Aracılığıyla paylaş

Configuration Manager'da güvenliği yapılandırma

  • Makale

Uygulama hedefi: Configuration Manager (güncel dalı)

Configuration Manager için güvenlikle ilgili seçenekleri ayarlamanıza yardımcı olması için bu makaledeki bilgileri kullanın. Başlamadan önce bir Güvenlik planınız olduğundan emin olun.

Önemli

Configuration Manager sürüm 2103'den başlayarak, HTTP istemci iletişimi sağlayan siteler kullanım dışı bırakılmıştır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırın. Daha fazla bilgi için bkz . Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.

İstemci PKI sertifikaları

Internet Information Services (IIS) kullanan site sistemlerine istemci bağlantıları için ortak anahtar altyapısı (PKI) sertifikaları kullanmak istiyorsanız, bu sertifikaların ayarlarını yapılandırmak için aşağıdaki yordamı kullanın.

  1. Configuration Manager konsolunda Yönetim çalışma alanına gidin, Site Yapılandırması'nı genişletin ve Siteler düğümünü seçin. Yapılandıracak birincil siteyi seçin.

  2. Şeritte Özellikler'i seçin. Ardından İletişim Güvenliği sekmesine geçin.

  3. IIS kullanan site sistemlerinin ayarlarını seçin.

    • Yalnızca HTTPS: Siteye atanan istemciler, IIS kullanan site sistemlerine bağlandığında her zaman bir istemci PKI sertifikası kullanır. Örneğin, bir yönetim noktası ve dağıtım noktası.

    • HTTPS veya HTTP: İstemcilerin PKI sertifikalarını kullanmasını gerektirmezsiniz.

    • HTTP site sistemleri için Configuration Manager oluşturulan sertifikaları kullanın: Bu ayar hakkında daha fazla bilgi için bkz. Gelişmiş HTTP.

  4. İstemci bilgisayarlar için ayarları seçin.

    • Kullanılabilir olduğunda istemci PKI sertifikasını (istemci kimlik doğrulama özelliği) kullanın: HTTPS veya HTTP site sunucusu ayarını seçtiyseniz, HTTP bağlantıları için istemci PKI sertifikası kullanmak için bu seçeneği belirleyin. İstemci, site sistemlerinde kimliğini doğrulamak için otomatik olarak imzalanan bir sertifika yerine bu sertifikayı kullanır. Yalnızca HTTPS'yi seçerseniz, bu seçenek otomatik olarak seçilir.

      İstemcide birden fazla geçerli PKI istemci sertifikası varsa, istemci sertifikası seçim yöntemlerini yapılandırmak için Değiştir'i seçin. İstemci sertifikası seçim yöntemi hakkında daha fazla bilgi için bkz . PKI istemci sertifikası seçimini planlama.

    • İstemciler site sistemleri için sertifika iptal listesini (CRL) denetler: İstemcilerin kuruluşunuzun CRL'sini iptal edilmiş sertifikalar için denetlemesi için bu ayarı etkinleştirin. İstemciler için CRL denetimi hakkında daha fazla bilgi için bkz . PKI sertifika iptalini planlama.

  5. Güvenilen kök sertifika yetkililerinin sertifikalarını içeri aktarmak, görüntülemek ve silmek için Ayarla'yı seçin. Daha fazla bilgi için bkz . PKI güvenilen kök sertifikalarını ve sertifikayı verenler Listesini planlama.

Hiyerarşideki tüm birincil siteler için bu yordamı yineleyin.

Güvenilen kök anahtarı yönetme

bir Configuration Manager istemcisinin güvenilen kök anahtarını önceden sağlamak ve doğrulamak için bu yordamları kullanın.

Not

İstemciler güvenilen kök anahtarı Active Directory Domain Services veya istemci gönderiminden alabilirse, önceden sağlamanız gerekmez.

İstemciler yönetim noktalarıyla HTTPS iletişimi kullandığında, güvenilen kök anahtarı önceden sağlamanız gerekmez. PKI sertifikaları tarafından güven oluştururlar.

Güvenilen kök anahtar hakkında daha fazla bilgi için bkz. Güvenlik için planlama.

Bir dosyayı kullanarak güvenilen kök anahtara sahip bir istemciyi önceden sağlama

  1. Site sunucusunda Configuration Manager yükleme dizinine gidin. \bin\<platform> Alt klasörde, aşağıdaki dosyayı bir metin düzenleyicisinde açın:mobileclient.tcf

  2. girdisini bulun. SMSPublicRootKey Bu satırdaki değeri kopyalayın ve hiçbir değişiklik kaydetmeden dosyayı kapatın.

