Udostępnij za pośrednictwem

  • Artykuł

Bezpieczeństwo i prywatność klientów w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Ta sekcja zawiera informacje o zabezpieczeniach i prywatności dotyczące klientów programu System Center 2012 Configuration Manager i urządzeń przenośnych zarządzanych przez łącznik serwera Exchange:

  • Najlepsze rozwiązania dotyczące zabezpieczeń klientów programu Configuration Manager i urządzeń przenośnych zarządzanych przez łącznik serwera Exchange

    • Problemy dotyczące zabezpieczeń klientów programu Configuration Manager

  • Informacje o ochronie prywatności klientów programu Configuration Manager

  • Informacje o ochronie prywatności urządzeń przenośnych zarządzanych przez łącznik serwera Exchange

Najlepsze rozwiązania dotyczące zabezpieczeń klientów programu Configuration Manager i urządzeń przenośnych zarządzanych przez łącznik serwera Exchange

Jeśli program Menedżer konfiguracji przyjmuje dane od urządzeń, na których jest uruchomiony klient programu Menedżer konfiguracji, powstaje ryzyko ataku lokacji przez klientów. Klienci mogą na przykład wysłać nieprawidłowe zapasy lub podjąć próbę przeciążenia systemów lokacji. Klienta programu Menedżer konfiguracji należy wdrażać wyłącznie na zaufanych urządzeniach. Ponadto należy się stosować do następujących rozwiązań dotyczących zabezpieczeń, aby chronić lokację przed urządzeniami nieautoryzowanymi lub ze złamanymi zabezpieczeniami:

Najlepsze rozwiązanie w zakresie zabezpieczeń

Więcej informacji

Należy korzystać z certyfikatów infrastruktury kluczy publicznych (PKI) w ramach komunikacji klienta z systemami lokacji, na których działają usługi IIS:

  • Konfiguruj Ustawienia systemu lokacji wyłącznie do obsługi protokołu HTTPS.

  • Instaluj klientów, określając właściwość /UsePKICert programu CCMSetup

  • Korzystaj z listy odwołania certyfikatów (CRL) i sprawdź, czy klienci i serwery komunikujące się mają do niej zawsze dostęp.

Te certyfikaty są wymagane dla klientów urządzeń przenośnych oraz połączeń internetowych z komputerami klienckimi i są zalecane do wszystkich połączeń klientów w sieci intranet (z wyjątkiem punktów dystrybucji).

Więcej informacji na temat wymagań dotyczących certyfikatów PKI oraz korzystania z nich w celu chronienia programu Menedżer konfiguracji znajduje się w sekcji Wymagania dotyczące certyfikatu PKI dla programu Configuration Manager.

Należy automatycznie zatwierdzać komputery klienckie z zaufanych domen oraz sprawdzać i zatwierdzać inne komputery ręcznie.

Zatwierdzenie identyfikuje komputer zaufany, który ma być zarządzany przez program Menedżer konfiguracji, gdy uwierzytelnienie PKI jest niemożliwe.

Zatwierdzenie dla hierarchii można skonfigurować jako ręczne, automatyczne dla komputerów w zaufanych domenach lub automatyczne dla wszystkich komputerów. Najbezpieczniejszą metodą zatwierdzenia jest automatyczne zatwierdzenie klientów należących do zaufanych domen, a następnie ręczne sprawdzenie i zatwierdzenie wszystkich pozostałych komputerów. Automatyczne zatwierdzenie wszystkich klientów nie jest zalecane, chyba że użytkownik dysponuje innymi kontrolami dostępu, aby uniemożliwić niezaufanym komputerom dostęp do sieci.

Więcej informacji o ręcznym zatwierdzaniu komputerów zawiera temat Zarządzanie klientami z węzła Urządzenia.

Nie należy używać blokowania, aby uniemożliwić klientom dostęp do hierarchii programu Menedżer konfiguracji

Zablokowani klienci są odrzucani przez infrastrukturę programu Menedżer konfiguracji, aby nie mogli komunikować się z systemami lokacji w celu pobierania zasad oraz wysyłania danych zapasów lub komunikatów o stanie. Nie należy jednak używać blokowania, aby chronić hierarchię programu Menedżer konfiguracji przed niezaufanymi komputerami, jeśli systemy lokacji akceptują połączenia klienta HTTP. Przy takim scenariuszu zablokowany klient może dołączyć ponownie do lokacji przy użyciu nowego certyfikatu z podpisem własnym i identyfikatora sprzętu. Blokowanie jest przeznaczone do blokowania zagubionych nośników rozruchowych lub nośników rozruchowych ze złamanymi zabezpieczeniami w trakcie wdrażania systemu operacyjnego na klientach, gdy wszystkie systemy lokacji akceptują połączenia klientów HTTPS. W razie korzystania z infrastruktury kluczy publicznych (PKI) obsługującej listę odwołania certyfikatów (CRL), odwołanie certyfikatów powinno być zawsze główną linią obrony przed certyfikatami, które mogą mieć złamane zabezpieczenia. Blokowanie klientów w programie Menedżer konfiguracji stanowi drugą linię obrony w celu ochrony hierarchii.

Aby uzyskać więcej informacji, zobacz Określanie blokowania klientów w programie Configuration Manager.

Należy korzystać z najbezpieczniejszych metod instalowania klienta, które sprawdzają się w praktyce w środowisku użytkownika:

  • Instalacja klienta zasad grupy i instalacja klienta oparta na aktualizacji oprogramowania są bardziej bezpieczne dla komputerów w domenie niż instalacja klienta w trybie wypychania.

