Grunderna i säkerhet för Configuration Manager
Gäller för: Configuration Manager (aktuell gren)
Den här artikeln sammanfattar följande grundläggande säkerhetskomponenter i alla Configuration Manager miljöer:
- Säkerhetslager
- Rollbaserad administration
- Skydda klientslutpunkter
- Configuration Manager konton och grupper
- Sekretess
Säkerhetslager
Säkerheten för Configuration Manager består av följande lager:
- Windows OS och nätverkssäkerhet
- Nätverksinfrastruktur: brandväggar, intrångsidentifiering, PKI (Public Key Infrastructure)
- Configuration Manager säkerhetskontroller
- SMS-provider
- Behörigheter för platsdatabas
Windows OS och nätverkssäkerhet
Det första lagret tillhandahålls av Windows-säkerhetsfunktioner för både operativsystemet och nätverket. Det här lagret innehåller följande komponenter:
Fildelning för att överföra filer mellan Configuration Manager komponenter.
Access Control listor (ACL: er) för att skydda filer och registernycklar.
Internet Protocol Security (IPsec) för att skydda kommunikationen.
Grupprincip för att ange säkerhetsprincip.
DCOM-behörigheter (Distributed Component Object Model) för distribuerade program, till exempel Configuration Manager-konsolen.
Active Directory Domain Services för att lagra säkerhetsobjekt.
Säkerhet för Windows-konton, inklusive vissa grupper som Configuration Manager skapar under installationen.
Nätverksinfrastruktur
Nätverkssäkerhetskomponenter, till exempel brandväggar och intrångsidentifiering, hjälper till att skydda hela miljön. Certifikat som utfärdats av branschstandardimplementeringar för offentlig nyckelinfrastruktur (PKI) hjälper till att tillhandahålla autentisering, signering och kryptering.
Configuration Manager säkerhetskontroller
Som standard har endast lokala administratörer behörighet till de filer och registernycklar som Configuration Manager-konsolen kräver på datorer där du installerar den.
SMS-provider
Nästa säkerhetslager baseras på åtkomst till SMS-providern. SMS-providern är en Configuration Manager komponent som ger en användare åtkomst att fråga platsdatabasen om information. SMS-providern exponerar främst åtkomst via Windows Management Instrumentation (WMI), men även ett REST-API som kallas administrationstjänsten.
Som standard är åtkomsten till providern begränsad till medlemmar i den lokala GRUPPEN SMS-administratörer . Den här gruppen innehåller först endast den användare som installerade Configuration Manager. Om du vill ge andra konton behörighet till CIM-lagringsplatsen (Common Information Model) och SMS-providern lägger du till de andra kontona i gruppen SMS-administratörer.
Du kan ange den lägsta autentiseringsnivån för administratörer för åtkomst till Configuration Manager webbplatser. Den här funktionen tvingar administratörer att logga in på Windows med den nivå som krävs. Mer information finns i Planera för SMS-providern.
Behörigheter för platsdatabas
Det sista säkerhetsskiktet baseras på behörigheter till objekt i platsdatabasen. Som standard kan det lokala systemkontot och det användarkonto som du använde för att installera Configuration Manager administrera alla objekt i platsdatabasen. Bevilja och begränsa behörigheter till andra administrativa användare i Configuration Manager-konsolen med hjälp av rollbaserad administration.
Rollbaserad administration
Configuration Manager använder rollbaserad administration för att skydda objekt som samlingar, distributioner och platser. Den här administrationsmodellen definierar och hanterar centralt hierarkiomfattande säkerhetsåtkomstinställningar för alla platser och platsinställningar.
En administratör tilldelar säkerhetsroller till administrativa användare och gruppbehörigheter. Behörigheterna är anslutna till olika Configuration Manager objekttyper, till exempel för att skapa eller ändra klientinställningar.
Säkerhetsomfattningar omfattar specifika instanser av objekt som en administrativ användare ansvarar för att hantera. Till exempel ett program som installerar Configuration Manager-konsolen.
Kombinationen av säkerhetsroller, säkerhetsomfattningar och samlingar definierar de objekt som en administrativ användare kan visa och hantera. Configuration Manager installerar vissa standardsäkerhetsroller för vanliga hanteringsuppgifter. Skapa egna säkerhetsroller för att stödja dina specifika affärskrav.
Mer information finns i Grunderna för rollbaserad administration.
Skydda klientslutpunkter
Configuration Manager skyddar klientkommunikationen till platssystemroller med hjälp av antingen självsignerade certifikat eller PKI-certifikat eller Microsoft Entra token. Vissa scenarier kräver användning av PKI-certifikat. Till exempel Internetbaserad klienthantering och för mobila enhetsklienter.
Du kan konfigurera platssystemrollerna som klienter ansluter till för https- eller HTTP-klientkommunikation. Klientdatorer kommunicerar alltid med hjälp av den säkraste metoden som är tillgänglig. Klientdatorer återgår bara till att använda den mindre säkra kommunikationsmetoden om du har platssystemroller som tillåter HTTP-kommunikation.
Viktigt
Från och med Configuration Manager version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller utökad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller utökad HTTP.
Mer information finns i Planera för säkerhet.
Configuration Manager konton och grupper
Configuration Manager använder det lokala systemkontot för de flesta platsåtgärder. Vissa platsåtgärder tillåter användning av ett tjänstkonto i stället för att använda platsserverns domändatorkonto. Vissa hanteringsuppgifter kan kräva att du skapar och underhåller andra konton. Om du till exempel vill ansluta till domänen under en aktivitetssekvens för os-distribution.
Configuration Manager skapar flera standardgrupper och SQL Server roller under installationen. Du kan behöva lägga till dator- eller användarkonton manuellt i standardgrupperna och SQL Server roller.
Mer information finns i Konton som används i Configuration Manager.
Sekretess
Innan du implementerar Configuration Manager bör du tänka igenom dina sekretesskrav. Även om företagshanteringsprodukter erbjuder många fördelar eftersom de effektivt kan hantera många klienter, kan den här programvaran påverka sekretessen för användare i din organisation. Configuration Manager innehåller många verktyg för att samla in data och övervaka enheter. Vissa verktyg kan ge upphov till sekretessproblem i din organisation.
När du till exempel installerar Configuration Manager-klienten aktiveras många hanteringsinställningar som standard. Den här konfigurationen gör att klientprogramvaran skickar information till den Configuration Manager platsen. Platsen lagrar klientinformation i platsdatabasen. Klientinformationen skickas inte direkt till Microsoft. Mer information finns i Diagnostik och användningsdata.