Zabezpieczenia i prywatność na potrzeby administrowania witrynami w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Ten artykuł zawiera informacje o zabezpieczeniach i ochronie prywatności dla Configuration Manager lokacji i hierarchii.

Wskazówki dotyczące zabezpieczeń dotyczące administrowania lokacjami

Skorzystaj z poniższych wskazówek, aby ułatwić zabezpieczanie Configuration Manager lokacji i hierarchii.

Uruchamianie konfiguracji z zaufanego źródła i bezpiecznej komunikacji

Aby uniemożliwić innej osobie manipulowanie plikami źródłowymi, uruchom Configuration Manager instalatora z zaufanego źródła. Jeśli przechowujesz pliki w sieci, zabezpiecz lokalizację sieci.

Jeśli konfiguracja jest uruchamiana z lokalizacji sieciowej, aby zapobiec naruszeniu plików przez osobę atakującą podczas przesyłania ich za pośrednictwem sieci, użyj protokołu IPsec lub podpisywania SMB między lokalizacją źródłową plików instalacyjnych a serwerem lokacji.

Jeśli pobierasz pliki wymagane przez instalatora za pomocą instalatora, upewnij się, że zabezpieczono lokalizację, w której są przechowywane te pliki. Również zabezpieczyć kanał komunikacji dla tej lokalizacji podczas uruchamiania konfiguracji.

Rozszerzanie schematu usługi Active Directory i publikowanie witryn na domenę

Rozszerzenia schematu nie są wymagane do uruchamiania Configuration Manager, ale tworzą bezpieczniejsze środowisko. Klienci i serwery lokacji mogą pobierać informacje z zaufanego źródła.

Jeśli klienci znajdują się w niezaufanej domenie, wdróż następujące role systemu lokacji w domenach klientów:

• Punkt zarządzania

• Punkt dystrybucji

Uwaga

Zaufana domena dla Configuration Manager wymaga uwierzytelniania Kerberos. Jeśli klienci znajdują się w innym lesie, który nie ma dwukierunkowej relacji zaufania lasu z lasem serwera lokacji, klienci ci są uważane za w domenie niezaufanej. Zaufanie zewnętrzne nie jest wystarczające do tego celu.

Zabezpieczanie komunikacji przy użyciu protokołu IPsec

Mimo że Configuration Manager zabezpiecza komunikację między serwerem lokacji a komputerem z systemem SQL Server, Configuration Manager nie zabezpiecza komunikacji między rolami systemu lokacji a SQL Server. Można skonfigurować tylko niektóre systemy lokacji z protokołem HTTPS na potrzeby komunikacji wewnątrz lokacji.

Jeśli nie używasz dodatkowych kontrolek do zabezpieczania tych kanałów typu serwer-serwer, osoby atakujące mogą używać różnych ataków typu "fałszowanie" i "man-in-the-middle" na systemy lokacji. Użyj podpisywania SMB, gdy nie możesz użyć protokołu IPsec.

Ważna

Zabezpieczanie kanału komunikacji między serwerem lokacji a serwerem źródłowym pakietu. Ta komunikacja używa protokołu SMB. Jeśli nie możesz użyć protokołu IPsec do zabezpieczenia tej komunikacji, użyj podpisywania SMB, aby upewnić się, że pliki nie zostały naruszone przed pobraniem i uruchomieniem ich przez klientów.

Nie zmieniaj domyślnych grup zabezpieczeń

Nie zmieniaj następujących grup zabezpieczeń, które Configuration Manager tworzy komunikację systemu lokacji i zarządza nią:

• <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager automatycznie tworzy te grupy zabezpieczeń i zarządza nimi. To zachowanie obejmuje usuwanie kont komputerów po usunięciu roli systemu lokacji.

Aby zapewnić ciągłość usługi i najmniejsze uprawnienia, nie edytuj ręcznie tych grup.

Zarządzanie procesem aprowizacji zaufanego klucza głównego

Jeśli klienci nie mogą wysyłać zapytań do wykazu globalnego w celu Configuration Manager informacji, muszą polegać na zaufanym kluczu głównym, aby uwierzytelnić prawidłowe punkty zarządzania. Zaufany klucz główny jest przechowywany w rejestrze klienta. Można go ustawić przy użyciu zasad grupy lub konfiguracji ręcznej.

Jeśli klient nie ma kopii zaufanego klucza głównego, zanim po raz pierwszy skontaktuje się z punktem zarządzania, ufa pierwszemu punktowi zarządzania, z którym się komunikuje. Aby zmniejszyć ryzyko błędnego skierowania klientów przez osobę atakującą do nieautoryzowanego punktu zarządzania, można wstępnie aprowizować klientów przy użyciu zaufanego klucza głównego. Aby uzyskać więcej informacji, zobacz Planowanie zaufanego klucza głównego.

