Configuration Manager'de site yönetimi için güvenlik ve gizlilik
Uygulama hedefi: Configuration Manager (güncel dalı)
Bu makale, Configuration Manager siteleri ve hiyerarşisi için güvenlik ve gizlilik bilgilerini içerir.
Site yönetimi için güvenlik kılavuzu
Configuration Manager sitelerin ve hiyerarşinin güvenliğini sağlamaya yardımcı olması için aşağıdaki kılavuzu kullanın.
Kurulumu güvenilir bir kaynaktan ve güvenli iletişimden çalıştırma
Birinin kaynak dosyaları kurcalamasını önlemeye yardımcı olmak için güvenilen bir kaynaktan Configuration Manager kurulumu çalıştırın. Dosyaları ağda depolarsanız ağ konumunun güvenliğini sağlayın.
Kurulumu bir ağ konumundan çalıştırırsanız, bir saldırganın ağ üzerinden iletilen dosyalarla oynamasını önlemeye yardımcı olmak için, kurulum dosyalarının kaynak konumu ile site sunucusu arasında IPsec veya SMB imzalama kullanın.
Kurulum için gereken dosyaları indirmek için Kurulum İndiricisi'ni kullanıyorsanız, bu dosyaların depolandığı konumun güvenliğini sağladığından emin olun. Ayrıca kurulumu çalıştırdığınızda bu konum için iletişim kanalının güvenliğini sağlayın.
Active Directory şemasını genişletme ve siteleri etki alanına yayımlama
Şema uzantılarının Configuration Manager çalıştırılması gerekmez, ancak daha güvenli bir ortam oluştururlar. İstemciler ve site sunucuları güvenilir bir kaynaktan bilgi alabilir.
İstemciler güvenilmeyen bir etki alanındaysa, istemcilerin etki alanlarına aşağıdaki site sistemi rollerini dağıtın:
Yönetim noktası
Dağıtım noktası
Not
Configuration Manager için güvenilen bir etki alanı Kerberos kimlik doğrulaması gerektirir. İstemciler, site sunucusunun ormanıyla iki yönlü orman güveni olmayan başka bir ormandaysa, bu istemcilerin güvenilmeyen bir etki alanında olduğu kabul edilir. Dış güven bu amaç için yeterli değildir.
İletişimin güvenliğini sağlamak için IPsec kullanma
Configuration Manager, site sunucusu ile SQL Server çalıştıran bilgisayar arasındaki iletişimi güvenli bir şekilde sağlamasa da, Configuration Manager site sistem rolleri ile SQL Server arasındaki iletişimin güvenliğini sağlamaz. Bazı site sistemlerini yalnızca site içi iletişim için HTTPS ile yapılandırabilirsiniz.
Bu sunucudan sunucuya kanalların güvenliğini sağlamak için ek denetimler kullanmıyorsanız, saldırganlar site sistemlerine karşı çeşitli kimlik sahtekarlık ve ortadaki adam saldırılarını kullanabilir. IPsec kullanamıyorsanız SMB imzalamayı kullanın.
Önemli
Site sunucusu ile paket kaynak sunucusu arasındaki iletişim kanalının güvenliğini sağlayın. Bu iletişimde SMB kullanılır. Bu iletişimin güvenliğini sağlamak için IPsec'i kullanamıyorsanız, istemciler indirmeden ve çalıştırmadan önce dosyaların değiştirilmediğinden emin olmak için SMB imzalamayı kullanın.
Varsayılan güvenlik gruplarını değiştirmeyin
Site sistemi iletişimi için Configuration Manager oluşturan ve yöneten aşağıdaki güvenlik gruplarını değiştirmeyin:
<SMS_SiteSystemToSiteServerConnection_MP_SiteCode>
<SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>
<SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>
Configuration Manager bu güvenlik gruplarını otomatik olarak oluşturur ve yönetir. Bu davranış, site sistemi rolü kaldırıldığında bilgisayar hesaplarını kaldırmayı içerir.
Hizmet sürekliliğini ve en düşük ayrıcalıkları sağlamak için bu grupları el ile düzenlemeyin.
Güvenilen kök anahtar sağlama işlemini yönetme
İstemciler Configuration Manager bilgi için genel kataloğu sorgulayamazsa, geçerli yönetim noktalarının kimliğini doğrulamak için güvenilen kök anahtara güvenmeleri gerekir. Güvenilen kök anahtar istemci kayıt defterinde depolanır. Grup ilkesi veya el ile yapılandırma kullanılarak ayarlanabilir.
