Technische naslaginformatie voor gebruikte cryptografische besturingselementen in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
Dit onderwerp wordt behandeld in de gids Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager) en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).
System Center 2012 Configuration Manager gebruikt ondertekening en encryptie om het beheer van de apparaten te beschermen in de Configuration Manager-hiërarchie. Ondertekening zorgt ervoor dat gegevens die in overdracht zijn gewijzigd, zullen worden verwijderd. Versleuteling voorkomt dat een aanvaller de gegevens kan lezen door gebruik te maken van een netwerkprotocolanalyse.
Het primaire hash-algorithme dat Configuration Manager gebruikt voor ondertekening is SHA-256. Wanneer twee Configuration Manager-sites met elkaar communiceren, ondertekenen ze hun communicaties door gebruik te maken van SHA-256. Het primaire versleutelingsalgoritme dat is geïmplementeerd in Configuration Manager is 3DES. Dit wordt gebruikt om gegevens op te slaan in de Configuration Manager-database en voor wanneer clients communiceren door gebruik te maken van HTTP. Wanneer u clientcommunicatie via HTTPS gebruikt, kunt uw PKI (Public Key Infrastructure) configureren om RSA-certificaten te gebruiken met het maximale aantal hash-algoritmen en sleutellengten die in PKI-certificaatvereisten voor Configuration Manager zijn gedocumenteerd.
Voor de meeste cryptografiebewerkingen voor op Windows gebaseerde besturingssystemen gebruikt Configuration Manager de algoritmen SHA-1 en SHA-2, 3DES en AES, en RSA uit rsaenh.dll, de CryptoAPI-bibliotheek van Windows.
Gebruik de volgende secties voor meer informatie.
Cryptografische besturingselementen voor Configuration Manager-bewerkingen
Certificaten die door Configuration Manager worden gebruikt
Cryptografische besturingselementen voor servercommunicatie
Cryptografische besturingselementen voor clients die HTTPS-communicatie naar sitesystemen gebruiken
Cryptografische besturingselementen voor clients die HTTP-communicatie naar sitesystemen gebruiken
.jpeg "System_CAPS_important") Belangrijk |
|---|
Zie Over SSL-beveiligingslekken voor informatie over de aanbevolen wijzigingen in reactie op SSL-beveiligingslekken in. |
Cryptografische besturingselementen voor Configuration Manager-bewerkingen
Informatie in Configuration Manager kan worden ondertekend en versleuteld, ongeacht of u PKI-certificaten met Configuration Manager gebruikt.
Ondertekening en versleuteling van beleid
Toewijzingen van clientbeleid worden ondertekend door het zelfondertekende handtekeningcertificaat van de siteserver om het risico te helpen voorkomen op een aangetast verzendbeleid van een beheerpunt waarmee is geknoeid. Deze beveiliging is met name relevant als u clientbeheer via internet gebruikt, omdat deze omgeving een beheerpunt vereist die wordt blootgesteld aan internetcommunicatie.
Beleid wordt versleuteld met 3DES als het gevoelige gegevens bevat. Beleid dat gevoelige gegevens bevat, wordt alleen verzonden naar geautoriseerde clients. Beleid dat geen gevoelige gegevens bevat, wordt niet versleuteld.
Wanneer beleid op de clients wordt opgeslagen, wordt het versleuteld met gebruik van DPAPI (Data Protection Application Programming Interface).
Hashing van beleid
Wanneer Configuration Manager-clients beleid aanvragen, krijgen ze eerst een beleidtoewijzing zodat ze weten welk beleid op hen van toepassing is. Vervolgens worden alleen die beleidhoofdteksten aangevraagd. Elke beleidtoewijzing bevat de berekende hash voor de overeenkomstige beleidhoofdtekst. De client haalt de van toepassing zijnde beleidhoofdteksten op en berekent vervolgens de hash op die hoofdtekst. Als de hash op de gedownloade beleidhoofdtekst niet overeenkomt met de hash in de beleidtoewijzing, verwijdert de client de beleidhoofdtekst.
Het hash-algoritme voor beleid is SHA-1 en SHA-256.
Hashing van inhoud
De distributiebeheerservice op de siteserver hasht de inhoudsbestanden voor alle pakketten. De beleidsprovider neemt de hash op in het softwaredistributiebeleid. Wanneer de Configuration Manager-client de inhoud downloadt, genereert de client de hash lokaal opnieuw en vergelijkt deze met de hash van het beleid. Als de hashes overeenkomen, werd de inhoud niet gewijzigd en zal de client het installeren. Zodra er één enkele byte is gewijzigd, komen de hashes niet overeen en zal de software niet worden geïnstalleerd. Deze controle helpt om te garanderen dat de correcte software wordt geïnstalleerd, omdat de werkelijke inhoud aan het beleid wordt getoetst.
