Teknisk referens för kryptografiska kontroller som används i Configuration Manager
Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} Obs! |
|---|
Det här avsnittet visas i handboken Webbplatsadministration för System Center 2012 Configuration Manager och i handboken Säkerhet och sekretess för System Center 2012 Configuration Manager. |
System Center 2012 Configuration Manager använder signering och kryptering för att bidra till att skydda hanteringen av enheterna i Configuration Manager-hierarkin. Signering säkerställer att data som har ändrats vid överföring tas bort. Kryptering förhindrar att en angripare kan läsa data genom att använda en nätverksprotokollanalysator.
Den primära hash-algoritm som Configuration Manager använder för signering är SHA-256. När två Configuration Manager-platser kommunicerar med varandra signeras deras kommunikation med hjälp av SHA-256. Den primära krypteringsalgoritm som implementeras i Configuration Manager är 3DES. Den används för att lagra data i Configuration Manager-databasen och när klienterna kommunicerar via HTTP. När du använder en klientkommunikation via HTTPS kan du konfigurera din infrastruktur för offentliga nycklar för användning av RSA-certifikat med de maximala hash-algoritmer och nyckellängder som finns dokumenterade i PKI-certifikatkrav för Configuration Manager.
För de flesta kryptografiska åtgärder i Windows-baserade operativsystem använder Configuration Manager algoritmerna SHA-1 och SHA-2, 3DES och AES samt RSA från Windows CryptoAPI library rsaenh.dll.
Mer information finns i nedanstående avsnitt.
Kryptografiska kontroller för Configuration Manager-åtgärder
Certifikat som används av Configuration Manager
Kryptografiska kontroller för serverkommunikation
Kryptografiska kontroller för klienter som använder HTTPS-kommunikationen till platssystemen
Kryptografiska kontroller för klienter som använder HTTP-kommunikationen till platssystemen
.jpeg "System_CAPS_important"){kind=icon} Viktigt |
|---|
Visa information om rekommenderade ändringar som svar på SSL-säkerhetsproblem i Om SSL-säkerhetsrisker. |
Kryptografiska kontroller för Configuration Manager-åtgärder
Informationen i Configuration Manager kan signeras och krypteras, oavsett om du använder PKI-certifikat med Configuration Manager eller inte.
Principsignering och kryptering
Klientprinciptilldelningar signeras av den självsignerade platsservens signeringscertifikat för att bidra till att eliminera säkerhetsrisken med en utsatt hanteringsplats som skickar principer som har manipulerats. Det här skyddet är särskilt relevant om du använder Internetbaserad klienthantering eftersom den här miljön kräver en hanteringsplats som är exponerad för Internetkommunikation.
Principen krypteras med 3DES om den innehåller känsliga data. En princip som innehåller känsliga data skickas enbart till auktoriserade klienter En princip som inte har några känsliga data krypteras inte.
När principen sparas på klienterna krypteras den med hjälp av DPAPI-gränssnittet (Data Protection Application Programming Interface).
Principhashing
När Configuration Manager-klienter begär en princip får de först en principtilldelning så att det framgår vilka principer som gäller för dem, och begär sedan enbart detta principinnehåll. Varje principtilldelning innehåller den beräknade hashen för motsvarande principinnehåll. Klienten hämtar lämpligt principinnehåll och beräknar sedan hashen för innehållet. Om hashen för det nedladdade principinnehållet inte matchar hashen i principtilldelningen ignorerar klienten principinnehållet.
Hash-algoritmen för principen är SHA-1 och SHA-256.
Innehållshashing
Distributionshanterartjänsten på platsservern hashar innehållsfilerna för alla paket. Principleverantören tar med hashen i programvarans distributionsprincip. Om Configuration Manager-klienten laddar ned innehållet återskapar klienten hashen lokalt och jämför den med den hash som finns i principen. Om hash-värdena matchar har innehållet inte ändrats och det installeras av klienten. Om en enda byte med innehåll har ändrats matchar inte hashvärdena och programvaran installeras inte. Den här kontrollen bidrar till att säkerställa att korrekt programvara installerats eftersom det faktiska innehållet dubbelkontrolleras mot principen.