İstemci, bir yönetim noktasıyla ilk kez iletişim kurmadan önce güvenilen kök anahtarın bir kopyasına sahip değilse, iletişim kurdığı ilk yönetim noktasına güvenir. Bir saldırganın istemcileri yetkisiz bir yönetim noktasına yanlış yönlendirme riskini azaltmak için, istemcileri güvenilir kök anahtarla önceden sağlayabilirsiniz. Daha fazla bilgi için bkz . Güvenilen kök anahtarı planlama.
Varsayılan olmayan bağlantı noktası numaralarını kullanma
Varsayılan olmayan bağlantı noktası numaralarının kullanılması ek güvenlik sağlayabilir. Saldırganların saldırı hazırlığında ortamı keşfetmesini zorlaştırır. Varsayılan olmayan bağlantı noktalarını kullanmaya karar verirseniz, Configuration Manager yüklemeden önce bunları planlayın. Bunları hiyerarşideki tüm sitelerde tutarlı bir şekilde kullanın. İstemci isteği bağlantı noktaları ve LAN'da Uyandırma, varsayılan olmayan bağlantı noktası numaralarını kullanabileceğiniz örneklerdir.
Site sistemlerinde rol ayrımı kullanma
Tüm site sistemi rollerini tek bir bilgisayara yükleyebilmenize rağmen, bu uygulama üretim ağlarında nadiren kullanılır. Tek bir hata noktası oluşturur.
Saldırı profilini azaltma
Her site sistemi rolünün farklı bir sunucuda yalıtılması, bir site sistemindeki güvenlik açıklarına karşı bir saldırının farklı bir site sistemine karşı kullanılabilmesi olasılığını azaltır. Birçok rol, site sistemine Internet Information Services 'ın (IIS) yüklenmesini gerektirir ve bu gereksinim saldırı yüzeyini artırır. Donanım harcamalarını azaltmak için rolleri birleştirmeniz gerekiyorsa, IIS rollerini yalnızca IIS gerektiren diğer rollerle birleştirin.
Önemli
Geri dönüş durum noktası rolü bir özel durumdur. Bu site sistemi rolü istemcilerden kimliği doğrulanmamış verileri kabul ettiğinden, geri dönüş durum noktası rolünü diğer Configuration Manager site sistemi rolüne atamayın.
Site sistemleri için statik IP adreslerini yapılandırma
Statik IP adreslerinin ad çözümleme saldırılarından korunması daha kolaydır.
Statik IP adresleri, IPsec yapılandırmasını da kolaylaştırır. IPsec kullanmak, Configuration Manager'daki site sistemleri arasındaki iletişimi güvenli hale getirmek için en iyi güvenlik uygulamasıdır.
Site sistem sunucularına başka uygulamalar yükleme
Site sistem sunucularına başka uygulamalar yüklediğinizde, Configuration Manager için saldırı yüzeyini artırırsınız. Uyumsuzluk sorunlarını da göze alırsınız.
İmzalama gerektir ve site olarak şifrelemeyi etkinleştir seçeneği
Site için imzalama ve şifreleme seçeneklerini etkinleştirin. Tüm istemcilerin SHA-256 karma algoritmasını destekleyebileceğinden emin olun ve ardından SHA-256 gerektir seçeneğini etkinleştirin.
Yönetici kullanıcıları kısıtlama ve izleme
Configuration Manager yalnızca güvendiğiniz kullanıcılara yönetici erişimi verin. Ardından yerleşik güvenlik rollerini kullanarak veya güvenlik rollerini özelleştirerek onlara en düşük izinleri verin. Yazılım ve yapılandırma oluşturabilen, değiştirebilen ve dağıtabilen yönetici kullanıcılar, Configuration Manager hiyerarşisindeki cihazları denetleyebilir.
Gerekli değişiklikleri doğrulamak için yönetici kullanıcı atamalarını ve yetkilendirme düzeylerini düzenli aralıklarla denetleyin.
Daha fazla bilgi için bkz. Rol tabanlı yönetimi yapılandırma.
Güvenli Configuration Manager yedeklemeleri
Configuration Manager yedeklerken, bu bilgiler bir saldırgan tarafından kimliğe bürünme için kullanılabilecek sertifikaları ve diğer hassas verileri içerir.
Bu verileri ağ üzerinden aktarırken SMB imzalama veya IPsec kullanın ve yedekleme konumunun güvenliğini sağlayın.
Dışarı aktarılan nesneler için güvenli konumlar
nesneleri Configuration Manager konsolundan bir ağ konumuna aktardığınızda veya içeri aktardığınızda, konumun güvenliğini sağlayın ve ağ kanalının güvenliğini sağlayın.
Ağ klasörüne kimlerin erişebileceğini kısıtlayın.