Het standaard hash-algoritme voor inhoud is SHA-256. Zie de documentatie van de Configuration Manager-SDK (Software Development Kit) om deze standaardinstelling te wijzigen.
Niet alle apparaten kunnen inhoud-hashing ondersteunen. De uitzonderingen omvatten het volgende:
Windows-clients wanneer ze App-V-inhoud streamen.
Windows Phone-clients: Deze clients verifiëren echter de handtekening van een toepassing die is ondertekend door een vertrouwde bron.
Windows RT-clients: Deze clients verifiëren echter de handtekening van een toepassing die is ondertekend door een vertrouwde bron en ook validatie van de volledige pakketnaam (PFN) gebruiken.
iOS: Deze apparaten verifiëren echter de handtekening van een toepassing die is ondertekend door eender welk ontwikkelaarscertificaat van een vertrouwde bron.
Nokia-clients: Deze clients verifiëren echter de handtekening van een toepassing die een zelfondertekend certificaat gebruikt. De handtekening van een certificaat van een vertrouwde bron en het certificaat kunnen toepassingen van Nokia Symbian Installation Source (SIS) ondertekenen.
Android. Deze apparaten gebruiken bovendien geen handtekeningvalidatie voor het installeren van toepassingen.
Clients met Linux- of UNIX-versies die SHA-256 niet ondersteunen. Zie het gedeelte in het onderwerp Planning voor clientimplementatie voor Linux- en UNIX-Servers voor meer informatie.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_NoSHA-256
Ondertekenen en versleutelen van inventaris
Inventaris die clients verzenden naar beheerpunten wordt altijd ondertekend door apparaten, ongeacht of ze communiceren met beheerpunten via HTTP of HTTPS. Als ze HTTP gebruiken, kunt u kiezen om deze gegevens te versleutelen, wat een aanbevolen beveiligingsprocedure is.
Statusmigratieversleuteling
Gegevens die zijn opgeslagen op statusmigratiepunten voor besturingssysteemimplementatie wordt altijd versleuteld door het hulpprogramma voor migratie van gebruikersstatus (USMT) door 3DES te gebruiken.
Versleuteling voor multicast-pakketten om besturingssystemen te installeren
Voor elk pakket voor besturingssysteemimplementatie kunt u versleuteling inschakelen wanneer het pakket wordt verzonden naar computers door gebruik te maken van multicast. De versleuteling gebruikt Advanced Encryption Standard (AES). Als u versleuteling inschakelt, is er geen aanvullende certificaatconfiguratie vereist. Het multicast-distributiepunt genereert automatisch symmetrische sleutels voor het versleutelen van het pakket. Elk pakket heeft een andere versleutelingssleutel. De sleutel wordt opgeslagen op het multicast-distributiepunt met standaard Windows-API's. Wanneer de client verbinding maakt met de multicast-sessie, gebeurt de uitwisseling van de sleutel over een kanaal dat is versleuteld met het door PKI uitgegeven certificaat voor clientverificatie (als de client HTTPS gebruikt) of met het zelfondertekende certificaat (als de client HTTP gebruikt). De client slaat de sleutel alleen op in het geheugen voor de duur van de multicast-sessie.
Versleuteling voor media om besturingssystemen te implementeren
Als u media gebruikt om besturingssystemen te implementeren en een wachtwoord opgeeft om de media te beveiligen, worden de omgevingsvariabelen versleuteld met Advanced Encryption Standard (AES). Andere gegevens op de media, waaronder pakketten en inhoud voor toepassingen, worden niet versleuteld.
Versleuteling voor inhoud die wordt gehost op cloud-gebaseerde distributiepunten
Als u cloud-gebaseerde distributiepunten gebruikt vanaf System Center 2012 Configuration Manager SP1, wordt de inhoud die u uploadt naar deze distributiepunten versleuteld met Advanced Encryption Standard (AES) en een sleutelgrootte van 256 bits. De inhoud wordt opnieuw versleuteld wanneer u die bijwerkt. Als clients de inhoud downloaden, wordt deze versleuteld en beveiligd door de HTTPS-verbinding.