Den hash-algoritm som används som standard för innehåll är SHA-256. Om du vill ändra den här standardinställningen, se dokumentationen till Configuration Manager Software Development Kit (SDK).
Det är inte alla enheter som har stöd för innehållshashing. Undantagen omfattar följande:
Windows-klienter när de strömmar App-V-innehåll.
Windows Phone-klienter: Dock verifierar dessa klienter signaturen till ett program som är signerat av en betrodd källa.
Windows RT-klienter: Dock verifierar dessa klienter signaturen till ett program som är signerat av en betrodd källa och använder även validering av fullständigt paketnamn.
iOS: Dessa enheter verifierar dock signaturen för ett program som har signerats av ett utvecklarcertifikat från en betrodd källa.
Nokia-klienter: Dessa klienter verifierar dock signaturen till ett program som använder ett självsignerat certifikat. Alternativt kan signaturen till ett certifikat från en betrodd källa och certifikatet signera Nokia SIS-program (Symbian Installation Source).
Android. Dessutom använder dessa enheter inte signaturvalidering för programinstallation.
Klienter som kör på versioner av Linux och UNIX som inte har stöd för SHA-256. Mer information finns i avsnittet Om Linux och UNIX operativsystem som har inte stöd för SHA-256 i artikeln Planera för distribution av klienter för Linux och UNIX-servrar.
Signering och kryptering av inventering
En inventering som klienter skickar till hanteringsplatserna signeras alltid av enheterna, oberoende av om de kommunicerar med hanteringsplatserna via HTTP eller HTTPS. Om de använder HTTP kan du välja att kryptera dessa data, vilket är en bra säkerhetsrutin.
Kryptering av tillståndsmigrering
Data som finns lagrade på tillståndsmigreringsplatserna för operativsystemsdistribution krypteras alltid av verktyget för migrering av användartillstånd med hjälp av 3DES.
Kryptering av multicast-paket för att distribuera operativsystem
För varje distributionspaket till ett operativsystem kan du aktivera kryptering när paketet överförs till datorerna via multicast. För krypteringen används standarden AES (Advanced Encryption Standard). Om du aktiverar kryptering behövs ingen ytterligare certifikatkonfiguration. Den multicast-aktiverade distributionsplatsen genererar automatiskt symmetriska nycklar för kryptering av paketet. Alla paket har olika krypteringsnycklar. Nyckeln sparas på den multicast-aktiverade distributionsplatsen med hjälp av Windows API:er av standardtyp. När klienten ansluter till multicast-sessionen sker nyckelbytet via en kanal som är krypterad med antingen det PKI-utfärdade klientautentiseringscertifikatet (om klienten använder HTTPS) eller det självsignerade certifikatet (om klienten använder HTTP). Klienten sparar nyckeln i minnet enbart under den tid multicast-sessionen varar.
Kryptering för medier som ska distribuera operativsystem
När du använder medier för att distribuera operativsystem och anger ett lösenord för att skydda mediet krypteras miljövariablerna med hjälp av AES (Advanced Encryption Standard). Övriga data på mediet, inklusive paket och innehåll för program, krypteras inte.
Kryptering av innehåll som har molnbaserade distributionsplatser som värd
Om du använder molnbaserade distributionsplatser i System Center 2012 Configuration Manager SP1 (och senare) krypteras det innehåll som du överför till dessa distributionsplatser med hjälp av AES (Advanced Encryption Standard) med en nyckelstorlek på 256 bitar. Innehållet omkrypteras när du uppdaterar det. När klienterna laddar ned innehållet krypteras det och skyddas av HTTPS-anslutningen.
Signera programuppdateringar
Alla programuppdateringar måste signeras av en betrodd utgivare för att skyddas mot manipulation. På klientdatorer söker Windows Update-agenten efter uppdateringarna från katalogen, men kommer inte att installera uppdateringen om den inte kan hitta det digitala certifikatet i Betrodda utgivare på den lokala datorn. Om ett självsignerat certifikat har använts för publicering av uppdateringskatalogen, exempelvis WSUS Publishers Self-signed, måste certifikatet också finnas i certifikatarkivet Betrodda rotcertifikatutfärdare på den lokala datorn för att det ska gå att verifiera certifikatets giltighet. Uppdateringsagenten kontrollerar även om inställningen Grupprincipen Tillåt signerat innehåll från Microsoft-uppdateringstjänst på intranätet är aktiverad på den lokala datorn. Denna principinställning måste aktiveras för att Windows Update-agenten ska söka efter de uppdateringar som har skapats och publicerats med Updates Publisher.
