Dela via

  • Artikel

Säkerhet och sekretess för platsadministration i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteInformation

Det här avsnittet visas i handboken Webbplatsadministration för System Center 2012 Configuration Manager och i handboken Säkerhet och sekretess för System Center 2012 Configuration Manager.

Det här avsnittet innehåller säkerhets- och sekretessinformation för System Center 2012 Configuration Manager-platser och hierarkin:

  • Rekommenderade säkerhetsmetoder för platsadministration

    • Rekommenderade säkerhetsmetoder för platsservern

    • Rekommenderade säkerhetsmetoder för SQL Server

    • Rekommenderade säkerhetsmetoder för platssystem som kör IIS

    • Rekommenderade säkerhetsmetoder för hanteringsplatsen

    • Rekommenderade säkerhetsmetoder för återställningsstatuspunkten

    • Säkerhetsproblem för platsadministration

  • Sekretessinformation för identifiering

Rekommenderade säkerhetsmetoder för platsadministration

Använd följande rekommenderade säkerhetsmetoder för att skydda System Center 2012 Configuration Manager-platser och hierarkin.

Regelverk för säkerhet

Mer information

Kör bara installationsprogrammet från en betrodd källa och skydda kommunikationskanalen mellan installationsmediet och platsservern.

Förhindra att källfilernas manipuleras genom att köra installationsprogrammet från en betrodd källa. Skydda nätverksplatsen om du lagrar filerna i nätverket.

Men om du kör installationsprogrammet från en plats i nätverket, ska du använda IPsec eller SMB-signering mellan källplatsen med installationsfilerna och platsservern för att hindra en angripare från att manipulera filerna medan de överförs i nätverket.

Om du använder nedladdningsprogrammet för installationsfilerna för att ladda ned de filer som installationsprogrammet behöver, måste du dessutom se till att även skydda den plats där dessa filer lagras, och skydda kommunikationskanalen för denna plats när du kör installationsprogrammet.

Utöka Active Directory-schemat för System Center 2012 Configuration Manager och publicera platser till Active Directory Domain Services.

Schemautökningar behöver inte köra Microsoft System Center 2012 Configuration Manager, men de skapar en säkrare miljö, eftersom Configuration Manager-klienter och -platsservrar kan hämta information från en betrodd källa.

Om klienterna finns i en obetrodd domän, ska de följande platssystemsrollerna distribueras i klienternas domän:

  • Hanteringsplats

  • Distributionsplats

  • Webbplatspunkt för programkatalog

System_CAPS_noteInformation

En betrodd domän för Configuration Manager kräver Kerberos-autentisering, så om klienterna finns i en annan skog som inte har ett dubbelriktat skogsförtroende för platsserverns skog, anses dessa klienter finnas i en obetrodd domän. Ett externt förtroende räcker inte för detta.

Skydda kommunikationen mellan platssystemsservrarna och platserna med IPsec.

Även om Configuration Manager faktiskt skyddar kommunikationen mellan platsservern och den dator där SQL Server körs, skyddar Configuration Manager inte kommunikationen mellan platssystemsroller och SQL Server. Det är bara vissa platssystem (registreringsplatsen och webbtjänstplatsen Programkatalog) som går att konfigurera med HTTPS för kommunikation mellan platser.

Om du inte använder ytterligare kontroller för att skydda dessa kanaler mellan servrar, kan angriparna använda diverse spoofing- och man-in-the-middle-angrepp mot platssystemen. Använd SMB-signering om du inte kan använda IPsec.

System_CAPS_noteInformation

Det är särskilt viktigt att skydda kommunikationskanalen mellan platsservern och servern som är paketkälla. Vid sådan kommunikation används SMB. Om du inte kan skydda denna kommunikation med IPsec ska du använda SMB-signering för att se till att filerna inte har manipulerats innan klienterna laddar ned och kör dem.

Ändra inte säkerhetsgrupperna som Configuration Manager skapar och hanterar för platssystemskommunikation:

  • SMS_SiteSystemToSiteServerConnection_MP_

    Rekommenderade säkerhetsmetoder för platsservern

    Använd följande säkerhetsmetoder för att skydda Configuration Manager-platsservern.

    Regelverk för säkerhet

    Mer information

    Installera Configuration Manager på en medlemsserver i stället för på en domänkontrollant.