Aanmelden van software-updates
Alle software-updates moeten worden aangemeld door een vertrouwde uitgever om te beveiligen tegen knoeien. Op clientcomputers scant de Windows Update Agent (WUA) naar de updates uit de catalogus, maar de update zal niet worden geïnstalleerd als het digitale certificaat niet kan worden gevonden in het archief Vertrouwde uitgevers op de lokale computer. Als er een zelfondertekend certificaat werd gebruikt voor het publiceren van de updatecatalogus, zoals WSUS Publishers Self-signed, moet het certificaat ook in het certificaatarchief van de Vertrouwde basiscertificeringsinstanties op de lokale computer aanwezig zijn om de geldigheid van het certificaat te verifiëren. WUA controleert ook of de instelling Ondertekende inhoud van groepsbeleid van Microsoft-updateservicelocatie via intranet toestaan is ingeschakeld op de lokale computer. Deze beleidsinstelling moet worden ingeschakeld voor WUA om te scannen naar de updates die zijn gemaakt en gepubliceerd met Updates Publisher.
Als software-updates in System Center Updates Publisher zijn gepubliceerd, ondertekent een digitaal certificaat de software-updates wanneer ze naar een updateserver zijn gepubliceerd. U kunt een PKI-certificaat opgeven of de Updates Publisher configureren om een zelfondertekend certificaat te genereren om de software-update te ondertekenen.
Ondertekende configuratiegegevens voor compatibiliteitsinstellingen
Wanneer u configuratiegegevens importeert, verifieert Configuration Manager de digitale handtekening van het bestand. Als de bestanden niet zijn ondertekend of als de verificatiecontrole van de digitale handtekening mislukt, ontvangt u een waarschuwing en wordt u gevraagd of u wilt doorgaan met importeren. Blijf de configuratiegegevens alleen importeren als u de uitgever en de integriteit van de bestanden expliciet vertrouwt.
Versleuteling en hashing voor clientmeldingen
Als u gebruik maakt van clientmeldingen, zal alle communicatie TLS en de meeste geavanceerde versleuteling gebruiken die de server en de clientbesturingssystemen kunnen onderhandelen. Een clientcomputer waarop bijvoorbeeld Windows 7 wordt uitgevoerd en een beheerpunt waarop Windows Server 2008 R2 wordt uitgevoerd, kunnen 128-bits AES-versleuteling ondersteunen, hoewel een clientcomputer waarop Vista wordt uitgevoerd naar hetzelfde beheerpunt, zal onderhandelen naar 3DES-versleuteling. Dezelfde onderhandeling doet zich voor bij hashing voor pakketten die worden overgedragen tijdens clientmeldingen, waarvoor SHA-1 of SHA-2 wordt gebruikt.
Certificaten die door Configuration Manager worden gebruikt
Zie Configuration Manager voor een lijst met PKI-certificaten (Public Key Infrastructure) die kunnen worden gebruikt door PKI-certificaatvereisten voor Configuration Manager, een overzicht van speciale vereisten of beperkingen en hoe de certificaten worden gebruikt. Deze lijst bevat de ondersteunde hash-algoritmen en sleutellengten. De meeste certificaten ondersteunen sleutellengten van SHA-256 en 2048 bits.
Notitie
Alle certificaten die Configuration Manager gebruiken, mogen alleen enkel-byte-tekens bevatten in de onderwerpnaam of de alternatieve naam voor het onderwerp.
PKI-certificaten zijn vereist voor de volgende scenario's:
Als u Configuration Manager-clients op het internet beheert.
Als u Configuration Manager-clients op mobiele apparaten beheert.
Als u Mac-computers beheert.
Als u cloud-gebaseerde distributiepunten gebruikt.
Als u buiten-band op Intel AMT gebaseerde computers beheert.
Voor de meeste andere Configuration Manager-communicaties die certificaten vereisen voor verificatie, ondertekening of versleuteling, gebruikt Configuration Manager automatisch PKI-certificaten als ze beschikbaar zijn. Als deze certificaten niet beschikbaar zijn, genereert Configuration Manager zelfondertekende certificaten.
Configuration Manager gebruikt geen PKI-certificaten wanneer het mobiele apparaten beheert door gebruik te maken van de Exchange Server-connector.
Beheer van mobiele apparaten en PKI-certificaten
Als het mobiel apparaat niet is vergrendeld door de mobiele operator, kunt u Configuration Manager of Microsoft Intune gebruiken om een clientcertificaat aan te vragen en te installeren. Dit certificaat biedt wederzijdse authenticatie tussen de client op het mobiele apparaat en Configuration Manager-sitesystemen of Microsoft Intune-services. Als uw mobiele apparaat is vergrendeld, kunt u Configuration Manager of Intune niet gebruiken om certificaten te implementeren. Zie Clients op mobiele apparaten installeren en registreren met Configuration Manager voor meer informatie.
Als u de hardware-inventaris voor mobiele apparaten inschakelt, inventariseert Configuration Manager of Intune ook de certificaten die op het mobiele apparaat zijn geïnstalleerd.
