Beveiliging plannen in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
Dit onderwerp wordt behandeld in de gids Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager) en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).
Gebruik de volgende informatie om u te helpen bij het plannen van beveiliging in Microsoft System Center 2012 Configuration Manager.
Planning voor certificaten (zelfondertekend en PKI)
Planning voor intrekking PKI-certificaat
Planning voor de vertrouwde PKI-basiscertificaten en de lijst met certificeringsinstanties
Planning voor selectie van PKI-clientcertificaten
Plannen van een overgangsstrategie voor PKI-certificaten en clientbeheer op internet
Planning voor de vertrouwde basissleutel
Planning voor ondertekening en versleuteling
Planning voor op rollen gebaseerd beheer
Zie bovendien ook Beveiliging en privacy voor sitebeheer in Configuration Manager.
Zie voor extra informatie over hoe Configuration Manager certificaten en cryptografische besturingselementen gebruikt Technische naslaginformatie voor gebruikte cryptografische besturingselementen in Configuration Manager.
Planning voor certificaten (zelfondertekend en PKI)
Configuration Manager gebruikt een combinatie van zelfondertekende certificaten en PKI (Public Key Infrastructure)-certificaten.
Voor een betere beveiliging, gebruik waar mogelijk PKI-certificaten. Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie over PKI-certificaatvereisten. Wanneer Configuration Manager PKI-certificaten aanvraagt, zoals bij het registreren van mobiele apparaten en AMT-inrichting, moet u Active Directory Domain Services en een bedrijfscertificeringsinstantie gebruiken. Alle andere PKI-certificaten moet u gescheiden van Configuration Manager implementeren en beheren.
PKI-certificaten zijn ook vereist wanneer clientcomputers verbinding maken met internet-sitesystemen en ze worden aanbevolen voor wanneer clients verbinding maken met sitesystemen die IIS (Internet Information Services) uitvoeren. Zie Clientcommunicatie plannen in Configuration Manager voor meer informatie over clientcommunicatie.
Wanneer u een PKI gebruikt, kunt u ook IPsec gebruiken voor het tot stand brengen van server-naar-server-communicatie tussen sitesystemen in een site en tussen sites en voor ieder ander scenario wanneer u gegevens verzendt tussen computers. U configureert en implementeert IPsec gescheiden van Configuration Manager.
Configuration Manager kan automatisch zelfondertekende certificaten genereren als er geen PKI-certificaten beschikbaar zijn. Sommige certificaten in Configuration Manager zijn altijd zelfondertekend. In de meeste gevallen beheert Configuration Manager automatisch de zelfondertekende certificaten en hoeft u geen verdere actie te ondernemen. Een mogelijke uitzondering is het handtekeningcertificaat van de siteserver. Het handtekeningcertificaat van de siteserver is altijd zelfondertekend en het garandeert dat het clientbeleid dat clients downloaden van het beheerpunt zijn verzonden vanaf de siteserver en niet zijn gemanipuleerd.
Planning voor het handtekeningcertificaat van de siteserver (zelfondertekend)
Clients kunnen veilig een kopie van het handtekeningcertificaat van de siteserver krijgen van Active Directory Domain Services en client-pushinstallaties. Als clients geen kopie van het handtekeningcertificaat van de siteserver kunnen verkrijgen via een van deze methoden, kunt u beter een kopie van het handtekeningcertificaat van de siteserver installeren wanneer u de client installeert. Dit is vooral belangrijk als de eerste communicatie van de client met de site over het internet gebeurt, omdat het beheerpunt is verbonden met een niet-vertrouwd netwerk en daarom gevoelig is voor aanvallen. Als u deze extra stap niet uitvoert, downloaden clients automatisch een kopie van het handtekeningcertificaat van de siteserver van het beheerpunt.
Scenario's wanneer clients niet veilig een kopie van het siteservercertificaat kunnen bemachtigen zijn onder andere:
U installeert de client niet met behulp van client-push en een van de volgende voorwaarden is waar:
Het Active Directory-schema is niet uitgebreid voor Configuration Manager.
De site van de client is niet naar Active Directory Domain Services gepubliceerd.
De client is van een niet-vertrouwde forest of een werkgroep.
U installeert de client wanneer deze zich op het internet bevindt.
Gebruik de volgende procedure om clients samen met een kopie van het handtekeningcertificaat van de siteserver te installeren.
Installeren van clients met een kopie van het handtekeningcertificaat van de siteserver
-
Zoek het handtekeningcertificaat van de siteserver op de primaire siteserver van de client. Het certificaat wordt opgeslagen in het SMS-certificaatarchief en heeft de objectnaam Siteserver en de beschrijvende naam Handtekeningcertificaat van siteserver.
-
Exporteer het certificaat zonder de persoonlijke sleutel, sla het bestand veilig op en open het alleen vanuit een veilig kanaal (bijvoorbeeld met SMB-ondertekening of IPsec).
-
Installeer de client met de Client.msi-eigenschap SMSSIGNCERT=<Volledig pad en bestandsnaam> met CCMSetup.exe.
Planning voor intrekking PKI-certificaat
Wanneer u PKI-certificaten gebruikt met Configuration Manager, plan dan hoe en of clients en servers een CRL (certificaatintrekkingslijst) gaan gebruiken om het certificaat op de verbindende computer te verifiëren. De CRL (certificaatintrekkingslijst) is een bestand dat is gemaakt en ondertekend door een certificeringsinstantie en bevat een lijst met certificaten die de instantie heeft uitgegeven en weer ingetrokken. Certificaten kunnen bijvoorbeeld door de beheerder van een certificaatinstantie worden ingetrokken als een uitgegeven certificaat bewezen of mogelijk onveilig is.