  • W przypadku korzystania z kontroli dostępu i kontroli zmiany tworzenie obrazu i instalacja ręczna mogą być bardzo bezpiecznymi metodami.

Wśród wszystkich metod instalowania klienta instalacja klienta w trybie wypychania jest najmniej bezpieczna ze względu na wiele zależności, w tym lokalne uprawnienia administratora, udział Admin$ oraz wiele wyjątków zapory. Te zależności zwiększają obszar ataków.

Więcej informacji o różnych metodach instalowania klienta znajduje się w temacie Określanie metody instalacji klienta używanej z komputerami z systemem Windows w programie Configuration Manager.

Ponadto, kiedy to tylko możliwe, należy wybrać metodę instalowania klienta wymagającą najmniej uprawnień zabezpieczeń w programie Menedżer konfiguracji i ograniczyć użytkowników administracyjnych, którym przypisano role zabezpieczeń zawierające uprawnienia umożliwiające ich wykorzystanie do celów innych niż wdrażanie klienta. Automatyczne uaktualnienie klienta wymaga na przykład roli zabezpieczeń Administrator o pełnych uprawnieniach zapewniającej użytkownikowi administracyjnemu wszystkie uprawnienia zabezpieczeń.

Więcej informacji na temat zależności i uprawnień zabezpieczeń wymaganych dla poszczególnych metod instalacji klienta zawiera artykuł „Zależności metod instalacji” w sekcji Wymagania wstępne dla komputerów klienckich w temacie Wymaga wstępne dotyczące wdrażania klientów z systemem Windows w programie Configuration Manager.

Jeśli jest konieczna instalacja klienta w trybie wypychania, należy wykonać dodatkowe czynności, aby zabezpieczyć konto instalacji klienta w trybie wypychania.

Choć to konto musi należeć do lokalnej grupy administratorów na każdym komputerze, na którym zostanie zainstalowane oprogramowanie klienckie programu Menedżer konfiguracji, nigdy nie należy dodawać konta instalacji klienta w trybie wypychania do grupy Administratorzy domeny, lecz utworzyć grupę globalną i dodać ją do lokalnej grupy administratorów na komputerach klienckich. Można również utworzyć obiekt zasad grupy, aby dodać ustawienie grup z ograniczeniami w celu dodania konta instalacji klienta w trybie wypychania do lokalnej grupy administratorów.

Aby dodatkowo zwiększyć bezpieczeństwo, należy utworzyć wiele kont instalacji klienta w trybie wypychania, z których każde będzie miało dostęp administracyjny do ograniczonej liczby komputerów. W przypadku złamania zabezpieczeń jednego konta zostaną złamane wyłącznie zabezpieczenia komputerów klienckich, do których to konto ma dostęp.

Należy usunąć certyfikaty przed utworzeniem obrazu komputera klienckiego.

Jeśli jest planowane wdrożenie klientów przez utworzenie obrazu, przed przechwyceniem obrazu należy zawsze usunąć certyfikaty, jak certyfikaty PKI zawierające uwierzytelnianie klienta oraz certyfikaty z podpisem własnym. Jeśli te certyfikaty nie zostaną usunięte, klienci będą się mogli wzajemnie personifikować, a użytkownik nie będzie mógł zweryfikować danych każdego klienta.

Więcej informacji o sposobie korzystania z programu Sysprep w celu przygotowania komputera do utworzenia obrazu znajduje się w dokumentacji wdrożeniowej systemu Windows.

Należy sprawdzić, czy komputery klienckie programu Menedżer konfiguracji otrzymują autoryzowaną kopię następujących certyfikatów:

  • Zaufany klucz główny programu Menedżer konfiguracji

  • Certyfikat podpisywania serwera lokacji

  • Zaufany klucz główny:

    Jeśli użytkownik nie rozszerzył schematu usługi Active Directory dla programu Menedżer konfiguracji, a klienci nie korzystają z certyfikatów PKI podczas komunikowania się z punktami zarządzania, klienci będą korzystać z zaufanego klucza głównego programu Menedżer konfiguracji w celu uwierzytelniania prawidłowych punktów zarządzania. Przy takim scenariuszu klienci nie mogą zweryfikować, czy punkt zarządzania jest zaufanym punktem zarządzania dla hierarchii, chyba że skorzystają z zaufanego klucza głównego. Bez zaufanego klucza głównego doświadczona osoba atakująca może kierować klientów do nieautoryzowanego punktu zarządzania.

    Jeśli klienci nie mogą pobrać zaufanego klucza głównego programu Menedżer konfiguracji z wykazu globalnego lub korzystając z certyfikatów PKI, należy wstępnie udostępnić klientom zaufany klucz główny, aby zapobiec ich kierowaniu do nieautoryzowanego punktu zarządzania. Więcej informacji znajduje się w sekcji Planowanie zaufanego klucza głównego w temacie Planowanie bezpieczeństwa w programie Configuration Manager.

  • Certyfikat podpisywania serwera lokacji:

    Klienci korzystają z certyfikatu podpisywania serwera lokacji, aby sprawdzić, czy serwer lokacji podpisał zasadę klienta pobraną z punktu zarządzania. Ten certyfikat ma podpis własny serwera lokacji i jest publikowany w usługach domenowych w usłudze Active Directory.