Bir saldırganın dışarı aktarılan verilerle oynamasını önlemek için ağ konumu ile site sunucusu arasında SMB imzalama veya IPsec kullanın. Ayrıca, Configuration Manager konsolunu ve site sunucusunu çalıştıran bilgisayar arasındaki iletişimin güvenliğini sağlayın. Bilgilerin açığa çıkmasını önlemek için ağdaki verileri şifrelemek için IPsec kullanın.
Başarısız sunuculardan sertifikaları el ile kaldırma
Bir site sistemi düzgün şekilde kaldırılmadıysa veya çalışmayı durduruyorsa ve geri yüklenemiyorsa, bu sunucu için Configuration Manager sertifikalarını diğer Configuration Manager sunuculardan el ile kaldırın.
İlk olarak site sistemi ve site sistemi rolleriyle kurulan eş güvenini kaldırmak için, diğer site sistemi sunucularındaki Güvenilen Kişiler sertifika deposundaki başarısız sunucunun Configuration Manager sertifikalarını el ile kaldırın. Sunucuyu yeniden biçimlendirmeden yeniden kullanıyorsanız bu eylem önemlidir.
Daha fazla bilgi için bkz . Sunucu iletişimi için şifreleme denetimleri.
Çevre ağına köprü sağlamak için İnternet tabanlı site sistemlerini yapılandırma
Site sistem sunucularını, çevre ağına ve intranete bağlanacak şekilde çok girişli olacak şekilde yapılandırmayın. Bu yapılandırma, internet tabanlı site sistemlerinin internetten ve intranetten istemci bağlantılarını kabul etmesine izin veriyor olsa da, çevre ağı ile intranet arasındaki güvenlik sınırını ortadan kaldırır.
Site sunucusunu çevre ağlarına bağlantı başlatacak şekilde yapılandırma
Site sistemi, çevre ağı gibi güvenilmeyen bir ağdaysa, site sunucusunu site sistemine bağlantıları başlatacak şekilde yapılandırın.
Varsayılan olarak, site sistemleri verileri aktarmak için site sunucusuna bağlantılar başlatır. Bağlantı başlatma güvenilir olmayan bir ağdan güvenilen ağa doğru olduğunda bu yapılandırma bir güvenlik riski oluşturabilir. Site sistemleri İnternet'ten gelen bağlantıları kabul ettiğinde veya güvenilmeyen bir ormanda bulunduğunda, site sistemi seçeneğini Site sunucusunun bu site sistemine bağlantı başlatmasını gerektir olarak yapılandırın. Site sistemi ve tüm roller yüklendikten sonra, tüm bağlantılar site sunucusu tarafından güvenilen ağdan başlatılır.
Kimlik doğrulaması ile SSL köprü oluşturma ve sonlandırma kullanma
İnternet tabanlı istemci yönetimi için bir web proxy sunucusu kullanıyorsanız, kimlik doğrulaması ile sonlandırma kullanarak SSL'ye SSL köprü oluşturma özelliğini kullanın.
Proxy web sunucusunda SSL sonlandırmayı yapılandırdığınızda, internetten gelen paketler iç ağa iletilmeden önce incelemeye tabi tutulur. Proxy web sunucusu istemciden bağlantının kimliğini doğrular, bağlantıyı sonlandırır ve ardından internet tabanlı site sistemlerine kimliği doğrulanmış yeni bir bağlantı açar.
Configuration Manager istemci bilgisayarlar internet tabanlı site sistemlerine bağlanmak için bir proxy web sunucusu kullandığında, istemci kimliği (GUID) paket yükünün içinde güvenli bir şekilde yer alır. Ardından yönetim noktası, proxy web sunucusunu istemci olarak kabul etmez.
Proxy web sunucunuz SSL köprü oluşturma gereksinimlerini destekleyemiyorsa SSL tüneli de desteklenir. Bu seçenek daha az güvenlidir. İnternet'ten gelen SSL paketleri sonlandırma olmadan site sistemlerine iletilir. Bu durumda kötü amaçlı içerik denetlenemez.
Uyarı
Configuration Manager tarafından kaydedilen mobil cihazlar SSL köprü oluşturma özelliğini kullanamaz. Yalnızca SSL tüneli kullanmalıdır.
Siteyi yazılımları yükleyecek bilgisayarları uyandırmak üzere yapılandırırsanız kullanılacak yapılandırmalar
Geleneksel uyandırma paketleri kullanıyorsanız alt ağa yönlendirilen yayınlar yerine tek noktaya yayın kullanın.
Alt ağa yönlendirilen yayınları kullanmanız gerekiyorsa, yönlendiricileri yalnızca site sunucusundan ve yalnızca varsayılan olmayan bir bağlantı noktası numarasında IP yönlendirmeli yayınlara izin verecek şekilde yapılandırın.