Belangrijk |
---|
De locatie van de CRL wordt toegevoegd aan een certificaat wanneer het wordt uitgegeven door een certificeringsinstantie. Plan de CRL daarom ook voordat u PKI-certificaten implementeert die Configuration Manager gaat gebruiken. |
IIS controleert standaard altijd de CRL voor clientcertificaten en u kunt deze configuratie niet wijzigen in Configuration Manager. Configuration Manager-clients controleren standaard altijd de CRL voor sitesystemen. U kunt deze instelling echter uitschakelen door een site-eigenschap en een CCMSetup-eigenschap op te geven. Als u Intel AMT-computers buiten-band beheert, kunt u CRL-controle ook inschakelen voor het buiten-bandservicepunt en voor computers die de buiten-bandbeheerconsole uitvoeren.
Als computers controle voor certificaatintrekking gebruiken maar ze kunnen de CRL niet vinden, veronderstellen ze dat alle certificaten in de certificeringsketen zijn ingetrokken omdat hun afwezigheid van de lijst niet kan worden gecontroleerd. In dit scenario mislukken alle verbindingen die certificaten vereisen en een CRL gebruiken.
Als de certificaatintrekkingslijst wel altijd wordt gecontroleerd wanneer een certificaat wordt gebruikt, bent u beter beschermd tegen het gebruik van een ingetrokken certificaat. Hierdoor ontstaat echter ook een vertraging in de verbinding en vinden er extra verwerkingsactiviteiten plaats op de client. U zult deze extra beveiligingscontrole waarschijnlijk eerder nodig hebben wanneer clients zich op het internet of op niet-vertrouwde netwerken bevinden.
Raadpleeg uw PKI-beheerders voordat u besluit of Configuration Manager-clients de CRL moeten controleren en overweeg vervolgens deze optie ingeschakeld te houden in Configuration Manager als beide voorwaarden hieronder waar zijn:
Uw PKI-infrastructuur ondersteunt een CRL en deze wordt gepubliceerd waar alle Configuration Manager-clients hem kunnen vinden. Dit kan dus ook clients op het internet betreffen, als u clientbeheer over het internet gebruikt, en clients op niet-vertrouwde forests.
De vereiste om de CRL te controleren voor iedere verbinding met een sitesysteem dat is ingesteld op het gebruik van een PKI-certificaat is groter dan de vereiste voor snellere verbindingen en efficiënte verwerking op de client en is ook groter dan het risico van clients die geen verbinding kunnen maken met servers als ze de CRL niet kunnen lokaliseren.
Planning voor de vertrouwde PKI-basiscertificaten en de lijst met certificeringsinstanties
Als uw IIS-sitesystemen PKI-clientcertificaten gebruiken voor clientverificatie over HTTP of voor clientverificatie en versleuteling over HTTPS, moet u mogelijk basis-CA-certificaten importeren als een site-eigenschap. De twee scenario's zijn als volgt:
U implementeert besturingssystemen met Configuration Manager en de beheerpunten accepteren alleen HTTPS-clientverbindingen.
U kunt PKI-clientcertificaten gebruiken die zich niet onder het basis-CA-certificaat bevinden dat wordt vertrouwd door beheerpunten.
Notitie
Als u client-PKI-certificaten uitgeeft van dezelfde CA-hiërarchie die de servercertificaten uitgeeft die u gebruikt voor beheerpunten, hoeft u dit basis-CA-certificaat niet op te geven. Maar als u meerdere CA-hiërarchieën gebruikt en u bent er niet zeker van of ze elkaar vertrouwen, importeert u het basis-CA-certificaat voor de CA-hiërarchie van de clients.
Als u basis-CA-certificaten moet importeren voor Configuration Manager, exporteert u ze van de verlenende certificeringsinstantie (CA) of van de clientcomputer. Als u het certificaat exporteert van de verlenende certificeringsinstantie dat ook het basis-CA-certificaat is, zorg dan dat de persoonlijke sleutel niet wordt geëxporteerd. Sla het geëxporteerde certificaatbestand op een veilige locatie op om manipulatie te voorkomen. Wanneer u de site configureert, moet u het bestand kunnen openen; als u het bestand over het netwerk opent, zorg ervoor dat de communicatie is beschermd tegen manipulatie door SMB-ondertekening of IPsec te gebruiken.
Als een door u geïmporteerd basis-CA-certificaat wordt verlengd, moet u het verlengde certificaat importeren.
Deze geïmporteerde basis-CA-certificaten en het basis-CA-certificaat van ieder beheerpunt maken de lijst met certificaatverleners die Configuration Manager-computers op de volgende manieren gebruiken:
Wanneer clients verbinding maken met beheerpunten, controleert het beheerpunt of het clientcertificaat overeenkomt met een vertrouwd basiscertificaat in de lijst met certificaatverleners van de site. Is dit niet het geval, dan wordt het certificaat geweigerd en de PKI-verbinding mislukt.
Wanneer clients een PKI-certificaat selecteren, als zij een lijst met certificaatverleners hebben, selecteren ze een certificaat dat overeenkomt met een vertrouwd basiscertificaat in de lijst met certificaatverleners. Als het certificaat niet overeenkomt, selecteert de client geen PKI-certificaat. Zie de sectie Planning voor selectie van PKI-clientcertificaten in dit onderwerp voor meer informatie over het clientcertificaatproces.
Ongeacht de siteconfiguratie kan het ook voorkomen dat u een basis-CA-certificaat moet importeren wanneer u mobiele apparaten of Mac-computers registreert en als u Intel AMT-computers inricht voor draadloze netwerken.