    Configuration Manager-platsservern och -platssystem behöver inte installeras på en domänkontrollant. Domänkontrollanter har ingen annan lokal databas för säkerhetskontohantering än domändatabasen. När du installerar Configuration Manager på en medlemsserver kan du förvara Configuration Manager-konton i den lokala säkerhetskontohanteringsdatabasen och inte i domändatabasen.

    Den här metoden minskar också risken för angrepp på domänkontrollanterna.

    Installera sekundära platser genom att inte kopiera filerna till den sekundära platsservern över nätverket.

    När du kör installationsprogrammet och skapar en sekundär plats bör du inte välja alternativet att kopiera filerna från den överordnade platsen till den sekundära platsen eller använda en nätverkskällplats. När du kopierar filer över nätverket kan en angripare kapa installationspaketet för den sekundära platsen och manipulera filerna innan de installeras, även om det tidsmässigt kan vara svårt att pricka in angreppet. Om du använder IPsec eller SMB när du överför filerna kan du minimera risken för det här angreppet.

    I stället för att kopiera filerna över nätverket kopierar du, på den sekundära platsservern, källfilerna från mediet till en lokal mapp. När du sedan kör installationsprogrammet för att skapa en sekundär plats går du till sidan Installationskällfiler, markerar Använd källfilerna från följande plats på datorn för den sekundära platsen (säkrast) och anger den här mappen.

    Mer information finns i avsnittet Installera en sekundär plats i artikeln Installera platser och skapa en hierarki för Configuration Manager.

    Rekommenderade säkerhetsmetoder för SQL Server

    Configuration Manager använder SQL Server som serverdatabas. Om databasen manipuleras kan angriparna kringgå Configuration Manager och få åtkomst till SQL Server direkt och starta attacker via Configuration Manager. Risken för angrepp på SQL Server är mycket hög och måste undvikas på lämpligt sätt.

    Använd följande säkerhetsmetoder för att skydda SQL Server för Configuration Manager.

    Regelverk för säkerhet

    Mer information

    Använd inte Configuration Manager-platsdatabasservern för att köra andra SQL Server-program.

    När du utvidgar åtkomsten till Configuration Manager-platsdatabasservern ökar risken för angrepp på Configuration Manager-data. Om Configuration Manager-platsdatabasen manipuleras, är även andra program på samma SQL Server-dator utsatta för säkerhetshot.

    Konfigurera SQL Server för användning av Windows-autentisering.

    Även om Configuration Manager har åtkomst till platsdatabasen via ett Windows-konto och Windows-autentisering, är det fortfarande möjligt att konfigurera SQL Server för användning av blandat läge i SQL Server. Med blandat läge i SQL Server kan flera SQL-inloggningar få åtkomst till databasen, vilket inte krävs och vilket ökar risken för angrepp.

    Vidta ytterligare åtgärder för att säkerställa att sekundära platser som använder SQL Server Express har de senaste programuppdateringarna.

    När du installerar en primär plats laddar Configuration Manager ned SQL Server Express från Microsoft Download Center och kopierar filerna till den primära platsservern. När du installerar en sekundär plats och väljer alternativet för att installera SQL Server Express, installerar Configuration Manager den tidigare nedladdade versionen och kontrollerar inte om nya versioner är tillgängliga. Gör något av följande för att se till att de senaste versionerna finns på den sekundära platsen:

    • När den sekundära platsen har installerats kör du Windows Update på den sekundära platsservern.

    • Innan du installerar den sekundära platsen installerar du SQL Server Express manuellt på den dator som ska köra den sekundära platsservern. Se till att du installerar den senaste versionen och eventuella programuppdateringar. Installera sedan den sekundära platsen och välj alternativet för att använda en befintlig SQL Server-instans.

    Kör Windows Update regelbundet för de här platserna och alla installerade versioner av SQL Server för att vara säker på att de har de senaste programuppdateringarna.

    Följ de rekommenderade säkerhetsmetoderna för SQL Server.

    Identifiera och följ de rekommenderade säkerhetsmetoderna för din version av SQL Server. Följande krav för Configuration Manager bör också tas med i beräkningen:

    • Platsserverns datorkonto måste vara medlem i gruppen Administratörer på den dator som kör SQL Server. Om du följer SQL Server-rekommendationen ”etablera adminobjekt explicit” måste det konto du använder för att köra installationsprogrammet på platsservern vara medlem i gruppen SQL-användare.

