Delen via

  • Artikel

Beveiliging en privacy voor clients in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Deze sectie ontvangt beveiligings- en privacyinformatie voor clients in System Center 2012 Configuration Manager en voor mobiele apparaten die worden beheerd door de Exchange Server-connector.

  • Aanbevolen procedures voor beveiliging voor Configuration Manager-clients en voor mobiele apparaten die worden beheerd door de Exchange Server-connector

    • Beveiligingsproblemen voor Configuration Manager-clients

  • Privacy-informatie voor Configuration Manager-clients

  • Privacygegevens voor mobiele apparaten die beheerd worden door middel van de Exchange Server-connector

Aanbevolen procedures voor beveiliging voor Configuration Manager-clients en voor mobiele apparaten die worden beheerd door de Exchange Server-connector

Wanneer Configuration Manager gegevens accepteert van apparaten waarop de Configuration Manager-client wordt uitgevoerd, wordt hierdoor het risico gecreëerd dat de clients de site aanvallen. Ze kunnen bijvoorbeeld een ongeldige inventaris versturen of proberen om de sitesystemen te overbelasten. Implementeer de Configuration Manager-client alleen naar apparaten die u vertrouwt. Gebruik bovendien de volgende aanbevolen procedures voor beveiliging om de site te helpen beschermen tegen rogue of aangetaste apparaten:

Aanbevolen beveiligingsprocedure

Meer informatie

Gebruik PKI-certificaten (Public Key Infrastructure) voor clientcommunicatie met sitesystemen waarop IIS wordt uitgevoerd:

  • Configureer Sitesysteeminstellingen voor alleen HTTPS als een site-eigenschap.

  • Installeer clients met de /UsePKICert CCMSetup-eigenschap

  • Gebruik een certificaatintrekkingslijst (CRL) en zorg ervoor dat clients en communicerende servers er altijd toegang tot hebben.

Deze certificaten zijn vereist voor clients van mobiele apparaten en voor clientcomputerverbindingen op het internet en worden, met uitzondering van distributiepunten, aanbevolen voor alle clientverbindingen op het intranet.

Zie Configuration Manager voor meer informatie over de PKI-certificaatvereisten en hoe ze worden gebruikt om PKI-certificaatvereisten voor Configuration Manager te helpen beschermen.

Clientcomputers van vertrouwde domeinen automatisch goedkeuren en andere computers handmatig controleren en goedkeuren

Goedkeuring identificeert een computer die u vertrouwt om te worden beheerd door Configuration Manager wanneer u PKI-verificatie niet kunt gebruiken.

U kunt de goedkeuring voor de hiërarchie configureren als handmatig, automatisch voor computers in vertrouwde domeinen of automatisch voor alle computers. De veiligste goedkeuringsmethode is het automatisch goedkeuren van clients die lid zijn van vertrouwde domeinen en het handmatig controleren en goedkeuren van alle andere computers. Het automatisch goedkeuren van alle clients wordt niet aanbevolen, tenzij u andere toegangscontroles hebt om onbetrouwbare computers de toegang tot uw netwerk te verhinderen.

Zie Clients beheren vanaf het knooppunt apparaten voor meer informatie over het handmatig goedkeuren van computers.

Vertrouw niet op blokkeren om clients te verhinderen toegang te krijgen tot de Configuration Manager-hiërarchie.

Geblokkeerde clients worden geweigerd door de Configuration Manager-infrastructuur zodat ze niet kunnen communiceren met sitesystemen om beleid te downloaden, inventarisgegevens te uploaden of statusberichten te verzenden. Vertrouw echter niet op blokkeren om de Configuration Manager-hiërarchie te beschermen tegen niet-vertrouwde computers wanneer de sitesystemen HTTP-clientverbindingen accepteren. In dit scenario kan een geblokkeerde client zich opnieuw aanmelden voor de site met een nieuw zelfondertekend certificaat en hardware-id. Blokkeren is ontworpen om te worden gebruikt om verloren of aangetaste opstartmedia te blokkeren wanneer u een besturingssysteem implementeert naar clients en wanneer alle sitesystemen HTTPS-clientverbindingen accepteren. Als u een PKI (Public Key Infrastructure) gebruikt die een certificaatintrekkingslijst (CRL) ondersteunt, dient u certificaatintrekking altijd te beschouwen als de primaire beveiliging tegen mogelijk aangetaste certificaten. Clients blokkeren in Configuration Manager is een secundaire verdediging om uw hiërarchie te beschermen.

Zie Bepalen of clients moeten worden geblokkeerd in Configuration Manager voor meer informatie.

Gebruik de veiligste clientinstallatiemethoden die praktisch zijn voor uw omgeving:

  • Voor domeincomputers zijn installatie van groepsbeleid van de client en installatie van de client via software-updates veiliger dan een clientpushinstallatie.

  • Installatiekopieën en handmatige installatie kunnen heel veilig zijn als u toegangs- en wijzigingsbeheer toepast.

Van alle clientinstallatiemethoden is clientpushinstallatie het minst veilig omdat deze methode veel afhankelijkheden heeft. Deze omvatten lokale beheermachtigingen, de share Admin$ en veel firewalluitzonderingen. Deze afhankelijkheden verhogen uw kwetsbaarheid.