Używanie numerów portów innych niż domyślne

Użycie numerów portów innych niż domyślne może zapewnić dodatkowe zabezpieczenia. Utrudniają one osobom atakującym eksplorowanie środowiska w ramach przygotowań do ataku. Jeśli zdecydujesz się na użycie portów innych niż domyślne, zaplanuj je przed zainstalowaniem Configuration Manager. Używaj ich spójnie we wszystkich lokacjach w hierarchii. Porty żądań klienta i wznawiania w sieci LAN to przykłady, w których można używać numerów portów innych niż domyślne.

Używanie separacji ról w systemach lokacji

Mimo że można zainstalować wszystkie role systemu lokacji na jednym komputerze, ta praktyka jest rzadko stosowana w sieciach produkcyjnych. Tworzy pojedynczy punkt awarii.

Zmniejszanie profilu ataku

Izolowanie każdej roli systemu lokacji na innym serwerze zmniejsza prawdopodobieństwo użycia ataku na luki w zabezpieczeniach w jednym systemie lokacji w innym systemie lokacji. Wiele ról wymaga instalacji usług Internet Information Services (IIS) w systemie lokacji, co zwiększa obszar ataków. Jeśli musisz połączyć role w celu zmniejszenia wydatków na sprzęt, połącz role usług IIS tylko z innymi rolami, które wymagają usług IIS.

Ważna

Rola rezerwowego punktu stanu jest wyjątkiem. Ponieważ ta rola systemu lokacji akceptuje nieuwierzytelnione dane od klientów, nie przypisuj roli rezerwowego punktu stanu do żadnej innej roli systemu lokacji Configuration Manager.

Konfigurowanie statycznych adresów IP dla systemów lokacji

Statyczne adresy IP są łatwiejsze do ochrony przed atakami rozpoznawania nazw.

Statyczne adresy IP ułatwiają również konfigurację protokołu IPsec. Używanie protokołu IPsec jest najlepszym rozwiązaniem w zakresie zabezpieczeń w zakresie zabezpieczania komunikacji między systemami lokacji w Configuration Manager.

Nie instaluj innych aplikacji na serwerach systemu lokacji

Podczas instalowania innych aplikacji na serwerach systemu lokacji zwiększa się obszar ataków dla Configuration Manager. Istnieje również ryzyko problemów z niezgodnością.

Wymagaj podpisywania i włączania szyfrowania jako opcji lokacji

Włącz opcje podpisywania i szyfrowania dla witryny. Upewnij się, że wszyscy klienci mogą obsługiwać algorytm skrótu SHA-256, a następnie włącz opcję Wymagaj algorytmu SHA-256.

Ograniczanie i monitorowanie użytkowników administracyjnych

Udzielanie dostępu administracyjnego do Configuration Manager tylko zaufanych użytkownikom. Następnie przyznaj im minimalne uprawnienia, używając wbudowanych ról zabezpieczeń lub dostosowując role zabezpieczeń. Użytkownicy administracyjni, którzy mogą tworzyć, modyfikować i wdrażać oprogramowanie i konfiguracje, mogą potencjalnie kontrolować urządzenia w hierarchii Configuration Manager.

Okresowo przeprowadzaj inspekcję przypisań użytkowników administracyjnych i ich poziomu autoryzacji, aby zweryfikować wymagane zmiany.

Aby uzyskać więcej informacji, zobacz Konfigurowanie administracji opartej na rolach.

Zabezpieczanie kopii zapasowych Configuration Manager

Podczas tworzenia kopii zapasowej Configuration Manager te informacje obejmują certyfikaty i inne poufne dane, które mogą być używane przez osobę atakującą do personifikacji.

Użyj podpisywania protokołu SMB lub protokołu IPsec podczas przesyłania tych danych za pośrednictwem sieci i zabezpieczania lokalizacji kopii zapasowej.

Bezpieczne lokalizacje dla wyeksportowanych obiektów

Za każdym razem, gdy eksportujesz lub importujesz obiekty z konsoli Configuration Manager do lokalizacji sieciowej, zabezpiecz lokalizację i zabezpiecz kanał sieciowy.

Ogranicz dostęp do folderu sieciowego.

Aby uniemożliwić atakującemu manipulowanie wyeksportowanymi danymi, użyj podpisywania protokołu SMB lub protokołu IPsec między lokalizacją sieciową a serwerem lokacji. Zabezpiecz również komunikację między komputerem z uruchomioną konsolą Configuration Manager a serwerem lokacji. Użyj protokołu IPsec, aby zaszyfrować dane w sieci, aby zapobiec ujawnieniu informacji.