Buiten-bandbeheer en PKI-certificaten
Buiten-bandbeheer voor op Intel AMT gebaseerde computers gebruikt minstens twee soorten door PKI verleende certificaten: een AMT-inrichtingscertificaat en een webservercertificaat.
Het buiten-band-servicepunt gebruikt een AMT-inrichtingscertificaat om computers voor te bereiden op buiten-bandbeheer. De op AMT gebaseerde computers die zullen worden ingericht, moeten het certificaat vertrouwen dat wordt aangeboden door het buiten-bandbeheerpunt. Standaard worden op AMT gebaseerde computers geconfigureerd door de computerfabrikant om gebruik te maken van externe certificeringsinstanties (CA's) als VeriSign Go Daddy, Comodo en Starfield. Als u een inrichtingscertificaat koopt van een van de externe CA's en Configuration Manager configureert om dit inrichtingscertificaat te gebruiken, zullen op AMT gebaseerde computers de CA van het inrichtingscertificaat vertrouwen en kan de inrichting worden voltooid. Het is echter een aanbevolen beveiligingsprocedure om uw eigen interne CA te gebruiken om het AMT-inrichtingscertificaat te verlenen. Zie Security Best Practices voor out-of Bandbeheer voor meer informatie.
Op de op AMT gebaseerde computers wordt een webserveronderdeel uitgevoerd binnen hun firmware en dit webserveronderdeel versleutelt het communicatiekanaal met het buiten-bandservicepunt door gebruik te maken van Transport Layer Security (TLS). Er is geen gebruikersinterface in het AMT BIOS om een certificaat handmatig te configureren. U moet een Microsoft-bedrijfscertificeringsinstantie hebben die automatisch certificaataanvragen van aanvragende op AMT gebaseerde computers goedkeurt. De aanvraag gebruikt PKCS#10 voor de aanvraagindeling. Deze gebruikt op zijn beurt PKCS#7 voor het overdragen van de certificaatinformatie naar de op AMT gebaseerde computer.
Hoewel de op AMT gebaseerde computer wordt geverifieerd naar de computer die deze beheert, is er geen overeenkomstig PKI-clientcertificaat. In plaats daarvan gebruikt dergelijke communicatie Kerberos- of HTTP Digest-verificatie. Als HTTP Digest wordt gebruikt, wordt er TLS-versleuteling gebruikt.
Een bijkomende certificaattype kan vereist zijn voor het buiten-bandbeheer van op AMT gebaseerde computers: een optioneel clientcertificaat voor 802.1X-geverifieerde bekabelde en draadloze netwerken. Het clientcertificaat kan vereist zijn door de op AMT gebaseerde computer voor verificatie naar de RADIUS-server. Er is altijd een clientcertificaat vereist als de RADIUS-server voor EAP-TLS-verificatie is geconfigureerd. Als de RADIUS-server voor EAP-TTLS/MSCHAPv2 of PEAPv0/EAP-MSCHAPv2 geconfigureerd is, specificeert de RADIUS-configuratie of een clientcertificaat vereist is of niet. Dit certificaat wordt gevraagd door de op AMT gebaseerde computer door gebruik te maken van dezelfde processen als de certificaataanvraag van de webserver.
Implementatie van het besturingssysteem en PKI-certificaten
Wanneer u Configuration Manager gebruikt om besturingssystemen te implementeren en een beheerpunt HTTPS-clientverbinding vereist, moet de clientcomputer ook een certificaat hebben om te communiceren met het beheerpunt, zelfs als het in een overgangsfase is zoals opstarten vanaf takenreeksmedia of een distributiepunt met PXE-functionaliteit. Om dit scenario de ondersteunen, moet u een PKI-certificaat voor clientverificatie maken en het exporteren met de persoonlijke sleutel en het dan importeren naar de siteservereigenschappen en ook toevoegen aan het vertrouwde CA-basiscertificaat van het beheerpunt.
Als u opstartbare media maakt, importeert u het certificaat voor clientverificatie wanneer u de opstartbare media maakt. Configureer een wachtwoord op de opstartbare media om te helpen de persoonlijke sleutel en andere gevoelige gegevens te beschermen die in de takenreeks zijn geconfigureerd. Elke computer die opstart vanaf de opstartbare media, zal hetzelfde certificaat tonen aan het beheerpunt zoals vereist voor clientfuncties zoals het aanvragen van het clientbeleid.
Als u een PXE-opstartapparaat gebruikt, importeert u het certificaat voor clientverificatie naar het distributiepunt met PXE-functionaliteit en het gebruikt hetzelfde certificaat voor elke client die opstart vanuit dat distributiepunt met PXE-functionaliteit. Uit veiligheidsoverwegingen wordt het aanbevolen dat gebruikers die hun computers aansluiten op een PXE-service een wachtwoord moeten ingeven om te helpen de persoonlijke sleutel en andere gevoelige gegevens in de takenreeksen te beschermen.