  3. Yeni bir metin dosyası oluşturun ve mobileclient.tcf dosyasından kopyaladığınız anahtar değerini yapıştırın.

  4. Dosyayı tüm bilgisayarların erişebileceği ancak dosyanın kurcalanma açısından güvenli olduğu bir konuma kaydedin.

  5. client.msi özelliklerini kabul eden herhangi bir yükleme yöntemini kullanarak istemciyi yükleyin. Aşağıdaki özelliği belirtin: SMSROOTKEYPATH=<full path and file name>

    Önemli

    İstemci yüklemesi sırasında güvenilen kök anahtarı belirttiğinizde, site kodunu da belirtin. Aşağıdaki client.msi özelliğini kullanın: SMSSITECODE=<site code>

Bir dosyayı kullanmadan güvenilen kök anahtarla bir istemciyi önceden sağlama

  1. Site sunucusunda Configuration Manager yükleme dizinine gidin. \bin\<platform> Alt klasörde, aşağıdaki dosyayı bir metin düzenleyicisinde açın:mobileclient.tcf

  2. girdisini bulun. SMSPublicRootKey Bu satırdaki değeri kopyalayın ve hiçbir değişiklik kaydetmeden dosyayı kapatın.

  3. client.msi özelliklerini kabul eden herhangi bir yükleme yöntemini kullanarak istemciyi yükleyin. Aşağıdaki client.msi özelliğini belirtin: SMSPublicRootKey=<key> burada <key> mobileclient.tcf'den kopyaladığınız dizedir.

    Önemli

    İstemci yüklemesi sırasında güvenilen kök anahtarı belirttiğinizde, site kodunu da belirtin. Aşağıdaki client.msi özelliğini kullanın: SMSSITECODE=<site code>

İstemcide güvenilen kök anahtarı doğrulama

  1. Yönetici olarak bir Windows PowerShell konsolu açın.

  2. Aşağıdaki komutu çalıştırın:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey

Döndürülen dize, güvenilen kök anahtardır. Site sunucusundaki mobileclient.tcf dosyasındaki SMSPublicRootKey değeriyle eşleştiğinden emin olun.

Güvenilen kök anahtarı kaldırma veya değiştirme

client.msi özelliğini RESETKEYINFORMATION = TRUEkullanarak istemciden güvenilen kök anahtarı kaldırın.

Güvenilen kök anahtarı değiştirmek için istemciyi yeni güvenilen kök anahtarla birlikte yeniden yükleyin. Örneğin, istemci gönderimini kullanın veya SMSPublicRootKey client.msi özelliğini belirtin.

Bu yükleme özellikleri hakkında daha fazla bilgi için bkz. İstemci yükleme parametreleri ve özellikleri hakkında.

İmzalama ve şifreleme

Sitedeki tüm istemcilerin destekleyebilecekleri site sistemleri için en güvenli imzalama ve şifreleme ayarlarını yapılandırın. Bu ayarlar özellikle istemcilerin HTTP üzerinden otomatik olarak imzalanan sertifikalar kullanarak site sistemleriyle iletişim kurmasına izin verdiğinizde önemlidir.

  1. Configuration Manager konsolunda Yönetim çalışma alanına gidin, Site Yapılandırması'nı genişletin ve Siteler düğümünü seçin. Yapılandıracak birincil siteyi seçin.

  2. Şeritte Özellikler'i seçin ve ardından İmzalama ve Şifreleme sekmesine geçin.

    Bu sekme yalnızca birincil sitede kullanılabilir. İmzalama ve Şifreleme sekmesini görmüyorsanız, bir merkezi yönetim sitesine veya ikincil siteye bağlı olmadığınıza emin olun.

  3. İstemcilerin siteyle iletişim kuracakları imzalama ve şifreleme seçeneklerini yapılandırın.

    • İmzalama gerektir: İstemciler yönetim noktasına göndermeden önce verileri imzalar.

    • SHA-256 gerektir: İstemciler, verileri imzalarken SHA-256 algoritmasını kullanır.

      Uyarı

      Önce tüm istemcilerin bu karma algoritmayı desteklediğini onaylamadan SHA-256 gerektirmeyin . Bu istemciler, gelecekte siteye atanabilecek istemciler içerir.

      Bu seçeneği belirlerseniz ve otomatik olarak imzalanan sertifikalara sahip istemciler SHA-256'yı destekleyemezse, Configuration Manager bunları reddeder. SMS_MP_CONTROL_MANAGER bileşeni 5443 ileti kimliğini günlüğe kaydeder.

    • Şifrelemeyi kullanma: İstemciler, yönetim noktasına göndermeden önce istemci envanter verilerini ve durum iletilerini şifreler.

Hiyerarşideki tüm birincil siteler için bu yordamı yineleyin.