Ręczne usuwanie certyfikatów z serwerów zakończonych niepowodzeniem

Jeśli system lokacji nie jest poprawnie odinstalowany lub przestaje działać i nie można go przywrócić, ręcznie usuń certyfikaty Configuration Manager dla tego serwera z innych serwerów Configuration Manager.

Aby usunąć zaufanie równorzędne, które zostało pierwotnie ustanowione z rolami systemu lokacji i systemu lokacji, ręcznie usuń certyfikaty Configuration Manager dla serwera, który uległ awarii, w magazynie certyfikatów Trusted Osoby na innych serwerach systemu lokacji. Ta akcja jest ważna w przypadku ponownego użycia serwera bez jego ponownego formatowania.

Aby uzyskać więcej informacji, zobacz Cryptographic controls for server communication (Kontrolki kryptograficzne komunikacji z serwerem).

Nie konfiguruj internetowych systemów lokacji w celu połączenia sieci obwodowej

Nie konfiguruj serwerów systemu lokacji tak, aby były wieloaspektowe, tak aby łączyły się z siecią obwodową i intranetem. Chociaż ta konfiguracja umożliwia internetowym systemom lokacji akceptowanie połączeń klienta z Internetu i intranetu, eliminuje to granicę zabezpieczeń między siecią obwodową a intranetem.

Konfigurowanie serwera lokacji w celu inicjowania połączeń z sieciami obwodowymi

Jeśli system lokacji znajduje się w niezaufanej sieci, takiej jak sieć obwodowa, skonfiguruj serwer lokacji do inicjowania połączeń z systemem lokacji.

Domyślnie systemy lokacji inicjują połączenia z serwerem lokacji w celu transferu danych. Ta konfiguracja może stanowić zagrożenie dla bezpieczeństwa, gdy inicjowanie połączenia pochodzi z niezaufanej sieci do zaufanej sieci. Gdy systemy lokacji akceptują połączenia z Internetu lub znajdują się w niezaufanym lesie, skonfiguruj opcję systemu lokacji na wartość Wymagaj od serwera lokacji inicjowania połączeń z tym systemem lokacji. Po zainstalowaniu systemu lokacji i wszystkich ról wszystkie połączenia są inicjowane przez serwer lokacji z zaufanej sieci.

Używanie mostkowania i kończania protokołu SSL przy użyciu uwierzytelniania

Jeśli używasz internetowego serwera proxy do internetowego zarządzania klientami, użyj mostkowania SSL do protokołu SSL, używając zakończenia z uwierzytelnianiem.

Po skonfigurowaniu zakończenia protokołu SSL na serwerze proxy sieci Web pakiety z Internetu podlegają inspekcji przed przekazaniem ich do sieci wewnętrznej. Serwer sieci Web serwera proxy uwierzytelnia połączenie od klienta, kończy je, a następnie otwiera nowe uwierzytelnione połączenie z internetowymi systemami lokacji.

Gdy Configuration Manager komputery klienckie używają serwera proxy sieci Web do nawiązywania połączenia z internetowymi systemami lokacji, tożsamość klienta (GUID) jest bezpiecznie zawarta w ładunku pakietów. Punkt zarządzania nie uważa serwera proxy za klienta.

Jeśli serwer internetowy serwera proxy nie może obsługiwać wymagań dotyczących mostkowania SSL, obsługiwane jest również tunelowanie SSL. Ta opcja jest mniej bezpieczna. Pakiety SSL z Internetu są przekazywane do systemów lokacji bez przerywania pracy. Następnie nie można ich sprawdzić pod kątem złośliwej zawartości.

Ostrzeżenie

Urządzenia przenośne zarejestrowane przez Configuration Manager nie mogą korzystać z mostkowania SSL. Muszą używać tylko tunelowania SSL.

Konfiguracje do użycia w przypadku skonfigurowania lokacji do wznawczania komputerów w celu zainstalowania oprogramowania

• Jeśli używasz tradycyjnych pakietów budzenia, użyj emisji pojedynczej, a nie emisji kierowanych do podsieci.

• Jeśli musisz używać emisji kierowanych do podsieci, skonfiguruj routery tak, aby zezwalać na emisje kierowane do adresów IP tylko z serwera lokacji i tylko na innym niż domyślny numer portu.

Aby uzyskać więcej informacji na temat różnych technologii wake on LAN, zobacz Planowanie sposobu wznawczania klientów.

Jeśli używasz powiadomień e-mail, skonfiguruj uwierzytelniony dostęp do serwera poczty SMTP

Jeśli to możliwe, użyj serwera poczty, który obsługuje dostęp uwierzytelniony. Użyj konta komputera serwera lokacji do uwierzytelniania. Jeśli musisz określić konto użytkownika do uwierzytelniania, użyj konta, które ma najmniejsze uprawnienia.

