Udostępnij za pośrednictwem


Zabezpieczenia i prywatność klientów Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

W tym artykule opisano informacje o zabezpieczeniach i ochronie prywatności dla klientów Configuration Manager. Zawiera również informacje dotyczące urządzeń przenośnych zarządzanych przez łącznik Exchange Server.

Wskazówki dotyczące zabezpieczeń dla klientów

Lokacja Configuration Manager akceptuje dane z urządzeń z uruchomionym klientem Configuration Manager. To zachowanie stwarza ryzyko, że klienci będą mogli zaatakować lokację. Mogą na przykład wysyłać źle sformułowane spisy lub próbować przeciążyć systemy lokacji. Wdróż klienta Configuration Manager tylko na zaufanych urządzeniach.

Skorzystaj z poniższych wskazówek dotyczących zabezpieczeń, aby chronić witrynę przed nieautoryzowanym lub naruszonymi urządzeniami.

Używanie certyfikatów infrastruktury kluczy publicznych (PKI) do komunikacji klienta z systemami lokacji z uruchomionymi usługami IIS

  • Jako właściwość lokacji skonfiguruj ustawienia systemu lokacjitylko dla protokołu HTTPS. Aby uzyskać więcej informacji, zobacz Konfigurowanie zabezpieczeń.

  • Zainstaluj klientów za pomocą właściwości UsePKICert CCMSetup.

  • Użyj listy odwołania certyfikatów (CRL). Upewnij się, że klienci i serwery komunikujące się zawsze mogą uzyskiwać do nich dostęp.

Klienci urządzeń przenośnych i niektórzy klienci internetowi wymagają tych certyfikatów. Firma Microsoft zaleca te certyfikaty dla wszystkich połączeń klienta w intranecie.

Aby uzyskać więcej informacji na temat używania certyfikatów w Configuration Manager, zobacz Planowanie certyfikatów.

Ważna

Począwszy od Configuration Manager wersji 2103, witryny, które zezwalają na komunikację klienta HTTP, są przestarzałe. Skonfiguruj witrynę pod kątem protokołu HTTPS lub rozszerzonego protokołu HTTP. Aby uzyskać więcej informacji, zobacz Włączanie witryny dla protokołu HTTPS lub rozszerzonego protokołu HTTP.

Automatyczne zatwierdzanie komputerów klienckich z zaufanych domen oraz ręczne sprawdzanie i zatwierdzanie innych komputerów

Jeśli nie możesz użyć uwierzytelniania PKI, zatwierdzenie identyfikuje komputer, któremu ufasz, że będzie zarządzany przez Configuration Manager. Hierarchia ma następujące opcje konfigurowania zatwierdzania klienta:

  • Ręcznie
  • Automatyczne dla komputerów w zaufanych domenach
  • Automatyczne dla wszystkich komputerów

Najbezpieczniejszą metodą zatwierdzania jest automatyczne zatwierdzanie klientów będących członkami zaufanych domen. Ta opcja obejmuje klientów przyłączonych do domeny w chmurze z połączonych Microsoft Entra dzierżaw. Następnie ręcznie sprawdź i zatwierdź wszystkie inne komputery. Automatyczne zatwierdzanie wszystkich klientów nie jest zalecane, chyba że masz inne mechanizmy kontroli dostępu, aby uniemożliwić niezaufanym komputerom dostęp do sieci.

Aby uzyskać więcej informacji na temat ręcznego zatwierdzania komputerów, zobacz Zarządzanie klientami z poziomu węzła urządzenia.

Nie polegaj na blokowaniu, aby uniemożliwić klientom dostęp do hierarchii Configuration Manager

Zablokowani klienci są odrzucane przez infrastrukturę Configuration Manager. Jeśli klienci są zablokowani, nie mogą komunikować się z systemami lokacji w celu pobierania zasad, przekazywania danych spisu ani wysyłania komunikatów o stanie lub stanie.

Blokowanie jest przeznaczone dla następujących scenariuszy:

  • Aby zablokować utracony lub naruszony nośnik rozruchowy podczas wdrażania systemu operacyjnego na klientach
  • Gdy wszystkie systemy lokacji akceptują połączenia klienta HTTPS

Gdy systemy lokacji akceptują połączenia klienta HTTP, nie należy polegać na blokowaniu, aby chronić hierarchię Configuration Manager przed niezaufanymi komputerami. W tym scenariuszu zablokowany klient może ponownie dołączyć do lokacji z nowym certyfikatem z podpisem własnym i identyfikatorem sprzętu.