När programuppdateringarna publiceras i System Center Updates Publisher signerar ett digitalt certifikat programuppdateringarna när de publiceras på en uppdateringsserver. Du kan antingen ange ett PKI-certifikat eller konfigurera Updates Publisher att generera ett självsignerat certifikat för att signera programuppdateringen.
Signerade konfigurationsdata för kompatibilitetsinställningar
När du importerar konfigurationsdata verifierar Configuration Manager filens digitala signatur. Om filerna inte har signerats, eller om verifieringskontrollen av den digitala signaturen misslyckas visas en varning och du tillfrågas om du vill fortsätta med importen. Fortsätt att importera konfigurationsdata enbart om du uttryckligen litar på utgivaren och filernas integritet.
Kryptering och hashing för klientmeddelande
Om du använder klientmeddelanden används TLS vid all kommunikation samt den högsta kryptering som servern och klientoperativsystemet kan förhandla fram. En klientdator som kör Windows 7 och en hanteringsplats som kör Windows Server 2008 R2 kan exempelvis stödja 128-bitars AES-kryptering, medan en klientdator som kör Vista för samma hanteringsplats kommer att förhandla ned till 3DES kryptering. Samma förhandling sker för hashing av de paket som överförs genom klientmeddelanden där SHA-1 eller SHA-2 används.
Certifikat som används av Configuration Manager
En lista över de PKI-certifikat som kan användas av Configuration Manager, eventuella särskilda krav eller begränsningar samt information om hur certifikaten används finns i PKI-certifikatkrav för Configuration Manager. I listan anges de hash-algoritmer och nyckellängder som stöds. De flesta certifikat har stöd för SHA-256 och 2 048 bitars nyckellängd.
| Obs! |
|---|
Alla certifikat som Configuration Manager använder får enbart innehålla tecken med enkla byte i namnet på certifikatmottagaren eller det alternativa namnet på certifikatmottagaren. |
PKI-certifikat krävs för följande scenarion:
När du hanterar Configuration Manager-klienter på Internet.
När du hanterar Configuration Manager-klienter på mobila enheter.
När du hanterar Mac-datorer.
När du använder molnbaserade distributionsplatser.
När du hanterar Intel AMT-baserade datorer out-of-band.
För merparten av den övriga Configuration Manager-kommunikation som kräver certifikat för autentisering, signering eller kryptering använder Configuration Manager automatiskt PKI-certifikat om sådana är tillgängliga. Om de inte är tillgängliga genererar Configuration Manager självsignerade certifikat.
Configuration Manager använder inte PKI-certifikat vid hantering av mobila enheter med hjälp av Exchange Server-kopplingen.
Mobil enhetshantering och PKI-certifikat
Om den mobila enheten inte har låsts av mobiloperatören kan du använda Configuration Manager eller Microsoft Intune för att begära och installera ett klientcertifikat. Det här certifikatet ger ömsesidig autentisering mellan klienten på den mobila enheten och Configuration Manager-platssystem eller Microsoft Intune-tjänster. Om den mobila enheten är låst kan du inte använda Configuration Manager eller Intune för att distribuera certifikat. Mer information finns i avsnittet Installera klienter på mobila enheter och registrera dem med Configuration Manager.
Om du aktiverar maskinvaruinventering för mobila enheter, inventerar Configuration Manager eller Intune även de certifikat som är installerade på den mobila enheten.
Out-of-band-hantering och PKI-certifikat
Out-of-band-hantering för Intel AMT-baserade datorer använder minst två typer av PKI-utfärdade certifikat: ett AMT-etableringscertifikat och ett webbservercertifikat.