Zie De installatiemethode voor clients bepalen die voor Windows-computers moet worden gebruikt in Configuration Manager voor meer informatie over de verschillende clientinstallatiemethoden.

Selecteer waar mogelijk een installatiemethode voor clients die de minste beveiligingsmachtigingen vereist in Configuration Manager. Beperk de gebruikers met beheerdersrechten die beveiligingsrollen hebben toegewezen met machtigingen die kunnen worden gebruikt voor andere doeleinden dan clientimplementatie. Voor automatische clientupgrades is bijvoorbeeld de beveiligingsrol Volledige beheerder vereist die een gebruiker met beheerdersrechten alle beveiligingsmachtigingen toekent.

Zie 'Afhankelijkheden bij installatiemethoden' in de sectie Vereisten voor de computerclients in het onderwerp Vereisten voor de implementatie van Windows-clients in Configuration Manager voor meer informatie over de afhankelijkheden en beveiligingsmachtigingen die voor elke clientinstallatiemethode zijn vereist.

Als u clientpushinstallatie moet gebruiken, dient u bijkomende stappen te nemen om het Clientpushinstallatieaccount te beveiligen.

Hoewel dit account lid moet zijn van de lokale groep Beheerders op elke computer die de Configuration Manager-clientsoftware zal installeren, dient u nooit het Clientpushinstallatieaccount toe te voegen aan de groep Domeinadministrators. Maak in plaats daarvan een globale groep aan en voeg die globale groep toe aan de lokale groep Beheerders op uw clientcomputers. U kunt ook een groepsbeleidsobject aanmaken om een beperkte groepsinstelling toe te voegen om het Clientpushinstallatieaccount toe te voegen aan de lokale groep Beheerders.

Maak, voor extra beveiliging, meerdere Clientpushinstallatieaccounts aan, elk met beheerderstoegang voor een beperkt aantal computers. Als er zo één account wordt aangetast, zijn alleen de clientcomputers waarvoor dat account toegang heeft, aangetast.

Verwijder certificaten voordat u installatiekopieën van de clientcomputer vastlegt

Als u clients plant te implementeren door gebruik te maken van technologie voor installatiekopieën, dient u altijd certificaten (zoals PKI-certificaten die clientverificatie en zelfondertekende certificaten omvatten) te verwijderen voordat u de installatiekopie vastlegt. Als u deze certificaten niet verwijdert, is het mogelijk dat clients elkaar imiteren. In dat geval kunt u de gegevens voor elke client niet verifiëren.

Zie de documentatie van uw Windows-implementatie voor meer informatie over het gebruik van Sysprep om een computer voor te bereiden om een installatiekopie vast te leggen.

Zorg ervoor dat de Configuration Manager-computerclients een geautoriseerde kopie van deze certificaten ontvangen:

  • De vertrouwde basissleutel Configuration Manager

  • Het handtekeningcertificaat van de siteserver

  • Vertrouwde basissleutel:

    Clients vertrouwen op de Configuration Manager vertrouwde basissleutel om geldige beheerpunten te verifiëren als u het Active Directory-schema voor Configuration Manager niet hebt uitgebreid en als clients geen PKI-certificaten gebruiken wanneer ze communiceren met beheerpunten. In dit scenario hebben clients geen manier om te verifiëren dat het beheerpunt een vertrouwd beheerpunt is voor de hiërarchie, tenzij ze de vertrouwde basissleutel gebruiken. Zonder de vertrouwde basissleutel kan een ervaren aanvaller clients omleiden naar een rogue beheerpunt.

    Wanneer clients de Configuration Manager vertrouwde basissleutel niet kunnen downloaden uit de globale catalogus of door PKI-certificaten te gebruiken, dient u de clients vooraf in te richten met de vertrouwde basissleutel om ervoor te zorgen dat ze niet kunnen worden omgeleid naar een rogue beheerpunt. Zie het gedeelte Planning voor de vertrouwde basissleutel in het onderwerp Beveiliging plannen in Configuration Manager voor meer informatie.

  • Handtekeningcertificaat van siteserver:

    Clients gebruiken het handtekeningcertificaat van de siteserver om te verifiëren of de siteserver het clientbeleid, dat ze downloaden van een beheerpunt, heeft ondertekend. Dit certificaat wordt zelfondertekend door de siteserver en gepubliceerd naar Active Directory Domain Services.

    Clients downloaden het handtekeningcertificaat van de siteserver standaard van een beheerpunt als ze het niet kunnen downloaden van de globale catalogus. Wanneer het beheerpunt wordt blootgesteld aan een niet-vertrouwd netwerk (zoals het internet), installeert u het handtekeningcertificaat van de siteserver handmatig op clients om ervoor te zorgen dat ze geen clientbeleid kunnen uitvoeren waarmee is geknoeid vanuit een aangetast beheerpunt.

    Gebruik de eigenschap SMSSIGNCERT van CCMSetup client.msi om het handtekeningcertificaat van de siteserver handmatig te installeren. Zie Over de eigenschappen van clientinstallatie in Configuration Manager voor meer informatie.