Odwołanie certyfikatu jest podstawową linią obrony przed potencjalnie naruszonymi certyfikatami. Lista odwołania certyfikatów (CRL) jest dostępna tylko z obsługiwanej infrastruktury kluczy publicznych (PKI). Blokowanie klientów w Configuration Manager oferuje drugi wiersz obrony w celu ochrony hierarchii.

Aby uzyskać więcej informacji, zobacz Określanie, czy zablokować klientów.

Użyj najbezpieczniejszych metod instalacji klienta, które są praktyczne dla Twojego środowiska

  • W przypadku komputerów z domenami metody instalacji klienta zasad grupy i instalacji klienta opartej na aktualizacji oprogramowania są bezpieczniejsze niż instalacja wypychana klienta .

  • Jeśli zastosujesz mechanizmy kontroli dostępu i zmiany, użyj metod obrazowania i instalacji ręcznej.

  • Użyj uwierzytelniania wzajemnego Kerberos z instalacją wypychanej klienta.

Spośród wszystkich metod instalacji klienta instalacja wypychana klienta jest najmniej bezpieczna ze względu na wiele zależności, które ma. Te zależności obejmują lokalne uprawnienia administracyjne, Admin$ udział i wyjątki zapory. Liczba i typ tych zależności zwiększają obszar ataków.

W przypadku korzystania z wypychania klienta lokacja może wymagać wzajemnego uwierzytelniania Kerberos, nie zezwalając na powrót do protokołu NTLM przed nawiązaniem połączenia. To ulepszenie pomaga zabezpieczyć komunikację między serwerem a klientem. Aby uzyskać więcej informacji, zobacz Jak zainstalować klientów przy użyciu wypychania klienta.

Aby uzyskać więcej informacji na temat różnych metod instalacji klienta, zobacz Metody instalacji klienta.

Tam, gdzie to możliwe, wybierz metodę instalacji klienta, która wymaga najmniejszych uprawnień zabezpieczeń w Configuration Manager. Ogranicz użytkowników administracyjnych, którzy mają przypisane role zabezpieczeń z uprawnieniami, których można używać do celów innych niż wdrożenie klienta. Na przykład skonfigurowanie automatycznego uaktualniania klienta wymaga roli zabezpieczeń pełnego administratora , która udziela użytkownikowi administracyjnemu wszystkich uprawnień zabezpieczeń.

Aby uzyskać więcej informacji na temat zależności i uprawnień zabezpieczeń wymaganych dla każdej metody instalacji klienta, zobacz Wymagania wstępne dla klientów komputerów.

Jeśli musisz użyć instalacji wypychanej klienta, zabezpiecz konto instalacji wypychanej klienta

Konto instalacji wypychanej klienta musi być członkiem lokalnej grupy Administratorzy na każdym komputerze, który instaluje klienta Configuration Manager. Nigdy nie należy dodawać konta instalacji wypychanej klienta do grupy Administratorzy domeny . Zamiast tego utwórz grupę globalną, a następnie dodaj ją do lokalnej grupy Administratorzy na klientach. Utwórz obiekt zasad grupy, aby dodać ustawienie Grupy z ograniczeniami , aby dodać konto instalacji wypychanej klienta do lokalnej grupy Administratorzy .

Aby uzyskać większe bezpieczeństwo, utwórz wiele kont instalacji wypychanej klienta, z których każde ma dostęp administracyjny do ograniczonej liczby komputerów. Jeśli bezpieczeństwo jednego konta zostanie naruszone, tylko komputery klienckie, do których to konto ma dostęp, zostaną naruszone.

Usuwanie certyfikatów przed klientami przetwarzania obrazów

Podczas wdrażania klientów przy użyciu obrazów systemu operacyjnego zawsze usuwaj certyfikaty przed przechwyceniem obrazu. Certyfikaty te obejmują certyfikaty infrastruktury kluczy publicznych na potrzeby uwierzytelniania klienta i certyfikaty z podpisem własnym. Jeśli nie usuniesz tych certyfikatów, klienci mogą personifikować się nawzajem. Nie można zweryfikować danych dla każdego klienta.

Aby uzyskać więcej informacji, zobacz Tworzenie sekwencji zadań w celu przechwycenia systemu operacyjnego.