Farklı LAN'da Uyandırma teknolojileri hakkında daha fazla bilgi için bkz. İstemcileri uyandırmayı planlama.
E-posta bildirimi kullanıyorsanız SMTP posta sunucusuna kimliği doğrulanmış erişimi yapılandırın
Mümkün olduğunda, kimliği doğrulanmış erişimi destekleyen bir posta sunucusu kullanın. Kimlik doğrulaması için site sunucusunun bilgisayar hesabını kullanın. Kimlik doğrulaması için bir kullanıcı hesabı belirtmeniz gerekiyorsa, en düşük ayrıcalıklara sahip bir hesap kullanın.
LDAP kanal bağlamasını ve LDAP imzalamayı zorunlu kılma
Active Directory etki alanı denetleyicilerinin güvenliği, sunucuyu imzalama isteğinde bulunmayan Basit Kimlik Doğrulama ve Güvenlik Katmanı (SASL) LDAP bağlamalarını reddedecek veya net bir metin bağlantısında gerçekleştirilen LDAP basit bağlamalarını reddedecek şekilde yapılandırılarak geliştirilebilir. sürüm 1910'dan başlayarak, Configuration Manager LDAP kanal bağlamasını ve LDAP imzalamasını zorunlu tutma desteğine de olur. Daha fazla bilgi için bkz. Windows için 2020 LDAP kanalı bağlama ve LDAP imzalama gereksinimleri.
Site sunucusu için güvenlik kılavuzu
Configuration Manager site sunucusunun güvenliğini sağlamaya yardımcı olması için aşağıdaki kılavuzu kullanın.
Uyarı
Ağ erişim hesabı - SQL Server'larda bu hesaba etkileşimli oturum açma hakları vermeyin. Bu hesaba bilgisayarları etki alanına ekleme hakkı verme. Bir görev dizisi sırasında bilgisayarları etki alanına katmak zorundaysanız, Görev dizisi etki alanına katılma hesabını kullanın..
etki alanı denetleyicisi yerine üye sunucuya Configuration Manager yükleme
Configuration Manager site sunucusu ve site sistemleri, bir etki alanı denetleyicisine yükleme gerektirmez. Etki alanı denetleyicilerinin etki alanı veritabanı dışında bir yerel Güvenlik Hesapları Yönetimi (SAM) veritabanı yoktur. üye sunucuya Configuration Manager yüklediğinizde, Configuration Manager hesaplarını etki alanı veritabanı yerine yerel SAM veritabanında tutabilirsiniz.
Bu uygulama, etki alanı denetleyicilerinizdeki saldırı yüzeyini de düşürür.
Dosyaları ağ üzerinden kopyalamadan ikincil siteleri yükleme
Kurulumu çalıştırdığınızda ve ikincil bir site oluşturduğunuzda, dosyaları üst siteden ikincil siteye kopyalama seçeneğini belirtmeyin. Ayrıca ağ kaynağı konumu kullanmayın. Dosyaları ağ üzerinden kopyaladığınızda, yetenekli bir saldırgan ikincil site yükleme paketini ele geçirip dosyaları yüklenmeden önce kurcalayabilir. Bu saldırının zamanlaması zor olur. Bu saldırı, dosyaları aktarırken IPsec veya SMB kullanılarak azaltılabilir.
Dosyaları ağ üzerinden kopyalamak yerine, ikincil site sunucusunda kaynak dosyaları medya klasöründen yerel bir klasöre kopyalayın. Ardından, ikincil bir site oluşturmak için kurulumu çalıştırdığınızda , Yükleme Kaynak Dosyaları sayfasında İkincil site bilgisayarında (en güvenli) aşağıdaki konumdaki kaynak dosyaları kullan'ı seçin ve bu klasörü belirtin.
Daha fazla bilgi için bkz. İkincil site yükleme.
Site rolü yüklemesi, izinleri sürücü kökünden devralır
Herhangi bir sunucuya ilk site sistem rolünü yüklemeden önce sistem sürücüsü izinlerini düzgün yapılandırdığınızdan emin olun. Örneğin, C:\SMS_CCM izinlerini 'den C:\devralır. Sürücünün kökü düzgün bir şekilde güvenli hale getirilmiyorsa, düşük haklara sahip kullanıcılar Configuration Manager klasöründeki içeriğe erişebilir veya içeriği değiştirebilir.
SQL Server için güvenlik kılavuzu
Configuration Manager arka uç veritabanı olarak SQL Server kullanır. Veritabanı ele geçirilirse saldırganlar Configuration Manager atlayabilir. SQL Server doğrudan erişiyorsa, Configuration Manager üzerinden saldırı başlatabilir. SQL Server karşı saldırıların yüksek riskli olduğunu ve uygun şekilde azaltılmalarını göz önünde bulundurun.