Planning voor selectie van PKI-clientcertificaten
Als uw IIS-sitesystemen PKI-clientcertificaten gaan gebruiken voor clientverificatie over HTTP of voor clientverificatie en versleuteling over HTTPS, plan dan hoe Windows-clients het certificaat voor Configuration Manager selecteren.
Notitie
Niet alle apparaten ondersteunen een certificaatselectiemethode en selecteren daarvoor in de plaats automatisch het eerste certificaat dat voldoet aan de certificaatvereisten. Clients op Mac-computers en mobiele apparaten ondersteunen bijvoorbeeld geen certificaatselectiemethode.
In veel gevallen zijn de standaardconfiguratie en -gedrag voldoende. De Configuration Manager-client op Windows-computers filtert meerdere certificaten met behulp van de volgende criteria:
De lijst met certificaatverleners: Het certificaat komt overeen met een basiscertificeringsinstantie die wordt vertrouwd door het beheerpunt.
Het certificaat bevindt zich in het standaardcertificaatarchief Persoonlijk.
Het certificaat is geldig, is niet ingetrokken en niet verlopen. De geldigheidscontrole bevat ook de controle of de persoonlijke sleutel toegankelijk is en of het certificaat niet is gemaakt met een certificaatsjabloonversie 3, die niet compatibel is met Configuration Manager.
Het certificaat heeft een clientverificatie-optie of is verleend aan de computernaam.
Het certificaat heeft de langste geldigheidsduur.
Clients kunnen worden ingesteld op het gebruik van de lijst met certificaatverleners met behulp van de volgende mechanismen:
De lijst wordt gepubliceerd als Configuration Manager-sitegegevens bij Active Directory Domain Services.
Clients worden met behulp van clientpush geïnstalleerd.
Clients downloaden de lijst van het beheerpunt nadat ze zijn toegewezen aan hun site.
Deze wordt tijdens de installatie van de client gespecificeerd als een CCMSetup client.msi-eigenschap van CCMCERTISSUERS.
Als clients geen lijst met certificaatverleners hebben wanneer ze voor het eerst worden geïnstalleerd en nog niet zijn toegewezen aan de site, slaan zij deze controle over. Als ze wel beschikken over de lijst met certificaatverleners en niet over een PKI-certificaat dat overeenkomt met een vertrouwd basiscertificaat in de lijst met certificaatverleners, mislukt de certificaatselectie en gaan de clients niet door met de andere certificaatselectiecriteria.
In de meeste gevallen identificeert de Configuration Manager-client een uniek en geschikt bruikbaar PKI-certificaat. Als dit echter niet het geval is, kunt u in plaats van het selecteren van het certificaat op basis van de clientverificatie-optie twee alternatieve selectiemethodes configureren:
Een gedeeltelijke tekenreeksovereenkomst op de onderwerpnaam van het clientcertificaat. Deze overeenkomst is hoofdlettergevoelig en is geschikt als u een FQDN (fully qualified domain name) van een computer gebruikt in het onderwerpveld en de certificaatselectie wil baseren op het domeinachtervoegsel, bijvoorbeeld contoso.com. U kunt deze selectiemethode echter gebruiken om iedere reeks vervolgtekens te identificeren in de onderwerpnaam van het certificaat die het certificaat onderscheiden van andere certificaten in het clientcertificaatarchief.
Notitie
U kunt de gedeeltelijke tekenreeksovereenkomst gebruiken met de alternatieve naam voor het onderwerp (SAN) als een site-instelling. Hoewel u een gedeeltelijke tekenreeksovereenkomst kunt opgeven voor de SAN door gebruik te maken van CCMSetup, zal deze in de volgende scenario's overschreven worden door de site-eigenschappen:
-
Clients halen site-informatie op die naar Active Directory Domain Services is gepubliceerd.
-
Clients worden met behulp van clientpushinstallatie geïnstalleerd.
Gebruik een gedeeltelijke tekenreeksovereenkomst in de SAN alleen wanneer u clients handmatig installeert en wanneer ze geen site-informatie ophalen uit Active Directory Domain Services. Deze voorwaarden zijn bijvoorbeeld van toepassing op clients met alleen internetverbinding.
-
Een overeenkomst op de kenmerkwaarden van de onderwerpnaam van het clientcertificaat of de kenmerkwaarden van de alternatieve naam voor het onderwerp (SAN). Dit is een hoofdlettergevoelige overeenkomst die geschikt is als u een X500 DN-naam of overeenkomstige OID's (object-id's) in overeenstemming met RFC 3280 gebruikt en als u wilt dat de certificaatselectie wordt gebaseerd op de kenmerkwaarden. U kunt alleen de kenmerken en hun waarden opgeven die u nodig hebt om het certificaat uniek te identificeren of valideren en het certificaat te onderscheiden van andere in het certificaatarchief.
De volgende tabel geeft de kenmerkwaarden weer die Configuration Manager ondersteunt voor selectiecriteria van het clientcertificaat.
