Планирование безопасности в Configuration Manager

Относится к Configuration Manager (Current Branch)

В этой статье описываются следующие понятия, которые следует учитывать при планировании безопасности с помощью реализации Configuration Manager:

• Сертификаты (самозаверяющий и PKI)

• Доверенный корневой ключ

• Подписывание и шифрование

• Администрирование на основе ролей

• Microsoft Entra ID

• Проверка подлинности поставщика SMS

Прежде чем начать, убедитесь, что вы знакомы с основами безопасности в Configuration Manager.

Сертификаты

Configuration Manager использует сочетание самозаверяемых и цифровых сертификатов инфраструктуры открытых ключей (PKI). По возможности используйте PKI-сертификаты. В некоторых сценариях требуются PKI-сертификаты. Если PKI-сертификаты недоступны, сайт автоматически создает самозаверяющие сертификаты. В некоторых сценариях всегда используются самозаверяемые сертификаты.

Дополнительные сведения см. в разделе Планирование сертификатов.

Доверенный корневой ключ

Доверенный корневой ключ Configuration Manager предоставляет механизм для Configuration Manager клиентов, чтобы убедиться, что системы сайта относятся к их иерархии. Каждый сервер сайта создает ключ обмена сайтом для связи с другими сайтами. Ключ обмена сайтом с сайта верхнего уровня в иерархии называется доверенным корневым ключом.

Функция доверенного корневого ключа в Configuration Manager похожа на корневой сертификат в инфраструктуре открытых ключей. Все, что подписано закрытым ключом доверенного корневого ключа, является доверенным дальше по иерархии. Клиенты хранят копию доверенного корневого ключа сайта в root\ccm\locationservices пространстве имен WMI.

Например, сайт выдает сертификат точке управления, которую подписывает закрытым ключом доверенного корневого ключа. Сайт предоставляет клиентам общий доступ к открытому ключу доверенного корневого ключа. Затем клиенты могут различать точки управления, которые находятся в иерархии, и точки управления, которые не находятся в иерархии.

Клиенты автоматически получают общедоступную копию доверенного корневого ключа с помощью двух механизмов:

• Вы расширяете схему Active Directory для Configuration Manager и публикуете сайт в доменные службы Active Directory. Затем клиенты получают эти сведения о сайте с сервера глобального каталога. Дополнительные сведения см. в статье Подготовка Active Directory к публикации сайта.

• При установке клиентов с помощью метода принудительной установки клиента. Дополнительные сведения см. в разделе Принудительная установка клиента.

Если клиенты не могут получить доверенный корневой ключ с помощью одного из этих механизмов, они доверяют доверенному корневому ключу, предоставленному первой точкой управления, с которой они взаимодействуют. В этом сценарии клиент может быть неправильно направлен в точку управления злоумышленника, где он будет получать политику из неправильной точки управления. Для этого действия требуется сложный злоумышленник. Эта атака ограничена коротким временем, прежде чем клиент извлекает доверенный корневой ключ из допустимой точки управления. Чтобы снизить риск неправильного направления клиентов злоумышленником в неправильную точку управления, предварительно подготовьте клиенты с доверенным корневым ключом.

Дополнительные сведения и процедуры для управления доверенным корневым ключом см. в разделе Настройка безопасности.

Подписывание и шифрование

При использовании PKI-сертификатов для всех клиентских подключений вам не нужно планировать подписывание и шифрование, чтобы защитить обмен данными клиента. Если вы настроили какие-либо системы сайта, на которые запущены СЛУЖБЫ IIS, чтобы разрешить подключения клиентов HTTP, решите, как защитить обмен данными между клиентами для сайта.

Важно!

Начиная с Configuration Manager версии 2103, сайты, которые разрешают обмен данными с клиентом HTTP, не рекомендуется использовать. Настройте сайт для HTTPS или расширенного HTTP. Дополнительные сведения см. в статье Включение сайта только для HTTPS или расширенного HTTP.

Чтобы защитить данные, отправляемые клиентами в точки управления, можно потребовать от клиентов подписывать эти данные. Для подписывания также может потребоваться алгоритм SHA-256. Эта конфигурация является более безопасной, но не требует SHA-256, если только ее не поддерживают все клиенты. Многие операционные системы изначально поддерживают этот алгоритм, но для более старых операционных систем может потребоваться обновление или исправление.

В то время как подписывание помогает защитить данные от незаконного изменения, шифрование помогает защитить данные от раскрытия информации. Вы можете включить шифрование для данных инвентаризации и сообщений о состоянии, которые клиенты отправляют в точки управления на сайте. Для поддержки этого параметра не требуется устанавливать обновления на клиентах. Клиентам и точкам управления требуется больше ресурсов ЦП для шифрования и расшифровки.