Configuration Manager için SQL Server güvenliğini sağlamaya yardımcı olması için aşağıdaki güvenlik kılavuzunu kullanın.
Diğer SQL Server uygulamalarını çalıştırmak için Configuration Manager site veritabanı sunucusunu kullanmayın
Configuration Manager site veritabanı sunucusuna erişimi artırdığınızda, bu eylem Configuration Manager verilerinize yönelik riski artırır. Configuration Manager site veritabanının güvenliği ihlal edilirse, aynı SQL Server bilgisayardaki diğer uygulamalar da riske girer.
windows kimlik doğrulamasını kullanmak için SQL Server yapılandırma
Configuration Manager bir Windows hesabı ve Windows kimlik doğrulaması kullanarak site veritabanına erişse de, SQL Server SQL Server karma modu kullanacak şekilde yapılandırmak mümkündür. SQL Server karma mod, ek SQL Server oturum açmaların veritabanına erişmesine olanak tanır. Bu yapılandırma gerekli değildir ve saldırı yüzeyini artırır.
İkincil sitelerdeki SQL Server Express güncelleştirme
Birincil siteyi yüklediğinizde Configuration Manager SQL Server Express Microsoft İndirme Merkezi'nden indirir. Ardından dosyaları birincil site sunucusuna kopyalar. İkincil bir site yükleyip SQL Server Express yükleyen seçeneği belirlediğinizde Configuration Manager daha önce indirilen sürümü yükler. Yeni sürümlerin kullanılabilir olup olmadığını denetlemez. İkincil sitenin en son sürümlere sahip olduğundan emin olmak için aşağıdaki görevlerden birini yapın:
İkincil siteyi yükledikten sonra, ikincil site sunucusunda Windows Update çalıştırın.
İkincil siteyi yüklemeden önce, SQL Server Express ikincil site sunucusuna el ile yükleyin. En son sürümü ve yazılım güncelleştirmelerini yüklediğinizden emin olun. Ardından ikincil siteyi yükleyin ve mevcut bir SQL Server örneğini kullanma seçeneğini belirleyin.
SQL Server'ın tüm yüklü sürümleri için düzenli aralıklarla Windows Update çalıştırın. Bu uygulama, en son yazılım güncelleştirmelerine sahip olduklarından emin olur.
SQL Server için genel yönergeleri izleyin
SQL Server sürümünüz için genel yönergeleri belirleyin ve izleyin. Ancak, Configuration Manager için aşağıdaki gereksinimleri dikkate alın:
Site sunucusunun bilgisayar hesabı, SQL Server çalıştıran bilgisayardaki Administrators grubunun bir üyesi olmalıdır. "Yönetici sorumlularını açıkça sağlama" SQL Server önerisini izlerseniz, site sunucusunda kurulumu çalıştırmak için kullandığınız hesabın SQL Server Kullanıcıları grubunun üyesi olması gerekir.
SQL Server bir etki alanı kullanıcı hesabı kullanarak yüklerseniz, site sunucusu bilgisayar hesabının Active Directory Domain Services'de yayımlanan bir Hizmet Asıl Adı (SPN) için yapılandırıldığından emin olun. SPN olmadan Kerberos kimlik doğrulaması başarısız olur ve Configuration Manager kurulumu başarısız olur.
IIS çalıştıran site sistemleri için güvenlik kılavuzu
Configuration Manager'deki çeşitli site sistemi rolleri IIS gerektirir. IIS'nin güvenliğini sağlama işlemi, Configuration Manager düzgün çalışmasını sağlar ve güvenlik saldırıları riskini azaltır. Pratik olduğunda, IIS gerektiren sunucu sayısını en aza indirin. Örneğin, İnternet tabanlı istemci yönetimi için yüksek kullanılabilirlik ve ağ yalıtımını göz önünde bulundurarak yalnızca istemci tabanınızı desteklemek için ihtiyacınız olan yönetim noktası sayısını çalıştırın.
IIS çalıştıran site sistemlerinin güvenliğini sağlamaya yardımcı olması için aşağıdaki kılavuzu kullanın.
gerekli olmayan IIS işlevlerini devre dışı bırakma
Yalnızca yüklediğiniz site sistemi rolü için en düşük IIS özelliklerini yükleyin. Daha fazla bilgi için bkz . Site ve site sistemi önkoşulları.
Site sistemi rollerini HTTPS gerektirecek şekilde yapılandırma
İstemciler HTTPS yerine HTTP kullanarak bir site sistemine bağlandığında, Windows kimlik doğrulamasını kullanır. Bu davranış, Kerberos kimlik doğrulaması yerine NTLM kimlik doğrulamasını kullanmaya geri dönebilir. NTLM kimlik doğrulaması kullanıldığında, istemciler sahte bir sunucuya bağlanabilir.