OID-kenmerk |
DN-naamkenmerk |
Kenmerkdefinitie |
---|---|---|
0.9.2342.19200300.100.1.25 |
DC |
Domeinonderdeel |
1.2.840.113549.1.9.1 |
E of e-mailbericht |
E-mailadres |
2.5.4.3 |
CN |
Algemene naam |
2.5.4.4 |
SN |
Onderwerpnaam |
2.5.4.5 |
SERIENUMMER |
Serienummer |
2.5.4.6 |
C |
Landcode |
2.5.4.7 |
L |
Plaats |
2.5.4.8 |
S of ST |
Naam van staat of provincie |
2.5.4.9 |
STRAAT |
Straat |
2.5.4.10 |
O |
Bedrijfsnaam |
2.5.4.11 |
OU |
Organisatie-eenheid |
2.5.4.12 |
T of titel |
Titel |
2.5.4.42 |
G of GN of voornaam |
Voornaam |
2.5.4.43 |
I of initialen |
Initialen |
2.5.29.17 |
(geen waarde) |
Alternatieve naam voor onderwerp |
Als er zich meer dan een geschikt certificaat bevindt na het toepassen van de selectiecriteria, kunt u de standaardconfiguratie die het certificaat selecteert met de langste geldigheidsperiode, opheffen en in plaats daarvan opgeven dat er geen certificaat is geïnstalleerd. In dit scenario kan de client niet communiceren met IIS-sitesystemen door een PKI-certificaat te gebruiken. De client stuurt een foutbericht naar zijn toegewezen terugvalstatuspunt om u te waarschuwen over het mislukken van de certificaatselectie; zo kunt u uw certificaatselectiecriteria aanpassen of verfijnen. Het clientgedrag is dan afhankelijk van of de mislukte verbinding zich voordeed via HTTPS of HTTP:
Als de mislukte verbinding zich voordeed via HTTPS: De client probeert een verbinding te maken via HTTP en gebruikt het zelfondertekende certificaat van de client.
Als de mislukte verbinding zich voordeed via HTTP: De client probeert een andere verbinding te maken via HTTP en gebruikt het zelfondertekende certificaat van de client.
U kunt een uniek PKI-clientcertificaat helpen identificeren door een aangepast archief op te geven, dus niet de standaard van Persoonlijk in het archief Computer. U dient dit archief echter onafhankelijk te maken van Configuration Manager en in staat zijn om certificaten te implementeren op dit aangepast archief. U dient deze ook te vernieuwen voordat de geldigheidsperiode verstrijkt.
Zie de sectie Instellingen configureren voor PKI-clientcertificaten in het onderwerp Beveiliging configureren voor Configuration Manager voor informatie over het configureren van de instellingen voor clientcertificaten.
Plannen van een overgangsstrategie voor PKI-certificaten en clientbeheer op internet
Met de flexibele configuratieopties in Configuration Manager kunt u de overgang van clients en de site geleidelijk uitvoeren om PKI-certificaten te gebruiken om clienteindpunten te helpen beveiligen. PKI-certificaten bieden betere beveiliging en maken het mogelijk voor clients om te worden beheerd wanneer ze met het internet zijn verbonden.
Door het aantal configuratieopties en -keuzes in Configuration Manager is er geen eenduidige manier om de overgang van een site uit te voeren om alle clients HTTPS-verbindingen te laten gebruiken. U kunt echter deze stappen volgen als richtlijn:
Installeer de Configuration Manager-site en configureer deze zodat sitesystemen clientverbindingen over HTTPS en HTTP kunnen accepteren.
Configureer het tabblad Clientcomputercommunicatie in de site-eigenschappen zodat de Sitesysteeminstellingen zijn ingesteld op HTTP of HTTPS, en selecteer het selectievakje PKI-clientcertificaat gebruiken (verificatiemogelijkheid voor client) indien beschikbaar. Configureren van andere instellingen die u nodig hebt op dit tabblad. Zie het gedeelte Instellingen configureren voor PKI-clientcertificaten in het onderwerp Beveiliging configureren voor Configuration Manager voor meer informatie.
Proef uitvoeren van een PKI-rollout voor clientcertificaten. Zie de sectie Het clientcertificaat voor Windows-computers implementeren in het onderwerp Voorbeeld van stapsgewijze implementatie van de PKI-certificaten voor Configuration Manager: Windows Server 2008-certificeringsinstantie voor een voorbeeld van een implementatie.
Clients met behulp van de clientpushinstallatiemethode installeren. Zie het gedeelte Hoe Configuration Manager-Clients installeren met behulp van de Client-Push in het onderwerp Clients installeren op Windows-computers in Configuration Manager voor meer informatie.
Clientimplementatie en -status bewaken met behulp van de rapporten en informatie in de Configuration Manager-console.
Volg hoeveel clients een PKI-clientcertificaat gebruiken in de kolom Clientcertificaat in de werkruimte Activa en naleving en het knooppunt Apparaten.
U kunt het Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe) ook implementeren op computers en de rapporten gebruiken om te zien hoeveel computers een PKI-clientcertificaat kunnen gebruiken met Configuration Manager.
Notitie
Als de Configuration Manager-client op clientcomputers wordt geïnstalleerd, wordt het cmHttpsReadiness.exe-hulpprogramma geïnstalleerd in de map %windir%\CCM. Bij het uitvoeren van dit hulpprogramma kunt u de volgende opties opgeven:
-
/Archief:<naam>
-
/Verleners:<lijst>
-
/Criteria:<criteria>
-
/SelectFirstCert
Deze opties verwijzen respectievelijk naar de Client.msi-eigenschappen CCMCERTSTORE, CCMCERTISSUERS, CCMCERTSEL, en CCMFIRSTCERT. Zie Over de eigenschappen van clientinstallatie in Configuration Manager voor meer informatie over deze opties.
-
Ga als volgt te werk als u er zeker van bent dat een voldoende aantal clients hun PKI-clientcertificaat met succes gebruiken voor verificatie over HTTP:
Implementeer een PKI-webservercertificaat naar een lidserver waarop een bijkomend beheerpunt voor de site zal worden uitgevoerd, en configureer dat certificaat in IIS. Zie het gedeelte Het webservercertificaat voor sitesystemen implementeren die IIS uitvoeren in het onderwerp Voorbeeld van stapsgewijze implementatie van de PKI-certificaten voor Configuration Manager: Windows Server 2008-certificeringsinstantie voor meer informatie.