Out-of-band-tjänsten använder ett AMT-etableringscertifikat för att förbereda datorer för out-of-band-hantering. AMT-baserade datorer som ska etableras måste lita på det certifikat som presenteras av out-of-band-hanteringsplatsen. Som standard konfigureras AMT-baserade datorer av datortillverkarna för att använda externa certifikatutfärdare, exempelvis VeriSign, Go Daddy, Comodo och Starfield. Om du köper ett etableringscertifikat från någon av de externa certifikatutfärdarna och konfigurerar Configuration Manager för att använda det här etableringscertifikatet kommer AMT-baserade datorer att lita på etableringscertifikatet och etableringen kan genomföras. Det är dock en bra säkerhetsrutin att använda din egen interna certifikatutfärdare för att utfärda AMT-etableringscertifikat. Mer information finns i avsnittet Metodtips för out-of-Band-hantering.
De AMT-baserade datorerna kör en webbserverkomponent inom sin inbyggda programvara och den här webbserverkomponenten krypterar kommunikationskanalen med out-of-band-tjänsten med hjälp av TLS-säkerhet (Transport Layer Security). Det finns inget användargränssnitt i AMT BIOS för manuell konfigurering av ett certifikat, vilket innebär att du måste ha en Microsoft-utfärdare av företagscertifikat som automatiskt godkänner certifikatbegäranden från begärande AMT-baserade datorer. Denna begäran använder PKCS#10 för det begärda formatet, vilket i sin tur använder PKCS#7 för att överföra certifikatinformationen till den AMT-baserade datorn.
Även om den AMT-baserade datorn är autentiserad till den dator som hanterar den, finns det inget motsvarande PKI-klientcertifikat på den dator som hanterar den. I stället används antingen Kerberos eller HTTP Digest-autentisering vid denna kommunikation. Om HTTP Digest används krypteras den med hjälp av TLS.
Ytterligare en typ av certifikat kan krävas för att hantera AMT-baserade datorer out-of-band: ett valfritt klientcertifikat för 802.1X-autentiserade kabelanslutna nätverk och trådlösa nätverk. Klientcertifikatet kan krävas av den AMT-baserade datorn för autentisering till RADIUS-servern. Om RADIUS-servern är konfigurerad för EAP-TLS-autentisering krävs alltid ett klientcertifikat. Om RADIUS-servern är konfigurerad för EAP-TTLS/MSCHAPv2 eller PEAPv0/EAP-MSCHAPv2 anger RADIUS-konfigurationen om ett klientcertifikat krävs eller inte. Det här certifikatet begärs av den AMT-baserade datorn med hjälp av samma processer som vid begäran om webbservercertifikat
Operativsystemsdistribution och PKI-certifikat
När du använder Configuration Manager för att distribuera operativsystem och en hanteringsplats som kräver HTTPS-klientanslutningar måste klientdatorn också ha ett certifikat för att kommunicera med hanteringsplatsen, även om den befinner sig i en övergångsfas, exempelvis håller på att starta från ett uppgiftssekvensmedium eller en PXE-aktiverad distributionsplats. För att stödja det här scenariot måste du skapa ett PKI-klientautentiseringscertifikat och exportera det med den privata nyckeln och sedan importera det till platsserverns egenskaper och även lägga till hanteringsplatsens betrodda rotcertifikatutfärdarcertifikat.
Om du skapar ett startbart medium importerar du klientautentiseringscertifikatet när du skapar det startbara mediet. Konfigurera ett lösenord för det startbara mediet för att bidra till att skydda den privata nyckeln och andra känsliga data som konfigureras i aktivitetssekvensen. Varje dator som startar från det startbara mediet kommer att presentera samma certifikat för hanteringsplatsen som krävs för klientfunktioner, exempelvis att begära en klientprincip.
Om du använder PXE-start importerar du klientautentiseringscertifikatet till den PXE-aktiverade distributionsplatsen och använder samma certifikat för varje klient som startar från den PXE-aktiverade distributionsplatsen. Det är en bra säkerhetsrutin att kräva att användare som ansluter sina datorer till en PXE-tjänst uppger ett lösenord för att bidra till att skydda den privata nyckeln och andra känsliga data i aktivitetssekvenserna.