Примечание.

Для шифрования данных клиент использует открытый ключ сертификата шифрования точки управления. Только точка управления имеет соответствующий закрытый ключ, поэтому только она может расшифровывать данные.

Клиент загружает этот сертификат с помощью сертификата подписи точки управления, который загружается с доверенным корневым ключом сайта. Убедитесь, что доверенный корневой ключ подготовлен на клиентах. Дополнительные сведения см. в разделе Доверенный корневой ключ.

Дополнительные сведения о настройке параметров подписывания и шифрования см. в разделе Настройка подписывания и шифрования.

Дополнительные сведения об алгоритмах шифрования, используемых для подписывания и шифрования, см. в техническом справочнике по элементам управления шифрованием.

Администрирование на основе ролей

С помощью Configuration Manager вы используете администрирование на основе ролей, чтобы защитить доступ, который пользователи с правами администратора должны использовать Configuration Manager. Вы также обеспечиваете безопасный доступ к управляемым объектам, таким как коллекции, развертывания и сайты.

Сочетание ролей безопасности, областей безопасности и коллекций позволяет разделить административные назначения, соответствующие требованиям вашей организации. Вместе они определяют административные область пользователя. Эта административная область управляет объектами, которые пользователь просматривает в консоли Configuration Manager, и разрешениями, которые пользователь имеет для этих объектов.

Дополнительные сведения см. в разделе Основы ролевого администрирования.

Microsoft Entra ID

Configuration Manager интегрируется с идентификатором Microsoft Entra, чтобы сайт и клиенты могли использовать современную проверку подлинности.

Дополнительные сведения об идентификаторе Microsoft Entra см. в документации по Microsoft Entra.

Подключение сайта с помощью идентификатора Microsoft Entra поддерживает следующие Configuration Manager сценарии:

Сценарии клиента

• Управление клиентами в Интернете с помощью шлюза управления облаком

• Управление устройствами, присоединенными к домену в облаке

• Совместное управление

• Развертывание приложений, доступных для пользователей

• Microsoft Store для бизнеса веб-приложения

• Управление Приложения Microsoft 365 для предприятий

Сценарии сервера

• Аналитика компьютеров

• Подключение клиента

• Аналитика конечных точек

• Azure Log Analytics

• Центр сообщества

• Обнаружение пользователей

Проверка подлинности поставщика SMS

Вы можете указать минимальный уровень проверки подлинности для доступа администраторов к Configuration Manager сайтам. Эта функция позволяет администраторам входить в Windows с необходимым уровнем, прежде чем они смогут получить доступ к Configuration Manager. Он применяется ко всем компонентам, которые обращаются к поставщику SMS. Например, консоль Configuration Manager, методы пакета SDK и командлеты Windows PowerShell.

Configuration Manager поддерживает следующие уровни проверки подлинности:

• проверка подлинности Windows: требуется проверка подлинности с учетными данными домена Active Directory. Этот параметр является предыдущим поведением и текущим параметром по умолчанию.

• Проверка подлинности с помощью сертификата. Требуется проверка подлинности с помощью действительного сертификата, выданного доверенным центром сертификации PKI. Этот сертификат не настраивают в Configuration Manager. Configuration Manager требуется, чтобы администратор вошел в Windows с помощью PKI.

• Windows Hello для бизнеса проверки подлинности: требуется проверка подлинности со строгой двухфакторной проверкой подлинности, привязанной к устройству и использующим биометрические данные или ПИН-код. Дополнительные сведения см. в статье Windows Hello для бизнеса.

  Важно!

  При выборе этого параметра поставщик SMS и служба администрирования требуют, чтобы маркер проверки подлинности пользователя содержал утверждение многофакторной проверки подлинности (MFA) из Windows Hello для бизнеса. Другими словами, пользователь консоли, пакета SDK, PowerShell или службы администрирования должен пройти проверку подлинности в Windows с помощью Windows Hello для бизнеса ПИН-кода или биометрических данных. В противном случае сайт отклоняет действие пользователя.

  Это поведение предназначено для Windows Hello для бизнеса, а не для Windows Hello.

Дополнительные сведения о настройке этого параметра см. в разделе Настройка проверки подлинности поставщика SMS.

Дальнейшие действия

• Сертификаты в диспетчере конфигураций

• Планирование PKI-сертификатов

• Настройка безопасности

• Технический справочник по средствам управления шифрованием