Rol tabanlı yönetim

Rol tabanlı yönetim, güvenlik rollerini, güvenlik kapsamlarını ve atanan koleksiyonları bir araya getirerek her yönetici kullanıcının yönetim kapsamını tanımlar. Kapsam, kullanıcının konsolunda görüntüleyebileceği nesneleri ve bu nesnelerle ilgili görevleri içerir. Rol tabanlı yönetim yapılandırmaları, hiyerarşideki her siteye uygulanır.

Daha fazla bilgi için bkz. Rol tabanlı yönetimi yapılandırma. Bu makalede aşağıdaki eylemler ayrıntılı olarak verilmiştir:

  • Özel güvenlik rolleri oluşturma

  • Güvenlik rollerini yapılandırma

  • Nesne için güvenlik kapsamlarını yapılandırma

  • Güvenliği yönetmek için koleksiyonları yapılandırma

  • Yeni bir yönetici kullanıcı oluşturma

  • Yönetici kullanıcının yönetim kapsamını değiştirme

Önemli

Kendi yönetim kapsamınız, başka bir yönetici kullanıcı için rol tabanlı yönetimi yapılandırırken atayabileceğiniz nesneleri ve ayarları tanımlar. Rol tabanlı yönetimi planlama hakkında bilgi için bkz. Rol tabanlı yönetimin temelleri.

Hesapları yönetme

Configuration Manager birçok farklı görev ve kullanım için Windows hesaplarını destekler. Farklı görevler için yapılandırılmış hesapları görüntülemek ve Configuration Manager her hesap için kullandığı parolayı yönetmek için aşağıdaki yordamı kullanın:

  1. Configuration Manager konsolunda Yönetim çalışma alanına gidin, Güvenlik'i genişletin ve hesaplar düğümünü seçin.

  2. Hesabın parolasını değiştirmek için listeden hesabı seçin. Ardından şeritte Özellikler'i seçin.

  3. Windows Kullanıcı Hesabı iletişim kutusunu açmak için Ayarla'yı seçin. Bu hesap için kullanılacak Configuration Manager yeni parolasını belirtin.

    Not

    Belirttiğiniz parola, Active Directory'de bu hesabın parolası ile eşleşmelidir.

Daha fazla bilgi için bkz. Configuration Manager kullanılan hesaplar.

Microsoft Entra ID

Ortamınızı basitleştirmek ve buluta etkinleştirmek için Configuration Manager Microsoft Entra kimliğiyle tümleştirin. Sitenin ve istemcilerin Microsoft Entra kimliğini kullanarak kimlik doğrulaması yapmasını etkinleştirin.

Daha fazla bilgi için Bkz. Azure hizmetlerini yapılandırma bölümünde Bulut Yönetimi hizmeti.

SMS Sağlayıcısı kimlik doğrulaması

Yöneticilerin Configuration Manager sitelere erişmesi için en düşük kimlik doğrulama düzeyini belirtebilirsiniz. Bu özellik, yöneticilerin Configuration Manager erişebilmeleri için gerekli düzeyle Windows'ta oturum açmalarını zorunlu kılabilir. Daha fazla bilgi için bkz. SMS Sağlayıcısı kimlik doğrulamasını planlama.

Önemli

Bu yapılandırma hiyerarşi genelinde bir ayardır. Bu ayarı değiştirmeden önce, tüm Configuration Manager yöneticilerinin gerekli kimlik doğrulama düzeyiyle Windows'ta oturum açaadığından emin olun.

Bu ayarı yapılandırmak için aşağıdaki adımları kullanın:

  1. İlk olarak, hedeflenen kimlik doğrulama düzeyiyle Windows'ta oturum açın.

  2. Configuration Manager konsolunda Yönetim çalışma alanına gidin, Site Yapılandırması'nı genişletin ve Siteler düğümünü seçin.

  3. Şeritte Hiyerarşi Ayarları'nı seçin.

  4. Kimlik Doğrulaması sekmesine geçin. İstenen kimlik doğrulama düzeyini ve ardından Tamam'ı seçin.

    • Yalnızca gerektiğinde, belirli kullanıcıları veya grupları dışlamak için Ekle'yi seçin. Daha fazla bilgi için bkz . Dışlamalar.

Dışlamalar

Hiyerarşi Ayarları'nın Kimlik Doğrulaması sekmesinden belirli kullanıcıları veya grupları da dışlayabilirsiniz. Bu seçeneği tedbirli kullanın. Örneğin, belirli kullanıcıların Configuration Manager konsoluna erişmesi gerektiğinde ancak gerekli düzeyde Windows'ta kimlik doğrulaması yapamazsa. Sistem hesabı bağlamında çalışan otomasyon veya hizmetler için de gerekli olabilir.

Sonraki adımlar