Installeer de beheerpuntrol op deze server en configureer de optie Clientverbindingen in de beheerpunteigenschappen voor HTTPS
Controleer en verifieer of clients die een PKI-certificaat hebben het nieuwe beheerpunt via HTTPS gebruiken. U kunt IIS-logboekregistratie of prestatiemeteritems gebruiken om dit te verifiëren.
Configureer andere sitesysteemrollen opnieuw voor het gebruik van HTTPS-clientverbindingen. Als u clients wilt beheren op het internet, zorg er dan voor dat sitesystemen een internet-FQDN hebben en configureer individuele beheerpunten en distributiepunten om clientverbindingen van het internet te accepteren.
Belangrijk Controleer de planninginformatie en de vereiste onderdelen voor clientbeheer via het internet voordat u sitesysteemrollen configureert om verbindingen van het internet te accepteren. Zie het gedeelte Planning voor clientbeheer via internet in het onderwerp Communicatie plannen in Configuration Manager voor meer informatie.
Breid de rollout van PKI-certificaten uit voor clients en sitesystemen waarop IIS wordt uitgevoerd en configureer de sitesysteemrollen voor HTTPS-clientverbindingen en internetverbindingen.
Voor een optimale beveiliging: Verander de site-eigenschappen om alleen HTTPS te gebruiken als u er zeker van bent dat alle clients een PKI-clientcertificaat gebruiken voor verificatie en versleuteling.
U vermindert het risico dat clients niet-beheerd worden als u dit plan volgt om PKI-certificaten geleidelijk te introduceren, eerst voor verificatie over HTTP en vervolgens voor verificatie en versleuteling over HTTPS. Bovendien profiteert u van de beste beveiliging die Configuration Manager ondersteunt.
Planning voor de vertrouwde basissleutel
De vertrouwde basissleutel van Configuration Manager biedt een mechanisme voor Configuration Manager-clients om te verifiëren dat sitesystemen deel uitmaken van hun hiërarchie. Elke siteserver genereert een uitwisselingssleutel om te communiceren met andere sites. De uitwisselingssleutel van de site op het hoogste niveau in de hiërarchie wordt de vertrouwde basissleutel genoemd.
De functie van de vertrouwde basissleutel in Configuration Manager komt overeen met een basiscertificaat in een PKI (Public Key Infrastructure) omdat alles dat wordt ondertekend door de persoonlijke sleutel van de vertrouwde basissleutel, verder in de hiërarchie wordt vertrouwd. Clients kunnen een onderscheid maken tussen beheerpunten in hun hiërarchie en beheerpunten niet in hun hiërarchie, door het beheerpuntcertificaat te ondertekenen met de persoonlijke sleutel van het vertrouwde basissleutelpaar en door een kopie te maken van de openbare sleutel die beschikbaar is voor clients. Clients gebruiken WMI om een kopie op te slaan van de vertrouwde basissleutel in de naamruimte root\ccm\locationservices.
Clients kunnen de openbare kopie van de vertrouwde basissleutel automatisch ophalen door gebruik te maken van twee mechanismen:
Het Active Directory-schema wordt uitgebreid voor Configuration Manager, de site wordt gepubliceerd naar Active Directory Domain Services en clients kunnen deze site-informatie ophalen van een algemene-catalogusserver.
Clients worden met behulp van clientpush geïnstalleerd.
Als clients de vertrouwde basissleutel niet kunnen ophalen via één van deze mechanismen, vertrouwen ze de vertrouwde basissleutel die door het eerste beheerpunt waarmee ze communiceren, wordt verleend. In dit scenario is het mogelijk dat een client verkeerd wordt omgeleid naar een beheerpunt van een aanvaller, waar de client beleid ontvangt van het rogue beheerpunt. Dit kan het werk zijn van een geavanceerde aanvaller en kan zich alleen voordoen in een beperkte periode voordat de client de vertrouwde basissleutel ophaalt van een geldig beheerpunt. Verklein het risico dat een aanvaller clients naar een rogue beheerpunt omleidt door de clients vooraf in te richten met behulp van de vertrouwde basissleutel.
Gebruik de volgende procedures om de vertrouwde basissleutel voor een Configuration Manager-client vooraf in te richten en te verifiëren.
Richt een client vooraf in met de vertrouwde basissleutel en met een bestand.
Richt een client vooraf in met de vertrouwde basissleutel en zonder een bestand.
Verifieer de vertrouwde basissleutel op een client.
Notitie
U hoeft clients niet vooraf in te richten met de vertrouwde basissleutel als ze deze kunnen ophalen van Active Directory Domain Services of als ze via clientpush zijn geïnstalleerd. Bovendien hoeft u clients niet vooraf in te richten wanneer ze HTTPS-communicatie naar beheerpunten gebruiken, omdat het vertrouwen wordt ingesteld door gebruik te maken van de PKI-certificaten.
U kunt de vertrouwde basissleutel verwijderen van een client met de Client.msi-eigenschap RESETKEYINFORMATION = TRUE met CCMSetup.exe. Vervang de vertrouwde basissleutel door de client opnieuw te installeren met de nieuwe vertrouwde basissleutel, bijvoorbeeld door clientpush te gebruiken of door de SMSPublicRootKey-eigenschap van Client.msi op te geven met CCMSetup.exe.