    Jeśli klienci nie mogą pobrać certyfikatu podpisywania serwera lokacji z wykazu globalnego, certyfikat ten jest domyślne pobierany z punktu zarządzania. Jeśli punkt zarządzania ma połączenie z niezaufaną siecią (na przykład Internetem), należy ręcznie zainstalować certyfikat podpisywania serwera lokacji na klientach, aby zapobiec uruchamianiu przez klientów zasad klienta poddanych nieuprawnionej manipulacji przez punkt zarządzania ze złamanymi zabezpieczeniami.

    Aby ręcznie zainstalować certyfikat podpisywania serwera lokacji, użyj właściwości SMSSIGNCERT programu CCMSetup clinet.msi. Aby uzyskać więcej informacji, zobacz Informacje o właściwościach instalacji klientów w programie Configuration Manager.

Nie należy używać automatycznego przypisania lokacji, jeśli klient pobierze zaufany klucz główny z pierwszego punktu zarządzania, z którym się skontaktuje.

To rozwiązanie dotyczące zabezpieczeń jest związane z poprzednią sugestią. Aby uniknąć zagrożenia wynikającego z pobrania przez nowego klienta zaufanego klucza głównego z nieautoryzowanego punktu zarządzania, należy używać automatycznego przypisania lokacji wyłącznie przy następujących scenariuszach:

  • Klient ma dostęp do informacji o lokacji programu Menedżer konfiguracji publikowanych w usługach domenowych w usłudze Active Directory.

  • Użytkownik udostępnia wstępnie klientowi zaufany klucz główny.

  • Użytkownik korzysta z certyfikatów PKI urzędu certyfikacji przedsiębiorstwa, aby ustanowić zaufanie między klientem i punktem zarządzania.

Więcej informacji na temat zaufanego klucza głównego zawiera sekcja Planowanie zaufanego klucza głównego w temacie Planowanie bezpieczeństwa w programie Configuration Manager.

Należy instalować komputery klienckie z opcją SMSDIRECTORYLOOKUP=NoWINS programu CCMSetup Client.msi.

Najbezpieczniejszą metodą lokalizacji usługi dla klientów w celu znajdywania lokacji i punktów zarządzania jest korzystanie z usług domenowych w usłudze Active Directory. Jeśli nie można użyć tej metody, na przykład ze względu na to, że nie można rozszerzyć schematu usługi Active Directory programu Menedżer konfiguracji bądź klienci znajdują się w niezaufanym lesie lub niezaufanej grupie roboczej, jako alternatywnej metody lokalizacji usługi można użyć publikowania DNS. W przypadku, gdy obie metody zawiodą, klienci mogą wrócić do korzystania z usługi WINS, jeśli punkt zarządzania nie został skonfigurowany dla połączeń klienta HTTPS.

Publikowanie do usługi WINS jest mniej bezpieczne od innych metod publikowania. Z tego względu należy skonfigurować komputery klienckie tak, aby nie wracały do korzystania z usługi WINS, określając opcję SMSDIRECTORYLOOKUP=NoWINS. Jeśli jest konieczne korzystanie z usługi WINS w celu lokalizacji usługi, użyj opcji SMSDIRECTORYLOOKUP=WINSSECURE (ustawienie domyślne) korzystającej z zaufanego klucza głównego programu Menedżer konfiguracji w celu weryfikacji certyfikatu punktu zarządzania z podpisem własnym.

Uwaga

Jeśli dla klienta określono opcję SMSDIRECTORYLOOKUP=WINSSECURE i klient znajdzie punkt zarządzania za pomocą usługi WINS, klient sprawdzi kopię zaufanego klucza głównego programu Menedżer konfiguracji w usłudze WMI. Jeśli podpis na certyfikacie punktu zarządzania jest zgodny z kopią zaufanego klucza głównego klienta, certyfikat zostanie zweryfikowany, a klient skomunikuje się z punktem zarządzania znalezionym za pomocą usługi WINS. Jeśli podpis na certyfikacie punktu zarządzania jest niezgodny z kopią zaufanego klucza głównego klienta, certyfikat jest nieprawidłowy, a klient nie skomunikuje się z punktem zarządzania znalezionym za pomocą usługi WINS.

Należy sprawdzić, czy czas trwania okien obsługi jest wystarczający, aby wdrożyć krytyczne aktualizacje oprogramowania.

Można skonfigurować okna obsługi kolekcji urządzeń, aby ograniczyć czas, w którym program Menedżer konfiguracji może instalować oprogramowanie na tych urządzeniach. Jeśli wartość określona dla czasu trwania okna obsługi będzie zbyt mała, instalacja krytycznych aktualizacji oprogramowania przez klienta może nie być możliwa, co sprawi, że klient będzie narażony na atak, którego skuteczność została osłabiona przez aktualizację oprogramowania.

W przypadku urządzeń Windows Embedded z filtrami zapisu należy zastosować dodatkowe zabezpieczenia, aby zmniejszyć obszar ataków, jeśli program Menedżer konfiguracji wyłączy filtry zapisu w celu utrwalenia instalacji oprogramowania lub zmian.

Po włączeniu filtrów zapisu w urządzeniach Windows Embedded wszelkie instalacje oprogramowania lub zmiany będą wykonywane wyłącznie w odniesieniu do nakładki i nie zostaną utrwalone po ponownym uruchomieniu urządzenia. W przypadku użycia programu Menedżer konfiguracji w celu tymczasowego wyłączenia filtrów zapisu, aby utrwalić instalacje oprogramowania i zmiany, urządzenie osadzone będzie przez ten czas narażone na zmiany we wszystkich woluminach, w tym w folderach udostępnionych.