    • Om du installerar SQL Server via ett domänanvändarkonto måste platsserverns datorkonto vara konfigurerat för ett tjänsthuvudnamn som är publicerat i Active Directory Domain Services. Utan tjänsthuvudnamn fungerar inte Kerberos-autentisering och Configuration Manager-installationsprogrammet kan inte köras.

    Rekommenderade säkerhetsmetoder för platssystem som kör IIS

    IIS krävs för flera systemroller i Configuration Manager. Med ett skyddat IIS kan Configuration Manager fungera som det ska och risken för säkerhetsangrepp minskas. Minimera om möjligt antalet servrar som behöver IIS. Kör till exempel bara så många hanteringsplatser som behövs för de aktuella klienterna med hänsyn till hög tillgänglighet och nätverksisolering för Internetbaserad klienthantering.

    Använd följande säkerhetsmetoder för att skydda de platssystem som kör IIS.

    Regelverk för säkerhet.

    Mer information

    Inaktivera de IIS-funktioner som du inte behöver.

    Installera så få IIS-funktioner som möjligt för den platssystemroll du installerar. Mer information finns i avsnittet i artikeln ..c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

    Konfigurera platssystemrollerna för HTTPS.

    När klienter ansluter till ett platssystem via HTTP i stället för HTTPS, använder de Windows-autentisering vilket kan göra att NTLM-autentisering används i stället för Kerberos-autentisering. När NTLM-autentisering används kan klienterna ansluta till en icke-registrerad server.

    Undantaget kan vara distributionsplatser eftersom paketåtkomstkonton inte fungerar när distributionsplatsen är konfigurerad för HTTPS. Paketåtkomstkonton ger behörighet till innehållet så att du kan bestämma vilka användare som får åtkomst till innehållet. Mer information finns i avsnittet Rekommenderade säkerhetsmetoder för innehållshantering.

    Konfigurera en lista över betrodda certifikat i IIS för följande platssystemroller:

    • En distributionsplats som är konfigurerad för HTTPS.

    • En hanteringsplats som är konfigurerad för HTTPS och aktiverad för att stödja mobila enheter.

    En lista över betrodda certifikat innehåller betrodda rotcertifikatutfärdare. En lista över betrodda certifikat som används med grupprincip och en PKI-distribution kan fungera som ett komplement till de befintliga betrodda rotcertifikatutfärdarna som är konfigurerade i nätverket, till exempel de som installeras automatiskt med Microsoft Windows eller som lagts till via Windows företagsrotcertifikatutfärdare. När en lista över betrodda certifikat konfigureras i IIS innehåller den dock bara en delmängd av dessa betrodda rotcertifikatutfärdare.

    Med den här delmängden får du större kontroll över säkerheten eftersom de klientcertifikat som godkänns är begränsade till dem som är utfärdade av certifikatutfärdarna i listan över betrodda certifikat. Windows levereras till exempel med ett antal välkända certifikatutfärdarcertifikat från tredje part, till exempel VeriSign och Thawte. På den dator som kör IIS godkänns som standard certifikat som ingår i kedjan till dessa välkända certifikatutfärdare. Om du inte konfigurerar IIS med en lista över betrodda certifikat för platssystemrollerna i listan, kan vilken enhet som helst som har ett klientcertifikat utfärdat av dessa certifikatutfärdare godkännas som en giltig Configuration Manager-klient. Om du konfigurerar IIS med en lista över betrodda certifikat som inte innehåller de här certifikatutfärdarna, nekas klientanslutningarna om certifikatet ingår i kedjan till de här certifikatutfärdarna. Men för att Configuration Manager-klienter ska godkännas för platssystemrollerna i listan måste du konfigurera IIS med en lista över betrodda certifikat där de certifikatutfärdare som används av Configuration Manager-klienter finns med.

    System_CAPS_noteInformation

    Det är bara för platssystemrollerna i listan som det krävs att du konfigurerar en lista över betrodda certifikat i IIS. Certifikatutfärdarlistan som används i Configuration Manager för hanteringsplatser innehåller samma funktion för klientdatorer när de ansluter till HTTPS-hanteringsplatser.

    Mer information om hur du konfigurerar en lista över betrodda certifikatutfärdare i IIS finns i IIS-dokumentationen.

    Placera inte platsservern på en dator med IIS.

    Rolldelningen minskar risken för angrepp och ökar möjligheten till återställning. Dessutom har datorkontot på platsservern administratörsbehörighet på alla platssystemroller (och även på Configuration Manager-klienter om du använder push-klientinstallation).