Een client vooraf inrichten met de vertrouwde basissleutel door gebruik te maken van een bestand
-
Open het bestand <Configuration Manager-directory>\bin\mobileclient.tcf in een teksteditor.
-
Zoek de invoer SMSPublicRootKey=, kopieer de sleutel van die regel en sluit vervolgens het bestand zonder wijzigingen aan te brengen.
-
Maak een nieuw tekstbestand en plak de sleutelinformatie die u van het bestand mobileclient.tcf hebt gekopieerd.
-
Sla het bestand op en plaats het op een locatie waar alle computers toegang tot hebben. Het bestand is beveiligd tegen knoeien.
-
Installeer de client met een installatiemethode die Client.msi-eigenschappen accepteert en geef de Client.msi-eigenschap SMSROOTKEYPATH=<Volledig pad en volledige bestandsnaam> op.
Belangrijk Als u de vertrouwde basissleutel voor extra beveiliging tijdens de clientinstallatie opgeeft, moet u ook de sitecode opgeven door gebruik te maken van de Client.msi-eigenschap SMSSITECODE=<sitecode>.
Een client vooraf inrichten met de vertrouwde basissleutel en zonder een bestand
-
Open het bestand <Configuration Manager-directory>\bin\mobileclient.tcf in een teksteditor.
-
Zoek de invoer SMSPublicRootKey=, noteer de sleutel van die regel of kopieer deze naar het klembord. Sluit het bestand zonder wijzigingen aan te brengen.
-
Installeer de client met een installatiemethode die Client.msi-eigenschappen accepteert en geef de Client.msi-eigenschap SMSPublicRootKey=<sleutel>, waarbij <sleutel> de tekenreeks is die u kopieerde in mobileclient.tcf.
Belangrijk Als u de vertrouwde basissleutel voor extra beveiliging tijdens de clientinstallatie opgeeft, moet u ook de sitecode opgeven door gebruik te maken van de Client.msi-eigenschap SMSSITECODE=<sitecode>.
Verifiëren van de vertrouwde basissleutel op een client.
-
Klik in het menu Start op Uitvoeren en voer vervolgens Wbemtest in.
-
Klik op Verbinden in het dialoogvenster Testprogramma voor Windows Management Instrumentation.
-
Voer root\ccm\locationservices in in het dialoogvenster Verbinden in het vak Naamruimte en klik vervolgens op Verbinden.
-
Klik op Klassen inventariseren in het dialoogvenster Testprogramma voor Windows Management Instrumentation in de sectie IWbemServices.
-
Selecteer Recursief in het dialoogvenster Gegevens over superklasse en klik vervolgens op OK.
-
Scroll in het venster Queryresultaten naar onderaan de lijst en dubbelklik vervolgens op TrustedRootKey ().
-
Klik op Exemplaren in het dialoogvenster Objecteditor voor TrustedRootKey.
-
Dubbelklik op TrustedRootKey=@ in het nieuwe venster Queryresultaten dat de exemplaren van TrustedRootKey weergeeft.
-
Scroll naar onder naar TrustedRootKey CIM_STRING in de sectie Eigenschappen van het dialoogvenster Objecteditor voor TrustedRootKey=@. De tekenreeks in de rechterkolom is de vertrouwde basissleutel. Verifieer dat deze overeenkomt met de SMSPublicRootKey-waarde in het bestand <Configuration Manager-directory>\bin\mobileclient.tcf.
Planning voor ondertekening en versleuteling
Wanneer u PKI-certificaten gebruikt voor alle clientcommunicatie, hoeft u geen plan voor ondertekening en versleuteling te hebben om communicatie van clientgegevens te helpen beveiligen. Als u echter sitesystemen configureert die IIS uitvoeren om verbindingen met HTTP-clients mogelijk te maken, moet u besluiten hoe u de clientcommunicatie voor de site wilt helpen beveiligen.
Om de gegevens die clients naar beheerpunten sturen te helpen beveiligen, kunt u verlangen dat deze gegevens ondertekend zijn. U kunt ook verlangen dat alle ondertekende gegevens van clients die HTTP gebruiken, ondertekend zijn met behulp van het algoritme SHA-256. Hoewel dit een veiligere instelling is, schakelt u deze optie alleen in als alle clients SHA-256 ondersteunen. Veel besturingssystemen ondersteunen standaard SHA-256, maar oudere besturingssystemen vereisen wellicht een update of hotfix. Zo moeten computers die Windows Server 2003 SP2 uitvoeren bijvoorbeeld een hotfix installeren waarnaar gerefereerd wordt in het KB-artikel 938397.
Ondertekening helpt de gegevens beveiligen tegen onrechtmatige wijziging; versleuteling helpt de gegevens beveiligen tegen openbaarmaking van informatie. U kunt 3DES-versleuteling inschakelen voor de inventarisgegevens en faseberichten die door clients verstuurd worden naar beheerpunten in de site. U hoeft geen updates op clients te installeren om deze optie te ondersteunen, maar moet wel rekening houden met de zwaardere CPU-belasting bij clients en het beheerpunt om de ver- en ontsleuteling uit te voeren.
Zie de sectie Configureer ondertekening en versleuteling in het onderwerp Beveiliging configureren voor Configuration Manager voor informatie over het configureren van de instellingen voor ondertekening en versleuteling.