Choć program Menedżer konfiguracji blokuje przez ten czas komputer, co sprawia, że mogą się zalogować wyłącznie administratorzy lokalni, należy w miarę możliwości stosować dodatkowe zabezpieczenia, aby chronić komputer. Należy na przykład włączyć dodatkowe ograniczenia zapory i odłączyć urządzenie od sieci.

Jeśli użytkownik używa okien obsługi do utrwalania zmian, należy dokładnie planować te okna, aby skrócić czas, przez który filtry zapisu mogą być wyłączone. Czas trwania okien powinien być jednak wystarczająco długi, aby można było ukończyć instalacje oprogramowania i ponowne uruchomienia.

Jeśli użytkownik korzysta z instalacji klienta opartej na aktualizacji oprogramowania i instaluje późniejszą wersję klienta w lokacji, należy zaktualizować aktualizację oprogramowania opublikowaną w punkcie aktualizacji oprogramowania, aby klienci otrzymali najnowszą wersję.

Jeśli użytkownik zainstaluje późniejszą wersję klienta w lokacji, na przykład uaktualniając lokację, aktualizacja oprogramowania wdrażania klienta opublikowana w punkcie aktualizacji oprogramowania nie zostanie automatycznie zaktualizowana. Będzie konieczne ponownie opublikowanie klienta programu Menedżer konfiguracji w punkcie aktualizacji oprogramowania oraz kliknięcie przycisku Tak, aby zaktualizować numer wersji.

Więcej informacji zawiera procedura „Aby opublikować klienta programu Configuration Manager w punkcie aktualizacji oprogramowania” w sekcji Jak instalować klientów programu Configuration Manager za pomocą instalacji opartej na aktualizacji oprogramowania w temacie Jak zainstalować klientów na komputerach z systemem Windows w programie Configuration Manager.

Należy określić wartość Zawsze dla ustawienia Zawieś wprowadzanie numeru PIN funkcji BitLocker przy ponownym uruchomieniu urządzenia klienckiego Agent komputera wyłącznie dla zaufanych komputerów z ograniczonym dostępem fizycznym

W przypadku, gdy dla tego klienta wybrano ustawienie Zawsze, program Menedżer konfiguracji może ukończyć instalację oprogramowania, aby zapewnić instalację wszystkich krytycznych aktualizacji oprogramowania i wznowienie usług. Jeśli jednak osoba atakująca przechwyci proces ponownego uruchamiania, może przejąć kontrolę nad komputerem. Tego ustawienia należy używać tylko w przypadku, gdy ten komputer jest zaufany, a fizyczny dostęp do niego jest ograniczony. To ustawienie może być odpowiednie na przykład dla serwerów w centrum danych.

Nie należy określać ustawienia Zasady wykonania programu PowerShell na wartość Pomiń dla urządzenia klienckiego Agent komputera.

To ustawienie klienta umożliwia programowi Menedżer konfiguracji uruchamianie niepodpisanych skryptów powłoki PowerShell, co może spowodować uruchomienie złośliwego oprogramowania na komputerach klienckich. Jeśli wybranie tej opcji jest konieczne, należy użyć niestandardowego ustawienia klienta i przypisać je tylko do komputerów klienckich, które muszą uruchamiać niepodpisane skrypty powłoki PowerShell.

W przypadku urządzeń przenośnych, które są rejestrowane w programie Menedżer konfiguracji i będą obsługiwane w Internecie: należy zainstalować punkt proxy rejestracji w sieci obwodowej i punkt rejestracyjny w intranecie

Ta separacja ról pomaga chronić punkt rejestracyjny przed atakiem. W przypadku złamania zabezpieczeń punktu rejestracyjnego osoba atakująca może uzyskać certyfikaty służące do uwierzytelniania i skraść poświadczenia użytkowników, którzy rejestrują swoje urządzenia przenośne.

Urządzenia przenośne: należy skonfigurować ustawienia hasła w celu ochrony urządzeń przenośnych przed nieautoryzowanym dostępem

W przypadku urządzeń przenośnych rejestrowanych przez program Menedżer konfiguracji: należy użyć elementu konfiguracji urządzenia przenośnego w celu skonfigurowania złożoności hasła jako numeru PIN oraz przynajmniej określić minimalną długość hasła.

Urządzenia przenośne bez zainstalowanego klienta programu Menedżer konfiguracji, ale zarządzane przez łącznik serwera Exchange: należy skonfigurować ustawienia hasła dla łącznika serwera Exchange, takie jak złożoność hasła jako numeru PIN, a także określić przynajmniej domyślną długość dla opcji minimalnej długości hasła.

Urządzenia przenośne: aby zapobiec próbom naruszenia informacji o spisie i stanie, należy umożliwić uruchamianie aplikacji tylko w przypadku, gdy zostały podpisane przez zaufane firmy; ponadto nie należy zezwalać na instalowanie niepodpisanych plików

W przypadku większej liczby urządzeń przenośnych rejestrowanych przez program Menedżer konfiguracji: należy użyć elementu konfiguracji urządzenia przenośnego w celu ustawienia wartości Zabronione dla ustawienia zabezpieczeń Aplikacje niepodpisane oraz ustawienia opcji Instalacja niepodpisanego pliku na zaufane źródło.