Blokkeer de certificaten voor clientverificatie, als ermee is geknoeid, in het knooppunt Certificaten in de werkruimte Beheer, knooppunt Beveiliging. Om deze certificaten te beheren, moet u het recht Implementatiecertificaat van het besturingssysteem beheren.
Nadat het besturingssysteem is geïmplementeerd en de Configuration Manager is geïnstalleerd, zal de client haar eigen PKI-certificaat voor clientverificatie vragen voor HTTPS-clientcommunicatie.
ISV-proxyoplossingen en PKI-certificaten
Onafhankelijke softwareleveranciers (ISV's) kunnen toepassen maken die Configuration Manager uitbreiden. Een ISV zou bijvoorbeeld extensies kunnen maken om niet-Windows clientplatforms zoals Macintosh of UNIX-computers te ondersteunen. Als de sitesystemen echter HTTPS-clientverbindingen vereisen, moeten de clients ook PKI-certificaten gebruiken voor communicatie met de site.Configuration Manager biedt de mogelijkheid een certificaat toe te wijzen aan de ISV-proxy die communicatie mogelijk maakt tussen de ISV-proxyclients en het beheerpunt. Als u extensies gebruikt die ISV-proxycertificaten vereisen, raadpleeg dan de documentatie voor dat product. Voor meer informatie over hoe u ISV-proxycertificaten maakt, zie de Configuration Manager Software Developer Kit (SDK).
Blokkeer het ISV-certificaat, als ermee is geknoeid, in het knooppunt Certificaten van de werkruimte Beheer in het knooppunt Beveiliging.
Asset Intelligence en certificaten
Configuration Manager wordt geïnstalleerd met een X.509-certificaat dat het Asset Intelligence-synchronizatiepunt gebruikt om een verbinding te maken met Microsoft.Configuration Manager gebruikt dit certificaat om een certificaat voor clientverificatie te vragen van de Microsoft-certificaatservice. Het certificaat voor clientverificatie wordt geïnstalleerd op de sitesysteemserver van het Asset Intelligence-synchronisatiepunt en het wordt gebruikt om de server met Microsoft te verifiëren. Configuration Manager gebruikt het certificaat voor clientverificatie om de Asset Intelligence-catalogus te downloaden en softwaretitels te uploaden.
Dit certificaat heeft een sleutellengte van 1024 bits.
Distributiepunten in de cloud en certificaten
Distributiepunten in de cloud vanaf System Center 2012 Configuration Manager SP1 vereisen een beheercertificaat (zelfondertekend of PKI) dat u naar Microsoft Azure uploadt. Dit beheercertificaat vereist een functionaliteit voor serververificatie en een sleutellengte van het certificaat van 2048 bits. Daarnaast moet u een servicecertificaat configureren voor elk distributiepunt in de cloud, dat niet zelfondertekend kan zijn, maar ook de functionaliteit voor serververificatie en een minimum sleutellengte van het certificaat van 2048 bits heeft.
Notitie
Het zelfondertekende beheercertificaat dient uitsluitend voor tests en niet voor gebruik op productienetwerken.
Clients vereisen geen PKI-certificaat van de client om distributiepunten in de cloud te gebruiken; ze verifiëren naar het beheer met behulp van hetzij een zelfondertekend certificaat hetzij een PKI-certificaat van de client. Het beheerpunt geeft dan een Configuration Manager-toegangstoken uit aan de client, hetgeen de client toont aan het distributiepunt in de cloud. Het token is 8 uur lang geldig.
De Connector voor Microsoft Intune en certificaten
Wanneer Microsoft Intune mobiele apparaten registreert, kunt u deze mobiele apparaten beheren in Configuration Manager door een Microsoft Intune-connector te maken. De connector gebruikt een PKI-certificaat met functionaliteit voor serverauthenticatie om Configuration Manager te authenticeren voor Microsoft Intune en alle informatie daartussen over te brengen met behulp van SSL. De sleutelgrootte van het certificaat is 2048 bits en gebruikt het hash-algoritme SHA-1.
Wanneer u de connector installeert, wordt een handtekeningcertificaat gemaakt en opgeslagen op de siteserver voor het extern laden van sleutels, en wordt er een versleutelingscertificaat gemaakt en opgeslagen op het certificaatregistratiepunt om de Simple Certificate Enrollment Protocol (SCEP)-vraag te versleutelen. Deze certificaten hebben ook een sleutelgrootte van 2048 bits en gebruiken het hash-algoritme SHA-1.