    Använd särskilda IIS-servrar för Configuration Manager.

    Du kan vara värd för flera webbaserade program på de IIS-servrar som också används av Configuration Manager men den metoden ökar dock risken för angrepp. En angripare kan lätt få kontroll över ett Configuration Manager-platssystem genom ett felaktigt konfigurerat program och därmed ta kontroll över hierarkin.

    Om du måste köra andra webbaserade program på Configuration Manager-platssystem skapar du en anpassad webbplats för Configuration Manager-platssystem.

    Använd en anpassad webbplats.

    För platssystem som kör IIS kan du konfigurera Configuration Manager att använda en anpassad webbplats i stället för standardwebbplatsen för IIS. Om du måste köra andra webbprogram på platssystemet måste du använda en anpassad webbplats. Den här inställningen gäller alla platser och inte bara ett visst platssystem.

    Att använda en anpassad webbplats ger inte bara bättre säkerhet utan är också nödvändigt om du kör andra webbprogram på platssystemet.

    Om du växlar från standardwebbplatsen till en anpassad webbplats när eventuella distributionsplatsroller har installerats, bör du ta bort de virtuella standardkatalogerna.

    När du byter från att ha använt standardwebbplatsen till en anpassad webbplats tas inte gamla virtuella kataloger bort i Configuration Manager. Ta bort de virtuella kataloger som ursprungligen skapades i Configuration Manager under standardwebbplatsen.

    Exempel på virtuella kataloger som ska tas bort från en distributionsplats:

    • SMS_DP_SMSPKG$

    • SMS_DP_SMSSIG$

    • NOCERT_SMS_DP_SMSPKG$

    • NOCERT_SMS_DP_SMSSIG$

    Följ de rekommenderade säkerhetsmetoderna för IIS-servern.

    Identifiera och följ de rekommenderade säkerhetsmetoderna för din IIS-serverversion. Ta även med i beräkningen eventuella Configuration Manager-krav för de specifika platssystemrollerna. Mer information finns i avsnittet i artikeln ..c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

    Rekommenderade säkerhetsmetoder för hanteringsplatsen

    Hanteringsplatser är det primära gränssnittet mellan enheter och Configuration Manager. Risken för angrepp på hanteringsplatsen och servern är mycket hög och måste undvikas på lämpligt sätt. Använd alla rekommenderade säkerhetsmetoder och bevaka all ovanlig aktivitet.

    Använd följande säkerhetsmetoder för att skydda en hanteringsplats i Configuration Manager.

    Regelverk för säkerhet

    Mer information

    När du installerar en Configuration Manager-klient på hanteringsplatsen tilldelar du den hanteringsplatsens webbplats.

    Undvik en situation där Configuration Manager-klienten på en hanteringsplats platssystem är tilldelad en annan plats än hanteringsplatsens plats.

    Om du migrerar från Configuration Manager 2007 till System Center 2012 Configuration Manager bör du migrera Configuration Manager 2007-klienten till System Center 2012 Configuration Manager så fort som möjligt.

    Rekommenderade säkerhetsmetoder för återställningsstatuspunkten

    Använd följande rekommenderade säkerhetsmetoder om du installerar en återställningsstatuspunkt i Configuration Manager.

    Mer information om säkerhetsåtgärder när du installerar en återställningsstatuspunkt finns i Bestämma om det behövs en återställningsstatuspunkt.

    Regelverk för säkerhet

    Mer information

    Kör inga andra platssystemroller på platssystemet och installera den inte på en domänkontrollant.

    Eftersom återställningsstatuspunkten är utformad för att godkänna oautentiserad kommunikation från vilken dator som helst, ökar risken för angrepp på servern avsevärt om platssystemrollen körs med andra platssystemroller eller på domänkontrollant.

    När du använder PKI-certifikat för klientkommunikation i Configuration Manager bör du installera återställningsstatuspunkten innan du installerar klienterna.

    Om Configuration Manager-platssystem inte godkänner HTTP-klientkommunikation får du inte reda på att klienterna inte hanteras på grund av problem med PKI-certifikat. Men om klienterna tilldelas en återställningsstatuspunkt rapporteras dessa certifikatproblem av återställningsstatuspunkten.

    Av säkerhetsskäl kan du inte tilldela klienter en återställningsstatuspunkt när de har installerats. Du kan bara tilldela rollen under klientinstallationen.

    Undvik att använda återställningsstatuspunkten i perimeternätverket.

