Şifreleme denetimleri teknik başvurusu

Uygulama hedefi: Configuration Manager (güncel dalı)

Configuration Manager, Configuration Manager hiyerarşisindeki cihazların yönetimini korumaya yardımcı olmak için imzalama ve şifreleme kullanır. İmzalama ile aktarım sırasında veriler değiştirilmişse atılır. Şifreleme, bir saldırganın ağ protokolü çözümleyicisi kullanarak verileri okumasını önlemeye yardımcı olur.

Configuration Manager imzalama için kullandığı birincil karma algoritması SHA-256'dır. İki Configuration Manager sitesi birbiriyle iletişim kurarken, iletişimlerini SHA-256 ile imzalar.

Sürüm 2107'den başlayarak, Configuration Manager tarafından kullanılan birincil şifreleme algoritması AES-256'dır. Şifreleme esas olarak aşağıdaki iki alanda gerçekleşir:

• Siteyi Şifreleme kullan olarak etkinleştirirseniz istemci, yönetim noktasına gönderdiği envanter verilerini ve durum iletilerini şifreler.

• İstemci gizli dizi ilkelerini indirdiğinde yönetim noktası her zaman bu ilkeleri şifreler. Örneğin, parolalar içeren bir işletim sistemi dağıtımı görev dizisi.

Sürüm 2103 ve önceki sürümlerdeki istemciler için birincil şifreleme algoritması 3DES'tir.

Not

HTTPS iletişimlerini yapılandırdığınızda, bu iletiler iki kez şifrelenir. İleti AES ile şifrelenir, ardından HTTPS aktarımı AES ile şifrelenir.

HTTPS üzerinden istemci iletişimini kullandığınızda, ortak anahtar altyapınızı (PKI) en yüksek karma algoritmaları ve anahtar uzunluklarıyla sertifikaları kullanacak şekilde yapılandırın. CNG v3 sertifikalarını kullanırken, Configuration Manager istemcileri yalnızca RSA şifreleme algoritmasını kullanan sertifikaları destekler. Daha fazla bilgi için bkz. PKI sertifika gereksinimleri ve CNG v3 sertifikalarına genel bakış.

Aktarım güvenliği için TLS kullanan her şey AES'yi destekler. Bu destek, siteyi gelişmiş HTTP veya HTTPS için yapılandırmanızı içerir. Şirket içi site sistemleri için TLS şifreleme paketlerini denetleyebilirsiniz. Bulut yönetimi ağ geçidi (CMG) gibi bulut tabanlı roller için TLS 1.2'yi etkinleştirirseniz Configuration Manager şifre paketlerini yapılandırır.

Configuration Manager, Windows tabanlı işletim sistemleriyle yapılan çoğu şifreleme işlemi için Windows CryptoAPI kitaplığı rsaenh.dll bu algoritmaları kullanır.

Belirli işlevler hakkında daha fazla bilgi için bkz . Site işlemleri.

Site işlemleri

Configuration Manager bilgileri imzalanabilir ve şifrelenebilir. Bu işlemleri PKI sertifikaları ile veya PKI sertifikaları olmadan destekler.

İlke imzalama ve şifreleme

Site, istemci ilkesi atamalarını otomatik olarak imzalanan sertifikasıyla imzalar. Bu davranış, güvenliği aşılmış bir yönetim noktasının üzerinde oynanmış ilkeler göndermesinin güvenlik riskini önlemeye yardımcı olur. İnternet tabanlı istemci yönetimi kullanıyorsanız, bu davranış İnternet'e yönelik bir yönetim noktası gerektirdiği için önemlidir.

İlke 2107 sürümünden başlayarak hassas veriler içerdiğinde, yönetim noktası bunu AES-256 ile şifreler. Sürüm 2103 ve önceki sürümlerde 3DES kullanır. Hassas veriler içeren ilke yalnızca yetkili istemcilere gönderilir. Site, hassas verileri olmayan ilkeyi şifrelemez.

bir istemci ilkeyi depoladığında, windows veri koruma uygulama programlama arabirimini (DPAPI) kullanarak ilkeyi şifreler.