Wanneer Intune mobiele apparaten registreert, installeert het een PKI-certificaat op het mobiele apparaat. Dit certificaat heeft ook een mogelijkheid voor clientverificatie, gebruikt een sleutelgrootte van 2048 bits en gebruikt het hash-algoritme SHA-1.
Deze PKI-certificaten worden automatisch aangevraagd, gegenereerd en geïnstalleerd door Microsoft Intune.
CRL-controle voor PKI-certificaten
Een PKI-certificaatintrekkingslijst (CRL) verhoogt de administratieve en verwerkingsoverhead, maar het is veiliger. Als CRL-controle echter is ingeschakeld, maar de CRL niet beschikbaar is, mislukt de PKI-verbinding. Zie het gedeelte Planning voor intrekking PKI-certificaat in het onderwerp Beveiliging plannen in Configuration Manager voor meer informatie.
Controle van de certificaatintrekkingslijst (CRL) is standaard ingeschakeld in IIS, dus als u een CRL met uw PKI-implementatie gebruikt, moet er niets extra's worden geconfigureerd op de meeste Configuration Manager-sitesystemen die IIS uitvoeren. Een uitzondering hierop zijn de software-updates, die een handmatige stap vereisen om CRL-controle in te schakelen om de handtekeningen op software-updatebestanden te controleren.
CRL-controle wordt standaard ingeschakeld voor clientcomputers wanneer ze HTTPS-clientverbindingen gebruiken. CRL-controle is standaard niet ingeschakeld wanneer u de buiten-bandbeheerconsole uitvoert om een verbinding te maken met een op AMT gebaseerde computer, en u kunt deze optie inschakelen. U kunt CRL-controle niet uitschakelen voor clients op Mac-computers in Configuration Manager SP1 of hoger.
CRL-controle wordt niet ondersteund voor de volgende verbindingen in Configuration Manager:
Server-naar-server-verbindingen.
Mobiele apparaten die zijn ingeschreven door Configuration Manager.
Mobiele apparaten die zijn ingeschreven door Microsoft Intune.
Cryptografische besturingselementen voor servercommunicatie
Configuration Manager gebruikt de volgende cryptografische besturingselementen voor servercommunicatie.
Servercommunicatie binnen een Site
Elke sitesysteemserver gebruikt een certificaat om gegevens over te brengen naar andere sitesystemen in dezelfde Configuration Manager-site. Sommige sitesysteemrollen gebruiken ook certificaten voor verificatie. Als u het inschrijvingsproxypunt bijvoorbeeld op een server installeert en het inschrijvingspunt op een andere server, kunnen ze elkaar verifiëren met behulp van dit identiteitscertificaat. Wanneer Configuration Manager een certificaat voor deze communicatie gebruikt, als er een PKI-certificaat beschikbaar is dat de mogelijkheid voor serververificatie heeft, gebruikt Configuration Manager het automatisch; indien dit niet het geval is, genereert Configuration Manager een zelfondertekend certificaat. Dit zelfondertekende certificaat heeft een mogelijkheid voor serververificatie, gebruikt SHA-256 en heeft een sleutellengte van 2048 bits.Configuration Manager kopieert het certificaat naar het archief Vertrouwde personen op andere sitesysteemservers die het sitesysteem mogelijk moeten vertrouwen. Sitesystemen kunnen elkaar dan vertrouwen met behulp van deze certificaten en PeerTrust.
Naast dit certificaat voor elke sitesysteemserver genereert Configuration Manager een zelfondertekend certificaat voor de meeste sitesysteemrollen. Wanneer er meer dan één exemplaar van de sitesysteemrol in dezelfde site is, delen ze hetzelfde certificaat. U kunt bijvoorbeeld meerdere beheerpunten of meerdere inschrijvingspunten in dezelfde site hebben. Dit zelfondertekende certificaat gebruikt ook SHA-256 en heeft een sleutellengte van 2048 bits. Het wordt ook gekopieerd naar het archief Vertrouwde personen op sitesysteemservers die het mogelijk moeten vertrouwen. De volgende sitesysteemrollen genereren dit certificaat:
Application Catalog-webservicepunt
Application Catalog-websitepunt
Asset Intelligence-synchronisatiepunt
Certificaatregistratiepunt
Endpoint Protection-punt
Inschrijvingspunt
Terugvalstatuspunt
Beheerpunt
Multicast-distributiepunt
Buiten-bandservicepunt
Reporting Services-punt
Software-updatepunt
Statusmigratiepunt
Systeemstatuscontrolepunt
Microsoft Intune-connector
Deze certificaten worden automatisch beheerd door Configuration Manager, en worden, wanneer noodzakelijk, automatisch gegenereerd.