Om något av dessa klientautentiseringscertifikat blir komprometterat blockerar du certifikaten i noden Certifikat på arbetsytan Administration, noden Säkerhet. För att kunna hantera dessa certifikat måste du ha rättigheten Hantera operativsystemets distributionscertifikat.
När operativsystemet har distribueras och Configuration Manager har installerats kräver klienten ett eget PKI-certifikat för klientautentisering för HTTPS-klientkommunikation.
ISV-proxylösningar och PKI-certifikat
Oberoende programvaruleverantörer kan skapa program som utvidgar Configuration Manager. En oberoende programvaruleverantör kan exempelvis skapa tillägg som stöder andra klientplattformar än Windows-plattformar, exempelvis Macintosh eller UNIX-datorer. Om platssystemen kräver HTTPS klientanslutningar måste dessa klienter dock även använda PKI-certifikat för kommunikation med platsen.Configuration Manager innehåller möjligheten att tilldela ISV-proxyn ett certifikat som möjliggör kommunikation mellan ISV-proxyklienterna och hanteringsplatsen. Om du använder tillägg som kräver ISV-proxycertifikat finner du mer information i dokumentationen till den här produkten. Mer information om hur man skapar ISV-proxycertifikat finns i Configuration Manager Software Developer Kit (SDK).
Om ISV-certifikatet komprometteras blockerar du certifikatet i noden Certifikat på arbetsytan Administration, noden Säkerhet.
Tillgångsinformation och certifikat
Configuration Manager installeras med ett X.509-certifikat som platsen för synkronisering av tillgångsinformation använder för att ansluta till Microsoft.Configuration Manager använder detta certifikat för att begära ett certifikat för klientautentisering från Microsofts certifikattjänst. Certifikatet för klientautentisering installeras på platssystemservern till platsen för synkronisering av tillgångsinformation och används för att autentisera servern åt Microsoft. Configuration Manager använder certifikatet för klientautentisering för att ladda ned tillgångsinformationskatalogen och för att överföra programvarunamn.
Certifikatet har en nyckellängd på 1 024 bitar.
Molnbaserade distributionsplatser och certifikat
Molnbaserade distributionsplatser i System Center 2012 Configuration Manager SP1 (och senare) kräver ett hanteringscertifikat (självsignerat eller PKI) som du överför till Microsoft Azure. Detta hanteringscertifikat kräver en serverautentiseringsfunktion och en certifikatnyckel med en längd på 2 048 bitar. Dessutom måste du konfigurera ett tjänstcertifikat för varje molnbaserad distributionsplats, som inte får var självsignerat utan även har en serverautentiseringsfunktion och en minsta certifikatnyckellängd på 2 048 bitar.
| Obs! |
|---|
Det självsignerade hanteringscertifikatet är enbart avsett för teständamål och kan inte användas i produktionsnätverk. |
Klienterna behöver inte ha något PKI-klientcertifikat för att använda molnbaserade distributionsplatser; de autentiseras för hanteringen med hjälp av antingen ett självsignerat certifikat eller ett PKI-klientcertifikat. Hanteringsplatsen utfärdar sedan en Configuration Manager-åtkomsttoken till klienten, som klienten presenterar för den molnbaserade distributionsplatsen. En token är giltig i åtta timmar.
Microsoft Intune Connector och certifikat
När Microsoft Intune registrerar mobila enheter kan du hantera dessa mobila enheter i Configuration Manager genom att skapa en Microsoft Intune-anslutning. För anslutningen används ett PKI-certifikat med klientautentiseringsfunktion för att autentisera Configuration Manager till Microsoft Intune och till överföra all information mellan med hjälp av SSL. Certifikatets nyckelstorlek är 2 048 bitar och hash-algoritmen SHA-1 används.
När du installerar anslutningen skapas ett signeringscertifikat som sparas på platsservern för sidladdningsnycklar, och ett krypteringscertifikat skapas och sparas på certifikatsregistreringsplatsen för att kryptera SCEP-anropet (Simple Certificate Enrollment Protocol). Dessa certifikat har också en nyckelstorlek på 2 048 bitar och använder hash-algoritmen SHA-1.