Gebruik automatische sitetoewijzing niet als de client de vertrouwde basissleutel zal downloaden van het eerste beheerpunt waarmee het contact opneemt

Deze aanbevolen procedure voor beveiliging is gekoppeld aan het voorgaande item. U kunt het risico vermijden dat een nieuwe client de vertrouwde basissleutel downloadt van een rogue beheerpunt; hiervoor dient u alleen automatische sitetoewijzing te gebruiken in de volgende scenario's:

  • De client heeft toegang tot site-informatie Configuration Manager die naar Active Directory Domain Services is gepubliceerd.

  • U richt de client vooraf in met de vertrouwde basissleutel.

  • U kunt PKI-certificaten gebruiken van een bedrijfscertificeringsinstantie om het vertrouwen tussen de client en het beheerpunt vast te leggen.

Zie de sectie Planning voor de vertrouwde basissleutel in het onderwerp Beveiliging plannen in Configuration Manager voor meer informatie over de vertrouwde basissleutel.

Clientcomputers installeren met de optie SMSDIRECTORYLOOKUP = NoWINS van CCMSetup Client.msi

Active Directory Domain Services gebruiken is de meest beveiligde servicelocatiemethode voor clients om sites en beheerpunten te vinden. Als dit onmogelijk is, omdat u bijvoorbeeld het Active Directory-schema voor Configuration Manager niet kunt uitbreiden of omdat clients zich in een niet-vertrouwde forest of werkgroep bevinden, kunt u DNS-publishing gebruiken als een alternatieve servicelocatiemethode. Als deze twee methoden mislukken, kunnen clients terugvallen op het gebruik van WINS wanneer het beheerpunt niet voor HTTPS-clientverbindingen is geconfigureerd.

Omdat publishing naar WINS minder veilig is dan de andere publishingmethoden, dient u clientcomputers te configureren om niet terug te vallen om het gebruik van WINS door SMSDIRECTORYLOOKUP=NoWINS op te geven. Als u WINS moet gebruiken voor servicelocatie, dient u SMSDIRECTORYLOOKUP=WINSSECURE te gebruiken (de standaardinstelling). Dit gebruikt de vertrouwde basissleutel van Configuration Manager om het zelfondertekende certificaat van het beheerpunt te valideren.

Notitie

De client controleert zijn kopie van de vertrouwde basissleutel van Configuration Manager die zich in de WMI bevindt, wanneer de client is geconfigureerd voor SMSDIRECTORYLOOKUP=WINSSECURE en een beheerpunt vindt van WINS. Het beheerpuntcertificaat wordt gevalideerd als de handtekening op het certificaat overeenkomt met de kopie van de vertrouwde basissleutel van de client. De client communiceert vervolgens met het beheerpunt dat het vond door WINS te gebruiken. Het beheerpuntcertificaat is niet geldig als de handtekening op het certificaat niet overeenkomt met de kopie van de vertrouwde basissleutel van de client. De client zal vervolgens niet communiceren met het beheerpunt dat het vond door WINS te gebruiken.

Zorg ervoor dat de onderhoudsvensters groot genoeg zijn om kritieke software-updates te implementeren

U kunt de onderhoudsvensters voor apparaatverzamelingen configureren om de tijdstippen te beperken dat Configuration Manager software kan installeren op deze apparaten. Als u het onderhoudsvenster te klein configureert, is het mogelijk dat de client kritieke software-updates niet kan installeren. Dit maakt de client kwetsbaar voor de aanval die wordt verholpen door de software-update.

Voor Windows Embedded-apparaten die schrijffilters hebben, dient u bijkomende beveiligingsmaatregelen te nemen om de kwetsbaarheid te verlagen als Configuration Manager de schrijffilters uitschakelt om software-installaties en -wijzigingen te blijven behouden

Wanneer schrijffilters ingeschakeld zijn op Windows Embedded-apparaten, worden software-installaties of -wijzigingen alleen aan de overlay toegevoegd en blijven ze niet behouden nadat het apparaat opnieuw wordt opgestart. Als u Configuration Manager gebruikt om de schrijffilters tijdelijk uit te schakelen om software-installaties en -wijzigingen te behouden, is het ingesloten apparaat tijdens deze periode kwetsbaar voor wijzigingen aan alle volumes, wat ook gedeelde mappen omvat.

Hoewel Configuration Manager de computer vergrendelt tijdens deze periode zodat alleen lokale beheerders zich kunnen aanmelden, dient u, waar mogelijk, bijkomende beveiligingsmaatregelen te nemen om de computer te helpen beschermen. Schakel bijvoorbeeld bijkomende beperkingen in op de firewall en verbreek de netwerkverbinding van het apparaat.

Als u onderhoudsvensters gebruikt om wijzigingen te behouden, dient u deze vensters zorgvuldig te plannen om de tijd te minimaliseren waarop schrijffilters mogelijk uitgeschakeld kunnen zijn, maar de tijd moet lang genoeg zijn om software-installaties en het opnieuw opstarten van het apparaat mogelijk te maken.

