Настройка безопасности в Configuration Manager

  • Статья

Относится к Configuration Manager (Current Branch)

Используйте сведения, приведенные в этой статье, чтобы настроить параметры, связанные с безопасностью, для Configuration Manager. Перед началом работы убедитесь, что у вас есть план безопасности.

Важно!

Начиная с Configuration Manager версии 2103, сайты, которые разрешают обмен данными с клиентом HTTP, не рекомендуется использовать. Настройте сайт для HTTPS или расширенного HTTP. Дополнительные сведения см. в статье Включение сайта только для HTTPS или расширенного HTTP.

PKI-сертификаты клиента

Если вы хотите использовать сертификаты инфраструктуры открытых ключей (PKI) для клиентских подключений к системам сайта, используюющим службы IIS, используйте следующую процедуру для настройки параметров этих сертификатов.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Конфигурация сайта и выберите узел Сайты. Выберите основной сайт для настройки.

  2. На ленте выберите Свойства. Затем перейдите на вкладку Безопасность связи .

  3. Выберите параметры для систем сайта, использующих СЛУЖБЫ IIS.

    • Только HTTPS. Клиенты, назначенные сайту, всегда используют PKI-сертификат клиента при подключении к системам сайта, используюющим СЛУЖБЫ IIS. Например, точка управления и точка распространения.

    • HTTPS или HTTP: клиенты не должны использовать PKI-сертификаты.

    • Использование сертификатов, созданных Configuration Manager для систем сайта HTTP. Дополнительные сведения об этом параметре см. в разделе Расширенный протокол HTTP.

  4. Выберите параметры для клиентских компьютеров.

    • Используйте PKI-сертификат клиента (возможность проверки подлинности клиента), если вы выбрали параметр HTTPS или сервер сайта HTTP, выберите этот параметр, чтобы использовать PKI-сертификат клиента для HTTP-подключений. Клиент использует этот сертификат вместо самозаверяющего сертификата для проверки подлинности в системах сайта. Если выбран только HTTPS, этот параметр будет выбран автоматически.

      Если на клиенте доступно несколько действительных PKI-сертификатов клиента, выберите Изменить , чтобы настроить методы выбора сертификата клиента. Дополнительные сведения о методе выбора сертификата клиента см. в разделе Планирование выбора PKI-сертификата клиента.

    • Клиенты проверка список отзыва сертификатов (CRL) для систем сайта. Включите этот параметр для клиентов, чтобы проверка список отзыва сертификатов вашей организации для отозванных сертификатов. Дополнительные сведения о проверке CRL для клиентов см. в разделе Планирование отзыва PKI-сертификатов.

  5. Чтобы импортировать, просмотреть и удалить сертификаты для доверенных корневых центров сертификации, выберите Задать. Дополнительные сведения см. в разделе Планирование доверенных корневых сертификатов PKI и список издателей сертификатов.

Повторите эту процедуру для всех первичных сайтов в иерархии.

Управление доверенным корневым ключом

Используйте эти процедуры для предварительной подготовки и проверки доверенного корневого ключа для клиента Configuration Manager.

Примечание.

Если клиенты могут получить доверенный корневой ключ из доменные службы Active Directory или отправки клиента, вам не нужно предварительно подготавливать его.

Когда клиенты используют обмен данными по протоколу HTTPS с точками управления, вам не нужно предварительно подготавливать доверенный корневой ключ. Они устанавливают доверие с помощью PKI-сертификатов.

Дополнительные сведения о доверенном корневом ключе см. в разделе Планирование безопасности.

Предварительная подготовка клиента с помощью доверенного корневого ключа с помощью файла

  1. На сервере сайта перейдите в каталог установки Configuration Manager. Во вложенной \bin\<platform> папке откройте следующий файл в текстовом редакторе: mobileclient.tcf

  2. Найдите запись . SMSPublicRootKey Скопируйте значение из этой строки и закройте файл без сохранения изменений.

  3. Создайте новый текстовый файл и вставьте значение ключа, скопированное из файла mobileclient.tcf.

  4. Сохраните файл в расположении, где все компьютеры могут получить к нему доступ, но где файл защищен от незаконного изменения.

  5. Установите клиент с помощью любого метода установки, который принимает client.msi свойства. Укажите следующее свойство: SMSROOTKEYPATH=<full path and file name>

    Важно!

    При указании доверенного корневого ключа во время установки клиента также укажите код сайта. Используйте следующее свойство client.msi: SMSSITECODE=<site code>

Предварительная подготовка клиента с помощью доверенного корневого ключа без использования файла

  1. На сервере сайта перейдите в каталог установки Configuration Manager. Во вложенной \bin\<platform> папке откройте следующий файл в текстовом редакторе: mobileclient.tcf

  2. Найдите запись . SMSPublicRootKey Скопируйте значение из этой строки и закройте файл без сохранения изменений.

  3. Установите клиент с помощью любого метода установки, который принимает client.msi свойства. Укажите следующее свойство client.msi: SMSPublicRootKey=<key> where <key> — строка, скопированная из mobileclient.tcf.

    Важно!

    При указании доверенного корневого ключа во время установки клиента также укажите код сайта. Используйте следующее свойство client.msi: SMSSITECODE=<site code>

Проверка доверенного корневого ключа на клиенте

  1. Откройте консоль Windows PowerShell с правами администратора.

  2. Выполните следующую команду:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey

Возвращаемая строка является доверенным корневым ключом. Убедитесь, что оно соответствует значению SMSPublicRootKey в файле mobileclient.tcf на сервере сайта.

Удаление или замена доверенного корневого ключа

Удалите доверенный корневой ключ из клиента с помощью свойства RESETKEYINFORMATION = TRUEclient.msi .