Upewnij się, że klient Configuration Manager otrzymuje autoryzowaną kopię certyfikatów

Certyfikat zaufanego klucza głównego Configuration Manager

Jeśli obie poniższe instrukcje są prawdziwe, klienci polegają na Configuration Manager zaufanym kluczu głównym w celu uwierzytelnienia prawidłowych punktów zarządzania:

  • Nie rozszerzono schematu usługi Active Directory dla Configuration Manager
  • Klienci nie używają certyfikatów PKI podczas komunikowania się z punktami zarządzania

W tym scenariuszu klienci nie mogą sprawdzić, czy punkt zarządzania jest zaufany dla hierarchii, chyba że używają zaufanego klucza głównego. Bez zaufanego klucza głównego wykwalifikowany atakujący może skierować klientów do nieautoryzowanego punktu zarządzania.

Gdy klienci nie używają certyfikatów infrastruktury kluczy publicznych i nie mogą pobrać zaufanego klucza głównego z wykazu globalnego usługi Active Directory, wstępnie aprowizuj klientów przy użyciu zaufanego klucza głównego. Ta akcja gwarantuje, że nie można ich skierować do nieautoryzowanego punktu zarządzania. Aby uzyskać więcej informacji, zobacz Planowanie zaufanego klucza głównego.

Certyfikat podpisywania serwera lokacji

Klienci używają certyfikatu podpisywania serwera lokacji, aby sprawdzić, czy serwer lokacji podpisał zasady pobrane z punktu zarządzania. Ten certyfikat jest podpisem własnym przez serwer lokacji i publikowany w Active Directory Domain Services.

Gdy klienci nie mogą pobrać tego certyfikatu z wykazu globalnego usługi Active Directory, domyślnie pobierają go z punktu zarządzania. Jeśli punkt zarządzania jest uwidoczniany w niezaufanej sieci, takiej jak Internet, ręcznie zainstaluj certyfikat podpisywania serwera lokacji na klientach. Ta akcja gwarantuje, że nie mogą pobrać naruszonych zasad klienta z punktu zarządzania, który został naruszony.

Aby ręcznie zainstalować certyfikat podpisywania serwera lokacji, użyj właściwości CCMSetup client.msi SMSSIGNCERT.

Jeśli klient pobierze zaufany klucz główny z pierwszego punktu zarządzania, z którym się kontaktuje, nie używaj automatycznego przypisania lokacji

Aby uniknąć ryzyka, że nowy klient pobierze zaufany klucz główny z nieautoryzowanego punktu zarządzania, użyj automatycznego przypisania lokacji tylko w następujących scenariuszach:

  • Klient może uzyskać dostęp do Configuration Manager informacji o lokacji, które zostały opublikowane w Active Directory Domain Services.

  • Należy wstępnie aprowizować klienta przy użyciu zaufanego klucza głównego.

  • Certyfikaty infrastruktury kluczy publicznych z urzędu certyfikacji przedsiębiorstwa umożliwiają ustanowienie zaufania między klientem a punktem zarządzania.

Aby uzyskać więcej informacji na temat zaufanego klucza głównego, zobacz Planowanie zaufanego klucza głównego.

Upewnij się, że okna obsługi są wystarczająco duże, aby wdrożyć krytyczne aktualizacje oprogramowania

Okna obsługi kolekcji urządzeń ograniczają czasy, w których Configuration Manager mogą instalować oprogramowanie na tych urządzeniach. Jeśli okno obsługi zostanie skonfigurowane tak, aby było zbyt małe, klient może nie instalować krytycznych aktualizacji oprogramowania. To zachowanie sprawia, że klient jest narażony na wszelkie ataki, które łagodzi aktualizacja oprogramowania.

Podejmij środki ostrożności, aby zmniejszyć obszar ataków na urządzeniach z systemem Windows Embedded przy użyciu filtrów zapisu

Po włączeniu filtrów zapisu na urządzeniach z systemem Windows Embedded wszelkie instalacje oprogramowania lub zmiany są wprowadzane tylko do nakładki. Te zmiany nie są utrwalane po ponownym uruchomieniu urządzenia. Jeśli używasz Configuration Manager do wyłączenia filtrów zapisu, w tym okresie urządzenie osadzone jest narażone na zmiany wszystkich woluminów. Te woluminy obejmują foldery udostępnione.

Configuration Manager blokuje komputer w tym okresie, aby tylko administratorzy lokalni mogli się zalogować. Jeśli to możliwe, należy podjąć inne środki ostrożności, aby chronić komputer. Na przykład włącz ograniczenia zapory.

Jeśli używasz okien obsługi do utrwalania zmian, dokładnie zaplanuj te okna. Zminimalizuj czas wyłączenia filtrów zapisu, ale ustaw je wystarczająco długo, aby umożliwić ukończenie instalacji oprogramowania i ponownego uruchamiania.