När Intune registrerar mobila enheter installerar den ett PKI-certifikat på den mobila enheten. Detta certifikat har en klientautentiseringsfunktion, en nyckelstorlek på 2 048 bitar och använder hash-halgoritmen SHA-1.
Dessa PKI-certifikat begärs, skapas och installeras automatiskt av Microsoft Intune.
CRL-kontroll för PKI-certifikat
En PKI-lista över återkallade certifikat ökar det administrativa arbetet och behandlingen men är samtidigt säkrare. Om kontrollen av listan över återkallade certifikat är aktiverad men listan inte är tillgänglig, misslyckas dock PKI-anslutningen. Mer information finns i avsnittet Planera för återkallning av PKI-certifikat i artikeln Planera säkerhet i Configuration Manager.
Kontrollen av listan över återkallade certifikat är aktiverad som standard i IIS, så om du använder en sådan lista med din PKI-distribution finns det ingenting ytterligare att konfigurera i de flesta Configuration Manager-platssystem som kör IIS. Undantaget är programuppdateringar, som kräver ett manuellt steg för att aktivera kontrollen av listan över återkallade certifikat för att verifiera signaturerna för programuppdateringsfilerna.
Kontrollen av listan över återkallade certifikat är aktiverad som standard för klientdatorer när de använder HTTPS-klientanslutningar. Kontrollen av listan över återkallade certifikat är inte aktiverad som standard när du kör konsolen för out-of-band-hantering för att ansluta till en AMT-baserad dator, och du kan aktivera detta alternativ. Du kan inte inaktivera kontrollen av listan över återkallade certifikat för klienter på Mac-datorer i Configuration Manager SP1 eller senare.
Kontrollen av listan över återkallade certifikat stöds inte för följande anslutningar i Configuration Manager:
Server-till-server anslutningar.
Mobila enheter som är registrerade av Configuration Manager.
Mobila enheter som är registrerade av Microsoft Intune.
Kryptografiska kontroller för serverkommunikation
Configuration Manager använder följande kryptografiska kontroller för serverkommunikation.
Serverkommunikation inom en plats
Varje platssystemserver använder ett certifikat för att överföra data till andra platssystem inom samma Configuration Manager -plats. Vissa platssystemroller använder även certifikat för autentisering. Om du till exempel installerar registreringsproxyplatsen på en server och registreringsplatsen på en annan server kan de autentisera varandra med hjälp av det här identitetscertifikatet. När Configuration Manager använder ett certifikat för denna kommunikation, om det finns ett PKI-certifikat tillgängligt som har serverautentiseringsfunktion, använder Configuration Manager det automatiskt. Om inte, skapar Configuration Manager ett självsignerat certifikat. Detta självsignerade certifikat har en serverautentiseringsfunktion, använder SHA-256, och har en nyckellängd på 2 048 bitar.Configuration Manager kopierar certifikatet till arkivet Betrodda personer på andra platssystemservrar som kan behöva betro platssystemet. Platssystemen kan sedan lita på varandra genom att använda dessa certifikat samt PeerTrust.
Förutom detta certifikat för varje platssystemserver skapar Configuration Manager ett självsignerat certifikat för de flesta platssystemroller. Om det finns fler än en instans av platssystemrollen på samma plats delar de samma certifikat. Du kan till exempel ha flera hanteringsplatser eller flera registreringsplatser på samma plats. Detta självsignerade certifikat använder också SHA-256 och har en nyckellängd på 2 048 bitar. Det kopieras också till arkivet Betrodda personer på platssystemservrar som kan behöva betro det. Följande platssystemroller skapar detta certifikat:
Webbservicepunkt för programkatalog
Webbplatspunkt för programkatalog
Plats för synkronisering av tillgångsinformation
Certifikatregistreringsplats
Plats för slutpunktsskydd
Registreringsplats
Status för återställningsplats
Hanteringsplats
Multicast-aktiverad distributionsplats
Out-of-band-servicepunkt
Rapporteringstjänstpunkt
Programuppdateringsplats
Tillståndsmigreringsplats
Systemhälsoverifierarpunkt
Microsoft Intune Connector
Dessa certifikat hanteras automatiskt av Configuration Manager, och skapas vid behov automatiskt.