Planning voor op rollen gebaseerd beheer
Met rolgebaseerd beheer kunt u administratieve beveiliging ontwerpen en implementeren voor de System Center 2012 Configuration Manager-hiërarchie door gebruik te maken van één of meer van de volgende:
Beveiligingsrollen
Verzamelingen
Beveiligingsbereiken
Deze instellingen bepalen samen een administratief bereik voor een gebruiker met beheerdersrechten. Het beheerbereik bepaalt de objecten die een gebruiker met beheerdersrechten kan bekijken in de Configuration Manager-console alsook de machtigingen die de gebruiker voor die objecten heeft. De configuraties voor rolgebaseerd beheer worden op elke site in de hiërarchie gerepliceerd als globale gegevens, en vervolgens toegepast op alle beheerverbindingen.
Belangrijk |
---|
Door vertragingen in de replicatie van de ene site naar de andere is het mogelijk dat een site geen wijzigingen ontvangt voor rolgebaseerd beheer. Zie voor informatie over het controleren van databasereplicatie tussen sites de sectie Bewaken van databasereplicatiekoppelingen en replicatiestatus in het onderwerp Configuration Manager-sites en -hiërarchie bewaken. |
Planning voor beveiligingsrollen
Gebruik beveiligingsrollen voor het verlenen van beveiligingsmachtigingen aan gebruikers met beheerdersrechten. Beveiligingsrollen zijn groepen van beveiligingsmachtigingen die u toekent aan gebruikers met beheerdersrechten zodat zij hun beheertaken kunnen uitvoeren. Deze beveiligingsmachtigingen bepalen de beheeracties die een gebruiker met beheerdersrechten kan uitvoeren en de machtigingen die voor bepaalde objecttypes worden verleend. Aanbevolen wordt om de beveiligingsrollen toe te kennen waaraan de minste machtigingen zijn verbonden.
System Center 2012 Configuration Manager heeft diverse ingebouwde beveiligingsrollen ter ondersteuning van typische groepen van beheertaken, en u kunt uw eigen aangepaste beveiligingsrollen maken ter ondersteuning van uw specifieke bedrijfsvereisten. Voorbeelden van ingebouwde beveiligingsrollen:
Volledige beheerder: Deze beveiligingsrol verleent alle machtigingen in Configuration Manager.
Asset analist: Deze beveiligingsrol stelt gebruikers met beheerdersrechten in staat om gegevens bekijken die verzameld zijn met Asset Intelligence, software-inventaris, hardware-inventaris en softwaremeting. Gebruikers met beheerdersrechten kunnen meetregels en Asset Intelligence-categorieën, -families en -labels maken.
Software-Updatebeheerder: Deze beveiligingsrol verleent machtigingen voor het definiëren en implementeren van software-updates. Gebruikers met beheerdersrechten die gekoppeld zijn met deze rol, kunnen verzamelingen, software-updategroepen, implementaties en sjablonen maken en software-updates voor Network Access Protection (NAP) inschakelen.
Tip
U kunt de lijst met ingebouwde beveiligingsrollen en door u zelf gemaakte aangepaste beveiligingsrollen, inclusief bijbehorende beschrijvingen, bekijken in de Configuration Manager-console. Dit doet u door in de werkruimte Beheer de optie Beveiliging uit te vouwen en Beveiligingsrollen te selecteren.
Elke beveiligingsrol heeft specifieke machtigingen voor verschillende objecttypen. Bijvoorbeeld, de beveiligingsrol Toepassingsbeheerder heeft de volgende machtigingen voor toepassingen: Goedkeuren, Maken, Verwijderen, Wijzigen, Mappen wijzigen, Objecten verplaatsen, Lezen/implementeren, Beveiligingsbereik instellen. U kunt de machtigingen voor de ingebouwde beveiligingsrollen niet wijzigen, maar u kunt de rol wel kopiëren, wijzigingen aanbrengen en vervolgens deze wijzigingen opslaan als een nieuwe aangepaste beveiligingsrol. U kunt ook beveiligingsrollen importeren die u uit een andere hiërarchie (bijvoorbeeld uit een testnetwerk) geëxporteerd heeft. Bekijk de beveiligingsrollen en de bijbehorende machtigingen om te bepalen of u de ingebouwde beveiligingsrollen gaat gebruiken of dat u uw eigen aangepaste beveiligingsrollen moet maken.
Gebruik de volgende stappen om u te helpen een planning te maken voor beveiligingsrollen:
Identificeer de taken vast die de gebruikers met beheerdersrechten uitvoeren in System Center 2012 Configuration Manager. Deze rollen kunnen betrekking hebben op één of meer groepen van beheertaken, zoals implementatie van toepassingen en pakketten, implementatie van besturingssystemen en instellingen voor naleving, controle, externe bediening van computers, en verzameling van inventarisgegevens.
Wijs deze administratieve taken toe aan één of meer van de ingebouwde beveiligingsrollen.
Als een aantal van de gebruikers met beheerdersrechten de taken van meerdere beveiligingsrollen uitvoert, ken de meerdere beveiligingsrollen dan toe aan deze gebruikers met beheerdersrechten in plaats van een nieuwe beveiligingsrol te maken die de taken combineert.
Als de taken die u hebt geïdentificeerd niet zijn toegewezen aan de ingebouwde beveiligingsrollen, maak dan nieuwe beveiligingsrollen en test ze.
Zie voor informatie over het maken en configureren van beveiligingsrollen voor rolgebaseerd beheer de secties Aangepaste beveiligingsrollen maken en Configureer beveiligingsrollen in het onderwerp Beveiliging configureren voor Configuration Manager.
Planning voor verzamelingen
Verzamelingen specificeren de gebruiker en computerbronnen die een gebruiker met beheerdersrechten kan bekijken of beheren. Bijvoorbeeld, als een gebruiker met beheerdersrechten toepassingen wil kunnen implementeren of een computer extern wil kunnen bedienen, moet er een beveiligingsrol aan hem zijn toegewezen die hem toegang verleent tot een verzameling die deze bronnen bevat. U kunt verzamelingen van gebruikers of apparaten selecteren.