İlke karması

bir istemci ilke istediğinde, önce bir ilke ataması alır. Ardından, hangi ilkelerin uygulanacağını bilir ve yalnızca bu ilke gövdelerini isteyebilir. Her ilke ataması, ilgili ilke gövdesi için hesaplanan karmayı içerir. İstemci, geçerli ilke gövdelerini indirir ve ardından her ilke gövdesi için karmayı hesaplar. İlke gövdesindeki karma ilke atamasında karmayla eşleşmiyorsa, istemci ilke gövdesini atar.

İlke için karma algoritması SHA-256'dır.

İçerik karması

Site sunucusundaki dağıtım yöneticisi hizmeti, tüm paketler için içerik dosyalarını karma olarak ekler. İlke sağlayıcısı, karmayı yazılım dağıtım ilkesine ekler. Configuration Manager istemcisi içeriği indirdiğinde, istemci karmayı yerel olarak yeniden oluşturur ve ilkede sağlananla karşılaştırır. Karmalar eşleşirse içerik değiştirilmez ve istemci bunu yükler. İçeriğin tek bir baytı değiştirilirse karmalar eşleşmez ve istemci yazılımı yüklemez. Bu denetim, gerçek içerik ilkeyle karşılaştırıldığından doğru yazılımın yüklendiğinden emin olmak için yardımcı olur.

İçerik için varsayılan karma algoritması SHA-256'dır.

Tüm cihazlar içerik karmasını destekleyemeyebilir. Özel durumlar şunlardır:

• App-V içeriği akışı yaptıklarında Windows istemcileri.

• Windows Mobile istemcileri, ancak bu istemciler güvenilir bir kaynak tarafından imzalanan bir uygulamanın imzasını doğrular.

Envanter imzalama ve şifreleme

bir istemci bir yönetim noktasına donanım veya yazılım envanteri gönderdiğinde, her zaman envanteri imzalar. İstemcinin yönetim noktasıyla HTTP veya HTTPS üzerinden iletişim kurması önemli değildir. HTTP kullanıyorlarsa, önerilen bu verileri şifrelemeyi de seçebilirsiniz.

Durum geçiş şifrelemesi

Bir görev dizisi işletim sistemi dağıtımı için bir istemciden veri yakaladığında, her zaman verileri şifreler. 2103 ve sonraki sürümlerde, görev dizisi Kullanıcı Durumu Geçiş Aracı'nı (USMT) AES-256 şifreleme algoritmasıyla çalıştırır. Sürüm 2010 ve önceki sürümlerde 3DES kullanır.

Çok noktaya yayın paketleri için şifreleme

Her işletim sistemi dağıtım paketi için, çok noktaya yayın kullanırken şifrelemeyi etkinleştirebilirsiniz. Bu şifreleme AES algoritmasını kullanır. Şifrelemeyi etkinleştirirseniz, başka bir sertifika yapılandırması gerekmez. Çok noktaya yayın özellikli dağıtım noktası, paketi şifrelemek için otomatik olarak simetrik anahtarlar oluşturur. Her paketin farklı bir şifreleme anahtarı vardır. Anahtar, standart Windows API'leri kullanılarak çok noktaya yayın özellikli dağıtım noktasında depolanır.

İstemci çok noktaya yayın oturumuna bağlandığında anahtar değişimi şifrelenmiş bir kanal üzerinden gerçekleşir. İstemci HTTPS kullanıyorsa PKI tarafından verilen istemci kimlik doğrulama sertifikasını kullanır. İstemci HTTP kullanıyorsa, otomatik olarak imzalanan sertifikayı kullanır. İstemci, şifreleme anahtarını yalnızca çok noktaya yayın oturumu sırasında bellekte depolar.

İşletim sistemi dağıtım medyası için şifreleme

İşletim sistemlerini dağıtmak için medya kullandığınızda, medyayı korumak için her zaman bir parola belirtmeniz gerekir. Parolayla, görev dizisi ortam değişkenleri AES-128 ile şifrelenir. Uygulamalar için paketler ve içerik de dahil olmak üzere medyadaki diğer veriler şifrelenmez.

Bulut tabanlı içerik için şifreleme

Bir bulut yönetimi ağ geçidini (CMG) içeriği depolamak için etkinleştirdiğinizde, içerik AES-256 ile şifrelenir. İçerik her güncelleştirdiğinizde şifrelenir. İstemciler içeriği indirdiğinde https bağlantısı tarafından şifrelenir ve korunur.

