Delen via


Beveiliging configureren in Configuration Manager

Van toepassing op: Configuration Manager (current branch)

Gebruik de informatie in dit artikel om beveiligingsopties in te stellen voor Configuration Manager. Zorg ervoor dat u een beveiligingsplan hebt voordat u begint.

Belangrijk

Vanaf Configuration Manager versie 2103 worden sites die HTTP-clientcommunicatie toestaan, afgeschaft. Configureer de site voor HTTPS of Verbeterde HTTP. Zie De site inschakelen voor alleen HTTPS of verbeterde HTTP voor meer informatie.

Client PKI-certificaten

Als u PKI-certificaten (Public Key Infrastructure) wilt gebruiken voor clientverbindingen met sitesystemen die gebruikmaken van IIS (Internet Information Services), gebruikt u de volgende procedure om instellingen voor deze certificaten te configureren.

  1. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer het knooppunt Sites. Selecteer de primaire site die u wilt configureren.

  2. Kies eigenschappen op het lint. Ga vervolgens naar het tabblad Communicatiebeveiliging .

  3. Selecteer de instellingen voor sitesystemen die gebruikmaken van IIS.

    • Alleen HTTPS: clients die zijn toegewezen aan de site gebruiken altijd een client-PKI-certificaat wanneer ze verbinding maken met sitesystemen die gebruikmaken van IIS. Bijvoorbeeld een beheerpunt en een distributiepunt.

    • HTTPS of HTTP: U vereist niet dat clients PKI-certificaten gebruiken.

    • Gebruik Configuration Manager gegenereerde certificaten voor HTTP-sitesystemen: zie Verbeterde HTTP voor meer informatie over deze instelling.

  4. Selecteer de instellingen voor clientcomputers.

  5. Als u de certificaten voor vertrouwde basiscertificeringsinstanties wilt importeren, weergeven en verwijderen, selecteert u Instellen. Zie Planning voor de PKI-vertrouwde basiscertificaten en de lijst met certificaatverleners voor meer informatie.

Herhaal deze procedure voor alle primaire sites in de hiërarchie.

De vertrouwde hoofdsleutel beheren

Gebruik deze procedures om de vertrouwde basissleutel voor een Configuration Manager-client vooraf in te richten en te controleren.

Opmerking

Als clients de vertrouwde basissleutel kunnen ophalen uit Active Directory Domain Services of clientpush, hoeft u deze niet vooraf in te richten.

Wanneer clients HTTPS-communicatie naar beheerpunten gebruiken, hoeft u de vertrouwde hoofdsleutel niet vooraf in te richten. Ze stellen een vertrouwensrelatie tot stand door de PKI-certificaten.

Zie Plannen voor beveiliging voor meer informatie over de vertrouwde basissleutel.

Een client vooraf inrichten met de vertrouwde hoofdsleutel met behulp van een bestand

  1. Blader op de siteserver naar de Configuration Manager installatiemap. Open in de \bin\<platform> submap het volgende bestand in een teksteditor: mobileclient.tcf

  2. Zoek de vermelding, SMSPublicRootKey. Kopieer de waarde van die regel en sluit het bestand zonder wijzigingen op te slaan.

  3. Maak een nieuw tekstbestand en plak de sleutelwaarde die u hebt gekopieerd uit het bestand mobileclient.tcf.

  4. Sla het bestand op een locatie op waar alle computers toegang hebben, maar waar het bestand veilig is tegen manipulatie.

  5. Installeer de client met behulp van een installatiemethode die client.msi eigenschappen accepteert. Geef de volgende eigenschap op: SMSROOTKEYPATH=<full path and file name>

    Belangrijk

    Wanneer u de vertrouwde hoofdsleutel opgeeft tijdens de installatie van de client, geeft u ook de sitecode op. Gebruik de volgende eigenschap client.msi: SMSSITECODE=<site code>

Een client vooraf inrichten met de vertrouwde hoofdsleutel zonder een bestand te gebruiken

  1. Blader op de siteserver naar de Configuration Manager installatiemap. Open in de \bin\<platform> submap het volgende bestand in een teksteditor: mobileclient.tcf

  2. Zoek de vermelding, SMSPublicRootKey. Kopieer de waarde van die regel en sluit het bestand zonder wijzigingen op te slaan.