Configuration Manager använder också ett klientautentiseringscertifikat för att skicka statusmeddelanden från distributionsplatsen till hanteringsplatsen. Om hanteringsplatsen är konfigurerad för enbart HTTPS-klientanslutningar måste du använda ett PKI-certifikat. Om hanteringsplatsen godtar HTTP-anslutningar kan du använda ett PKI-certifikat eller välja möjligheten att använda ett självsignerat certifikat som har klientautentiseringsfunktion, använder SHA-256 och har en nyckellängd på 2 048 bitar.
Serverkommunikation mellan platser
Configuration Manager överför data mellan platser med databasreplikering och filbaserad replikering. Mer information finns i avsnittet Teknisk referens för platskommunikation i Configuration Manager.
Configuration Manager konfigurerar automatiskt databasreplikeringen mellan platser och använder PKI-certifikat som har en serverautentiseringsfunktion om dessa är tillgängliga. Om inte, skapar Configuration Manager självsignerade certifikat för serverautentisering. I båda fallen åstadkoms autentisering mellan platserna med hjälp av certifikat i det arkiv med betrodda personer som använder PeerTrust. Detta certifikatarkiv används för att säkerställa att enbart de SQL Server-datorer som används av Configuration Manager-hierarkin deltar i plats-till-plats-replikering. Medan primära platser och den centrala administrationsplatsen kan replikera konfigurationsändringar till alla platser i hierarkin, kan sekundära platser enbart replikera konfigurationsändringar till sin överordnade plats.
Platsservar upprättar plats-till-plats-kommunikation genom att använda ett säkert nyckelutbyte som sker automatiskt. Den avsändande platsservern skapar en hash och signerar den med sin privata nyckel. Den mottagande platsservern kontrollerar signaturen med hjälp av den offentliga nyckeln och jämför hashen med ett värde som skapats lokalt. Om de matchar godkänner den mottagande platsen replikerade data. Om värdena inte matchar nekar Configuration Manager replikeringsdata.
Vid databasreplikering i Configuration Manager används SQL Server Service Broker för att överföra data mellan platser med hjälp av följande mekanismer:
SQL Server till SQL Server-anslutning: Här används Windows-autentiseringsuppgifter för serverautentisering och självsignerade certifikat med 1 024 bitar för att signera och kryptera data med hjälp av AES (Advanced Encryption Standard). Om PKI-certifikat med serverautentiseringsfunktioner finns tillgängliga används dessa. Certifikatet måste finnas i det personliga arkivet till datorns certifikatarkiv.
SQL Service Broker: Här används självsignerade certifikat med 2 048 bitar för autentisering och för att signera och kryptera data med hjälp av AES (Advanced Encryption Standard). Certifikatet måste finnas i SQL Server-huvuddatabasen.
Vid filbaserad replikering används SMB-protokollet (Server Message Block) och SHA-256 används för att signera dessa data som inte är krypterade men som inte innehåller några känsliga data. Om du vill kryptera dessa data kan du använda IPsec och måste implementera detta fristående från Configuration Manager.
Kryptografiska kontroller för klienter som använder HTTPS-kommunikationen till platssystemen
Om platssystemrollerna godtar klientanslutningar kan du konfigurera dem att godta HTTPS- och HTTP-anslutningar, eller enbart HTTPS-anslutningar. Platssystemroller som godtar anslutningar från Internet godtar enbart klientanslutningar via HTTPS.
Klientanslutningar via HTTPS ger en högre säkerhetsnivå genom att integrera med en PKI-infrastruktur (Public Key Infrastructure) för att hjälpa till att skydda klient-till-server-kommunikationen. Att konfigurera HTTPS-klientanslutningar utan att ha en omfattande förståelse av PKI-planering, -distribution och -åtgärder kan dock fortfarande göra dig utsatt för sårbarheter. Om du exempelvis inte skyddar din rotcertifikatutfärdare kan en angripare kompromettera tillförlitligheten hos hela din PKI-infrastruktur. Att inte distribuera och hantera PKI-certifikat med hjälp av kontrollerade och säkra processer kan resultera i ohanterade klienter som inte kan ta emot viktiga programuppdateringar eller paket.