Bu kılavuzun özel durumu dağıtım noktaları olabilir. Dağıtım noktası HTTPS için yapılandırıldığında paket erişim hesapları çalışmaz. Paket erişim hesapları, içeriğe hangi kullanıcıların erişebileceğini kısıtlayabilmek için içeriğe yetkilendirme sağlar. Daha fazla bilgi için bkz . İçerik yönetimi için güvenlik kılavuzu.
Önemli
Configuration Manager sürüm 2103'den başlayarak, HTTP istemci iletişimi sağlayan siteler kullanım dışı bırakılmıştır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırın. Daha fazla bilgi için bkz . Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.
Site sistemi rolleri için IIS'de sertifika güven listesi (CTL) yapılandırma
Site sistemi rolleri:
HTTPS için yapılandırdığınız bir dağıtım noktası
HTTPS için yapılandırdığınız ve mobil cihazları desteklemeyi etkinleştirdiğiniz bir yönetim noktası
CTL, güvenilen kök sertifika yetkililerinin (CA) tanımlı bir listesidir. CTL'yi grup ilkesi ve ortak anahtar altyapısı (PKI) dağıtımıyla kullandığınızda, CTL ağınızda yapılandırılan mevcut güvenilen kök CA'ları tamamlamanıza olanak tanır. Örneğin, Microsoft Windows ile otomatik olarak yüklenen veya Windows kurumsal kök CA'ları aracılığıyla eklenen CA'lar. IIS'de bir CTL yapılandırıldığında, bu güvenilen kök CA'ların bir alt kümesini tanımlar.
Bu alt küme, güvenlik üzerinde daha fazla denetim sağlar. CTL, kabul edilen istemci sertifikalarını yalnızca CTL'deki CA'lar listesinden verilen sertifikalarla kısıtlar. Örneğin, Windows bir dizi iyi bilinen, üçüncü taraf CA sertifikasıyla birlikte gelir.
Varsayılan olarak, IIS çalıştıran bilgisayar bu iyi bilinen CA'lara zincirleyen sertifikalara güvenir. Listelenen site sistemi rolleri için IIS'yi bir CTL ile yapılandırmadığınızda, site bu CA'lardan verilmiş sertifikası olan tüm cihazları geçerli bir istemci olarak kabul eder. IIS'yi bu CA'ları içermeyen bir CTL ile yapılandırıyorsanız, sertifika bu CA'lara bağlıysa site istemci bağlantılarını reddeder. listelenen site sistemi rolleri için Configuration Manager istemcilerin kabul edilmesi için IIS'yi Configuration Manager istemcileri tarafından kullanılan CA'ları belirten bir CTL ile yapılandırmanız gerekir.
Not
Yalnızca listelenen site sistemi rolleri IIS'de bir CTL yapılandırmanızı gerektirir. Configuration Manager'nin yönetim noktaları için kullandığı sertifika verenler listesi, HTTPS yönetim noktalarına bağlanırken istemci bilgisayarlar için aynı işlevselliği sağlar.
IIS'de güvenilen CA'ların listesini yapılandırma hakkında daha fazla bilgi için IIS belgelerine bakın.
Site sunucusunu IIS yüklü bir bilgisayara yerleştirmeyin
Rol ayrımı, saldırı profilini azaltmaya ve kurtarılabilirliği geliştirmeye yardımcı olur. Site sunucusunun bilgisayar hesabı genellikle tüm site sistemi rollerinde yönetim ayrıcalıklarına sahiptir. İstemci anında yükleme kullanıyorsanız, Configuration Manager istemcilerinde de bu ayrıcalıklara sahip olabilir.
Configuration Manager için ayrılmış IIS sunucuları kullanma
Configuration Manager tarafından da kullanılan IIS sunucularında birden çok web tabanlı uygulama barındırabilirsiniz ancak bu uygulama saldırı yüzeyinizi önemli ölçüde artırabilir. Kötü yapılandırılmış bir uygulama, saldırganın Configuration Manager site sisteminin denetimini ele geçirebilmesini sağlayabilir. Bu ihlal, bir saldırganın hiyerarşinin denetimini elde etmesine olanak tanıyabilir.
Configuration Manager site sistemlerinde diğer web tabanlı uygulamaları çalıştırmanız gerekiyorsa, Configuration Manager site sistemleri için özel bir web sitesi oluşturun.