Używanie najnowszej wersji klienta z instalacją klienta opartą na aktualizacji oprogramowania

Jeśli używasz instalacji klienta opartej na aktualizacji oprogramowania i instalujesz nowszą wersję klienta w lokacji, zaktualizuj opublikowaną aktualizację oprogramowania. Następnie klienci otrzymują najnowszą wersję z punktu aktualizacji oprogramowania.

Po zaktualizowaniu lokacji aktualizacja oprogramowania dla wdrożenia klienta opublikowanego w punkcie aktualizacji oprogramowania nie jest automatycznie aktualizowana. Ponownie opublikuj klienta Configuration Manager do punktu aktualizacji oprogramowania i zaktualizuj numer wersji.

Aby uzyskać więcej informacji, zobacz How to install Configuration Manager clients by using software update-based installation (Jak zainstalować klientów Configuration Manager przy użyciu instalacji opartej na aktualizacji oprogramowania).

Wstrzymywanie wpisu numeru PIN funkcji BitLocker tylko na urządzeniach z zaufanym dostępem i ograniczonym dostępem

Skonfiguruj tylko ustawienie klienta tak, aby wstrzymywał wpis numeru PIN funkcji BitLocker po ponownym uruchomieniu na wartość Always dla komputerów, którym ufasz i które mają ograniczony dostęp fizyczny.

Po ustawieniu tego ustawienia klienta na wartość Always Configuration Manager można ukończyć instalację oprogramowania. To zachowanie ułatwia instalowanie krytycznych aktualizacji oprogramowania i wznawianie usług. Jeśli osoba atakująca przechwyci proces ponownego uruchomienia, może przejąć kontrolę nad komputerem. Tego ustawienia należy używać tylko wtedy, gdy ufasz komputerowi i gdy dostęp fizyczny do komputera jest ograniczony. Na przykład to ustawienie może być odpowiednie dla serwerów w centrum danych.

Aby uzyskać więcej informacji na temat tego ustawienia klienta, zobacz Informacje o ustawieniach klienta.

Nie pomijaj zasad wykonywania programu PowerShell

Jeśli skonfigurujesz ustawienie klienta Configuration Manager dla zasad wykonywania programu PowerShell na wartość Bypass, system Windows zezwala na uruchamianie niepodpisanych skryptów programu PowerShell. To zachowanie może umożliwić uruchamianie złośliwego oprogramowania na komputerach klienckich. Gdy organizacja wymaga tej opcji, użyj niestandardowego ustawienia klienta. Przypisz go tylko do komputerów klienckich, na których muszą działać niepodpisane skrypty programu PowerShell.

Aby uzyskać więcej informacji na temat tego ustawienia klienta, zobacz Informacje o ustawieniach klienta.

Wskazówki dotyczące zabezpieczeń urządzeń przenośnych

Instalowanie punktu proxy rejestracji w sieci obwodowej i punktu rejestracji w intranecie

W przypadku urządzeń przenośnych z Internetem, które są rejestrowane za pomocą Configuration Manager, zainstaluj punkt proxy rejestracji w sieci obwodowej i punkt rejestracji w intranecie. Ta separacja ról pomaga chronić punkt rejestracji przed atakiem. Jeśli osoba atakująca naruszy punkt rejestracji, może uzyskać certyfikaty na potrzeby uwierzytelniania. Mogą również ukraść poświadczenia użytkowników, którzy rejestrują swoje urządzenia przenośne.

Konfigurowanie ustawień hasła w celu ochrony urządzeń przenośnych przed nieautoryzowanym dostępem

W przypadku urządzeń przenośnych zarejestrowanych przez Configuration Manager: użyj elementu konfiguracji urządzenia przenośnego, aby skonfigurować złożoność hasła jako numer PIN. Określ co najmniej domyślną minimalną długość hasła.

W przypadku urządzeń przenośnych, które nie mają zainstalowanego klienta Configuration Manager, ale są zarządzane przez łącznik Exchange Server: skonfiguruj ustawienia haseł dla łącznika Exchange Server w taki sposób, aby złożoność hasła była numerem PIN. Określ co najmniej domyślną minimalną długość hasła.

Zezwalaj na uruchamianie tylko aplikacji podpisanych przez zaufane firmy

Zapobiegaj manipulowaniu informacjami o spisie i informacjami o stanie, zezwalając aplikacjom na uruchamianie tylko wtedy, gdy są podpisane przez zaufane firmy. Nie zezwalaj urządzeniom na instalowanie plików bez znaku.