Wymuszanie powiązania kanału LDAP i podpisywania protokołu LDAP

Bezpieczeństwo kontrolerów domeny usługi Active Directory można poprawić, konfigurując serwer tak, aby odrzucał powiązania LDAP (Simple Authentication and Security Layer) (SASL), które nie żądają podpisania ani nie odrzucają prostych powiązań LDAP wykonywanych na połączeniu w postaci zwykłego tekstu. Począwszy od wersji 1910, Configuration Manager obsługuje wymuszanie powiązania kanału LDAP i podpisywania LDAP. Aby uzyskać więcej informacji, zobacz 2020 LDAP channel binding and LDAP signing requirements for Windows (2020 LDAP, powiązanie kanału i wymagania dotyczące podpisywania LDAP dla systemu Windows).

Wskazówki dotyczące zabezpieczeń serwera lokacji

Skorzystaj z poniższych wskazówek, aby zabezpieczyć serwer lokacji Configuration Manager.

Ostrzeżenie

Konto dostępu do sieci — nie udzielaj interaktywnych praw do logowania do tego konta w programie SQL Server. Nie przyznaj temu kontu prawa do dołączania komputerów do domeny. Jeśli podczas sekwencji zadań musisz dołączyć komputery do domeny, użyj konta przyłączania do domeny sekwencji zadań.

Instalowanie Configuration Manager na serwerze członkowskim zamiast na kontrolerze domeny

Serwer lokacji Configuration Manager i systemy lokacji nie wymagają instalacji na kontrolerze domeny. Kontrolery domeny nie mają lokalnej bazy danych zarządzania kontami zabezpieczeń (SAM) innej niż baza danych domeny. Podczas instalowania Configuration Manager na serwerze członkowskim można obsługiwać konta Configuration Manager w lokalnej bazie danych SAM, a nie w bazie danych domeny.

Ta praktyka zmniejsza również obszar ataków na kontrolerach domeny.

Instalowanie lokacji dodatkowych bez kopiowania plików za pośrednictwem sieci

Po uruchomieniu instalatora i utworzeniu lokacji dodatkowej nie wybieraj opcji kopiowania plików z lokacji nadrzędnej do lokacji dodatkowej. Nie używaj również lokalizacji źródła sieci. Podczas kopiowania plików za pośrednictwem sieci wykwalifikowany atakujący może przejąć pakiet instalacyjny lokacji dodatkowej i manipulować plikami przed ich zainstalowaniem. Czas tego ataku byłby trudny. Ten atak można ograniczyć przy użyciu protokołu IPsec lub SMB podczas transferu plików.

Zamiast kopiować pliki za pośrednictwem sieci, na serwerze lokacji dodatkowej skopiuj pliki źródłowe z folderu multimedialnego do folderu lokalnego. Następnie po uruchomieniu instalatora w celu utworzenia lokacji dodatkowej na stronie Pliki źródłowe instalacji wybierz pozycję Użyj plików źródłowych w następującej lokalizacji na komputerze lokacji dodatkowej (najbezpieczniej) i określ ten folder.

Aby uzyskać więcej informacji, zobacz Instalowanie lokacji dodatkowej.

Instalacja roli lokacji dziedziczy uprawnienia z katalogu głównego dysku

Przed zainstalowaniem pierwszej roli systemu lokacji na dowolnym serwerze upewnij się, że uprawnienia dysku systemowego zostały prawidłowo skonfigurowane. Na przykład C:\SMS_CCM dziedziczy uprawnienia z C:\programu . Jeśli katalog główny dysku nie jest prawidłowo zabezpieczony, użytkownicy o niskich prawach mogą mieć dostęp do zawartości lub modyfikować ją w folderze Configuration Manager.

Wskazówki dotyczące zabezpieczeń dla SQL Server

Configuration Manager używa SQL Server jako bazy danych zaplecza. W przypadku naruszenia zabezpieczeń bazy danych osoby atakujące mogą pominąć Configuration Manager. Jeśli uzyskują bezpośredni dostęp do SQL Server, mogą przeprowadzać ataki za pośrednictwem Configuration Manager. Należy rozważyć ataki na SQL Server za wysokie ryzyko i odpowiednio ograniczyć ryzyko.

Skorzystaj z poniższych wskazówek dotyczących zabezpieczeń, aby zabezpieczyć SQL Server dla Configuration Manager.

Nie używaj serwera bazy danych Configuration Manager lokacji do uruchamiania innych aplikacji SQL Server

Po zwiększeniu dostępu do serwera bazy danych Configuration Manager lokacji ta akcja zwiększa ryzyko dla danych Configuration Manager. Jeśli baza danych lokacji Configuration Manager zostanie naruszona, inne aplikacje na tym samym komputerze SQL Server również będą zagrożone.