Urządzenia przenośne bez zainstalowanego klienta programu Menedżer konfiguracji, ale zarządzane przez łącznik serwera Exchange: należy ustawić ustawienia aplikacji dla łącznika serwera Exchange, takie jak Instalacja niepodpisanego pliku i Aplikacje niepodpisane, na wartość Zabronione.

Urządzenia przenośne: należy zapobiegać atakom powodującym podniesienie uprawnień poprzez zablokowanie nieużywanych urządzeń przenośnych

W przypadku większej liczby urządzeń przenośnych rejestrowanych przez program Menedżer konfiguracji: należy użyć elementu konfiguracji urządzenia przenośnego w celu skonfigurowania ustawienia hasła Czas bezczynności (w minutach) przed zablokowaniem urządzenia przenośnego.

Urządzenia przenośne bez zainstalowanego klienta programu Menedżer konfiguracji, ale zarządzane przez łącznik serwera Exchange: należy określić ustawienia hasła dla łącznika serwera Exchange w celu skonfigurowania ustawienia Czas bezczynności (w minutach) przed zablokowaniem urządzenia przenośnego.

Urządzenia przenośne: należy zapobiegać podnoszeniu uprawnień poprzez ograniczenie użytkowników, którzy mogą rejestrować urządzenia przenośne.

Należy użyć niestandardowego ustawienia klienta zamiast domyślnych ustawień klienta, aby umożliwić rejestrowanie urządzeń przenośnych tylko przez autoryzowanych użytkowników.

Urządzenia przenośne: Nie należy wdrażać aplikacji dla użytkowników, których urządzenia przenośne zostały zarejestrowane w programie Configuration Manager lub usłudze Microsoft Intune, w następujących sytuacjach:

  • Kiedy urządzenie przenośne jest używane przez więcej niż jedną osobę.

  • Kiedy urządzenie jest rejestrowane przez administratora w imieniu użytkownika.

  • Kiedy urządzenie jest przekazywane innej osobie bez wycofania, a następnie ponownego zarejestrowania urządzenia.

Relacja koligacji urządzenia użytkownika jest tworzona podczas rejestracji, która mapuje użytkownika wykonującego rejestrację na urządzenie przenośne. Jeśli inny użytkownik użyje urządzenia przenośnego, będzie mógł uruchamiać aplikacje wdrożone dla oryginalnego użytkownika, co może spowodować podniesienie uprawnień. Z kolei, jeśli administrator zarejestruje urządzenie przenośne dla użytkownika, nie zostaną zainstalowane aplikacje wdrożone dla użytkownika, ale aplikacje wdrożone dla administratora.

W przeciwieństwie do koligacji urządzenia użytkownika dla komputerów z systemem Windows nie można ręcznie zdefiniować informacji o koligacji urządzenia użytkownika dla urządzeń przenośnych zarejestrowanych w usłudze Microsoft Intune.

W przypadku przeniesienia własności urządzenia przenośnego zarejestrowanego w usłudze Intune należy wycofać to urządzenie przenośne z usługi Intune, aby usunąć koligację urządzenia użytkownika, a następnie poprosić bieżącego użytkownika o ponowne zarejestrowanie urządzenia.

Urządzenia przenośne: Należy upewnić się, że użytkownicy rejestrują swoje urządzenia przenośne w usłudze Microsoft Intune

Relacja koligacji urządzenia użytkownika jest tworzona podczas rejestracji, która mapuje użytkownika wykonującego rejestrację na urządzenie przenośne. Jeśli więc administrator zarejestruje urządzenie przenośne dla użytkownika, nie zostaną zainstalowane aplikacje wdrożone dla użytkownika, ale aplikacje wdrożone dla administratora.

Łącznik serwera Exchange: należy upewnić się, że połączenie między serwerem lokacji programu Menedżer konfiguracji a serwerem programu Exchange jest zabezpieczone

Należy użyć protokołu IPsec, jeśli serwer programu Exchange działa lokalnie; hostowany serwer programu Exchange automatycznie zabezpiecza połączenie przy użyciu protokołu SSL.

Łącznik serwera Exchange: należy używać reguły najniższych uprawnień dla łącznika

Listę z minimalną liczbą poleceń cmdlet, których wymaga łącznik serwera Exchange, zawiera temat Jak zarządzać urządzeniami przenośnymi za pomocą programu Configuration Manager i Exchange.

Komputery Mac: Pliki źródłowe klienta należy przechowywać w zabezpieczonej lokalizacji, a także uzyskiwać do nich dostęp z takiej lokalizacji.

Program Menedżer konfiguracji nie sprawdza przed zainstalowaniem lub zarejestrowaniem klienta na komputerze Mac, czy pliki źródłowe klienta zostały naruszone. Takie pliki należy pobierać z wiarygodnego źródła, a także przechowywać je i uzyskiwać do nich dostęp w bezpieczny sposób.

Komputery Mac: niezależnie od programu Menedżer konfiguracji, należy monitorować i śledzić okres ważności certyfikatu zarejestrowanego dla użytkowników.

Aby zapewnić ciągłość pracy, należy monitorować i śledzić okres ważności certyfikatów używanych dla komputerów Mac. Program Menedżer konfiguracji SP1 nie obsługuje automatycznego odnawiania certyfikatu ani ostrzegania o zbliżającym się wygaśnięciu certyfikatu. Typowy okres ważności wynosi 1 rok.

Informacje dotyczące sposobu odnawiania certyfikatu zawierają sekcje Odnawianie certyfikatu klienta dla komputerów Mac w temacie Jak zainstalować klientów na komputerach Mac w programie Configuration Manager.