W przypadku urządzeń przenośnych zarejestrowanych przez Configuration Manager: użyj elementu konfiguracji urządzenia przenośnego, aby skonfigurować ustawienie zabezpieczeń Niepodpisane aplikacje jako zabronione. Skonfiguruj instalacje niepodpisanych plików jako zaufane źródło.

W przypadku urządzeń przenośnych, które nie mają zainstalowanego klienta Configuration Manager, ale są zarządzane przez łącznik Exchange Server: skonfiguruj ustawienia aplikacji dla łącznika Exchange Server, tak aby instalacja niepodpisanych plików i niepodpisane aplikacje były zabronione.

Blokowanie urządzeń przenośnych, gdy nie są używane

Zapobiegaj atakom podniesienia uprawnień, blokując urządzenie przenośne, gdy nie jest używane.

W przypadku urządzeń przenośnych zarejestrowanych przez Configuration Manager: użyj elementu konfiguracji urządzenia przenośnego, aby skonfigurować ustawienie hasła Czas bezczynności na kilka minut przed zablokowaniem urządzenia przenośnego.

W przypadku urządzeń przenośnych, które nie mają zainstalowanego klienta Configuration Manager, ale są zarządzane przez łącznik Exchange Server: skonfiguruj ustawienia haseł dla łącznika Exchange Server, aby ustawić czas bezczynności na kilka minut przed zablokowaniem urządzenia przenośnego.

Ograniczanie użytkowników, którzy mogą rejestrować swoje urządzenia przenośne

Zapobiegaj podniesieniu uprawnień, ograniczając użytkowników, którzy mogą rejestrować swoje urządzenia przenośne. Użyj niestandardowego ustawienia klienta, a nie domyślnych ustawień klienta, aby umożliwić rejestrowanie urządzeń przenośnych tylko autoryzowanym użytkownikom.

Wskazówki dotyczące koligacji urządzeń użytkownika dla urządzeń przenośnych

Nie wdrażaj aplikacji dla użytkowników, którzy mają urządzenia przenośne zarejestrowane przez Configuration Manager w następujących scenariuszach:

  • Urządzenie przenośne jest używane przez więcej niż jedną osobę.

  • Urządzenie jest rejestrowane przez administratora w imieniu użytkownika.

  • Urządzenie jest przenoszone do innej osoby bez wycofywania, a następnie ponownego rejestrowania urządzenia.

Rejestracja urządzenia tworzy relację koligacji urządzenia użytkownika. Ta relacja mapuje użytkownika, który przeprowadza rejestrację, na urządzenie przenośne. Jeśli inny użytkownik korzysta z urządzenia przenośnego, może uruchomić aplikacje wdrożone dla oryginalnego użytkownika, co może spowodować podniesienie uprawnień. Podobnie, jeśli administrator zarejestruje urządzenie przenośne dla użytkownika, aplikacje wdrożone dla użytkownika nie są instalowane na urządzeniu przenośnym. Zamiast tego można zainstalować aplikacje wdrożone dla administratora.

Ochrona połączenia między serwerem lokacji Configuration Manager a Exchange Server

Jeśli Exchange Server jest lokalna, użyj protokołu IPsec. Hostowany program Exchange automatycznie zabezpiecza połączenie za pomocą protokołu HTTPS.

Używanie zasady najniższych uprawnień dla łącznika programu Exchange

Aby uzyskać listę minimalnych poleceń cmdlet wymaganych przez łącznik Exchange Server, zobacz Zarządzanie urządzeniami przenośnymi za pomocą Configuration Manager i programu Exchange.

Wskazówki dotyczące zabezpieczeń urządzeń z systemem macOS

Przechowywanie plików źródłowych klienta i uzyskiwanie do nich dostępu z zabezpieczonej lokalizacji

Przed zainstalowaniem lub zarejestrowaniem klienta na komputerze z systemem macOS Configuration Manager nie sprawdza, czy te pliki źródłowe klienta zostały naruszone. Pobierz te pliki z wiarygodnego źródła. Bezpieczne przechowywanie i uzyskiwanie do nich dostępu.

Monitorowanie i śledzenie okresu ważności certyfikatu

Monitorowanie i śledzenie okresu ważności certyfikatów używanych dla komputerów z systemem macOS. Configuration Manager nie obsługuje automatycznego odnawiania tego certyfikatu lub ostrzega, że certyfikat wkrótce wygaśnie. Typowy okres ważności to jeden rok.

Aby uzyskać więcej informacji o sposobie odnawiania certyfikatu, zobacz Ręczne odnawianie certyfikatu klienta systemu macOS.