Yazılım güncelleştirmelerinde oturum açma

Kurcalamaya karşı korunmak için tüm yazılım güncelleştirmelerinin güvenilir bir yayımcı tarafından imzalanması gerekir. İstemci bilgisayarlarda, Windows Update Aracısı (WUA) katalogdaki güncelleştirmeleri tarar. Yerel bilgisayardaki Güvenilir Yayımcılar deposunda dijital sertifikayı bulamıyorsa güncelleştirmeyi yüklemez.

System Center Güncelleştirmeler Publisher ile yazılım güncelleştirmeleri yayımladığınızda, dijital sertifika yazılım güncelleştirmelerini imzalar. Bir PKI sertifikası belirtebilir veya Güncelleştirmeler Publisher'ı yazılım güncelleştirmesini imzalamak üzere otomatik olarak imzalanan bir sertifika oluşturacak şekilde yapılandırabilirsiniz. WSUS Yayımcıları Otomatik olarak imzalanan gibi güncelleştirme kataloğunu yayımlamak için otomatik olarak imzalanan bir sertifika kullanıyorsanız, sertifikanın yerel bilgisayardaki Güvenilen Kök Sertifika Yetkilileri sertifika deposunda da olması gerekir. WUA ayrıca yerel bilgisayarda intranet Microsoft update hizmet konumu grup ilkesinden imzalı içeriğe izin ver ayarının etkinleştirilip etkinleştirilmediğini denetler. WuA'nın System Center Güncelleştirmeler Publisher ile oluşturulan ve yayımlanan güncelleştirmeleri taraması için bu ilke ayarının etkinleştirilmesi gerekir.

Uyumluluk ayarları için imzalı yapılandırma verileri

Yapılandırma verilerini içeri aktardığınızda Configuration Manager dosyanın dijital imzasını doğrular. Dosyalar imzalı değilse veya imza denetimi başarısız olursa konsol, içeri aktarma işlemine devam etmek için sizi uyarır. Yalnızca yayımcıya ve dosyaların bütünlüğüne açıkça güveniyorsanız yapılandırma verilerini içeri aktarın.

İstemci bildirimi için şifreleme ve karma oluşturma

İstemci bildirimi kullanırsanız, tüm iletişimler TLS'yi ve sunucuyla istemcinin anlaşabileceği en yüksek algoritmaları kullanır. Örneğin, desteklenen tüm Windows işletim sistemi sürümleri en az AES-128 şifrelemesi kullanabilir. Sha-2 kullanan istemci bildirimi sırasında aktarılan paketlerin karması için de aynı anlaşma gerçekleşir.

Sertifika

Configuration Manager tarafından kullanılabilecek ortak anahtar altyapısı (PKI) sertifikalarının listesi, özel gereksinimler veya sınırlamalar ve sertifikaların nasıl kullanıldığı için bkz. PKI sertifika gereksinimleri. Bu liste desteklenen karma algoritmaları ve anahtar uzunluklarını içerir. Sertifikaların çoğu SHA-256 ve 2048 bit anahtar uzunluğunu destekler.

Sertifika kullanan çoğu Configuration Manager işlemi v3 sertifikalarını da destekler. Daha fazla bilgi için bkz. CNG v3 sertifikalarına genel bakış.

Not

Configuration Manager kullanan tüm sertifikalar, konu adında veya konu alternatif adında yalnızca tek baytlık karakterler içermelidir.

Configuration Manager aşağıdaki senaryolar için PKI sertifikaları gerektirir:

• İnternet'te Configuration Manager istemcilerini yönettiğiniz zaman

• Mobil cihazlarda Configuration Manager istemcilerini yönettiğiniz zaman

• macOS bilgisayarlarını yönetirken

• Bulut yönetimi ağ geçidi (CMG) kullandığınızda

Kimlik doğrulaması, imzalama veya şifreleme için sertifika gerektiren diğer iletişimlerin çoğu için Configuration Manager varsa otomatik olarak PKI sertifikalarını kullanır. Bu sertifikalar kullanılamıyorsa Configuration Manager otomatik olarak imzalanan sertifikalar oluşturur.