Configuration Manager gebruikt ook een certificaat voor clientverificatie om statusberichten te versturen van het distributiepunt naar het beheerpunt. Wanneer het beheerpunt enkel is geconfigureerd voor HTTPS-clientverbindingen, moet u een PKI-certificaat gebruiken. Als het beheerpunt HTTP-verbindingen aanvaardt, kunt u een PKI-certificaat gebruiken of de optie selecteren om een zelfondertekend certificaat te gebruiken dat de mogelijkheid voor clientverificatie heeft, SHA-256 gebruikt en een sleutellengte van 2048 bits heeft.
Servercommunicatie tussen sites
Configuration Manager draagt gegevens over tussen sites door zowel databasereplicatie als replicatie op basis van bestanden te gebruiken. Zie Technische naslag voor sitecommunicatie in Configuration Manager voor meer informatie.
Configuration Manager configureert automatisch de databasereplicatie tussen sites en gebruikt PKI-certificaten die de mogelijkheid voor serververificatie hebben als deze beschikbaar zijn; indien dit niet het geval is, maakt Configuration Manager zelfondertekende certificaten voor serververificatie aan. In beide gevallen wordt verificatie tussen sites tot stand gebracht met behulp van certificaten in het archief Vertrouwde Personen dat PeerTrust gebruikt. Dit certificaatarchief wordt gebruikt om ervoor te zorgen dat enkel de SQL Server-computers die worden gebruikt door de Configuration Manager-hiërarchie, deelnemen aan de replicatie van site naar site. Terwijl primaire sites en de centrale beheersite configuratiewijzigingen kunnen repliceren naar alle sites in de hiërarchie, kunnen secundaire sites configuratiewijzigingen enkel repliceren naar de bovenliggende site ervan.
Siteservers brengen communicatie van site naar site tot stand met behulp van de beveiligde sleuteluitwisseling die automatisch plaatsvindt. De verzendende siteserver genereert een hash en tekent het met zijn persoonlijke sleutel. De ontvangende siteserver controleert de handtekening met behulp van de publieke sleutel en vergelijkt de hash met een lokaal gegenereerde waarde. Als ze overeenkomen, worden de gerepliceerde gegevens in de ontvangende site aanvaard. Als de waarden niet overeenkomen, verwerpt Configuration Manager de replicatiegegevens.
Databasereplicatie in Configuration Manager gebruikt de SQL Server Service Broker om gegevens over te dragen tussen sites met behulp van de volgende mechanismen:
verbinding van SQL Server naar SQL Server: Dit maakt gebruik van Windows-referenties voor serververificatie en zelfondertekende certificaten met 1024 bits om de gegevens te ondertekenen en versleutelen met behulp van Advanced Encryption Standard (AES). Als er PKI-certificaten met de functionaliteit voor serververificatie beschikbaar zijn, zullen deze worden gebruikt. Het certificaat moet zich in het persoonlijke archief voor het certificaatarchief van de computer bevinden.
SQL Service Broker: Dit maakt gebruik van zelfondertekende certificaten met 2048 bits voor verificatie en om de gegevens te ondertekenen en versleutelen met behulp van Advanced Encryption Standard (AES). Het certificaat moet zich in de hoofddatabase van de SQL Server bevinden.
Replicatie op basis van een bestand gebruikt het SMB-protocol (Server Message Block) en gebruikt SHA-256 om de gegevens te ondertekenen die niet zijn versleuteld, maar geen gevoelige gegevens bevatten. Als u deze gegevens wilt versleutelen, kunt u IPsec gebruiken en moet u dit onafhankelijk van Configuration Manager implementeren.
Cryptografische besturingselementen voor clients die HTTPS-communicatie naar sitesystemen gebruiken
Wanneer sitesysteemrollen clientverbindingen aanvaarden, kunt u ze configureren om HTTPS- en HTTP-verbindingen, of enkel HTTPS-verbindingen te aanvaarden. Sitesysteemrollen die verbindingen van het internet aanvaarden, aanvaarden enkel clientverbindingen over HTTPS.