Özel web sitesi kullanma
IIS çalıştıran site sistemleri için, Configuration Manager varsayılan web sitesi yerine özel bir web sitesi kullanacak şekilde yapılandırın. Site sisteminde başka web uygulamaları çalıştırmanız gerekiyorsa, özel bir web sitesi kullanmanız gerekir. Bu ayar, belirli bir site sistemi için ayar yerine site genelinde bir ayardır.
Özel web sitelerini kullandığınızda, varsayılan sanal dizinleri kaldırın
Varsayılan web sitesini kullanmaktan özel web sitesi kullanmaya geçtiğiniz zaman, Configuration Manager eski sanal dizinleri kaldırmaz. İlk olarak varsayılan web sitesi altında oluşturulan Configuration Manager sanal dizinleri kaldırın.
Örneğin, bir dağıtım noktası için aşağıdaki sanal dizinleri kaldırın:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
IIS Sunucusu güvenlik yönergelerini izleyin
IIS Server sürümünüz için genel yönergeleri tanımlayın ve izleyin. Configuration Manager belirli site sistem rolleri için sahip olduğu tüm gereksinimleri dikkate alın. Daha fazla bilgi için bkz . Site ve site sistemi önkoşulları.
IIS özel üst bilgilerini yapılandırma
MIME algılamayı devre dışı bırakmak için aşağıdaki özel üst bilgileri yapılandırın:
x-content-type-options: nosniff
Daha fazla bilgi için bkz. Özel Üst Bilgiler.
Diğer hizmetler aynı IIS örneğini kullanıyorsa, bu özel üst bilgileri uyumlu olduğundan emin olun.
Yönetim noktası için güvenlik kılavuzu
Yönetim noktaları, cihazlar ve Configuration Manager arasındaki birincil arabirimdir. Yüksek riskli olması için yönetim noktasına ve üzerinde çalıştığı sunucuya yönelik saldırıları göz önünde bulundurun ve uygun şekilde azaltın. Tüm uygun güvenlik kılavuzlarını uygulayın ve olağan dışı etkinlikleri izleyin.
Configuration Manager'da bir yönetim noktasının güvenliğini sağlamaya yardımcı olmak için aşağıdaki kılavuzu kullanın.
İstemciyi bir yönetim noktasında aynı siteye atama
Yönetim noktasındaki Configuration Manager istemcisini yönetim noktasının sitesi dışında bir siteye atadığınız senaryodan kaçının.
Önceki bir sürümden geçerli dala Configuration Manager geçirirseniz, yönetim noktasındaki istemciyi en kısa sürede yeni siteye geçirin.
Geri dönüş durum noktası için güvenlik kılavuzu
Configuration Manager bir geri dönüş durum noktası yüklerseniz aşağıdaki güvenlik kılavuzunu kullanın:
Geri dönüş durum noktası yüklerken dikkat edilmesi gereken güvenlik konuları hakkında daha fazla bilgi için bkz. Geri dönüş durum noktası gerekip gerekmediğini belirleme.
Aynı site sisteminde başka bir rol çalıştırma
Geri dönüş durum noktası, herhangi bir bilgisayardan kimliği doğrulanmamış iletişimi kabul etmek için tasarlanmıştır. Bu site sistemi rolünü diğer rollerle veya bir etki alanı denetleyicisiyle çalıştırırsanız, bu sunucu için risk büyük ölçüde artar.
PKI sertifikalarına sahip istemcileri yüklemeden önce geri dönüş durum noktasını yükleyin
Configuration Manager site sistemleri HTTP istemci iletişimini kabul etmezse, PKI ile ilgili sertifika sorunları nedeniyle istemcilerin yönetilmeyen olduğunu bilmiyor olabilirsiniz. İstemcileri bir geri dönüş durum noktasına atarsanız, bu sertifika sorunlarını geri dönüş durum noktası aracılığıyla bildirirler.
Güvenlik nedenleriyle, istemciler yüklendikten sonra istemcilere geri dönüş durum noktası atayamazsınız. Bu rolü yalnızca istemci yüklemesi sırasında atayabilirsiniz.
Çevre ağında geri dönüş durum noktasını kullanmaktan kaçının
Tasarım gereği geri dönüş durum noktası herhangi bir istemciden gelen verileri kabul eder. Çevre ağındaki bir geri dönüş durum noktası İnternet tabanlı istemcilerle ilgili sorunları gidermenize yardımcı olsa da, sorun giderme avantajlarını, genel olarak erişilebilen bir ağda kimliği doğrulanmamış verileri kabul eden bir site sisteminin riskiyle dengeleyin.
Geri dönüş durum noktasını çevre ağına veya güvenilmeyen bir ağa yüklerseniz, site sunucusunu veri aktarımlarını başlatacak şekilde yapılandırın. Geri dönüş durum noktasının site sunucusuna bağlantı başlatmasına izin veren varsayılan ayarı kullanmayın.