    Återställningsstatuspunkten är utformad att acceptera data från vilken klient som helst. En återställningsstatuspunkt i perimeternätverket kan hjälpa dig att felsöka internetbaserade klienter, men du måste väga felsökningsfördelarna mot risken hos ett platssystem som accepterar icke-autentiserade data i ett allmänt tillgängligt nätverk.

    Om du installerar återställningsstatuspunkten i perimeternätverket eller, något annat icke-betrott nätverk, så konfigurerar du platsservern så att den startar dataöverföringar i stället för att använda standardinställningen som tillåter att återställningsstatuspunkten upprättar en anslutning till platsservern.

    Säkerhetsproblem för platsadministration

    Läs följande säkerhetsproblem för Configuration Manager:

    • Configuration Manager har inget skydd mot en behörig administrativ användare som använder Configuration Manager för att attackera nätverket. Obehöriga administrativa användare utgör en stor säkerhetsrisk och kan utföra flera olika attacker, bland annat följande:

      • Använda programdistribution till att automatiskt installera och köra skadlig programvara på alla Configuration Manager-klientdatorer i företaget.

      • Använda fjärrstyrning till att obehörigt ta kontroll över en Configuration Manager-klient.

      • Konfigurera snabba avsökningsintervall och extrema inventeringsmängder för att skapa Denial of Service-attackar mot klienter och servrar.

      • Använda en plats i hierarkin till att skriva data till en annan plats Active Directory-data.

      Platshierarkin är säkerhetsgränsen – se platserna som endast hanteringsgränser.

      Granska all aktivitet som rör administrativa användare och kontrollera regelbundet granskningsloggarna. Kontrollera bakgrunden för alla administrativa Configuration Manager-användare innan de anställs och gör regelbundet nya kontroller som ett villkor för anställningen.

    • Om registreringsplatsen manipuleras kan en angripare erhålla certifikat för autentisering och stjäla autentiseringsuppgifter från användare som registrerar sig på sina mobila enheter.

      Registreringsplatsen kommunicerar med en certifikatutfärdare och kan skapa, ändra och ta bort Active Directory-objekt. Installera aldrig registreringsplatsen i perimeternätverket och övervaka den för att identifiera onormal aktivitet.

    • Om du tillåter användarprinciper för internetbaserad klienthantering eller konfigurerar webbplatsen för programkatalogen för användare när de är anslutna till internet så ökar du din attackprofil.

      Utöver att PKI-certifikat används för klient till server-anslutningar, kräver de här konfigurationerna Windows-autentisering, vilket kan göra att NTLM-autentisering används i stället för Kerberos-autentisering. NTLM-autentisering är sårbar för personifierings- och repetitionsattacker. För att kunna autentisera en användare på internet måste du tillåta en anslutning från den internetbaserade platssystemservern till en domänkontrollant.

    • Admin$-resursen krävs på platssystemservrarna.

      Configuration Manager-platsservrarna använder Admin$-resursen till att ansluta till och utföra tjänståtgärder på platssystemen. Inaktivera inte och ta inte bort Admin$-resursen.

    • Configuration Manager ansluter till andra datorer med hjälp av namnmatchning och de tjänsterna är svåra att skydda mot attacker, till exempel förfalskning, manipulering, avvislighet, avslöjande av information, DoS-attacker och rättighetsökning.

      Identifiera och följ rekommenderade säkerhetsmetoder för den version av DNS och WINS som du använder för namnmatchning.

    Sekretessinformation för identifiering

    Med identifiering skapas poster för nätverksresurser som lagras i System Center 2012 Configuration Manager-databasen. Posterna med identifieringsdata innehåller datorinformation, till exempel IP-adress, operativsystem och datornamn. Active Directory-identifieringsmetoder kan även konfigureras att identifiera all information som lagras i Active Directory Domain Services.

    Den enda identifieringsmetoden som är aktiverad som standard är pulsslagsidentifiering, men den metoden identifierar bara datorer som redan har System Center 2012 Configuration Manager-klientprogramvaran installerad.

    Identifieringsinformation skickas inte till Microsoft. Identifieringsinformationen lagras i Configuration Manager-databasen. Informationen sparas i databasen tills den raderas av platsunderhållet Ta bort föråldrade identifieringsdata var 90:e dag. Du kan konfigurera borttagningsintervallet.

    Innan du konfigurerar ytterligare identifieringsmetoder eller utökar Active Directory-identifiering bör du se över dina sekretesskrav.