Clientverbindingen over HTTPS bieden een hogere veiligheidsgraad door integratie met een PKI (Public Key Infrastructure) om communicatie van de client naar de server te helpen beschermen. HTTPS-clientverbindingen configureren zonder een grondig begrip van PKI-planning, implementatie en bewerkingen kan u echter nog in een kwetsbare positie plaatsen. Als u uw basiscertificeringsinstantie bijvoorbeeld niet beveiligt, kunnen aanvallers knoeien met het vertrouwen van uw volledige PKI-infrastructuur. Als u er niet in slaagt de PKI-certificaten te implementeren en beheren met behulp van gecontroleerde en beveiligde processen, kan dit leiden tot onbeheerde clients die geen kritische software-updates of pakketten kunnen ontvangen.
| Belangrijk |
|---|
De PKI-certificaten die worden gebruikt voor clientcommunicatie beschermen enkel de communicatie tussen de client en sommige sitesystemen. Ze beschermen niet het communicatiekanaal tussen de siteserver en sitesystemen of tussen siteservers. |
Communicatie die niet versleuteld is wanneer clients HTTPS-communicatie gebruiken
Wanneer clients communiceren met sitesystemen met behulp van HTTPS, worden communicaties gewoonlijk versleuteld over SSL. In de volgende situaties communiceren clients echter met sitesystemen zonder het gebruik van versleuteling:
Clients slagen er niet in een HTTPS-verbinding tot stand te brengen op het intranet en vallen terug op het gebruik van HTTP wanneer sitesystemen deze configuratie toestaan.
Communicatie met de volgende sitesysteemrollen:
Client stuurt statusberichten naar het terugvalstatuspunt
Client stuurt PXE-aanvragen naar een distributiepunt met PXE-functionaliteit
Client stuurt meldinggegevens naar een beheerpunt
Reporting services-punten zijn geconfigureerd om HTTP of HTTPS te gebruiken onafhankelijk van de communicatiemodus van de client.
Cryptografische besturingselementen voor clients die HTTP-communicatie naar sitesystemen gebruiken
Wanneer clients HTTP-communicatie naar sitesysteemrollen gebruiken, kunnen ze PKI-certificaten voor clientverificatie gebruiken, of zelfondertekende certificaten die Configuration Manager genereert. Wanneer Configuration Manager zelfondertekende certificaten genereert, hebben ze een aangepaste object-id voor ondertekening en versleuteling, en worden deze certificaten gebruikt om de client op unieke wijze te identificeren. Voor alle ondersteunde besturingssystemen behalve Windows Server 2003 gebruiken deze zelfondertekende certificaten SHA-256 en hebben ze een sleutellengte van 2048 bits. Voor Windows Server 2003 wordt SHA1 gebruikt met een sleutellengte van 1024 bits.
Implementatie van besturingssysteem en zelfondertekende certificaten
Indien u Configuration Manager gebruikt om besturingssystemen te implementeren met zelfondertekende certificaten, moet een client ook een certificaat hebben om te communiceren met het beheerpunt, zelfs als de computer in een overgangsfase is, zoals opstart vanaf een takenreeks-media of een distributiepunt met PXE-functionaliteit. Om dit scenario te ondersteunen voor HTTP-clientverbindingen, genereert Configuration Manager zelfondertekende certificaten die een aangepast object-id hebben voor ondertekenen en versleuteling, en deze certificaten worden gebruikt om de client op unieke wijze te identificeren. Voor alle ondersteunde besturingssystemen behalve Windows Server 2003 gebruiken deze zelfondertekende certificaten SHA-256 en hebben ze een sleutellengte van 2048 bits. Voor Windows Server 2003 wordt SHA1 gebruikt met een sleutellengte van 1024 bits. Als deze zelfondertekende certificaten verdacht zijn, blokkeer dan, om kwaadwillende personen te beletten om ze te gebruiken om vertrouwde clients te imiteren, de certificaten in het knooppunt Certificaten in de werkruimte Beheer, knooppunt Veiligheid.
Client en Server-verificatie
Indien clients verbinden via HTTP, verifiëren ze de beheerpunten door ofwel Active Directory Domain Services te gebruiken, of door de door Configuration Manager vertrouwde basissleutel te gebruiken. Clients verifiëren geen andere systeemsite-functies, zoals statusmigratiepunten of software-updatepunten.
Indien een beheerpunt eerst een client verifieert door de zelfondertekende client-certificaten te gebruiken, voorziet dit mechanisme minimale veiligheid omdat elke computer zelfondertekende certificaten kan genereren. In dit scenario moet het client-identificatieproces versterkt worden door goedkeuring. Enkel vertrouwde computers moeten goedgekeurd worden, hetzij automatisch door Configuration Manager, of handmatig, door een gebruiker met beheerdersrechten. Zie, voor meer informatie, de goedkeuringssectie in Communicatie gestart door clients.
Over SSL-beveiligingslekken
Het wordt aangeraden SSL 3.0 uit te schakelen, TLS 1.1, 1.2 en het vastleggen van aan TLS gerelateerde coderingssuites in te schakelen om de beveiliging van uw Configuration Manager-servers te verbeteren. In KB-artikel leert u hoe u deze maatregelen doorvoert. Deze maatregelen hebben geen invloed op de functionaliteit van de Configuration Manager.