Основы безопасности для Configuration Manager
Относится к Configuration Manager (Current Branch)
В этой статье перечислены следующие основные компоненты безопасности любой Configuration Manager среды:
- Уровни безопасности
- Администрирование на основе ролей
- Защита конечных точек клиента
- учетные записи и группы Configuration Manager
- Конфиденциальность
Уровни безопасности
Безопасность для Configuration Manager состоит из следующих уровней:
- Безопасность ОС Windows и сети
- Сетевая инфраструктура: брандмауэры, обнаружение вторжений, инфраструктура открытых ключей (PKI)
- элементы управления безопасностью Configuration Manager
- Поставщик SMS
- Разрешения базы данных сайта
Безопасность ОС Windows и сети
Первый уровень обеспечивается функциями безопасности Windows как для ОС, так и для сети. Этот слой включает в себя следующие компоненты:
Общий доступ к файлам для передачи файлов между Configuration Manager компонентами.
контроль доступа списки (ACL) для защиты файлов и разделов реестра.
Безопасность протокола ИНТЕРНЕТА (IPsec) для защиты обмена данными.
Групповая политика для настройки политики безопасности.
Разрешения DCOM для распределенных приложений, таких как консоль Configuration Manager.
доменные службы Active Directory для хранения субъектов безопасности.
Безопасность учетных записей Windows, включая некоторые группы, которые Configuration Manager создавать во время установки.
инфраструктура сети;
Компоненты сетевой безопасности, такие как брандмауэры и обнаружение вторжений, помогают обеспечить защиту всей среды. Сертификаты, выданные отраслевыми стандартными реализациями инфраструктуры открытых ключей (PKI), помогают обеспечить проверку подлинности, подписывание и шифрование.
элементы управления безопасностью Configuration Manager
По умолчанию только локальные администраторы имеют права на файлы и разделы реестра, необходимые консоли Configuration Manager на компьютерах, на которых она установлена.
Поставщик SMS
Следующий уровень безопасности основан на доступе к поставщику SMS. Поставщик SMS — это компонент Configuration Manager, который предоставляет пользователю доступ к запросу сведений к базе данных сайта. Поставщик SMS в основном предоставляет доступ через инструментарий управления Windows (WMI), а также REST API, называемый службой администрирования.
По умолчанию доступ к поставщику ограничен членами локальной группы администраторов SMS . Эта группа сначала содержит только пользователя, который установил Configuration Manager. Чтобы предоставить другим учетным записям разрешение на репозиторий Common Information Model (CIM) и поставщик SMS, добавьте другие учетные записи в группу администраторов SMS.
Вы можете указать минимальный уровень проверки подлинности для доступа администраторов к Configuration Manager сайтам. Эта функция позволяет администраторам выполнять вход в Windows с требуемым уровнем. Дополнительные сведения см. в разделе Планирование поставщика SMS.
Разрешения базы данных сайта
Последний уровень безопасности основан на разрешениях для объектов в базе данных сайта. По умолчанию учетная запись локальной системы и учетная запись пользователя, которая использовалась для установки, Configuration Manager могут администрировать все объекты в базе данных сайта. Предоставление и ограничение разрешений другим администраторам в консоли Configuration Manager с помощью администрирования на основе ролей.
Администрирование на основе ролей
Configuration Manager использует администрирование на основе ролей для защиты таких объектов, как коллекции, развертывания и сайты. Эта модель администрирования централизованно определяет параметры доступа к безопасности на уровне иерархии и управляет ими для всех сайтов и параметров сайта.
Администратор назначает роли безопасности администраторам и разрешениям группы. Разрешения подключаются к разным типам объектов Configuration Manager, например для создания или изменения параметров клиента.
Области безопасности включают определенные экземпляры объектов, которыми отвечает администратор. Например, приложение, устанавливающее консоль Configuration Manager.
Сочетание ролей безопасности, областей безопасности и коллекций определяет объекты, которые администратор может просматривать и управлять ими. Configuration Manager устанавливает некоторые роли безопасности по умолчанию для типичных задач управления. Создайте собственные роли безопасности для удовлетворения конкретных бизнес-требований.
Дополнительные сведения см. в разделе Основы ролевого администрирования.
Защита конечных точек клиента
Configuration Manager защищает взаимодействие клиента с ролями системы сайта с помощью самозаверяющего или PKI-сертификатов или маркеров Microsoft Entra. В некоторых сценариях требуется использование PKI-сертификатов. Например, управление клиентами через Интернет и для клиентов мобильных устройств.
Вы можете настроить роли системы сайта, к которым клиенты подключаются для обмена данными по протоколу HTTPS или HTTP-клиенту. Клиентские компьютеры всегда обмениваются данными с помощью наиболее безопасного из доступных методов. Клиентские компьютеры возвращаются к использованию менее безопасного метода связи, только если у вас есть роли систем сайта, которые разрешают обмен данными по протоколу HTTP.
Важно!
Начиная с Configuration Manager версии 2103, сайты, которые разрешают обмен данными с клиентом HTTP, не рекомендуется использовать. Настройте сайт для HTTPS или расширенного HTTP. Дополнительные сведения см. в статье Включение сайта только для HTTPS или расширенного HTTP.
Дополнительные сведения см. в разделе Планирование безопасности.
учетные записи и группы Configuration Manager
Configuration Manager использует учетную запись локальной системы для большинства операций сайта. Некоторые операции сайта позволяют использовать учетную запись службы вместо учетной записи компьютера домена сервера сайта. Для некоторых задач управления может потребоваться создание и обслуживание других учетных записей. Например, для присоединения к домену во время последовательности задач развертывания ОС.
Configuration Manager создает несколько групп по умолчанию и SQL Server роли во время установки. Может потребоваться вручную добавить учетные записи компьютеров или пользователей в группы по умолчанию и SQL Server роли.
Дополнительные сведения см. в разделе Учетные записи, используемые в Configuration Manager.
Конфиденциальность
Прежде чем реализовать Configuration Manager, рассмотрите свои требования к конфиденциальности. Хотя корпоративные продукты управления предлагают множество преимуществ, так как они могут эффективно управлять большим количеством клиентов, это программное обеспечение может повлиять на конфиденциальность пользователей в вашей организации. Configuration Manager включает множество средств для сбора данных и мониторинга устройств. Некоторые средства могут вызывать проблемы конфиденциальности в вашей организации.
Например, при установке клиента Configuration Manager по умолчанию включается множество параметров управления. Эта конфигурация заставляет клиентское программное обеспечение отправлять сведения на Configuration Manager сайт. Сайт хранит сведения о клиентах в базе данных сайта. Сведения о клиенте не отправляются в корпорацию Майкрософт напрямую. Дополнительные сведения см. в разделе Данные о диагностике и использовании.
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по