  3. Installeer de client met behulp van een installatiemethode die client.msi eigenschappen accepteert. Geef de volgende client.msi eigenschap op: SMSPublicRootKey=<key> waarbij <key> de tekenreeks is die u hebt gekopieerd van mobileclient.tcf.

    Belangrijk

    Wanneer u de vertrouwde hoofdsleutel opgeeft tijdens de installatie van de client, geeft u ook de sitecode op. Gebruik de volgende eigenschap client.msi: SMSSITECODE=<site code>

De vertrouwde basissleutel op een client controleren

  1. Open een Windows PowerShell-console als beheerder.

  2. Voer de volgende opdracht uit:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

De geretourneerde tekenreeks is de vertrouwde hoofdsleutel. Controleer of deze overeenkomt met de waarde SMSPublicRootKey in het bestand mobileclient.tcf op de siteserver.

De vertrouwde hoofdsleutel verwijderen of vervangen

Verwijder de vertrouwde hoofdsleutel van een client met behulp van de eigenschap client.msi, RESETKEYINFORMATION = TRUE.

Als u de vertrouwde basissleutel wilt vervangen, installeert u de client opnieuw samen met de nieuwe vertrouwde basissleutel. Gebruik bijvoorbeeld client-push of geef de client.msi-eigenschap SMSPublicRootKey op.

Zie Over parameters en eigenschappen van clientinstallatie voor meer informatie over deze installatie-eigenschappen.

Ondertekening en versleuteling

Configureer de veiligste instellingen voor ondertekening en versleuteling voor sitesystemen die alle clients op de site kunnen ondersteunen. Deze instellingen zijn met name belangrijk wanneer u clients laat communiceren met sitesystemen met behulp van zelfondertekende certificaten via HTTP.

  1. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer het knooppunt Sites. Selecteer de primaire site die u wilt configureren.

  2. Selecteer eigenschappen op het lint en ga vervolgens naar het tabblad Ondertekening en versleuteling .

    Dit tabblad is alleen beschikbaar op een primaire site. Als u het tabblad Ondertekening en versleuteling niet ziet, controleert u of u niet bent verbonden met een centrale beheersite of een secundaire site.

  3. Configureer de opties voor ondertekening en versleuteling voor clients om te communiceren met de site.

    • Ondertekening vereisen: clients ondertekenen gegevens voordat ze naar het beheerpunt worden verzonden.

    • SHA-256 vereisen: clients gebruiken het ALGORITME SHA-256 bij het ondertekenen van gegevens.

      Waarschuwing

      Gebruik SHA-256 niet zonder eerst te bevestigen dat alle clients dit hash-algoritme ondersteunen. Deze clients omvatten clients die in de toekomst mogelijk aan de site worden toegewezen.

      Als u deze optie kiest en clients met zelfondertekende certificaten SHA-256 niet kunnen ondersteunen, worden deze door Configuration Manager geweigerd. Het SMS_MP_CONTROL_MANAGER-onderdeel registreert de bericht-id 5443.

    • Versleuteling gebruiken: clients versleutelen clientinventarisgegevens en statusberichten voordat ze naar het beheerpunt worden verzonden.

Herhaal deze procedure voor alle primaire sites in de hiërarchie.

Beheer op basis van rollen

Op rollen gebaseerd beheer combineert beveiligingsrollen, beveiligingsbereiken en toegewezen verzamelingen om het beheerbereik voor elke gebruiker met beheerdersrechten te definiëren. Een bereik omvat de objecten die een gebruiker in de console kan bekijken en de taken die betrekking hebben op die objecten waarvoor ze gemachtigd zijn. Op rollen gebaseerde beheerconfiguraties worden toegepast op elke site in een hiërarchie.