Voor meer informatie over verzamelingen, zie Inleiding in verzamelingen in Configuration Manager.
Controleer, voordat u rolgebaseerd beheer gaat configureren, of u nieuwe verzamelingen moet maken om een van de volgende redenen:
Functionele organisatie. Bijvoorbeeld: afzonderlijke verzamelingen van servers en werkstations.
Geografische uitlijning. Bijvoorbeeld: afzonderlijke verzamelingen voor Noord-Amerika en Europa.
Beveiligingvereisten en bedrijfsprocessen. Bijvoorbeeld: afzonderlijke verzamelingen voor productie en testcomputers.
Uitlijning per organisatie. Bijvoorbeeld, afzonderlijke verzamelingen voor elk bedrijfsonderdeel.
Zie voor informatie over het configureren van verzamelingen voor rolgebaseerd beheer de sectie Verzamelingen voor het beheren van beveiliging configureren in het onderwerp Beveiliging configureren voor Configuration Manager.
Planning voor beveiligingsbereiken
Gebruik beveiligingsrollen om gebruikers met beheerdersrechten toegang te geven tot beveiligbare objecten. Beveiligingsbereiken zijn een benoemde set van beveiligbare objecten die zijn toegewezen aan gebruikers met beheerdersrechten als groep. Alle beveiligbare objecten moeten aan één of meer beveiligingsbereiken zijn toegewezen. Configuration Manager heeft twee ingebouwde beveiligingsbereiken:
Alle: Dit ingebouwde beveiligingsbereik verleent toegang tot alle bereiken. U kunt geen objecten toewijzen aan dit beveiligingsbereik.
Standaard: Dit ingebouwde beveiligingsbereik wordt standaard voor alle objecten gebruikt. Wanneer u System Center 2012 Configuration Manager voor het eerst installeert, zijn alle objecten aan dit beveiligingsbereik toegewezen.
Als u de objecten die gebruikers met beheerdersrechten kunnen zien en beheren wilt beperken, moet u uw eigen aangepaste beveiligingsbereiken maken en gebruiken. Beveiligingsbereiken bieden geen ondersteuning aan een hiërarchische structuur en kunnen niet worden genest. Beveiligingsbereiken kunnen één of meer objecttypen bevatten, waaronder de volgende:
Waarschuwingsabonnementen
Toepassingen
Installatiekopieën
Grensgroepen
Configuratie-items
Aangepaste clientinstellingen
Distributiepunten en distributiepuntengroepen
Driverpakketten
Globale voorwaarden
Migratietaken
Installatiekopieën van besturingssysteem
Installatiepakketten besturingssysteem
Pakketten
Query's
Sites
Regels voor softwarelicentiecontrole
Software-updategroepen
Software-updatepakketten
Takenreekspakketten
Windows CE apparaatinstellingsitems en pakketten
Er zijn ook een aantal objecten die u niet in een beveiligingsbereik kunt opnemen omdat ze alleen door beveiligingsrollen beveiligd zijn. Beheerdersrechten voor deze objecten kunnen niet beperkt zijn tot een deelverzameling van de beschikbare objecten. Bijvoorbeeld, u heeft een gebruiker met beheerdersrechten die grensgroepen maakt welke gebruikt worden voor een specifieke site. Aangezien het grensobject geen beveiligingsbereiken ondersteunt, kunt u geen beveiligingsbereik aan deze gebruiker toewijzen dat toegang geeft tot alleen de grenzen die gekoppeld kunnen zijn aan die site. Aangezien een grensobject niet gekoppeld kan zijn aan een beveiligingsbereik, heeft die gebruiker, wanneer u een beveiligingsrol die toegang geeft tot grensobjecten toewijst aan een gebruiker, toegang tot elke grens in de hiërarchie.
Objecten die niet beperkt zijn door beveiligingsbereiken zijn de volgende:
Active Directory-forests
Gebruikers met beheerdersrechten
Waarschuwingen
Antimalware-beleidsregels
Grenzen
Computerkoppelingen
Standaardclientinstellingen
Implementatiesjablonen
Apparaatstuurprogramma 's
Exchange Server-connector
Toewijzingen tussen sites van migratie
Inschrijvingsprofielen voor mobiele apparaten
Beveiligingsrollen
Beveiligingsbereiken
Siteadressen
Sitesysteemrollen
Softwaretitels
Software-updates
Statusberichten
Gebruikersaffiniteiten apparaat
Maak beveiligingsbereiken wanneer u toegang tot afzonderlijke instanties van objecten wilt beperken. Bijvoorbeeld:
U hebt een groep van gebruikers met beheerdersrechten die productietoepassingen moeten kunnen zien en geen testtoepassingen. Maak één beveiligingsbereik voor productietoepassingen en nog één voor de testtoepassingen.
Gebruikers met verschillende beheerdersrechten hebben verschillende toegangsrechten nodig voor bepaalde instanties van een objecttype. Bijvoorbeeld: de ene groep gebruikers met beheerdersrechten heeft de machtiging Lezen nodig voor specifieke software-updategroepen, en een andere groep gebruikers met beheerdersrechten heeft de machtigingen Wijzigen en Verwijderen nodig voor andere software-updategroepen. Maak verschillende beveiligingsbereiken voor deze software-updategroepen.
Zie voor informatie over het configureren van beveiligingsbereiken voor rolgebaseerd beheer de sectie Beveiligingsbereiken voor een object configureren in het onderwerp Beveiliging configureren voor Configuration Manager.