Konfigurowanie SQL Server do korzystania z uwierzytelniania systemu Windows

Mimo że Configuration Manager uzyskuje dostęp do bazy danych lokacji przy użyciu konta systemu Windows i uwierzytelniania systemu Windows, nadal można skonfigurować SQL Server do używania SQL Server trybie mieszanym. SQL Server trybie mieszanym umożliwia dodatkowe SQL Server logowania w celu uzyskania dostępu do bazy danych. Ta konfiguracja nie jest wymagana i zwiększa obszar ataków.

Aktualizowanie SQL Server Express w lokacjach dodatkowych

Podczas instalowania lokacji głównej Configuration Manager pobiera SQL Server Express z Centrum pobierania Microsoft. Następnie kopiuje pliki na serwer lokacji głównej. Po zainstalowaniu lokacji dodatkowej i wybraniu opcji, która instaluje SQL Server Express, Configuration Manager instaluje wcześniej pobraną wersję. Nie sprawdza, czy są dostępne nowe wersje. Aby upewnić się, że lokacja dodatkowa ma najnowsze wersje, wykonaj jedno z następujących zadań:

• Po zainstalowaniu lokacji dodatkowej uruchom Windows Update na serwerze lokacji dodatkowej.

• Przed zainstalowaniem lokacji dodatkowej należy ręcznie zainstalować SQL Server Express na serwerze lokacji dodatkowej. Upewnij się, że zainstalowano najnowszą wersję i wszelkie aktualizacje oprogramowania. Następnie zainstaluj lokację dodatkową i wybierz opcję użycia istniejącego wystąpienia SQL Server.

Okresowo uruchamiaj Windows Update dla wszystkich zainstalowanych wersji SQL Server. Ta praktyka zapewnia, że mają najnowsze aktualizacje oprogramowania.

Postępuj zgodnie z ogólnymi wskazówkami dotyczącymi SQL Server

Zidentyfikuj i postępuj zgodnie z ogólnymi wskazówkami dotyczącymi wersji SQL Server. Należy jednak wziąć pod uwagę następujące wymagania dotyczące Configuration Manager:

• Konto komputera serwera lokacji musi być członkiem grupy Administratorzy na komputerze z systemem SQL Server. Jeśli zastosujesz się do zalecenia SQL Server "jawnie aprowizuj podmioty zabezpieczeń administratora", konto używane do uruchamiania konfiguracji na serwerze lokacji musi być członkiem grupy użytkownicy SQL Server.

• Jeśli zainstalujesz SQL Server przy użyciu konta użytkownika domeny, upewnij się, że konto komputera serwera lokacji jest skonfigurowane dla głównej nazwy usługi (SPN), która została opublikowana w Active Directory Domain Services. Bez nazwy SPN uwierzytelnianie kerberos kończy się niepowodzeniem i instalacja Configuration Manager kończy się niepowodzeniem.

Wskazówki dotyczące zabezpieczeń systemów lokacji z uruchomionymi usługami IIS

Kilka ról systemu lokacji w Configuration Manager wymaga usług IIS. Proces zabezpieczania usług IIS umożliwia prawidłowe działanie Configuration Manager i zmniejsza ryzyko ataków bezpieczeństwa. W praktyce zminimalizuj liczbę serwerów, które wymagają usług IIS. Na przykład uruchom tylko liczbę punktów zarządzania wymaganych do obsługi bazy klientów, biorąc pod uwagę wysoką dostępność i izolację sieci na potrzeby internetowego zarządzania klientami.

Skorzystaj z poniższych wskazówek, aby pomóc w zabezpieczeniu systemów lokacji z uruchomionymi usługami IIS.

Wyłączanie funkcji usług IIS, których nie potrzebujesz

Zainstaluj tylko minimalne funkcje usług IIS dla zainstalowanej roli systemu lokacji. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące lokacji i systemu lokacji.

Konfigurowanie ról systemu lokacji w celu wymagania protokołu HTTPS

Gdy klienci łączą się z systemem lokacji przy użyciu protokołu HTTP, a nie przy użyciu protokołu HTTPS, używają uwierzytelniania systemu Windows. To zachowanie może wrócić do korzystania z uwierzytelniania NTLM, a nie uwierzytelniania Kerberos. Gdy jest używane uwierzytelnianie NTLM, klienci mogą łączyć się z nieautoryzowanym serwerem.

Wyjątkiem od tych wskazówek mogą być punkty dystrybucji. Konta dostępu do pakietów nie działają, gdy punkt dystrybucji jest skonfigurowany dla protokołu HTTPS. Konta dostępu do pakietów zapewniają autoryzację do zawartości, dzięki czemu można ograniczyć dostęp użytkowników do zawartości. Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące zabezpieczeń dotyczące zarządzania zawartością.