Als u de clientinstallatie met software-update gebruikt en een nieuwere versie van de client op de site installeert, dient u de software-update bij te werken die is gepubliceerd op het software-updatepunt zodat clients de nieuwste versie ontvangen

Als u een nieuwere versie van de client op de site installeert als u bijvoorbeeld de site bijwerkt, wordt de software-update voor clientimplementatie die naar het software-updatepunt is gepubliceerd, niet automatisch bijgewerkt. U moet de Configuration Manager-client opnieuw publiceren naar het software-updatepunt en klikken op Ja om het versienummer bij te werken.

Voor meer informatie raadpleegt u de procedure 'De Configuration Manager-client op het software-updatepunt publiceren' in de sectie Hoe Configuration Manager-clients installeren met behulp van Installatie op basis van software-updates in het onderwerp Clients installeren op Windows-computers in Configuration Manager.

Configureer de computeragent-clientapparaatinstelling Invoeren BitLocker-pincode bij opnieuw opstarten uitschakelen op Altijd alleen voor computers die u vertrouwt en die beperkte fysieke toegang hebben.

Wanneer u deze clientinstelling instelt op Altijd, kan Configuration Manager de installatie van de software voltooien om ervoor te zorgen dat essentiële software-updates worden geïnstalleerd en dat services worden hervat. Wanneer een kwaadwillend persoon het proces van het opnieuw opstarten onderschept, kan deze persoon de controle over de computer overnemen. Gebruik deze instelling alleen wanneer u de computer vertrouwt en wanneer fysieke toegang tot de computer beperkt is. Deze instelling is bijvoorbeeld mogelijk geschikt voor servers in een datacenter.

Stel de Computeragent-clientapparaatinstelling Uitvoeringsbeleid PowerShell niet in op Overslaan.

Deze clientinstelling stelt de Configuration Manager-client in staat om niet-ondertekende PowerShell-scripts uit te worden, waardoor er malware op clientcomputers zou kunnen worden uitgevoerd. Als u deze optie moet selecteren, moet u een aangepaste clientinstelling gebruiken en deze alleen toewijzen aan die clientcomputers die niet-ondertekende PowerShell-scripts moeten uitvoeren.

Voor mobiele apparaten die u inschrijft met Configuration Manager en die worden ondersteund op internet: Installeer het proxypunt voor inschrijving op een perimeternetwerk en het inschrijvingspunt op het intranet

Deze scheiding van rollen help om het proxypunt voor inschrijving te beveiligen tegen een aanval. Als het inschrijvingspunt in het geding komt, zou een kwaadwillend persoon certificaten voor verificatie kunnen verkrijgen en de referenties kunnen stelen van gebruikers die hun mobiele apparaten inschrijven.

Voor mobiele apparaten: Configureer de wachtwoordinstellingen om mobiele apparaten te beveiliging tegen onbevoegde toegang

Voor mobiele apparaten die zijn geregistreerd met Configuration Manager: Gebruik een configuratie-item voor mobiele apparaten voor het configureren van een wachtwoordcomplexiteit die overeenkomt met PIN, waarbij ten minste een standaardlengte wordt vereist die overeenkomt met de minimale wachtwoordlengte.

Voor mobiele apparaten waarvoor de Configuration Manager-client niet is geïnstalleerd maar die worden beheerd door de Exchange Server-connector: Configureer de wachtwoordinstellingen voor de Exchange Server-connector zo dat de wachtwoordcomplexiteit overeenkomt met PIN, waarbij ten minste een standaardlengte wordt vereist die overeenkomt met de minimale wachtwoordlengte.

Voor mobiele apparaten: U kunt knoeien met inventarisinformatie en statusinformatie helpen voorkomen door in te stellen dat toepassingen alleen mogen worden uitgevoerd wanneer deze zijn ondertekend door bedrijven die u vertrouwt en door in te stellen dat niet-ondertekende bestanden niet mogen worden geïnstalleerd.

Voor mobiele apparaten die zijn geregistreerd door Configuration Manager: Gebruik een configuratie-item voor mobiele apparaten om de beveiligingsinstelling Niet-ondertekende toepassingen in te stellen op Niet toegestaan en om Installatie van niet-ondertekend bestand zo in te stellen dat dit alleen wordt toegestaan vanaf een vertrouwde bron.

Voor mobiele apparaten waarvoor de Configuration Manager-client niet is geïnstalleerd maar die worden beheerd door de Exchange Server-connector: Configureer de toepassingsinstellingen voor de Exchange Server-connector zo dat Installatie van niet-ondertekend bestand en Niet-ondertekende toepassingen worden ingesteld op Niet toestaan.

Voor mobiele apparaten: Help een aanval via verhoogde bevoegdheden voorkomen door het mobiele apparaat te vergrendelen wanneer dit niet wordt gebruikt

Voor mobiele apparaten die zijn geregistreerd door Configuration Manager: Gebruik een configuratie-item voor mobiele apparaten om de wachtwoordinstelling Niet-actieve tijd in minuten voordat het mobiele apparaat wordt vergrendeld te configureren.