Configuration Manager, Exchange Server bağlayıcısını kullanarak mobil cihazları yönetirken PKI sertifikalarını kullanmaz.

Mobil cihaz yönetimi ve PKI sertifikaları

Mobil cihaz cep telefonu operatörü tarafından kilitlenmemişse, istemci sertifikası istemek ve yüklemek için Configuration Manager kullanabilirsiniz. Bu sertifika, mobil cihazdaki istemci ile Configuration Manager site sistemleri arasında karşılıklı kimlik doğrulaması sağlar. Mobil cihaz kilitliyse, sertifikaları dağıtmak için Configuration Manager kullanamazsınız.

Mobil cihazlar için donanım envanterini etkinleştirirseniz Configuration Manager mobil cihaza yüklenen sertifikaları da envantere kaydeder.

İşletim sistemi dağıtımı ve PKI sertifikaları

İşletim sistemlerini dağıtmak için Configuration Manager kullandığınızda ve bir yönetim noktası HTTPS istemci bağlantıları gerektirdiğinde, istemcinin yönetim noktasıyla iletişim kurmak için bir sertifikaya ihtiyacı vardır. Bu gereksinim, istemci görev dizisi medyasından veya PXE özellikli bir dağıtım noktasından önyükleme gibi bir geçiş aşamasında olduğunda bile gereklidir. Bu senaryoyu desteklemek için bir PKI istemci kimlik doğrulama sertifikası oluşturun ve özel anahtarla dışarı aktarın. Ardından site sunucusu özelliklerine aktarın ve yönetim noktasının güvenilen kök CA sertifikasını ekleyin.

Önyüklenebilir medya oluşturursanız, önyüklenebilir medyayı oluştururken istemci kimlik doğrulama sertifikasını içeri aktarırsınız. Özel anahtarın ve görev dizisinde yapılandırılan diğer hassas verilerin korunmasına yardımcı olmak için önyüklenebilir medyada bir parola yapılandırın. Önyüklenebilir medyadan önyükleme yapılan her bilgisayar, istemci ilkesi isteme gibi istemci işlevleri için gereken yönetim noktasıyla aynı sertifikayı kullanır.

PXE kullanıyorsanız, istemci kimlik doğrulama sertifikasını PXE özellikli dağıtım noktasına aktarın. Bu PXE özellikli dağıtım noktasından önyüklemesi yapılan her istemci için aynı sertifikayı kullanır. Özel anahtarın ve görev dizilerindeki diğer hassas verilerin korunmasına yardımcı olmak için PXE için bir parola gerekir.

Bu istemci kimlik doğrulama sertifikalarından birinin güvenliği aşılırsa, Yönetim çalışma alanı olan Güvenlik düğümündeki Sertifikalar düğümündeki sertifikaları engelleyin. Bu sertifikaları yönetmek için İşletim sistemi dağıtım sertifikasını yönetme iznine sahip olmanız gerekir.

Configuration Manager dağıtıldıktan sonra işletim sistemi istemcisini yükler, istemci https istemci iletişimi için kendi PKI istemci kimlik doğrulama sertifikası gerektirir.

ISV proxy çözümleri ve PKI sertifikaları

Bağımsız Yazılım Satıcıları (ISV) Configuration Manager genişleten uygulamalar oluşturabilir. Örneğin, bir ISV macOS gibi Windows dışı istemci platformlarını desteklemek için uzantılar oluşturabilir. Ancak, site sistemleri HTTPS istemci bağlantıları gerektiriyorsa, bu istemcilerin siteyle iletişim için PKI sertifikalarını da kullanması gerekir. Configuration Manager, ISV proxy istemcileri ile yönetim noktası arasında iletişim sağlayan bir sertifikayı ISV proxy'sine atama özelliğini içerir. ISV proxy sertifikaları gerektiren uzantılar kullanıyorsanız, söz konusu ürünün belgelerine bakın.

ISV sertifikasının güvenliği aşılırsa, Sertifikayı Yönetim çalışma alanı güvenlik düğümündekiSertifikalar düğümünde engelleyin.