Ważna

Począwszy od Configuration Manager wersji 2103, witryny, które zezwalają na komunikację klienta HTTP, są przestarzałe. Skonfiguruj witrynę pod kątem protokołu HTTPS lub rozszerzonego protokołu HTTP. Aby uzyskać więcej informacji, zobacz Włączanie witryny dla protokołu HTTPS lub rozszerzonego protokołu HTTP.

Konfigurowanie listy zaufania certyfikatów (CTL) w usługach IIS dla ról systemu lokacji

Role systemu lokacji:

• Punkt dystrybucji skonfigurowany dla protokołu HTTPS

• Punkt zarządzania skonfigurowany dla protokołu HTTPS i umożliwiający obsługę urządzeń przenośnych

CTL to zdefiniowana lista zaufanych głównych urzędów certyfikacji. W przypadku używania czasu wygaśnięcia z zasadami grupy i wdrożenia infrastruktury kluczy publicznych (PKI) czas wygaśnięcia umożliwia uzupełnienie istniejących zaufanych głównych urzędów certyfikacji skonfigurowanych w sieci. Na przykład urzędy certyfikacji, które są automatycznie instalowane z systemem Microsoft Windows lub dodawane za pośrednictwem głównych urzędów certyfikacji przedsiębiorstwa systemu Windows. Gdy protokół CTL jest skonfigurowany w usługach IIS, definiuje podzbiór tych zaufanych głównych urzędów certyfikacji.

Ten podzestaw zapewnia większą kontrolę nad zabezpieczeniami. Czas wygaśnięcia ogranicza certyfikaty klienta, które są akceptowane tylko do tych certyfikatów, które są wystawiane z listy urzędów certyfikacji w CTL. Na przykład system Windows zawiera wiele znanych certyfikatów urzędu certyfikacji innych firm.

Domyślnie komputer z uruchomionym usługą IIS ufa certyfikatom, które są powiązane z tymi dobrze znanymi urzędami certyfikacji. Jeśli nie skonfigurujesz usług IIS przy użyciu czasu wygaśnięcia dla wymienionych ról systemu lokacji, lokacja akceptuje jako prawidłowego klienta każde urządzenie z certyfikatem wystawionym przez te urzędy certyfikacji. Jeśli skonfigurujesz usługi IIS przy użyciu protokołu CTL, który nie zawiera tych urzędów certyfikacji, lokacja odmówi połączeń klienta, jeśli certyfikat jest łańcuchem do tych urzędów certyfikacji. Aby Configuration Manager klientów do zaakceptowania dla wymienionych ról systemu lokacji, należy skonfigurować usługi IIS z CTL, który określa urzędy certyfikacji, które są używane przez klientów Configuration Manager.

Uwaga

Tylko wymienione role systemu lokacji wymagają skonfigurowania czasu wygaśnięcia CTL w usługach IIS. Lista wystawców certyfikatów używana przez Configuration Manager dla punktów zarządzania zapewnia taką samą funkcjonalność dla komputerów klienckich podczas nawiązywania połączenia z punktami zarządzania HTTPS.

Aby uzyskać więcej informacji na temat konfigurowania listy zaufanych urzędów certyfikacji w usługach IIS, zobacz dokumentację usług IIS.

Nie umieszczaj serwera lokacji na komputerze z usługami IIS

Separacja ról pomaga zmniejszyć profil ataku i zwiększyć możliwości odzyskiwania. Konto komputera serwera lokacji zwykle ma uprawnienia administracyjne dla wszystkich ról systemu lokacji. Może również mieć te uprawnienia na klientach Configuration Manager, jeśli używasz instalacji wypychanej klienta.

Używanie dedykowanych serwerów usług IIS na potrzeby Configuration Manager

Chociaż można hostować wiele aplikacji internetowych na serwerach usług IIS, które są również używane przez Configuration Manager, ta praktyka może znacznie zwiększyć obszar ataków. Źle skonfigurowana aplikacja może umożliwić atakującemu uzyskanie kontroli nad Configuration Manager systemem lokacji. To naruszenie może umożliwić atakującemu uzyskanie kontroli nad hierarchią.

Jeśli musisz uruchamiać inne aplikacje internetowe w Configuration Manager systemach lokacji, utwórz niestandardową witrynę internetową dla Configuration Manager systemów lokacji.

Korzystanie z niestandardowej witryny internetowej

W przypadku systemów lokacji z uruchomionymi usługami IIS skonfiguruj Configuration Manager do używania niestandardowej witryny internetowej zamiast domyślnej witryny internetowej. Jeśli musisz uruchamiać inne aplikacje internetowe w systemie lokacji, musisz użyć niestandardowej witryny internetowej. To ustawienie jest ustawieniem dla całej lokacji, a nie ustawieniem dla określonego systemu lokacji.