| Viktigt |
|---|
De PKI-certifikat som används för klientkommunikation skyddar enbart kommunikationen mellan klienten och vissa platssystem. De skyddar inte kommunikationskanalen mellan platsservern och platssystemen eller mellan platsservrarna. |
Kommunikation som är okrypterad när klienter använder HTTPS-kommunikation
När klienterna kommunicerar med platssystemen med hjälp av HTTPS, krypteras kommunikationen vanligtvis med SSL. I följande situationer kommunicerar dock klienterna med platssystemen utan att använda kryptering:
Klienten misslyckas med att upprätta en HTTPS-anslutning på intranätet och återgår till att använda HTTP om platssystemen tillåter denna konfiguration.
Kommunikation till följande platssystemroller:
Klienten skickar tillståndsmeddelanden till återställningsstatuspunkten
Klienten skickar PXE-begäran den till en PXE-aktiverad distributionsplats
Klienten skickar meddelandedata till en hanteringsplats
Rapporttjänstplatserna konfigureras för att använda HTTP eller HTTPS oberoende av klientkommunikationsläget.
Kryptografiska kontroller för klienter som använder HTTP-kommunikationen till platssystemen
När klienter använder HTTP-kommunikation till platssystemrollerna kan de använda PKI-certifikat för klientautentisering, eller självsignerade certifikat som Configuration Manager skapar. Om Configuration Manager skapar självsignerade certifikat finns en anpassad objektidentifierade för signering och kryptering, och dessa certifikat används för att identifiera klienten unikt. Certifikaten använder SHA-256 för alla operativsystem som stöds, utom Windows Server 2003, och de har en nyckellängd på 2 048 bitar. För Windows Server 2003 används SHA1 med en nyckellängd på 1 024 bitar.
Operativsystemdistribution och självsignerade certifikat
När du använder Configuration Manager för att distribuera operativsystem med självsignerade certifikat måste en klientdator också ha ett certifikat för att kunna kommunicera med hanteringsplatsen, även om datorn är i övergångsläge, till exempel om den startar från ett aktivitetssekvensmedium eller en PXE-aktiverad distributionsplats. För att det här ska kunna utföras med HTTP-klientanslutningar genererar Configuration Manager självsignerade certifikat som har ett anpassat objekt-ID för signering och kryptering. De här certifikaten kan identifiera klienten unikt. Certifikaten använder SHA-256 för alla operativsystem som stöds, utom Windows Server 2003, och de har en nyckellängd på 2 048 bitar. För Windows Server 2003 används SHA1 med en nyckellängd på 1 024 bitar. Om de självsignerade certifikaten skulle skadas kan du hindra eventuella angripare från att använda dem för att personifiera betrodda klienter, genom att blockera certifikaten i noden Certifikat i arbetsytan Administration, noden Säkerhet.
Klient- och serverautentisering
När klienter ansluter över HTTP autentiserar de hanteringspunkterna med antingen Active Directory Domain Services eller med den betrodda rotnyckeln i Configuration Manager. Klienter autentiserar inte andra platssystemroller, till exempel tillståndsmigreringsplatser eller programuppdateringsplatser.
Metoden att låta en hanteringsplats först autentisera en klient genom att använda det självsignerade certifikatet ger minimal säkerhet, eftersom vilken dator som helst kan generera ett självsignerat certifikat. I den här scenariot måste klientidentifieringen förstärkas med en godkännandeprocess. Det är bara betrodda datorer som måste godkännas, antingen automatiskt av Configuration Manager eller manuellt av en administrativ användare. Mer information finns i avsnittet om godkännande i Kommunikationen initieras av klienter.
Om SSL-säkerhetsrisker
Vi rekommenderar att du inaktiverar SSL 3.0, aktiverar TLS 1.1 och 1.2 och ordnar om TLS-relaterade chiffersviter för att förbättra säkerheten för Configuration Manager-servrar. Du kan lära dig hur du utför dessa åtgärder i den här KB-artikeln. Den här åtgärden påverkar inte funktionerna i Configuration Manager.