Voor mobiele apparaten waarvoor de Configuration Manager-client niet is geïnstalleerd maar die worden beheerd door de Exchange Server-connector: Configureer de wachtwoordinstellingen voor de Exchange Server-connector voor het configureren van de instelling Niet-actieve tijd in minuten voordat het mobiele apparaat wordt vergrendeld.

Voor mobiele apparaten: Help een aanval via verhoogde bevoegdheden voorkomen door te beperken welke gebruikers hun mobiele apparaten kunnen registreren.

Gebruik een aangepaste clientinstelling in plaats van standaardclientinstellingen om alleen geautoriseerde gebruikers toe te staan hun mobiele apparaten te registreren.

Voor mobiele apparaten: Implementeer in de volgende scenario's geen toepassingen voor gebruikers die mobiele apparaten hebben geregistreerd via Configuration Manager of Microsoft Intune:

  • Wanneer het mobiele apparaat door meer dan één persoon wordt gebruikt.

  • Wanneer het apparaat namens een gebruiker door een beheerder wordt geregistreerd.

  • Wanneer het apparaat aan een andere persoon wordt overgedragen zonder het apparaat buiten gebruikt te stellen en vervolgens opnieuw te registreren.

Er wordt tijdens het inschrijven een relatie voor gebruikersapparaataffiniteit voor het gebruikersapparaat gemaakt, waarbij de gebruiker die de inschrijving uitvoert, aan het mobiele apparaat wordt toegewezen. Als een andere gebruiker het mobiele apparaat gebruik, kan deze de toepassingen uitvoeren die u voor de oorspronkelijke gebruiker implementeert. Dit kan leiden tot verhoogde bevoegdheden. Als een beheerder een mobiel apparaat voor een gebruiker registreert, worden toepassingen die voor de gebruiker worden geïmplementeerd, niet op het mobiele apparaat geïnstalleerd en worden er in plaats daarvan mogelijk toepassingen geïnstalleerd die voor de beheerder worden geïmplementeerd.

In tegenstelling tot bij gebruikersapparaataffiniteit voor Windows-computers, kunt u de informatie over gebruikersapparaataffiniteit voor mobiele apparaten niet handmatig definiëren voor mobiele apparaten die door Microsoft Intune worden geregistreerd.

Als u het eigendom overdraagt van een mobiel apparaat dat door Intune is geregistreerd, stelt u het mobiele apparaat via Intune buiten gebruik om de gebruikersapparaataffiniteit te verwijderen en vervolgens vraagt u de huidige gebruiker om het apparaat opnieuw te registreren.

Voor mobiele apparaten: Zorg ervoor dat gebruikers hun eigen mobiele apparaten registreren voor Microsoft Intune

Omdat er tijdens het inschrijven een affiniteitsrelatie voor het gebruikersapparaat wordt gemaakt, waarbij de gebruiker die de inschrijving uitvoert aan het mobiele apparaat wordt toegewezen, worden, als een beheerder een mobiel apparaat voor een gebruiker registreert, toepassingen die voor de gebruiker worden geïmplementeerd, niet op het mobiele apparaat geïnstalleerd en worden er in plaats daarvan mogelijk toepassingen geïnstalleerd die voor de beheerder worden geïmplementeerd.

Voor de Exchange Server-connector: Zorg ervoor dat de verbinding tussen de Configuration Manager-siteserver en de Exchange Server-computer is beveiligd

Gebruik IPsec als het een on-premise Exchange Server-exemplaar betreft. Bij gehoste Exchange wordt de verbinding automatisch beveiligd via SSL.

Voor de Exchange Server-connector: Gebruik voor de connector het principe van de minimaal benodigde bevoegdheden

Zie Mobiele apparaten beheren met Configuration Manager en Exchange voor een lijst met de cmdlets die Exchange Server-connector nodig heeft.

Voor Mac-computers: Sla clientbronbestanden op een beveiligde locatie op en benader ze op deze locatie.

Er wordt door Configuration Manager niet gecontroleerd of er met deze clientbronbestanden is geknoeid voordat de client op de Mac-computer wordt geïnstalleerd of geregistreerd. Download deze bestanden vanaf een betrouwbare bron en sla deze op veilig op en benader ze op een veilige wijze.

Voor Mac-computers: Controleer en volg, los van Configuration Manager, de geldigheidsperiode van het certificaat dat voor het inschrijven van gebruikers wordt gebruikt.

Stel de bedrijfscontinuïteit veilig door de geldigheidsperiode van het certificaat dat voor Mac-computers wordt gebruikt, te controleren en te volgen.Configuration Manager SP1 biedt geen ondersteuning voor automatische vernieuwing van dit certificaat en u wordt niet gewaarschuwd als het certificaat op het punt staat om te verlopen. Een gebruikelijke geldigheidsduur is één jaar.

Zie de sectie Het Mac-clientcertificaat vernieuwen in het onderwerp Clients installeren op Mac-computers in Configuration Manager voor meer informatie over het vernieuwen van het certificaat.

Voor Mac-computers: Overweeg om het vertrouwde basiscertificaat zo te configureren dat dit alleen wordt vertrouwd voor het SSL-protocol als extra beveiliging tegen verhoging van bevoegdheden.