Site yönetimi için güvenlik sorunları
Configuration Manager için aşağıdaki güvenlik sorunlarını gözden geçirin:
Configuration Manager, ağa saldırmak için Configuration Manager kullanan yetkili bir yönetici kullanıcıya karşı savunması yoktur. Yetkisiz yönetici kullanıcılar yüksek güvenlik riskidir. Aşağıdaki stratejileri içeren birçok saldırı başlatabilir:
Kuruluştaki her Configuration Manager istemci bilgisayara kötü amaçlı yazılımları otomatik olarak yüklemek ve çalıştırmak için yazılım dağıtımını kullanın.
İstemci izni olmadan bir Configuration Manager istemciyi uzaktan denetleyin.
Hızlı yoklama aralıklarını ve aşırı miktarda envanteri yapılandırın. Bu eylem, istemcilere ve sunuculara yönelik hizmet reddi saldırıları oluşturur.
Hiyerarşideki bir siteyi kullanarak başka bir sitenin Active Directory verilerine veri yazın.
Site hiyerarşisi güvenlik sınırıdır. Siteleri yalnızca yönetim sınırları olarak düşünün.
Tüm yönetici kullanıcı etkinliğini denetleyin ve denetim günlüklerini düzenli olarak gözden geçirin. tüm Configuration Manager yönetici kullanıcıların işe alınmadan önce bir arka plan denetiminden geçmelerini zorunlu tutma. Çalışma koşulu olarak düzenli aralıklarla yeniden denetimler gerektir.
Kayıt noktasının güvenliği aşılırsa, saldırgan kimlik doğrulaması için sertifikalar alabilir. Mobil cihazlarını kaydeden kullanıcıların kimlik bilgilerini çalabilir.
Kayıt noktası bir CA ile iletişim kurar. Active Directory nesneleri oluşturabilir, değiştirebilir ve silebilir. Kayıt noktasını hiçbir zaman çevre ağına yüklemeyin. Olağan dışı etkinlikleri her zaman izleyin.
İnternet tabanlı istemci yönetimi için kullanıcı ilkelerine izin verirseniz, saldırı profilinizi artırırsınız.
İstemciden sunucuya bağlantılar için PKI sertifikalarının kullanılmasına ek olarak, bu yapılandırmalar Windows kimlik doğrulaması gerektirir. Kerberos yerine NTLM kimlik doğrulamasını kullanmaya geri dönebilirler. NTLM kimlik doğrulaması kimliğe bürünme ve yeniden yürütme saldırılarına karşı savunmasızdır. İnternet'te bir kullanıcının kimliğini başarıyla doğrulamak için, İnternet tabanlı site sisteminden etki alanı denetleyicisine bir bağlantıya izin vermeniz gerekir.
site sistem sunucularında Yönetici$ paylaşımı gereklidir.
Configuration Manager site sunucusu, site sistemlerine bağlanmak ve bu sistemlerde hizmet işlemleri yapmak için Yönetici$ paylaşımını kullanır. Bu paylaşımı devre dışı bırakma veya kaldırma.
Configuration Manager, diğer bilgisayarlara bağlanmak için ad çözümleme hizmetlerini kullanır. Bu hizmetlerin güvenliği aşağıdaki güvenlik saldırılarına karşı zordur:
- Sızdırma
- Müdahale
- Tanımadığı
- Bilgilerin açığa çıkması
- Hizmet reddi
- Ayrıcalıkların yükseltilmesi
Ad çözümlemesi için kullandığınız DNS sürümü için güvenlik yönergelerini belirleyin ve izleyin.
Bulma için gizlilik bilgileri
Bulma, ağ kaynakları için kayıtlar oluşturur ve bunları Configuration Manager veritabanında depolar. Bulma veri kayıtları IP adresleri, işletim sistemi sürümleri ve bilgisayar adları gibi bilgisayar bilgilerini içerir. Ayrıca, kuruluşunuzun Active Directory Domain Services depoladığınız bilgileri döndürmek için Active Directory bulma yöntemlerini yapılandırabilirsiniz.
Configuration Manager varsayılan olarak etkinleştirdiği tek bulma yöntemi Sinyal Bulma'dır. Bu yöntem yalnızca Configuration Manager istemci yazılımının yüklü olduğu bilgisayarları bulur.
Bulma bilgileri doğrudan Microsoft'a gönderilmez. Configuration Manager veritabanında depolanır. Configuration Manager, verileri silene kadar veritabanındaki bilgileri korur. Bu işlem, site bakım görevi Eski Bulma Verilerini Sil tarafından 90 günde bir gerçekleşir.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin