Безопасность и конфиденциальность клиентов Configuration Manager

Относится к Configuration Manager (Current Branch)

В этой статье описаны сведения о безопасности и конфиденциальности для Configuration Manager клиентов. Он также содержит сведения о мобильных устройствах, управляемых соединителем Exchange Server.

Руководство по безопасности для клиентов

Сайт Configuration Manager принимает данные с устройств, на которые запущен клиент Configuration Manager. Это поведение представляет риск того, что клиенты могут атаковать сайт. Например, они могут отправлять неправильные данные инвентаризации или пытаться перегрузить системы сайта. Разверните клиент Configuration Manager только на устройствах, которым вы доверяете.

Используйте следующие рекомендации по безопасности, чтобы защитить сайт от несанкционированных или скомпрометированных устройств.

Использование сертификатов инфраструктуры открытых ключей (PKI) для взаимодействия клиентов с системами сайта, на которые запущены СЛУЖБЫ IIS.

• В качестве свойства сайта настройте параметры системы сайтатолько для HTTPS. Дополнительные сведения см. в разделе Настройка безопасности.

• Установите клиенты с помощью свойства UsePKICert CCMSetup.

• Используйте список отзыва сертификатов (CRL). Убедитесь, что клиенты и взаимодействующие серверы всегда могут получить к нему доступ.

Эти сертификаты требуются для клиентов мобильных устройств и некоторых интернет-клиентов. Корпорация Майкрософт рекомендует использовать эти сертификаты для всех клиентских подключений в интрасети.

Дополнительные сведения об использовании сертификатов в Configuration Manager см. в разделе Планирование сертификатов.

Важно!

Начиная с Configuration Manager версии 2103, сайты, которые разрешают обмен данными с клиентом HTTP, не рекомендуется использовать. Настройте сайт для HTTPS или расширенного HTTP. Дополнительные сведения см. в статье Включение сайта только для HTTPS или расширенного HTTP.

Автоматическое утверждение клиентских компьютеров из доверенных доменов и вручную проверка и утверждение других компьютеров

Если вы не можете использовать проверку подлинности PKI, утверждение определяет компьютер, которым вы доверяете управлять с помощью Configuration Manager. Иерархия имеет следующие параметры для настройки утверждения клиента:

• Вручную
• Автоматическое для компьютеров в доверенных доменах
• Автоматическое для всех компьютеров

Самый безопасный метод утверждения — автоматическое утверждение клиентов, являющихся членами доверенных доменов. Этот параметр включает присоединенные к облаку клиенты из подключенных Microsoft Entra клиентов.Затем вручную проверка и утвердить все остальные компьютеры. Автоматическое утверждение всех клиентов не рекомендуется, если у вас нет других элементов управления доступом, чтобы предотвратить доступ к сети ненадежными компьютерами.

Дополнительные сведения о том, как вручную утверждать компьютеры, см. в разделе Управление клиентами с узла устройств.

Не полагайтесь на блокировку, чтобы предотвратить доступ клиентов к иерархии Configuration Manager

Заблокированные клиенты отклоняются инфраструктурой Configuration Manager. Если клиенты заблокированы, они не могут взаимодействовать с системами сайта для скачивания политики, передачи данных инвентаризации или отправки сообщений о состоянии или состоянии.

Блокировка предназначена для следующих сценариев:

• Блокировка потерянного или скомпрометированного загрузочного носителя при развертывании ОС на клиентах
• Когда все системы сайта принимают клиентские подключения HTTPS

Когда системы сайта принимают клиентские подключения HTTP, не полагайтесь на блокировку для защиты иерархии Configuration Manager от ненадежных компьютеров. В этом сценарии заблокированный клиент может повторно присоединиться к сайту с помощью нового самозаверяющего сертификата и идентификатора оборудования.

Отзыв сертификата является основной линией защиты от потенциально скомпрометированных сертификатов. Список отзыва сертификатов (CRL) доступен только в поддерживаемой инфраструктуре открытых ключей (PKI). Блокировка клиентов в Configuration Manager обеспечивает вторую линию защиты для защиты иерархии.

Дополнительные сведения см. в разделе Определение того, следует ли блокировать клиенты.

Используйте наиболее безопасные методы установки клиента, которые являются практичными для вашей среды

• Для компьютеров домена методы установки клиента групповой политики и установки клиента на основе обновления программного обеспечения более безопасны, чем принудительная установка клиента .

• Если вы применяете элементы управления доступом и изменения, используйте методы установки образов и вручную.

• Используйте взаимную проверку подлинности Kerberos с принудительной установкой клиента.

Из всех методов установки клиента принудительная установка клиента является наименее безопасной из-за множества зависимостей. К этим зависимостям относятся разрешения локального Admin$ администратора, общая папка и исключения брандмауэра. Количество и тип этих зависимостей увеличивают область атаки.

При использовании принудительной отправки клиента сайт может требовать взаимную проверку подлинности Kerberos, не разрешая откат к NTLM перед установкой подключения. Это улучшение помогает защитить обмен данными между сервером и клиентом. Дополнительные сведения см. в разделе Установка клиентов с помощью принудительной отправки клиента.

Дополнительные сведения о различных методах установки клиента см. в разделе Методы установки клиента.

По возможности выберите метод установки клиента, который требует минимальных разрешений безопасности в Configuration Manager. Ограничьте администраторов, которым назначены роли безопасности, разрешениями, которые можно использовать для других целей, кроме развертывания клиента. Например, для настройки автоматического обновления клиента требуется роль безопасности "Полный администратор ", которая предоставляет администратору все разрешения на безопасность.

Дополнительные сведения о зависимостях и разрешениях безопасности, необходимых для каждого метода установки клиента, см. в разделе Предварительные требования для клиентов компьютеров.

Если необходимо использовать принудительную установку клиента, защитите учетную запись принудительной установки клиента.

Учетная запись принудительной установки клиента должна быть членом локальной группы администраторов на каждом компьютере, который устанавливает клиент Configuration Manager. Никогда не добавляйте учетную запись принудительной установки клиента в группу "Администраторы домена ". Вместо этого создайте глобальную группу, а затем добавьте ее в локальную группу администраторов на своих клиентах . Создайте объект групповой политики, чтобы добавить параметр ограниченной группы , чтобы добавить учетную запись принудительной установки клиента в локальную группу администраторов .

Для повышения безопасности создайте несколько учетных записей принудительной установки клиента, каждая из которых имеет административный доступ к ограниченному количеству компьютеров. Если одна учетная запись скомпрометирована, компрометируются только те клиентские компьютеры, к которым эта учетная запись имеет доступ.

Удаление сертификатов перед созданием образов клиентов

При развертывании клиентов с помощью образов ОС всегда удаляйте сертификаты перед записью образа. Эти сертификаты включают PKI-сертификаты для проверки подлинности клиента и самозаверяемые сертификаты. Если не удалить эти сертификаты, клиенты могут олицетворять друг друга. Вы не можете проверить данные для каждого клиента.

Дополнительные сведения см. в разделе Создание последовательности задач для записи ОС.

Убедитесь, что клиент Configuration Manager получает авторизованную копию сертификатов.

Сертификат доверенного корневого ключа Configuration Manager

Если выполняются обе следующие инструкции, клиенты используют Configuration Manager доверенный корневой ключ для проверки подлинности допустимых точек управления.

• Вы не расширили схему Active Directory для Configuration Manager
• Клиенты не используют PKI-сертификаты при обмене данными с точками управления

В этом сценарии клиенты не могут проверить, является ли точка управления доверенной для иерархии, если они не используют доверенный корневой ключ. Без доверенного корневого ключа опытный злоумышленник может направлять клиентов в недоверенную точку управления.

Если клиенты не используют PKI-сертификаты и не могут скачать доверенный корневой ключ из глобального каталога Active Directory, предварительно подготовьте клиенты с доверенным корневым ключом. Это действие гарантирует, что они не могут быть направлены в несанкционированную точку управления. Дополнительные сведения см. в разделе Планирование доверенного корневого ключа.

Сертификат подписи сервера сайта

Клиенты используют сертификат подписи сервера сайта, чтобы убедиться, что сервер сайта подписал политику, скачав ее из точки управления. Этот сертификат самозаверяется сервером сайта и публикуется в доменные службы Active Directory.

Если клиенты не могут скачать этот сертификат из глобального каталога Active Directory, они по умолчанию скачивают его из точки управления. Если точка управления доступна для ненадежной сети, такой как Интернет, вручную установите сертификат подписи сервера сайта на клиентах. Это действие гарантирует, что пользователи не смогут скачать политики клиентов с скомпрометированной точки управления.

Чтобы вручную установить сертификат подписи сервера сайта, используйте свойство CCMSetup client.msi SMSSIGNCERT.

Если клиент скачивает доверенный корневой ключ из первой точки управления, к которой он обращается, не используйте автоматическое назначение сайта.

Чтобы избежать риска того, что новый клиент скачивает доверенный корневой ключ из незаконной точки управления, используйте автоматическое назначение сайта только в следующих сценариях:

• Клиент может получить доступ к сведениям Configuration Manager сайта, опубликованным в доменные службы Active Directory.

• Вы предварительно подготавливаете клиент с доверенным корневым ключом.

• Для установления доверия между клиентом и точкой управления используются PKI-сертификаты из центра сертификации предприятия.

Дополнительные сведения о доверенном корневом ключе см. в разделе Планирование доверенного корневого ключа.

Убедитесь, что периоды обслуживания достаточно велики для развертывания критически важных обновлений программного обеспечения.

Периоды обслуживания для коллекций устройств ограничивают время, в течение Configuration Manager может устанавливать программное обеспечение на этих устройствах. Если вы настроите период обслуживания слишком маленьким, клиент может не установить критически важные обновления программного обеспечения. Это поведение оставляет клиент уязвимым для любой атаки, которую устраняет обновление программного обеспечения.

Примите меры безопасности, чтобы уменьшить количество атак на устройствах Windows Embedded с фильтрами записи

При включении фильтров записи на устройствах Windows Embedded любые установки программного обеспечения или изменения вносятся только в наложение. Эти изменения не сохраняются после перезапуска устройства. Если вы используете Configuration Manager для отключения фильтров записи, в течение этого периода встроенное устройство будет уязвимо для изменения всех томов. Эти тома включают общие папки.

Configuration Manager блокирует компьютер в течение этого периода, чтобы только локальные администраторы могли войти в систему. По возможности примите другие меры предосторожности, чтобы защитить компьютер. Например, включите ограничения для брандмауэра.

Если для сохранения изменений используются периоды обслуживания, тщательно планируйте эти окна. Сведите к минимуму время отключения фильтров записи, но сделайте их достаточно долго, чтобы разрешить установку и перезапуск программного обеспечения.

Использование последней версии клиента с установкой клиента на основе обновлений программного обеспечения

Если вы используете установку клиента на основе обновлений программного обеспечения и устанавливаете более позднюю версию клиента на сайте, обновите опубликованное обновление программного обеспечения. Затем клиенты получают последнюю версию из точки обновления программного обеспечения.

При обновлении сайта обновление программного обеспечения для развертывания клиента, опубликованное в точке обновления программного обеспечения, не обновляется автоматически. Повторно опубликуйте клиент Configuration Manager в точке обновления программного обеспечения и обновите номер версии.

Дополнительные сведения см. в статье Установка Configuration Manager клиентов с помощью установки на основе обновлений программного обеспечения.

Приостановка записи ПИН-кода BitLocker только на доверенных устройствах и устройствах с ограниченным доступом

Настройте для параметра клиента значение Приостановить запись ПИН-кода BitLocker при перезапуске в Значение Всегда для компьютеров, которым вы доверяете и которые имеют ограниченный физический доступ.

Если для этого параметра клиента задано значение Always, Configuration Manager может завершить установку программного обеспечения. Такое поведение помогает установить критически важные обновления программного обеспечения и возобновить работу служб. Если злоумышленник перехватит процесс перезагрузки, он может получить контроль над компьютером. Используйте этот параметр, только если вы доверяете компьютеру и когда физический доступ к компьютеру ограничен. Например, этот параметр может подходить для серверов в центре обработки данных.

Дополнительные сведения об этом параметре клиента см. в разделе Сведения о параметрах клиента.

Не обходить политику выполнения PowerShell

Если для параметра клиента Configuration Manager для политики выполнения PowerShellнастроено значение Обход, Windows разрешает выполнение неподписанных сценариев PowerShell. Это может позволить вредоносным программам работать на клиентских компьютерах. Если вашей организации требуется этот параметр, используйте настраиваемый параметр клиента. Назначьте его только клиентским компьютерам, на которые должны выполняться неподписанные скрипты PowerShell.

Дополнительные сведения об этом параметре клиента см. в разделе Сведения о параметрах клиента.

Руководство по безопасности для мобильных устройств

Установка прокси-точки регистрации в сети периметра и точки регистрации в интрасети

Для мобильных устройств в Интернете, зарегистрированных с помощью Configuration Manager, установите прокси-точку регистрации в сети периметра и точку регистрации в интрасети. Это разделение ролей помогает защитить точку регистрации от атак. Если злоумышленник скомпрометирует точку регистрации, он может получить сертификаты для проверки подлинности. Они также могут украсть учетные данные пользователей, которые регистрируют свои мобильные устройства.

Настройка параметров пароля для защиты мобильных устройств от несанкционированного доступа

Для мобильных устройств, зарегистрированных Configuration Manager. Используйте элемент конфигурации мобильного устройства, чтобы настроить сложность пароля в качестве ПИН-кода. Укажите по крайней мере минимальную длину пароля по умолчанию.

Для мобильных устройств, на которых не установлен клиент Configuration Manager, но управление которыми осуществляется с помощью соединителя Exchange Server: настройте параметры пароля для соединителя Exchange Server таким образом, чтобы сложность пароля была связана с ПИН-кодом. Укажите по крайней мере минимальную длину пароля по умолчанию.

Разрешить запуск только приложений, подписанных компаниями, которым вы доверяете

Помогите предотвратить незаконное изменение данных инвентаризации и сведений о состоянии, разрешив приложениям запускаться только в том случае, если они подписаны компаниями, которым вы доверяете. Не разрешайте устройствам устанавливать неподписанные файлы.

Для мобильных устройств, зарегистрированных Configuration Manager. Используйте элемент конфигурации мобильного устройства, чтобы настроить для параметра безопасности Неподписанные приложения значение Запрещено. Настройте установку неподписанных файлов в качестве надежного источника.

Для мобильных устройств, на которых не установлен клиент Configuration Manager, но которыми управляет соединитель Exchange Server: настройте параметры приложения для соединителя Exchange Server так, чтобы установка неподписанных файлов и неподписанные приложениябыли запрещены.

Блокировка мобильных устройств, если они не используются

Чтобы предотвратить атаки на повышение привилегий, заблокируйте мобильное устройство, если оно не используется.

Для мобильных устройств, зарегистрированных Configuration Manager. Используйте элемент конфигурации мобильного устройства, чтобы настроить время простоя пароля в минутах до блокировки мобильного устройства.

Для мобильных устройств, на которых не установлен клиент Configuration Manager, но управление которыми осуществляется с помощью соединителя Exchange Server: настройте параметры пароля для соединителя Exchange Server, чтобы задать время простоя в минутах до блокировки мобильного устройства.

Ограничение пользователей, которые могут регистрировать свои мобильные устройства

Чтобы предотвратить повышение привилегий, ограничьте пользователей, которые могут регистрировать свои мобильные устройства. Используйте настраиваемый параметр клиента, а не параметры клиента по умолчанию, чтобы разрешить регистрировать свои мобильные устройства только авторизованным пользователям.

Руководство по сопоставлению пользователей для мобильных устройств

Не развертывайте приложения для пользователей, у которых есть мобильные устройства, зарегистрированные Configuration Manager в следующих сценариях:

• Мобильное устройство используется несколькими пользователями.

• Устройство регистрируется администратором от имени пользователя.

• Устройство передается другому пользователю без выхода на пенсию, а затем повторной регистрации устройства.

Регистрация устройств создает отношение сопоставления пользователей и устройств. Эта связь сопоставляет пользователя, который выполняет регистрацию, с мобильным устройством. Если другой пользователь использует мобильное устройство, он может запускать приложения, развернутые для исходного пользователя, что может привести к повышению привилегий. Аналогичным образом, если администратор регистрирует мобильное устройство для пользователя, приложения, развернутые для этого пользователя, не устанавливаются на мобильном устройстве. Вместо этого могут быть установлены приложения, развернутые для администратора.