Komputery Mac: Należy rozważyć skonfigurowanie certyfikatu zaufanego głównego urzędu certyfikacji, który będzie zaufany tylko dla protokołu SSL, co pomoże zapewnić ochronę przed podniesieniem uprawnień.

Podczas rejestrowania komputerów Mac zostaje automatycznie zainstalowany certyfikat użytkownika służący do zarządzania klientem programu Menedżer konfiguracji, a także zaufany certyfikat główny, z którym jest powiązany ten certyfikat użytkownika. Aby ograniczyć zaufanie tego certyfikatu głównego tylko do protokołu SSL, można skorzystać z poniższej procedury.

Po jej wykonaniu certyfikat główny nie będzie zaufany w celu weryfikowania protokołów innych niż SSL, takich jak Secure Mail (S/MIME), Extensible Authentication (EAP) lub podpisywanie kodu.

Uwaga

Z tej procedury można także skorzystać, jeśli certyfikat klienta został zainstalowany niezależnie od programu Menedżer konfiguracji.

Aby ograniczyć certyfikat głównego urzędu certyfikacji tylko do protokołu SSL:

  1. Na komputerze Mac otwórz okno terminala.

  2. Wprowadź polecenie sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. W oknie dialogowym Dostęp do pęku kluczy w sekcji Pęki kluczy kliknij pozycję System, a następnie w sekcji Kategoria kliknij pozycję Certyfikaty.

  4. Znajdź i kliknij dwukrotnie certyfikat głównego urzędu certyfikacji dla certyfikatu klienta dla komputerów Mac.

  5. W oknie dialogowym certyfikat głównego urzędu certyfikacji rozwiń sekcję Opcje zaufania, a następnie dokonaj następujących zmian:

    1. Na liście rozwijanej Używając tego certyfikatu zmień ustawienie domyślne Zawsze ufaj na Użyj domyślnych ustawień systemowych.

    2. Na liście rozwijanej Secure Sockets Layer (SSL) zmień ustawienie brak wskazanej wartości na Zawsze ufaj.

  6. Zamknij okno dialogowe i po wyświetleniu monitu wprowadź hasło administratora, a następnie kliknij przycisk Ustawienia aktualizacji.

Problemy dotyczące zabezpieczeń klientów programu Configuration Manager

Następujące problemy dotyczące zabezpieczeń nie mają środków zaradczych:

  • Komunikaty o stanie nie są uwierzytelniane

    Uwierzytelnianie nie jest wykonywane dla komunikatów o stanie. Kiedy punkt zarządzania akceptuje połączenia klienta HTTP, dowolne urządzenie może wysyłać komunikaty o stanie do punktu zarządzania. Jeśli punkt zarządzania akceptuje tylko połączenia klienta HTTPS, urządzenie musi uzyskać prawidłowy certyfikat uwierzytelniania klienta z zaufanego głównego urzędu certyfikacji, ale następnie może także wysłać dowolny komunikat o stanie. Jeśli klient wyśle nieprawidłowy komunikat o stanie, zostanie on odrzucony.

    Istnieje kilka potencjalnych ataków wykorzystujących tę lukę w zabezpieczeniach. Osoba atakująca może wysłać sfałszowany komunikat o stanie, aby uzyskać członkostwo w kolekcji na podstawie kwerend komunikatów o stanie. Dowolny klient może uruchomić atak typu „odmowa usługi” przeciwko punktowi zarządzania, zalewając go komunikatami o stanie. Jeśli komunikaty o stanie wyzwalają akcje w regułach filtru komunikatów o stanie, osoba atakująca może wyzwolić regułę filtru komunikatów o stanie. Ponadto osoba atakująca może wysłać komunikat o stanie, który sprawi, że informacje w raporcie będą niedokładne.

  • Cel zasad może zostać zmieniony na innych klientów

    Istnieje kilka metod, które osoby atakujące mogą wykorzystać w celu zmiany celu zasad klienta na zupełnie innego klienta. Na przykład osoba atakująca na zaufanym kliencie może wysłać fałszywe informacje o spisie lub dotyczące odnajdywania w celu dodania komputera do kolekcji, do której nie może należeć. W ten sposób klient będzie otrzymywać wszystkie wdrożenia dla tej kolekcji. Wprawdzie istnieją środki zapobiegawcze, które uniemożliwiają osobom atakującym bezpośrednie modyfikowanie zasad, ale osoba atakująca może wykorzystać istniejące zasady w celu ponownego sformatowania i wdrożenia systemu operacyjnego, a następnie wysłać je do innego komputera, tworząc atak typu „odmowa usługi”. Ataki tego rodzaju wymagają precyzyjnej synchronizacji czasu i doskonałej znajomości infrastruktury programu Menedżer konfiguracji.

  • Dzienniki klienta umożliwiają dostęp użytkownika

    Wszystkie pliki dziennika zapewniają użytkownikom uprawnienie dostępu Odczyt oraz dostęp typu Zapis dla użytkowników interaktywnych. Jeśli włączono pełne rejestrowanie, osoby atakujące mogą odczytać pliki dziennika w celu wyszukania informacji dotyczących zgodności lub luk w zabezpieczeniach systemu. Niektóre procesy wykonywane w kontekście użytkownika, takie jak instalacja oprogramowania, muszą mieć możliwość zapisywania dzienników przy użyciu konta użytkownika o niskich prawach. Oznacza to, że także osoba atakująca może zapisywać w dziennikach przy użyciu konta o niskich prawach.