W przypadku korzystania z niestandardowych witryn internetowych usuń domyślne katalogi wirtualne

Po zmianie z używania domyślnej witryny internetowej na niestandardową witrynę internetową Configuration Manager nie usuwa starych katalogów wirtualnych. Usuń katalogi wirtualne, które Configuration Manager pierwotnie utworzone w domyślnej witrynie internetowej.

Na przykład usuń następujące katalogi wirtualne dla punktu dystrybucji:

• SMS_DP_SMSPKG$

• SMS_DP_SMSSIG$

• NOCERT_SMS_DP_SMSPKG$

• NOCERT_SMS_DP_SMSSIG$

Postępuj zgodnie ze wskazówkami dotyczącymi zabezpieczeń serwera usług IIS

Zidentyfikuj i postępuj zgodnie z ogólnymi wskazówkami dotyczącymi wersji serwera usług IIS. Weź pod uwagę wszelkie wymagania Configuration Manager dotyczące określonych ról systemu lokacji. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące lokacji i systemu lokacji.

Konfigurowanie nagłówków niestandardowych usług IIS

Skonfiguruj następujące nagłówki niestandardowe, aby wyłączyć wąchanie mime:

x-content-type-options: nosniff

Aby uzyskać więcej informacji, zobacz Nagłówki niestandardowe.

Jeśli inne usługi używają tego samego wystąpienia usług IIS, upewnij się, że te nagłówki niestandardowe są zgodne.

Wskazówki dotyczące zabezpieczeń punktu zarządzania

Punkty zarządzania to podstawowy interfejs między urządzeniami i Configuration Manager. Rozważ ataki na punkt zarządzania i serwer, na którym działa, aby zapewnić wysokie ryzyko i odpowiednio ograniczyć ryzyko. Zastosuj wszystkie odpowiednie wskazówki dotyczące zabezpieczeń i monitoruj pod kątem nietypowych działań.

Skorzystaj z poniższych wskazówek, aby zabezpieczyć punkt zarządzania w Configuration Manager.

Przypisywanie klienta w punkcie zarządzania do tej samej lokacji

Unikaj scenariusza, w którym przypisujesz klienta Configuration Manager, który znajduje się w punkcie zarządzania, do lokacji innej niż lokacja punktu zarządzania.

W przypadku migracji z wcześniejszej wersji do Configuration Manager bieżącej gałęzi należy jak najszybciej przeprowadzić migrację klienta w punkcie zarządzania do nowej lokacji.

Wskazówki dotyczące zabezpieczeń rezerwowego punktu stanu

Jeśli zainstalujesz rezerwowy punkt stanu w Configuration Manager, skorzystaj z następujących wskazówek dotyczących zabezpieczeń:

Aby uzyskać więcej informacji na temat zagadnień dotyczących zabezpieczeń podczas instalowania rezerwowego punktu stanu, zobacz Określanie, czy potrzebujesz rezerwowego punktu stanu.

Nie uruchamiaj żadnych innych ról w tym samym systemie lokacji

Rezerwowy punkt stanu jest przeznaczony do akceptowania nieuwierzytelnionej komunikacji z dowolnego komputera. Jeśli uruchomisz tę rolę systemu lokacji z innymi rolami lub kontrolerem domeny, ryzyko dla tego serwera znacznie wzrośnie.

Zainstaluj rezerwowy punkt stanu przed zainstalowaniem klientów z certyfikatami infrastruktury kluczy publicznych

Jeśli Configuration Manager systemy lokacji nie akceptują komunikacji z klientem HTTP, być może nie wiesz, że klienci są niezarządzani z powodu problemów z certyfikatami związanymi z infrastrukturą kluczy publicznych. Jeśli przypiszesz klientów do rezerwowego punktu stanu, będą oni zgłaszać te problemy z certyfikatem za pośrednictwem rezerwowego punktu stanu.

Ze względów bezpieczeństwa nie można przypisać rezerwowego punktu stanu klientom po ich zainstalowaniu. Tę rolę można przypisać tylko podczas instalacji klienta.

Unikaj używania rezerwowego punktu stanu w sieci obwodowej

Domyślnie rezerwowy punkt stanu akceptuje dane z dowolnego klienta. Mimo że rezerwowy punkt stanu w sieci obwodowej może pomóc w rozwiązywaniu problemów z klientami internetowymi, należy zrównoważyć korzyści z rozwiązywania problemów z ryzykiem, że system lokacji akceptuje nieuwierzytelnione dane w publicznie dostępnej sieci.

Jeśli zainstalujesz rezerwowy punkt stanu w sieci obwodowej lub dowolnej niezaufanej sieci, skonfiguruj serwer lokacji do inicjowania transferu danych. Nie używaj ustawienia domyślnego, które umożliwia rezerwowym punktom stanu inicjowanie połączenia z serwerem lokacji.