ISV proxy sertifikası için GUID'i kopyalama

Sürüm 2111'den başlayarak, bu ISV proxy sertifikalarının yönetimini basitleştirmek için artık GUID'sini Configuration Manager konsoluna kopyalayabilirsiniz.

1. Configuration Manager konsolunda Yönetim çalışma alanına gidin.

2. Güvenlik'i genişletin ve Sertifikalar düğümünü seçin.

3. Sertifika listesini Tür sütununa göre sıralayın.

4. ISV Proxy türünde bir sertifika seçin.

5. Şeritte Sertifika GUID'sini Kopyala'yı seçin.

Bu eylem bu sertifikanın GUID değerini kopyalar, örneğin: aa05bf38-5cd6-43ea-ac61-ab101f943987

Varlık Yönetim Bilgileri ve sertifikalar

Configuration Manager, Varlık Yönetim Bilgileri eşitleme noktasının Microsoft'a bağlanmak için kullandığı bir X.509 sertifikasıyla yüklenir. Configuration Manager bu sertifikayı, Microsoft sertifika hizmetinden bir istemci kimlik doğrulama sertifikası istemek için kullanır. İstemci kimlik doğrulama sertifikası Varlık Yönetim Bilgileri eşitleme noktasına yüklenir ve sunucunun kimliğini Microsoft'ta doğrulamak için kullanılır. Configuration Manager, Varlık Yönetim Bilgileri kataloğunu indirmek ve yazılım başlıklarını karşıya yüklemek için istemci kimlik doğrulama sertifikasını kullanır.

Bu sertifikanın anahtar uzunluğu 1024 bittir.

Azure hizmetleri ve sertifikaları

Bulut yönetimi ağ geçidi (CMG), sunucu kimlik doğrulama sertifikaları gerektirir. Bu sertifikalar, hizmetin istemcilere İnternet üzerinden HTTPS iletişimi sağlamasına olanak tanır. Daha fazla bilgi için bkz. CMG sunucusu kimlik doğrulama sertifikası.

İstemciler, bir CMG ve şirket içi yönetim noktasıyla iletişim kurmak için başka bir kimlik doğrulaması türü gerektirir. Microsoft Entra kimliği, PKI sertifikası veya site belirteci kullanabilirler. Daha fazla bilgi için bkz. Bulut yönetimi ağ geçidi için istemci kimlik doğrulamasını yapılandırma.

İstemcilerin bulut tabanlı depolamayı kullanabilmesi için istemci PKI sertifikası gerekmez. Yönetim noktasında kimlik doğrulaması yaptıktan sonra yönetim noktası istemciye bir Configuration Manager erişim belirteci oluşturur. İstemci, içeriğe erişmek için bu belirteci CMG'ye sunar. Belirteç sekiz saat geçerlidir.

PKI sertifikaları için CRL denetimi

PKI sertifika iptal listesi (CRL) genel güvenliği artırır, ancak bazı yönetim ve işlem ek yükü gerektirir. CRL denetimini etkinleştirirseniz ancak istemciler CRL'ye erişemezse PKI bağlantısı başarısız olur.

IIS varsayılan olarak CRL denetimini etkinleştirir. PKI dağıtımınızla crl kullanıyorsanız, IIS çalıştıran çoğu site sistemini yapılandırmanız gerekmez. Özel durum, yazılım güncelleştirme dosyalarındaki imzaları doğrulamak için CRL denetimini etkinleştirmek için el ile bir adım gerektiren yazılım güncelleştirmeleri içindir.

İstemci HTTPS kullandığında, varsayılan olarak CRL denetimini etkinleştirir. macOS istemcileri için CRL denetimini devre dışı bırakamazsınız.

Aşağıdaki bağlantılar Configuration Manager CRL denetimini desteklemez:

• Sunucudan sunucuya bağlantılar

• Configuration Manager tarafından kaydedilen mobil cihazlar.

Sunucu iletişimi

Configuration Manager, sunucu iletişimi için aşağıdaki şifreleme denetimlerini kullanır.