Konfigurowanie zaufanego certyfikatu głównego tylko dla protokołu SSL

Aby chronić przed podniesieniem uprawnień, skonfiguruj certyfikat dla zaufanego głównego urzędu certyfikacji, aby był zaufany tylko dla protokołu SSL.

Podczas rejestrowania komputerów Mac jest automatycznie instalowany certyfikat użytkownika do zarządzania klientem Configuration Manager. Ten certyfikat użytkownika zawiera zaufane certyfikaty główne w łańcuchu zaufania. Aby ograniczyć zaufanie tego certyfikatu głównego tylko do protokołu SSL, użyj następującej procedury:

  1. Na komputerze Mac otwórz okno terminalu.

  2. Wprowadź następujące polecenie: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. W oknie dialogowym Dostęp do łańcucha kluczy w sekcji Pęku kluczy wybierz pozycję System. Następnie w sekcji Kategoria wybierz pozycję Certyfikaty.

  4. Znajdź i otwórz certyfikat głównego urzędu certyfikacji dla certyfikatu klienta komputera Mac.

  5. W oknie dialogowym certyfikatu głównego urzędu certyfikacji rozwiń sekcję Zaufanie , a następnie wprowadź następujące zmiany:

    1. W przypadku korzystania z tego certyfikatu: zmień ustawienie Zawsze ufaj na Wartość domyślna systemu.

    2. Secure Sockets Layer (SSL): Nie należy zmieniać żadnej wartości naZawsze ufaj.

  6. Zamknij okno dialogowe. Po wyświetleniu monitu wprowadź hasło administratora, a następnie wybierz pozycję Aktualizuj ustawienia.

Po wykonaniu tej procedury certyfikat główny jest zaufany tylko w celu zweryfikowania protokołu SSL. Inne protokoły, które są teraz niezaufane z tym certyfikatem głównym, to Secure Mail (S/MIME), Extensible Authentication (EAP) lub podpisywanie kodu.

Uwaga

Tej procedury należy również użyć, jeśli certyfikat klienta został zainstalowany niezależnie od Configuration Manager.

Problemy z zabezpieczeniami klientów

Następujące problemy z zabezpieczeniami nie mają ograniczenia ryzyka:

Komunikaty o stanie nie są uwierzytelniane

Punkt zarządzania nie uwierzytelnia komunikatów o stanie. Gdy punkt zarządzania akceptuje połączenia klienta HTTP, każde urządzenie może wysyłać komunikaty o stanie do punktu zarządzania. Jeśli punkt zarządzania akceptuje tylko połączenia klienta HTTPS, urządzenie musi mieć prawidłowy certyfikat uwierzytelniania klienta, ale może również wysyłać dowolny komunikat o stanie. Punkt zarządzania odrzuca wszelkie nieprawidłowe komunikaty o stanie odebrane od klienta.

Istnieje kilka potencjalnych ataków na tę lukę w zabezpieczeniach:

  • Osoba atakująca może wysłać fałszywy komunikat o stanie, aby uzyskać członkostwo w kolekcji opartej na zapytaniach dotyczących komunikatów o stanie.
  • Każdy klient może uruchomić odmowę usługi względem punktu zarządzania, zalewając go komunikatami o stanie.
  • Jeśli komunikaty o stanie wyzwalają akcje w regułach filtrowania komunikatów o stanie, osoba atakująca może wyzwolić regułę filtru komunikatów o stanie.
  • Osoba atakująca może wysłać komunikat o stanie, który sprawi, że informacje dotyczące raportowania będą niedokładne.

Zasady można przekierować do klientów nieobjętych celem

Istnieje kilka metod, których osoby atakujące mogą użyć, aby zasady przeznaczone dla jednego klienta były stosowane do zupełnie innego klienta. Na przykład osoba atakująca zaufanego klienta może wysłać fałszywe informacje o spisie lub odnajdowaniu, aby komputer został dodany do kolekcji, do której nie powinien należeć. Następnie ten klient otrzymuje wszystkie wdrożenia w tej kolekcji.

Istnieją kontrolki, które uniemożliwiają osobom atakującym bezpośrednie modyfikowanie zasad. Jednak osoby atakujące mogą przyjąć istniejące zasady, które sformatują i ponownie wdrażają system operacyjny i wysyłają je na inny komputer. Te przekierowane zasady mogą tworzyć odmowę usługi. Tego rodzaju ataki wymagałyby dokładnego czasu i obszernej wiedzy na temat infrastruktury Configuration Manager.