Защита подключения между сервером сайта Configuration Manager и Exchange Server

Если Exchange Server находится в локальной среде, используйте IPsec. размещенный Exchange автоматически защищает подключение по протоколу HTTPS.

Использование принципа наименьших привилегий для соединителя Exchange

Список минимальных командлетов, необходимых соединителю Exchange Server, см. в статье Управление мобильными устройствами с помощью Configuration Manager и Exchange.

Руководство по безопасности для устройств macOS

Хранение исходных файлов клиента и доступ к ней из защищенного расположения

Перед установкой или регистрацией клиента на компьютере macOS Configuration Manager не проверяет, были ли эти исходные файлы клиента изменены. Скачайте эти файлы из надежного источника. Безопасное хранение и доступ к ним.

Мониторинг и отслеживание срока действия сертификата

Отслеживайте и отслеживайте срок действия сертификатов, используемых для компьютеров macOS. Configuration Manager не поддерживает автоматическое продление этого сертификата или предупреждает о том, что срок действия сертификата скоро истечет. Типичный срок действия — один год.

Дополнительные сведения о том, как обновить сертификат, см. в статье Продление сертификата клиента macOS вручную.

Настройка доверенного корневого сертификата только для SSL

Чтобы защититься от повышения привилегий, настройте сертификат для доверенного корневого центра сертификации, чтобы он был доверенным только для протокола SSL.

При регистрации компьютеров Mac автоматически устанавливается сертификат пользователя для управления клиентом Configuration Manager. Этот сертификат пользователя включает доверенные корневые сертификаты в цепочке доверия. Чтобы ограничить доверие этого корневого сертификата только протоколом SSL, выполните следующую процедуру:

1. На компьютере Mac откройте окно терминала.

2. Введите следующую команду: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

3. В диалоговом окне Доступ к цепочке ключей в разделе Цепочка ключей выберите Система. Затем в разделе Категория выберите Сертификаты.

4. Найдите и откройте корневой сертификат ЦС для сертификата клиента Mac.

5. В диалоговом окне для сертификата корневого ЦС разверните раздел Доверие , а затем внесите следующие изменения:

   1. При использовании этого сертификата: измените параметр Always Trust на Use System Defaults (Использовать системные значения по умолчанию).

   2. Ssl: не измените значениена Always Trust.

6. Закройте диалоговое окно. При появлении запроса введите пароль администратора, а затем выберите Обновить параметры.

После выполнения этой процедуры корневой сертификат будет доверенным только для проверки протокола SSL. К другим протоколам, которые теперь не являются доверенными с этим корневым сертификатом, относятся Secure Mail (S/MIME), расширяемая проверка подлинности (EAP) или подписывание кода.

Примечание.

Кроме того, используйте эту процедуру, если сертификат клиента установлен независимо от Configuration Manager.

Проблемы с безопасностью для клиентов

Следующие проблемы безопасности не устраняют никаких проблем:

Сообщения о состоянии не проходят проверку подлинности

Точка управления не проверяет подлинность сообщений о состоянии. Когда точка управления принимает клиентские подключения HTTP, любое устройство может отправлять сообщения о состоянии в точку управления. Если точка управления принимает только клиентские подключения HTTPS, устройство должно иметь действительный сертификат проверки подлинности клиента, но также может отправлять любое сообщение о состоянии. Точка управления удаляет все сообщения о недопустимом состоянии, полученные от клиента.

Существует несколько потенциальных атак на эту уязвимость:

• Злоумышленник может отправить фиктивное сообщение о состоянии, чтобы получить членство в коллекции, основанной на запросах сообщений о состоянии.
• Любой клиент может запустить отказ в обслуживании для точки управления, заполнив ее сообщениями о состоянии.
• Если сообщения о состоянии активируют действия в правилах фильтрации сообщений о состоянии, злоумышленник может активировать правило фильтра сообщений о состоянии.
• Злоумышленник может отправить сообщение о состоянии, которое приведет к неточному представлению сведений о отчете.