Wanneer u Mac-computers registreert, wordt, samen met het vertrouwde basiscertificaat waaraan het gebruikerscertificaat wordt gekoppeld, automatisch een gebruikerscertificaat geïnstalleerd voor het beheren van de Configuration Manager-client. Als u het vertrouwen met betrekking tot dit basiscertificaat wilt beperken tot uitsluitend het SSL-protocol, kunt u de volgende procedure gebruiken.

Nadat u deze procedure hebt voltooid, wordt het basiscertificaat niet vertrouwd voor het valideren van andere protocollen dan SSL, zoals beveiligde e-mail (S/MIME), uitbreidbare verificatie (EAP) of handtekeningen bij programmacode .

Notitie

U kunt deze procedure gebruiken als u het clientcertificaat onafhankelijk van Configuration Manager hebt geïnstalleerd.

Als u het basiscertificaat uitsluitend tot het SSL-protocol wilt beperken:

  1. Open een terminalvenster op de Mac-computer.

  2. Voer de opdracht sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access in

  3. Klik in het dialoogvenster Toegang tot sleutelhanger in het gedeelte Sleutelhangers op Systeem en klik in het gedeelte Categorie op Certificaten.

  4. Ga naar het basiscertificaat voor het Mac-clientcertificaat en dubbelklik op dit certificaat.

  5. Vouw in het dialoogvenster voor het basiscertificaat het knooppunt Vertrouwen uit en breng vervolgens de volgende wijzigingen aan:

    1. Wijzig bij de instelling voor wanneer dit certificaat wordt gebruikt de standaardinstelling Altijd vertrouwen in de optie voor het gebruik van de standaardwaarden van het systeem.

    2. Wijzig bij de instelling Secure Sockets Layer (SSL) het item geen waarde opgegeven in Altijd vertrouwen.

  6. Sluit het dialoogvenster en voer wanneer dat wordt gevraagd het beheerderswachtwoord in en klik vervolgens op Instellingen bijwerken.

Beveiligingsproblemen voor Configuration Manager-clients

Er zijn voor de volgende beveiligingsproblemen geen matigingsmaatregelen bekend:

  • Statusberichten worden niet geverifieerd

    Er wordt geen verificatie uitgevoerd voor statusberichten. Wanneer een beheerpunt HTTP-clientverbindingen accepteert, kan elk apparaat statusberichten naar het beheerpunt verzenden. Als het beheerpunt alleen HTTPS-clientverbindingen accepteert, moet een apparaat een geldig clientverificatiecertificaat verkrijgen van een certificeringsinstantie voor vertrouwde basiscertificaten, maar kan dit tevens welk statusbericht dan ook verzenden. Als een client een ongeldig statusbericht verzendt, wordt dit genegeerd.

    Er is een aantal potentiële aanvallen via deze kwetsbaarheid mogelijk. Een kwaadwillend persoon zou een vals statusbericht kunnen verzenden om lidmaatschap van een verzameling te verkrijgen die is gebaseerd op statusberichtquery's. Elke client zou een DoS-aanval op het beheerpunt kunnen starten door dit met statusberichten te overspoelen. Als statusberichten acties in werking stellen via regels voor het statusberichtfilter, zou een kwaadwillend persoon deze regels in werking kunnen stellen. Een kwaadwillend persoon zou ook een statusbericht kunnen verzenden waardoor rapportage-informatie onnauwkeurig wordt.

  • Beleid kan opnieuw worden afgestemd op clients waarop dit niet is gericht

    Er zijn verschillende methoden die kwaadwillende personen zouden kunnen gebruiken om beleid dat op één client is gericht, toe te passen op een geheel andere client. Een kwaadwillend persoon zou via een vertrouwde client bijvoorbeeld valse inventaris- of detectie-informatie kunnen verzenden om de computer toe te voegen aan een verzameling waartoe deze niet behoort en zou vervolgens alle implementaties voor deze verzameling kunnen ontvangen. Hoewel er methoden bestaan om te voorkomen dat kwaadwillende personen beleid rechtstreeks kunnen aanpassen, zouden dergelijke personen bestaand beleid kunnen gebruiken voor het opnieuw indelen en implementeren van een besturingssysteem en om dit naar een andere computer te verzenden, zodat er een DoS-aanval ontstaat. Dit type aanvallen vereist een precieze timing en uitgebreide kennis van de Configuration Manager-infrastructuur.

  • Clientlogboeken staan gebruikerstoegang toe

    Alle clientlogbestanden staan gebruikers leestoegang en interactieve gebruikers schrijftoegang toe. Als u uitgebreide logboekregistratie inschakelt, kunnen kwaadwillende personen eventueel de logboekbestanden lezen op zoek naar informatie over kwetsbaarheden op het vlak van het systeem of compatibiliteit. Processen zoals software-installatie die binnen de context van een gebruiker worden uitgevoerd, moeten logboeken kunnen schrijven met een gebruikersaccount met een laag niveau aan rechten. Dit betekent dat een kwaadwillend persoon ook naar logboeken kan schrijven met een account met een laag niveau aan rechten.