Dzienniki klienta zezwalają na dostęp użytkowników

Wszystkie pliki dziennika klienta zezwalają grupie Użytkownicy z dostępem do odczytu oraz specjalnemu użytkownikowi interaktywnemu z dostępem do zapisu danych. Jeśli włączysz pełne rejestrowanie, osoby atakujące mogą odczytać pliki dziennika w celu wyszukania informacji o zgodności lub lukach w zabezpieczeniach systemu. Procesy, takie jak oprogramowanie instalowane przez klienta w kontekście użytkownika, muszą zapisywać w dziennikach przy użyciu konta użytkownika o niskich prawach. To zachowanie oznacza, że osoba atakująca może również zapisywać w dziennikach przy użyciu konta o niskich prawach.

Najpoważniejsze ryzyko polega na tym, że osoba atakująca może usunąć informacje w plikach dziennika. Administrator może potrzebować tych informacji do przeprowadzania inspekcji i wykrywania włamań.

Komputer może służyć do uzyskiwania certyfikatu przeznaczonego do rejestracji urządzeń przenośnych

Gdy Configuration Manager przetwarza żądanie rejestracji, nie może zweryfikować, czy żądanie pochodzi z urządzenia przenośnego, a nie z komputera. Jeśli żądanie pochodzi z komputera, może zainstalować certyfikat infrastruktury kluczy publicznych, który umożliwia rejestrację w Configuration Manager.

Aby zapobiec atakowi podniesienia uprawnień w tym scenariuszu, zezwalaj tylko zaufanym użytkownikom na rejestrowanie swoich urządzeń przenośnych. Uważnie monitoruj działania rejestracji urządzeń w witrynie.

Zablokowany klient nadal może wysyłać komunikaty do punktu zarządzania

Po zablokowaniu klienta, któremu nie ufasz, ale nawiązano połączenie sieciowe dla powiadomienia klienta, Configuration Manager nie rozłącza sesji. Zablokowany klient może nadal wysyłać pakiety do punktu zarządzania, dopóki klient nie rozłączy się z siecią. Te pakiety są tylko małymi pakietami o utrzymaniu aktywności. Ten klient nie może być zarządzany przez Configuration Manager, dopóki nie zostanie odblokowany.

Automatyczne uaktualnianie klienta nie weryfikuje punktu zarządzania

W przypadku korzystania z automatycznego uaktualniania klienta można przekierować klienta do punktu zarządzania w celu pobrania plików źródłowych klienta. W tym scenariuszu klient nie weryfikuje punktu zarządzania jako zaufanego źródła.

Gdy użytkownicy po raz pierwszy rejestrują komputery z systemem macOS, są narażeni na fałszowanie dns

Gdy komputer z systemem macOS nawiązuje połączenie z punktem proxy rejestracji podczas rejestracji, jest mało prawdopodobne, że komputer z systemem macOS ma już zaufany certyfikat głównego urzędu certyfikacji. W tym momencie komputer z systemem macOS nie ufa serwerowi i monituje użytkownika o kontynuowanie. Jeśli nieautoryzowany serwer DNS rozpozna w pełni kwalifikowaną nazwę domeny (FQDN) punktu serwera proxy rejestracji, może skierować komputer z systemem macOS do nieautoryzowanego punktu proxy rejestracji w celu zainstalowania certyfikatów z niezaufanego źródła. Aby zmniejszyć to ryzyko, postępuj zgodnie ze wskazówkami DNS, aby uniknąć fałszowania w środowisku.

Rejestracja w systemie macOS nie ogranicza żądań certyfikatów

Użytkownicy mogą ponownie zarejestrować swoje komputery z systemem macOS za każdym razem, gdy żądają nowego certyfikatu klienta. Configuration Manager nie sprawdza wielu żądań ani nie ogranicza liczby certyfikatów żądanych z jednego komputera. Nieautoryzowany użytkownik może uruchomić skrypt, który powtarza żądanie rejestracji wiersza polecenia. Ten atak może spowodować odmowę usługi w sieci lub u urzędu wystawiającego certyfikaty (CA). Aby zmniejszyć to ryzyko, uważnie monitoruj urząd wystawiający certyfikaty pod kątem tego typu podejrzanego zachowania. Natychmiast zablokuj z hierarchii Configuration Manager dowolnego komputera, który pokazuje ten wzorzec zachowania.

Potwierdzenie czyszczenia nie sprawdza, czy urządzenie zostało pomyślnie wyczyszczone

Po uruchomieniu akcji czyszczenia urządzenia przenośnego i Configuration Manager potwierdzenia czyszczenia, weryfikacja polega na tym, że Configuration Manager pomyślnie wysłano wiadomość. Nie sprawdza, czy urządzenie działało na żądanie.