Политики можно перенацелить на нецелевых клиентов

Существует несколько методов, которые злоумышленники могут использовать, чтобы политика, ориентированная на один клиент, применялась к совершенно другому клиенту. Например, злоумышленник на доверенном клиенте может отправить ложные данные инвентаризации или обнаружения, чтобы компьютер был добавлен в коллекцию, к которой он не должен принадлежать. Затем этот клиент получает все развертывания в этой коллекции.

Существуют элементы управления, помогающие предотвратить непосредственное изменение политики злоумышленниками. Однако злоумышленники могут принять существующую политику, которая переформатирует и повторно развертывает ОС, и отправить ее на другой компьютер. Эта перенаправленная политика может привести к отказу в обслуживании. Для таких атак потребуется точное время и обширные знания об инфраструктуре Configuration Manager.

Журналы клиента разрешают доступ пользователям

Все файлы журнала клиента позволяют группе Пользователи с доступом на чтение и специальному интерактивному пользователю с доступом к записи данных. Если включить подробное ведение журнала, злоумышленники могут прочитать файлы журнала, чтобы найти сведения об уязвимостях системы или соответствия требованиям. Такие процессы, как программное обеспечение, устанавливаемое клиентом в контексте пользователя, должны записывать данные в журналы с учетной записью пользователя с низким уровнем прав. Это означает, что злоумышленник также может записывать данные в журналы с учетной записью с низким уровнем прав.

Самый серьезный риск заключается в том, что злоумышленник может удалить сведения в файлах журнала. Администратору могут потребоваться эти сведения для аудита и обнаружения вторжений.

Компьютер можно использовать для получения сертификата, предназначенного для регистрации мобильных устройств.

Когда Configuration Manager обрабатывает запрос на регистрацию, он не может проверить, что запрос был получен с мобильного устройства, а не с компьютера. Если запрос выполняется с компьютера, он может установить PKI-сертификат, который затем позволяет ему зарегистрировать в Configuration Manager.

Чтобы предотвратить атаку на повышение привилегий в этом сценарии, разрешите только доверенным пользователям регистрировать свои мобильные устройства. Внимательно отслеживайте действия регистрации устройств на сайте.

Заблокированный клиент по-прежнему может отправлять сообщения в точку управления.

Когда вы блокируете клиент, которому больше не доверяете, но устанавливаете сетевое подключение для уведомления клиента, Configuration Manager не отключает сеанс. Заблокированный клиент может продолжать отправлять пакеты в свою точку управления до тех пор, пока клиент не отключается от сети. Эти пакеты являются лишь небольшими, поддерживая работоспособность пакетов. Этот клиент не может управляться Configuration Manager, пока он не будет разблокирован.

Автоматическое обновление клиента не проверяет точку управления

При использовании автоматического обновления клиента клиент может быть направлен в точку управления, чтобы скачать исходные файлы клиента. В этом сценарии клиент не проверяет точку управления в качестве надежного источника.

Когда пользователи впервые регистрируют компьютеры macOS, они подвергаются риску спуфинга DNS

Когда компьютер macOS подключается к прокси-точке регистрации во время регистрации, маловероятно, что на компьютере macOS уже есть доверенный корневой сертификат ЦС. На этом этапе компьютер macOS не доверяет серверу и предлагает пользователю продолжить работу. Если недоверенный DNS-сервер разрешает полное доменное имя (FQDN) прокси-точки регистрации, он может направить компьютер macOS в недоверенную прокси-точку регистрации для установки сертификатов из недоверенного источника. Чтобы снизить этот риск, следуйте рекомендациям по DNS, чтобы избежать спуфингов в вашей среде.

Регистрация macOS не ограничивает запросы сертификатов

Пользователи могут повторно зарегистрировать свои компьютеры macOS, каждый раз запрашивая новый сертификат клиента. Configuration Manager не проверка для нескольких запросов и не ограничивает количество сертификатов, запрашиваемых с одного компьютера. Неправовый пользователь может запустить скрипт, который повторяет запрос на регистрацию из командной строки. Эта атака может привести к отказу в обслуживании в сети или в выдающем центре сертификации (ЦС). Чтобы снизить этот риск, внимательно отслеживайте выдачу ЦС для этого типа подозрительного поведения. Немедленно блокируйте из Configuration Manager иерархии любой компьютер, который показывает этот шаблон поведения.