    Het meest ernstige risico hierbij is dat een kwaadwillend persoon informatie uit de logboekbestanden zou kunnen verwijderen die een beheerder mogelijk nodig heeft voor controledoeleinden en het detecteren van indringers.

  • Een computer kan worden gebruikt voor het verkrijgen van een certificaat dat is ontworpen voor het inschrijven van een mobiel apparaat

    Wanneer er door Configuration Manager een inschrijvingsaanvraag wordt verwerkt, kan niet worden gecontroleerd of de aanvraag afkomstig is van een mobiel apparaat of een computer. Als de aanvraag afkomstig is van een computer, kan er een PKI-certificaat worden geïnstalleerd dat toestaat dat deze bij Configuration Manager wordt geregistreerd. Met het oog op het in dit scenario voorkomen van een aanval via verhoogde bevoegdheden, is het raadzaam om alleen vertrouwde gebruikers toe te staan hun mobiele apparaten in te schrijven, waarbij de inschrijvingsactiviteiten nauwlettend moeten worden gecontroleerd.

  • De verbinding van een client met een beheerpunt wordt niet verbroken als u een client blokkeert en de geblokkeerde client zou kunnen doorgaan met het naar het beheerpunt verzenden van meldingspakketten en keepalive-berichten

    Voor System Center 2012 Configuration Manager SP1 en later:

    Wanneer u een client die u niet meer vertrouwt, blokkeert en deze clientmeldingscommunicatie tot stand heeft gebracht, wordt de sessie door Configuration Manager niet verbroken. De geblokkeerde client kan doorgaan met het verzenden van pakketten naar het beheerpunt, totdat de client de verbinding met het netwerk verbreekt. Deze pakketten betreffen slechts kleine keepalive-pakketten en deze clients kunnen niet door Configuration Manager worden beheerd, totdat deze zijn geblokkeerd.

  • Wanneer u Automatische clientupgrade gebruikt en de client naar een beheerpunt wordt omgeleid voor het downloaden van de clientbronbestanden, wordt niet gecontroleerd of het beheerpunt een vertrouwde bron is

    Voor System Center 2012 Configuration Manager SP1 en later:

    Als u Automatische clientupgrade gebruikt in een Configuration Manager-hiërarchie waarin op sommige sites Configuration Manager SP1 en op sommige andere sites Configuration Manager zonder servicepack wordt uitgevoerd, wordt een client op een Configuration Manager-site zonder servicepack omgeleid voor het downloaden van de clientbronbestanden vanaf het bijbehorende toegewezen beheerpunt in plaats van vanaf distributiepunten. Op deze manier wordt gewaarborgd dat clients die zijn toegewezen aan sites waarop Configuration Manager zonder servicepack wordt uitgevoerd, geen Configuration Manager SP1-clientbronbestanden installeren, aangezien dit zou leiden tot onbeheerde clients. In dit scenario wordt door de clients niet gecontroleerd of het beheerpunt een vertrouwde bron is en is het mogelijk om clients voor de clientinstallatiebestanden om te leiden naar een malafide beheerpunt. Dit risico is echter gering omdat clients eventuele clientinstallatiebestanden die niet door Microsoft zijn ondertekend, zullen weigeren. Er wordt door clients altijd gecontroleerd of de bron wordt vertrouwd voordat deze clientbeleid downloaden vanaf beheerpunten.

  • Wanneer gebruikers eerst Mac-computers inschrijven, zijn deze kwetsbaar voor aanvallen via DNS-vervalsing.

    Wanneer de Mac-computer tijdens het inschrijven verbinding maakt met het proxypunt voor inschrijving, is het onwaarschijnlijk dat deze al over het CA-basiscertificaat beschikt. Op dit punt wordt de server door de Mac-computer niet vertrouwd en wordt de gebruiker gevraagd om door te gaan. Als de volledig gekwalificeerde naam van het proxypunt voor inschrijving door een malafide DNS-server wordt omgezet, zou deze de Mac-computer kunnen omleiden naar een malafide proxypunt voor inschrijving en certificaten vanuit een niet-vertrouwde bron kunnen installeren. Volg de aanbevolen procedures voor het vermijden van DNS-vervalsing in uw omgeving om dit risico te reduceren.

  • Mac-inschrijving brengt geen beperking op het vlak van certificaataanvragen met zich mee

    Telkens wanneer er een nieuw certificaat wordt aangevraagd, kunnen gebruikers hun Mac-computer opnieuw inschrijven.Configuration Manager controleert niet op meerdere aanvragen en legt geen beperkingen op met betrekking tot het aantal certificaten dat via één computer wordt aangevraagd. Een malafide gebruiker zou een script kunnen uitvoeren waarin de inschrijvingsaanvraag vanaf de opdrachtregel wordt herhaald. Dit leidt tot een DoS-aanval op het netwerk of de uitgevende certificeringsinstantie. Controleer de uitgevende certificeringsinstantie nauwlettend op dit type verdacht gedrag om dit risico te reduceren. Een computer die blijk geeft van dit gedragspatroon, moet onmiddellijk worden geblokkeerd, zodat deze geen toegang tot de Configuration Manager-hiërarchie meer heeft.