W przypadku urządzeń przenośnych zarządzanych przez łącznik Exchange Server potwierdzenie czyszczenia sprawdza, czy polecenie zostało odebrane przez program Exchange, a nie przez urządzenie.

Jeśli używasz opcji do zatwierdzania zmian na urządzeniach z systemem Windows Embedded, konta mogą zostać zablokowane wcześniej niż oczekiwano

Jeśli na urządzeniu z systemem Windows Embedded jest uruchomiona wersja systemu operacyjnego wcześniejsza niż Windows 7, a użytkownik próbuje się zalogować, gdy filtry zapisu są wyłączone przez Configuration Manager, system Windows zezwala tylko na połowę skonfigurowanej liczby nieprawidłowych prób przed zablokowaniem konta.

Na przykład skonfigurujesz zasady domeny dla progu blokady konta do sześciu prób. Użytkownik trzykrotnie błędnie wpisuje swoje hasło, a konto jest zablokowane. To zachowanie skutecznie tworzy odmowę usługi. Jeśli użytkownicy muszą zalogować się do urządzeń osadzonych w tym scenariuszu, przestroga przed możliwością zmniejszenia progu blokady.

Informacje o ochronie prywatności klientów

Podczas wdrażania klienta Configuration Manager należy włączyć ustawienia klienta dla funkcji Configuration Manager. Ustawienia używane do konfigurowania funkcji mogą być stosowane do wszystkich klientów w hierarchii Configuration Manager. To zachowanie jest takie samo, niezależnie od tego, czy są one bezpośrednio połączone z siecią wewnętrzną, połączone za pośrednictwem sesji zdalnej, czy połączone z Internetem.

Informacje o kliencie są przechowywane w bazie danych lokacji Configuration Manager w SQL Server i nie są wysyłane do firmy Microsoft. Informacje są przechowywane w bazie danych, dopóki nie zostaną usunięte przez zadanie konserwacji lokacji Usuń przestarzałe dane odnajdywania co 90 dni. Interwał usuwania można skonfigurować.

Niektóre podsumowane lub zagregowane dane diagnostyczne i dane użycia są wysyłane do firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dane diagnostyczne i dane użycia.

Więcej informacji na temat zbierania i używania danych firmy Microsoft można znaleźć w oświadczeniu o ochronie prywatności firmy Microsoft.

Stan klienta

Configuration Manager monitoruje aktywność klientów. Okresowo ocenia klienta Configuration Manager i może korygować problemy z klientem i jego zależnościami. Stan klienta jest domyślnie włączony. Używa metryk po stronie serwera do sprawdzania aktywności klienta. Stan klienta używa akcji po stronie klienta do samodzielnego sprawdzania, korygowania i wysyłania informacji o stanie klienta do lokacji. Klient uruchamia samokontrole zgodnie z skonfigurowanym harmonogramem. Klient wysyła wyniki testów do Configuration Manager lokacji. Te informacje są szyfrowane podczas transferu.

Informacje o stanie klienta są przechowywane w bazie danych Configuration Manager w SQL Server i nie są wysyłane do firmy Microsoft. Informacje nie są przechowywane w formacie zaszyfrowanym w bazie danych lokacji. Te informacje są przechowywane w bazie danych, dopóki nie zostaną usunięte zgodnie z wartością skonfigurowaną dla ustawienia Stanu klienta Zachowaj przez następującą liczbę dni . Wartość domyślna tego ustawienia jest co 31 dni.

Informacje o ochronie prywatności łącznika Exchange Server

Łącznik Exchange Server znajduje urządzenia, które łączą się z lokalnym lub hostowanym Exchange Server, i zarządza nimi przy użyciu protokołu ActiveSync. Rekordy znalezione przez łącznik Exchange Server są przechowywane w bazie danych Configuration Manager w SQL Server. Informacje są zbierane z Exchange Server. Nie zawiera żadnych dodatkowych informacji z tego, co urządzenia przenośne wysyłają do Exchange Server.

Informacje o urządzeniu przenośnym nie są wysyłane do firmy Microsoft. Informacje o urządzeniu przenośnym są przechowywane w bazie danych Configuration Manager w SQL Server. Informacje są przechowywane w bazie danych, dopóki nie zostaną usunięte przez zadanie konserwacji lokacji Usuń przestarzałe dane odnajdywania co 90 dni. Należy skonfigurować interwał usuwania.

Więcej informacji na temat zbierania i używania danych firmy Microsoft można znaleźć w oświadczeniu o ochronie prywatności firmy Microsoft.