Подтверждение очистки не проверяет успешность очистки устройства

Когда вы запускаете действие очистки для мобильного устройства и Configuration Manager подтверждает очистку, проверка заключается в том, что Configuration Manager успешно отправлено сообщение. Он не проверяет, что устройство действовало по запросу.

Для мобильных устройств, управляемых соединителем Exchange Server, подтверждение очистки проверяет, получена ли команда Exchange, а не устройством.

Если вы используете параметры для фиксации изменений на устройствах Windows Embedded, учетные записи могут быть заблокированы раньше, чем ожидалось.

Если на устройстве Windows Embedded используется более ранняя версия ОС, чем Windows 7, и пользователь пытается войти в систему, пока фильтры записи отключены Configuration Manager, Windows разрешает только половину настроенного числа неверных попыток, прежде чем учетная запись будет заблокирована.

Например, вы настраиваете политику домена для порога блокировки учетной записи до шести попыток. Пользователь вводит пароль три раза, и учетная запись заблокирована. Это поведение фактически приводит к отказу в обслуживании. Если в этом сценарии пользователям необходимо войти на внедренные устройства, предостеречь их о возможности снижения порогового значения блокировки.

Сведения о конфиденциальности для клиентов

При развертывании клиента Configuration Manager вы включаете параметры клиента для Configuration Manager функций. Параметры, используемые для настройки функций, могут применяться ко всем клиентам в иерархии Configuration Manager. Такое же поведение выполняется независимо от того, подключены ли они напрямую к внутренней сети, подключены через удаленный сеанс или подключены к Интернету.

Сведения о клиенте хранятся в базе данных сайта Configuration Manager в SQL Server и не отправляются в корпорацию Майкрософт. Сведения хранятся в базе данных до тех пор, пока не будут удалены задачей обслуживания сайта Удаление устаревших данных обнаружения каждые 90 дней. Интервал удаления можно настроить.

Некоторые сводные или агрегированные диагностика и данные об использовании отправляются в корпорацию Майкрософт. Дополнительные сведения см. в разделе Данные о диагностике и использовании.

Дополнительные сведения о сборе и использовании данных майкрософт см. в заявлении о конфиденциальности Майкрософт.

Состояние клиента

Configuration Manager отслеживает активность клиентов. Он периодически оценивает Configuration Manager клиента и может устранять проблемы с клиентом и его зависимостями. Состояние клиента включено по умолчанию. Он использует метрики на стороне сервера для проверок действий клиента. Состояние клиента использует действия на стороне клиента для самостоятельной проверки, исправления и отправки сведений о состоянии клиента на сайт. Клиент выполняет самопроверку в соответствии с настроенным расписанием. Клиент отправляет результаты проверок на сайт Configuration Manager. Эти сведения шифруются во время передачи.

Сведения о состоянии клиента хранятся в базе данных Configuration Manager в SQL Server и не отправляются в корпорацию Майкрософт. Сведения не хранятся в зашифрованном формате в базе данных сайта. Эти сведения хранятся в базе данных до тех пор, пока не будут удалены в соответствии со значением, настроенным для параметра Сохранить состояние клиента за следующее число дней . Значение по умолчанию для этого параметра — каждые 31 день.

Сведения о конфиденциальности соединителя Exchange Server

Соединитель Exchange Server находит устройства, которые подключаются к локальной или размещенной Exchange Server, и управляет ими с помощью протокола ActiveSync. Записи, найденные соединителем Exchange Server, хранятся в базе данных Configuration Manager в SQL Server. Сведения собираются из Exchange Server. Он не содержит никаких дополнительных сведений о том, что мобильные устройства отправляют в Exchange Server.

Сведения о мобильном устройстве не отправляются в корпорацию Майкрософт. Сведения о мобильном устройстве хранятся в базе данных Configuration Manager в SQL Server. Сведения хранятся в базе данных до тех пор, пока не будут удалены задачей обслуживания сайта Удаление устаревших данных обнаружения каждые 90 дней. Вы настраиваете интервал удаления.

Дополнительные сведения о сборе и использовании данных майкрософт см. в заявлении о конфиденциальности Майкрософт.