Чтобы заменить доверенный корневой ключ, переустановите клиент вместе с новым доверенным корневым ключом. Например, используйте push-запрос клиента или укажите свойство client.msi SMSPublicRootKey.

Дополнительные сведения об этих свойствах установки см. в разделе Сведения о параметрах и свойствах установки клиента.

Подписывание и шифрование

Настройте наиболее безопасные параметры подписывания и шифрования для систем сайта, которые могут поддерживать все клиенты сайта. Эти параметры особенно важны, когда клиенты могут взаимодействовать с системами сайта с помощью самозаверяющих сертификатов по протоколу HTTP.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Конфигурация сайта и выберите узел Сайты. Выберите основной сайт для настройки.

  2. На ленте выберите Свойства, а затем перейдите на вкладку Подписывание и шифрование .

    Эта вкладка доступна только на основном сайте. Если вкладка Подписывание и шифрование не отображается, убедитесь, что вы не подключены к сайту центра администрирования или дополнительному сайту.

  3. Настройте параметры подписывания и шифрования, чтобы клиенты взаимодействовали с сайтом.

    • Требовать подписывание. Клиенты подписывают данные перед отправкой в точку управления.

    • Требовать SHA-256. Клиенты используют алгоритм SHA-256 при подписи данных.

      Предупреждение

      Не требуйте SHA-256 без предварительного подтверждения того, что все клиенты поддерживают этот хэш-алгоритм. К этим клиентам относятся клиенты, которые могут быть назначены сайту в будущем.

      Если выбран этот параметр, а клиенты с самозаверяющей сертификатой не могут поддерживать SHA-256, Configuration Manager отклоняет их. Компонент SMS_MP_CONTROL_MANAGER регистрирует сообщение с идентификатором 5443.

    • Использование шифрования. Клиенты шифруют данные инвентаризации клиентов и сообщения о состоянии перед отправкой в точку управления.

Повторите эту процедуру для всех первичных сайтов в иерархии.

Администрирование на основе ролей

Администрирование на основе ролей объединяет роли безопасности, области безопасности и назначенные коллекции для определения административных область для каждого пользователя с правами администратора. Область включает объекты, которые пользователь может просматривать в консоли, и задачи, связанные с теми объектами, на выполнение которых у пользователя есть разрешение. Конфигурации администрирования на основе ролей применяются на каждом сайте в иерархии.

Дополнительные сведения см. в разделе Настройка ролевого администрирования. В этой статье описаны следующие действия.

  • Создание пользовательских ролей безопасности

  • Настройка ролей безопасности

  • Настройка областей безопасности для объекта

  • Настройка коллекций для управления безопасностью

  • Создание нового пользователя с правами администратора

  • Изменение административного область пользователя с правами администратора

Важно!

Собственный административный область определяет объекты и параметры, которые можно назначить при настройке администрирования на основе ролей для другого пользователя с правами администратора. Сведения о планировании ролевого администрирования см. в статье Основы ролевого администрирования.

Управление учетными записями

Configuration Manager поддерживает учетные записи Windows для различных задач и задач. Чтобы просмотреть учетные записи, настроенные для различных задач, и управлять паролем, который Configuration Manager использует для каждой учетной записи, выполните следующую процедуру:

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Безопасность и выберите узел Учетные записи.

  2. Чтобы изменить пароль для учетной записи, выберите учетную запись в списке. Затем на ленте выберите Свойства .

  3. Нажмите кнопку Задать , чтобы открыть диалоговое окно Учетная запись пользователя Windows . Укажите новый пароль для Configuration Manager, который будет использоваться для этой учетной записи.

    Примечание.

    Указанный пароль должен соответствовать паролю этой учетной записи в Active Directory.

Дополнительные сведения см. в разделе Учетные записи, используемые в Configuration Manager.

Microsoft Entra ID

Интегрируйте Configuration Manager с идентификатором Microsoft Entra, чтобы упростить и обеспечить облачную среду. Включение проверки подлинности сайта и клиентов с помощью идентификатора Microsoft Entra.

Дополнительные сведения см. в разделе Служба управления облаком в разделе Настройка служб Azure.

Проверка подлинности поставщика SMS

Вы можете указать минимальный уровень проверки подлинности для доступа администраторов к Configuration Manager сайтам. Эта функция позволяет администраторам входить в Windows с необходимым уровнем, прежде чем они смогут получить доступ к Configuration Manager. Дополнительные сведения см. в разделе Планирование проверки подлинности поставщика SMS.

Важно!

Эта конфигурация является параметром на уровне иерархии. Перед изменением этого параметра убедитесь, что все администраторы Configuration Manager могут войти в Windows с требуемым уровнем проверки подлинности.

Чтобы настроить этот параметр, выполните следующие действия.

  1. Сначала войдите в Windows с предполагаемым уровнем проверки подлинности.

  2. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Конфигурация сайта и выберите узел Сайты.

  3. Выберите Параметры иерархии на ленте.

  4. Перейдите на вкладку Проверка подлинности . Выберите нужный уровень проверки подлинности и нажмите кнопку ОК.

    • Только при необходимости нажимайте кнопку Добавить , чтобы исключить определенных пользователей или группы. Дополнительные сведения см. в разделе Исключения.

Исключения

На вкладке Проверка подлинности параметров иерархии можно также исключить определенных пользователей или группы. Используйте этот параметр экономно. Например, если определенным пользователям требуется доступ к консоли Configuration Manager, но они не могут пройти проверку подлинности в Windows на требуемом уровне. Она также может потребоваться для автоматизации или служб, работающих в контексте системной учетной записи.

Дальнейшие действия