Problemy z zabezpieczeniami administracji lokacji

Przejrzyj następujące problemy z zabezpieczeniami, aby uzyskać Configuration Manager:

• Configuration Manager nie ma ochrony przed autoryzowanym użytkownikiem administracyjnym, który używa Configuration Manager do ataku na sieć. Nieautoryzowani użytkownicy administracyjni stanowią duże zagrożenie dla bezpieczeństwa. Mogą one uruchomić wiele ataków, które obejmują następujące strategie:

  • Wdrożenie oprogramowania umożliwia automatyczne instalowanie i uruchamianie złośliwego oprogramowania na każdym komputerze klienckim Configuration Manager w organizacji.

  • Zdalne sterowanie klientem Configuration Manager bez uprawnień klienta.

  • Skonfiguruj szybkie interwały sondowania i ekstremalne ilości spisu. Ta akcja powoduje ataki typu "odmowa usługi" na klientów i serwery.

  • Użyj jednej lokacji w hierarchii, aby zapisać dane do danych usługi Active Directory innej lokacji.

  Hierarchia lokacji to granica zabezpieczeń. Należy wziąć pod uwagę, że lokacje są tylko granicami zarządzania.

  Przeprowadź inspekcję wszystkich działań użytkowników administracyjnych i regularnie przeglądaj dzienniki inspekcji. Wymagaj od wszystkich Configuration Manager użytkowników administracyjnych poddania się kontroli w tle przed ich zatrudnieniem. Wymagaj okresowych ponownych kontroli jako warunku zatrudnienia.

• Jeśli punkt rejestracji zostanie naruszona, osoba atakująca może uzyskać certyfikaty na potrzeby uwierzytelniania. Mogą ukraść poświadczenia użytkowników, którzy rejestrują swoje urządzenia przenośne.

  Punkt rejestracji komunikuje się z urzędem certyfikacji. Może tworzyć, modyfikować i usuwać obiekty usługi Active Directory. Nigdy nie instaluj punktu rejestracji w sieci obwodowej. Zawsze monitoruj pod kątem nietypowej aktywności.

• Jeśli zezwolisz na zasady użytkownika na potrzeby internetowego zarządzania klientami, zwiększysz swój profil ataku.

  Oprócz używania certyfikatów PKI dla połączeń klient-serwer te konfiguracje wymagają uwierzytelniania systemu Windows. Mogą one wrócić do korzystania z uwierzytelniania NTLM, a nie Kerberos. Uwierzytelnianie NTLM jest narażone na ataki personifikacji i odtwarzania. Aby pomyślnie uwierzytelnić użytkownika w Internecie, należy zezwolić na połączenie z internetowego systemu lokacji do kontrolera domeny.

• Udział Administracja$ jest wymagany na serwerach systemu lokacji.

  Serwer lokacji Configuration Manager używa udziału Administracja$ do nawiązywania połączeń i wykonywania operacji usług w systemach lokacji. Nie wyłączaj ani nie usuwaj tego udziału.

• Configuration Manager używa usług rozpoznawania nazw do łączenia się z innymi komputerami. Te usługi są trudne do zabezpieczenia przed następującymi atakami bezpieczeństwa:

  • Fałszowanie
  • Manipulowanie
  • Odrzucenie
  • Ujawnienie informacji
  • Odmowa usługi
  • Podniesienie uprawnień

  Zidentyfikuj i postępuj zgodnie ze wskazówkami dotyczącymi zabezpieczeń dla wersji systemu DNS, która jest używana do rozpoznawania nazw.

Informacje o ochronie prywatności na potrzeby odnajdywania

Odnajdywanie tworzy rekordy dla zasobów sieciowych i przechowuje je w bazie danych Configuration Manager. Rekordy danych odnajdywania zawierają informacje o komputerze, takie jak adresy IP, wersje systemu operacyjnego i nazwy komputerów. Można również skonfigurować metody odnajdywania usługi Active Directory, aby zwracać wszelkie informacje przechowywane przez organizację w Active Directory Domain Services.

Jedyną metodą odnajdywania, którą domyślnie Configuration Manager włącza, jest odnajdywanie pulsu. Ta metoda odnajduje tylko komputery, na których zainstalowano już oprogramowanie klienckie Configuration Manager.

Informacje o odnajdywaniu nie są wysyłane bezpośrednio do firmy Microsoft. Jest ona przechowywana w bazie danych Configuration Manager. Configuration Manager przechowuje informacje w bazie danych do momentu usunięcia danych. Ten proces jest wykonywany co 90 dni przez zadanie konserwacji lokacji Usuń przestarzałe dane odnajdywania.