  • Een wisbevestiging controleert niet of het apparaat daadwerkelijk is gewist

    Wanneer u een wisactie voor een mobiel apparaat initieert en Configuration Manager weergeeft dat de wisstatus is bevestigd, houdt dit in dat er is gecontroleerd of Configuration Manager dit bericht heeft verzonden en niet of dit het gewenste effect heeft gehad op het apparaat. Daarnaast geldt voor mobiele apparaten die door de Exchange Server-connector worden beheerd, dat een wisbevestiging controleert of de opdracht door Exchange, en dus niet door het apparaat, is ontvangen.

  • Als u met behulp van de opties wijzigingen doorvoert in Windows Embedded-apparaten in Configuration Manager SP1, kunnen accounts eerder dan verwacht worden vergrendeld.

    Als het Windows Embedded-apparaat een besturingssysteem heeft dat ouder is dan Windows 7 en een gebruiker wil zich aanmelden terwijl de schrijffilters voor het doorvoeren van door Configuration Manager SP1 aangebrachte wijzigingen zijn uitgeschakeld, wordt het aantal vóór de accountvergrendeling toegestane pogingen voor onjuist aanmelden in feite gehalveerd. Als bijvoorbeeld de Drempel voor accountvergrendeling als 6 wordt geconfigureerd en een gebruiker 3 maal het wachtwoord verkeerd intypt, wordt de account vergrendeld, waardoor in feite een DoS-situatie (Denial of Service) ontstaat. Waarschuw, als gebruikers zich in dit scenario moeten aanmelden bij Embedded-apparaten, hen voor de mogelijkheid van een verlaagde vergrendelingsdrempel.

Privacy-informatie voor Configuration Manager-clients

Wanneer u de Configuration Manager-client implementeert, schakelt u clientinstellingen in, zodat u van Configuration Manager-beheerfuncties gebruik kunt maken. De instellingen waarmee u de functies configureert, kunnen van toepassing zijn op alle clients in de Configuration Manager-hiërarchie, ongeacht of deze rechtstreeks met het bedrijfsnetwerk zijn verbonden, via een externe sessie zijn verbonden of een internetverbinding hebben maar door Configuration Manager worden ondersteund.

Clientinformatie wordt in de Configuration Manager-database opgeslagen en wordt niet naar Microsoft verzonden. Informatie wordt in de database bewaard tot deze om de 90 dagen door de siteonderhoudstaken Verouderde detectiegegevens verwijderen wordt verwijderd. U kunt het verwijderingsinterval configureren.

Denk na over uw privacyvereisten voordat u de Configuration Manager-client configureert.

Privacygegevens van clients voor mobiele apparaten die door Configuration Manager zijn ingeschreven

Zie Configuration Manager voor privacygegevens wanneer u een mobiel apparaat inschrijft via Privacyverklaring voor Microsoft System Center 2012 Configuration Manager - Bijlage voor mobiele apparaten.

Clientstatus

Configuration Manager controleert de activiteit van clients, evalueert deze regelmatig en kan de Configuration Manager-client en zijn afhankelijkheden herstellen. De clientstatus wordt standaard ingeschakeld en maakt gebruik van metrische gegevens op de server voor de controle van clientactiviteit, en van acties van de kant van de client voor zelfcontrole, herstel en voor de verzending van clientstatusgegevens naar de Configuration Manager-site. De client voert de zelfcontroles uit volgens een door u te configureren planning. De client verzendt de resultaten van de controles naar de Configuration Manager-site. Deze gegevens zijn versleuteld tijdens de overdracht.

Clientstatusgegevens worden in de Configuration Manager-database opgeslagen en worden niet naar Microsoft verzonden. De gegevens worden niet in een versleutelde indeling opgeslagen in de database van de site. Deze gegevens worden bewaard in de database tot deze worden verwijderd op basis van de waarde die voor de clientstatusinstelling Historie van clientstatus bewaren gedurende het volgende aantal dagen is geconfigureerd. De standaardwaarde voor deze instelling is elke 31 dagen.

Denk na over uw privacyvereisten voordat u de Configuration Manager-client installeert met clientstatuscontroles.

Privacygegevens voor mobiele apparaten die beheerd worden door middel van de Exchange Server-connector

De Exchange Server-connector zoekt en beheert apparaten die verbinding hebben met Exchange Server (op locatie of gehost) via het ActiveSync-protocol. De door de Exchange Server-connector gevonden records worden in de Configuration Manager-database opgeslagen. De gegevens worden verzameld uit Exchange-Server. Deze bevatten geen extra informatie van wat de mobiele apparaten naar Exchange server verzenden.

De informatie van mobiele apparaten wordt niet naar Microsoft verzonden. De informatie van mobiele apparaten wordt in de Configuration Manager-database opgeslagen. Informatie wordt in de database bewaard tot deze om de 90 dagen door de siteonderhoudstaken Verouderde detectiegegevens verwijderen wordt verwijderd. U kunt het verwijderingsinterval configureren.

Denk na over uw privacyvereisten voordat u de Exchange Server-connector installeert en configureert.