Zie Op rollen gebaseerd beheer configureren voor meer informatie. In dit artikel worden de volgende acties beschreven:

  • Aangepaste beveiligingsrollen maken

  • Beveiligingsrollen configureren

  • Beveiligingsbereiken voor een object configureren

  • Verzamelingen configureren voor het beheren van beveiliging

  • Een nieuwe gebruiker met beheerdersrechten maken

  • Het beheerbereik van een gebruiker met beheerdersrechten wijzigen

Belangrijk

Uw eigen beheerbereik definieert de objecten en instellingen die u kunt toewijzen wanneer u op rollen gebaseerd beheer configureert voor een andere gebruiker met beheerdersrechten. Zie Basisprincipes van op rollen gebaseerd beheer voor informatie over het plannen van op rollen gebaseerd beheer.

Accounts beheren

Configuration Manager ondersteunt Windows-accounts voor veel verschillende taken en toepassingen. Gebruik de volgende procedure om accounts weer te geven die zijn geconfigureerd voor verschillende taken en om het wachtwoord te beheren dat Configuration Manager voor elk account gebruikt:

  1. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Beveiliging uit en kies vervolgens het knooppunt Accounts.

  2. Als u het wachtwoord voor een account wilt wijzigen, selecteert u het account in de lijst. Kies vervolgens Eigenschappen op het lint.

  3. Kies Instellen om het dialoogvenster Windows-gebruikersaccount te openen. Geef het nieuwe wachtwoord op dat Configuration Manager voor dit account wilt gebruiken.

    Opmerking

    Het wachtwoord dat u opgeeft, moet overeenkomen met het wachtwoord van dit account in Active Directory.

Zie Accounts die worden gebruikt in Configuration Manager voor meer informatie.

Microsoft Entra ID

Integreer Configuration Manager met Microsoft Entra-id om uw omgeving te vereenvoudigen en in de cloud in te schakelen. Schakel de site en clients in om te verifiëren met behulp van Microsoft Entra-id.

Zie cloudbeheerservice in Azure-services configureren voor meer informatie.

VERIFICATIE VAN SMS-provider

U kunt het minimale verificatieniveau opgeven voor beheerders voor toegang tot Configuration Manager sites. Deze functie dwingt beheerders af om zich aan te melden bij Windows met het vereiste niveau voordat ze toegang hebben tot Configuration Manager. Zie Verificatie via SMS-provider plannen voor meer informatie.

Belangrijk

Deze configuratie is een instelling voor de hele hiërarchie. Voordat u deze instelling wijzigt, moet u ervoor zorgen dat alle Configuration Manager beheerders zich kunnen aanmelden bij Windows met het vereiste verificatieniveau.

Voer de volgende stappen uit om deze instelling te configureren:

  1. Meld u eerst aan bij Windows met het beoogde verificatieniveau.

  2. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer het knooppunt Sites.

  3. Selecteer Hiërarchie-instellingen op het lint.

  4. Ga naar het tabblad Verificatie . Selecteer het gewenste verificatieniveau en selecteer vervolgens OK.

    • Selecteer alleen wanneer dat nodig is Toevoegen om specifieke gebruikers of groepen uit te sluiten. Zie Uitsluitingen voor meer informatie.

Uitsluitingen

Op het tabblad Verificatie van Hiërarchie-instellingen kunt u ook bepaalde gebruikers of groepen uitsluiten. Gebruik deze optie spaarzaam. Bijvoorbeeld wanneer specifieke gebruikers toegang nodig hebben tot de Configuration Manager-console, maar niet kunnen verifiëren bij Windows op het vereiste niveau. Het kan ook nodig zijn voor automatisering of services die worden uitgevoerd in de context van een systeemaccount.

Volgende stappen