtregelprogramma ExtractContent.exe. Als u manipulatie en uitbreiding van bevoegdheden wilt voorkomen, gebruikt u alleen het geautoriseerde opdrachtregelprogramma dat bij Configuration Manager wordt geleverd.

Zie Inhoud implementeren en beheren voor meer informatie.

Beveilig het communicatiekanaal tussen de siteserver en de bronlocatie van het pakket

Gebruik IPsec- of SMB-ondertekening tussen de siteserver en de bronlocatie van het pakket wanneer u toepassingen, pakketten en andere objecten met inhoud maakt. Deze configuratie helpt voorkomen dat een aanvaller kan knoeien met de bronbestanden.

Standaard virtuele mappen verwijderen voor aangepaste website met de distributiepuntrol

Als u de optie voor siteconfiguratie wijzigt om een aangepaste website te gebruiken in plaats van de standaardwebsite nadat u een distributiepuntrol hebt geïnstalleerd, verwijdert u de standaard virtuele mappen. Wanneer u overschakelt van de standaardwebsite naar een aangepaste website, worden Configuration Manager de oude virtuele mappen niet verwijderd. Verwijder de volgende virtuele mappen die oorspronkelijk Configuration Manager gemaakt onder de standaardwebsite:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Zie Websites voor sitesysteemservers voor meer informatie over het gebruik van een aangepaste website.

Voor cloudbeheergateways met inhoud beschermt u de details en certificaten van uw Azure-abonnement

Wanneer u cloudbeheergateways (CMG's) met inhoud gebruikt, beveiligt u de volgende hoogwaardige items:

  • De gebruikersnaam en het wachtwoord voor uw Azure-abonnement
  • De geheime sleutels voor Azure-app-registraties
  • Het certificaat voor serververificatie

Sla de certificaten veilig op. Als u deze via het netwerk doorbladert wanneer u de CMG configureert, gebruikt u IPsec- of SMB-ondertekening tussen de sitesysteemserver en de bronlocatie.

Voor servicecontinuïteit controleert u de vervaldatum van de CMG-certificaten

Configuration Manager waarschuwt u niet wanneer de geïmporteerde certificaten voor de CMG bijna verlopen. Controleer de vervaldatums onafhankelijk van Configuration Manager. Zorg ervoor dat u de nieuwe certificaten verlengt en vervolgens importeert vóór de vervaldatum. Deze actie is belangrijk als u een serververificatiecertificaat verkrijgt van een externe, openbare provider, omdat u mogelijk meer tijd nodig hebt om een vernieuwd certificaat te verkrijgen.

Als een certificaat verloopt, genereert de Configuration Manager cloudservicemanager een statusbericht met id 9425. Het bestand CloudMgr.log bevat een vermelding om aan te geven dat het certificaat de status verlopen heeft, waarbij de vervaldatum ook is geregistreerd in UTC.

Beveiligingsoverwegingen

  • Clients valideren inhoud pas nadat deze is gedownload. Configuration Manager clients valideren de hash op inhoud pas nadat deze is gedownload naar hun clientcache. Als een aanvaller knoeit met de lijst met bestanden die moeten worden gedownload of met de inhoud zelf, kan het downloadproces aanzienlijke netwerkbandbreedte in beslag nemen. Vervolgens verwijdert de client de inhoud wanneer de ongeldige hash wordt gevonden.

  • Wanneer u cloudbeheergateways met inhoud gebruikt:

    • Hiermee wordt automatisch de toegang tot de inhoud tot uw organisatie beperkt. U kunt dit niet verder beperken tot geselecteerde gebruikers of groepen.

    • Het beheerpunt verifieert eerst de client. Vervolgens gebruikt de client een Configuration Manager-token om toegang te krijgen tot cloudopslag. Het token is acht uur geldig. Dit gedrag betekent dat als u een client blokkeert omdat deze niet meer wordt vertrouwd, deze inhoud uit de cloudopslag kan blijven downloaden totdat dit token verloopt. Het beheerpunt geeft geen ander token uit voor de client omdat dit is geblokkeerd.

      Als u wilt voorkomen dat een geblokkeerde client inhoud downloadt binnen dit venster van acht uur, stopt u de cloudservice. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Cloud Services uit en selecteer het knooppunt Cloud Management Gateway.

Privacy-informatie

Configuration Manager bevat geen gebruikersgegevens in inhoudsbestanden, hoewel een gebruiker met beheerdersrechten ervoor kan kiezen om deze actie uit te voeren.

Volgende stappen