    Najpoważniejsze zagrożenie jest związane z tym, że osoba atakująca może usunąć z plików dziennika informacje, które mogą być wymagane przez administratora do audytu i wykrywania intruzów.

  • Komputer może zostać użyty do uzyskania certyfikatu stworzonego na potrzeby rejestracji urządzenia przenośnego

    Kiedy program Menedżer konfiguracji przetwarza żądanie rejestracji, nie może zweryfikować, czy żądanie pochodzi z urządzenia przenośnego, a nie z komputera. Jeśli żądanie pochodzi z komputera, może zostać zainstalowany certyfikat PKI, który następnie umożliwi zarejestrowanie komputera w programie Menedżer konfiguracji. Aby zapobiec atakom powodującym podniesienie uprawnień w tym scenariuszu, należy umożliwić rejestrowanie urządzeń przenośnych tylko przez zaufanych użytkowników oraz dokładnie monitorować działania rejestracji.

  • Połączenie z klienta do punktu zarządzania nie zostaje przerwane po zablokowaniu klienta, jeśli zablokowany klient w dalszym ciągu będzie wysyłać do punktu zarządzania pakiety powiadomień klienta jako komunikaty utrzymywania aktywności

    Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:

    Jeśli zostanie zablokowany klient, który nawiązał komunikację w celu przesyłania powiadomień klienta, program Menedżer konfiguracji nie rozłączy tej sesji. Zablokowany klient może kontynuować wysyłanie pakietów do swojego punktu zarządzania aż do momentu, gdy klient odłączy się od sieci. Te pakiety stanowią wyłącznie małe pakiety utrzymywania aktywności. Program Menedżer konfiguracji nie może zarządzać takimi klientami aż do ich odblokowania.

  • Kiedy stosowane jest automatyczne uaktualnianie klienta, a klient zostaje skierowany do punktu zarządzania w celu pobrania plików źródłowych klienta, punkt zarządzania nie jest weryfikowany jako zaufane źródło

    Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:

    Kiedy stosowane jest automatyczne uaktualnianie klienta w hierarchii programu Menedżer konfiguracji, w której niektóre lokacje korzystają z programu Menedżer konfiguracji SP1, a inne lokacje z programu Menedżer konfiguracji bez dodatku Service Pack, klient w lokacji programu Menedżer konfiguracji bez dodatku Service Pack zostaje skierowany w celu pobrania plików źródłowych klienta z przypisanego punktu zarządzania, a nie z punktów dystrybucji. Dzięki temu klienci przypisani do lokacji z programem Menedżer konfiguracji bez dodatku Service Pack nie będą instalować plików źródłowych klienta programu Menedżer konfiguracji SP1, co spowodowałoby brak zarządzania klientami. W tym scenariuszu punkt zarządzania nie jest weryfikowany przez klientów jako zaufane źródło i możliwe jest przekierowanie klientów do złośliwego punktu zarządzania w celu pobrania plików instalacyjnych klienta. To zagrożenie jest jednak niskie, ponieważ klienci będą odrzucać wszystkie pliki instalacyjne klienta, które nie zostały podpisane przez firmę Microsoft. Klienci zawsze weryfikują zaufanie przed pobraniem zasad klienta z punktów zarządzania.

  • Kiedy użytkownicy po raz pierwszy rejestrują komputery Mac, są narażeni na ataki metodą preparowania DNS

    Kiedy podczas rejestracji komputer Mac nawiązuje połączenie z punktem proxy rejestracji, najprawdopodobniej ten komputer nie ma jeszcze certyfikatu głównego urzędu certyfikacji. Na tym etapie serwer nie jest zaufany przez komputer Mac i wyświetlany jest monit dla użytkownika o kontynuację. Jeśli w pełni kwalifikowana nazwa punktu proxy rejestracji zostanie rozwiązana przez złośliwy serwer DNS, komputer Mac może zostać skierowany do złośliwego punktu proxy rejestracji, przez co zostaną zainstalowane certyfikaty z niezaufanego źródła. Aby ograniczyć to ryzyko, należy stosować najlepsze rozwiązania w celu zapobiegania atakom metodą preparowania DNS w danym środowisku.

  • Rejestracja komputerów Mac nie ogranicza liczby żądań certyfikatów

    Użytkownicy mogą ponownie zarejestrować swoje komputery Mac, za każdym razem żądając nowego certyfikatu klienta. Program Menedżer konfiguracji nie sprawdza obecności wielu żądań ani nie ogranicza liczby certyfikatów żądanych z jednego komputera. Złośliwy użytkownik może uruchomić skrypt, który powtarza żądania rejestracji w wierszu polecenia, wykonując atak typu „odmowa usługi” w sieci lub przeciwko urzędowi wystawiającemu certyfikaty. Aby ograniczyć to ryzyko, należy dokładnie monitorować urząd wystawiający certyfikaty pod kątem takiego złośliwego zachowania. Komputer wykazujący zachowanie tego typu należy natychmiast zablokować w hierarchii programu Menedżer konfiguracji.

  • Potwierdzenie wyczyszczenia nie sprawdza, czy urządzenie zostało pomyślnie wyczyszczone

    Jeśli zainicjowano akcję czyszczenia urządzenia przenośnego, a program Menedżer konfiguracji wyświetla stan czyszczenia do potwierdzenia, weryfikacja oznacza, że program Menedżer konfiguracji pomyślnie wysłał wiadomość, a nie że urządzenie podjęło odpowiednie działania. Ponadto w przypadku urządzeń przenośnych, które są zarządzane przez łącznik serwera Exchange, potwierdzenie wymazania weryfikuje otrzymanie polecenia przez serwer Exchange, a nie przez urządzenie.

  • Jeśli używasz tych opcji do zatwierdzania zmian na urządzeniach Windows Embedded w programie Menedżer konfiguracji SP1, konta mogą zostać zablokowane szybciej niż oczekujesz.

    Jeśli na urządzeniu Windows Embedded jest uruchomiony system operacyjny starszy niż Windows 7, a użytkownik próbuje się zalogować przy wyłączonych filtrach zapisu w celu zatwierdzenia zmian wprowadzonych przez program Menedżer konfiguracji SP1, liczba nieudanych prób logowania dozwolona przed zablokowaniem konta jest dwukrotnie mniejsza. Jeśli na przykład opcja Próg blokady konta jest ustawiona na 6, a użytkownik błędnie wpisze hasło 3 razy, konto zostaje zablokowane, tworząc sytuację podobną do ataku typu „odmowa usługi”. Jeśli użytkownicy w tym scenariuszu muszą się logować na urządzeniach z systemem osadzonym, należy ich ostrzec o potencjalnie zmniejszonym progu blokady konta.

Informacje o ochronie prywatności klientów programu Configuration Manager

Podczas wdrażania klienta programu Menedżer konfiguracji konfigurujesz ustawienia klienta tak, aby możliwe było używanie funkcji zarządzania w programie Menedżer konfiguracji. Ustawienia używane do konfigurowania funkcji mogą mieć zastosowanie do wszystkich klientów w hierarchii programu Menedżer konfiguracji bez względu na to, czy są oni bezpośrednio podłączeni do sieci korporacyjnej, podłączeni za pomocą sesji zdalnej czy podłączeni do Internetu, ale obsługiwani przez program Menedżer konfiguracji.

Informacje o kliencie są przechowywane w bazie danych programu Menedżer konfiguracji, ale nie są wysyłane do firmy Microsoft. Informacje są przechowywane w bazie danych, aż do ich usunięcia przez uruchamiane co 90 dni zadania konserwacji lokacji Usuń przestarzałe dane wykrywania. Możesz skonfigurować interwał usuwania.

Przed skonfigurowaniem klienta programu Menedżer konfiguracji musisz uwzględnić wymogi związane z ochroną prywatności.

Informacje o ochronie prywatności dotyczące klientów urządzeń przenośnych zarejestrowanych w programie Configuration Manager

Informacje o ochronie prywatności związane z rejestracją urządzenia przenośnego przez program Menedżer konfiguracji znajdują się w dokumencie Zasady zachowania poufności informacji programu Microsoft System Center 2012 Configuration Manager — dodatek dla urządzeń przenośnych.

Stan klienta

Program Menedżer konfiguracji monitoruje aktywność klientów oraz okresowo ocenia i koryguje klienta programu Menedżer konfiguracji i jego zależności. Funkcja Stan klienta jest domyślnie włączona i wykorzystuje metryki po stronie serwera do sprawdzania aktywności klientów oraz aktywności po stronie klienta do samokontroli, korygowania i wysyłania informacji o stanie klienta do lokacji programu Menedżer konfiguracji. Klient uruchamia samokontrole zgodnie z konfigurowalnym harmonogramem. Klient wysyła wyniki kontroli do lokacji programu Menedżer konfiguracji. Informacje te są szyfrowane podczas transferu.

Informacje o stanie klienta są przechowywane w bazie danych programu Menedżer konfiguracji, ale nie są wysyłane do firmy Microsoft. Informacje nie są przechowywane w zaszyfrowanym formacie w bazie danych lokacji. Te informacje są zachowywane w bazie danych do chwili ich usunięcia, zgodnie z wartością ustawienia stanu klienta Zachowaj historię stanu klienta przez następującą liczbę dni. Domyślna wartość tego ustawienia to 31 dni.

Przed zainstalowaniem klienta programu Menedżer konfiguracji z opcją sprawdzania stanu klienta musisz uwzględnić wymogi związane z ochroną prywatności.

Informacje o ochronie prywatności urządzeń przenośnych zarządzanych przez łącznik serwera Exchange

Łącznik serwera Exchange umożliwia wyszukiwanie urządzeń przenośnych i zarządzanie urządzeniami przenośnymi, które łączą się z serwerem Exchange Server (lokalnie lub online), używając protokołu ActiveSync. Rejestry znalezione przez łącznik serwera Exchange są przechowywane w bazie danych programu Menedżer konfiguracji. Informacje są zbierane z serwera programu Exchange. Nie zawierają żadnych dodatkowych informacji wysyłanych przez urządzenia przenośne do serwera programu Exchange.

Informacje o urządzeniach przenośnych nie są wysyłane do firmy Microsoft. Informacje o urządzeniach przenośnych są przechowywane w bazie danych programu Menedżer konfiguracji. Informacje są przechowywane w bazie danych, aż do ich usunięcia przez uruchamiane co 90 dni zadania konserwacji lokacji Usuń przestarzałe dane wykrywania. Możesz skonfigurować interwał usuwania.

Przed zainstalowaniem i skonfigurowaniem łącznika serwera Exchange musisz uwzględnić wymogi związane z ochroną prywatności.