Site içinde sunucu iletişimi

Her site sistem sunucusu, aynı Configuration Manager sitedeki diğer site sistemlerine veri aktarmak için bir sertifika kullanır. Bazı site sistemi rolleri kimlik doğrulaması için sertifikalar da kullanır. Örneğin, kayıt proxy noktasını bir sunucuya ve kayıt noktasını başka bir sunucuya yüklerseniz, bu kimlik sertifikasını kullanarak birbirleri için kimlik doğrulaması yapabilir.

Configuration Manager bu iletişim için bir sertifika kullandığında, sunucu kimlik doğrulama özelliğine sahip bir PKI sertifikası varsa, Configuration Manager bunu otomatik olarak kullanır. Aksi takdirde, Configuration Manager otomatik olarak imzalanan bir sertifika oluşturur. Bu otomatik olarak imzalanan sertifikanın sunucu kimlik doğrulama özelliği vardır, SHA-256 kullanır ve 2048 bit anahtar uzunluğuna sahiptir. Configuration Manager sertifikayı, site sistemine güvenmesi gerekebilecek diğer site sistemi sunucularında Güvenilen Kişiler deposuna kopyalar. Site sistemleri daha sonra bu sertifikaları ve PeerTrust'ı kullanarak birbirine güvenebilir.

Her site sistem sunucusu için bu sertifikaya ek olarak, Configuration Manager çoğu site sistemi rolü için otomatik olarak imzalanan bir sertifika oluşturur. Aynı sitede site sistemi rolünün birden fazla örneği olduğunda, aynı sertifikayı paylaşırlar. Örneğin, aynı sitede birden çok yönetim noktanız olabilir. Otomatik olarak imzalanan bu sertifika SHA-256 kullanır ve 2048 bit anahtar uzunluğuna sahiptir. Güvenmesi gerekebilecek site sistemi sunucularında Güvenilen Kişiler Deposu'na kopyalanır. Aşağıdaki site sistemi rolleri bu sertifikayı oluşturur:

• Varlık Yönetim Bilgileri eşitleme noktası

• Sertifika kayıt noktası

• Endpoint Protection noktası

• Kayıt noktası

• Geri dönüş durum noktası

• Yönetim noktası

• Çok noktaya yayın özellikli dağıtım noktası

• Raporlama hizmetleri noktası

• Yazılım güncelleştirme noktası

• Durum geçiş noktası

Configuration Manager bu sertifikaları otomatik olarak oluşturur ve yönetir.

Dağıtım noktasından yönetim noktasına durum iletileri göndermek için Configuration Manager bir istemci kimlik doğrulama sertifikası kullanır. HTTPS için yönetim noktasını yapılandırdığınızda bir PKI sertifikası gerekir. Yönetim noktası HTTP bağlantılarını kabul ederse PKI sertifikası kullanabilirsiniz. Ayrıca istemci kimlik doğrulama özelliğine sahip otomatik olarak imzalanan bir sertifika kullanabilir, SHA-256 kullanır ve 2048 bit anahtar uzunluğuna sahiptir.

Siteler arasındaki sunucu iletişimi

Configuration Manager veritabanı çoğaltma ve dosya tabanlı çoğaltma kullanarak siteler arasında veri aktarır. Daha fazla bilgi için bkz. Siteler arasında veri aktarımları ve Uç noktalar arasındaki iletişimler.

Configuration Manager siteler arasındaki veritabanı çoğaltmasını otomatik olarak yapılandırıyor. Varsa, sunucu kimlik doğrulama özelliğine sahip PKI sertifikalarını kullanır. Kullanılamıyorsa, Configuration Manager sunucu kimlik doğrulaması için otomatik olarak imzalanan sertifikalar oluşturur. Her iki durumda da, PeerTrust kullanan Güvenilen Kişiler deposundaki sertifikaları kullanarak siteler arasında kimlik doğrulaması yapar. Siteden siteye çoğaltmaya yalnızca Configuration Manager hiyerarşisi SQL Sunucularının katılmış olduğundan emin olmak için bu sertifika deposunu kullanır.

Site sunucuları, otomatik olarak gerçekleşen güvenli bir anahtar değişimi kullanarak siteden siteye iletişim kurar. Gönderen site sunucusu bir karma oluşturur ve özel anahtarıyla imzalar. Alan site sunucusu ortak anahtarı kullanarak imzayı denetler ve karmayı yerel olarak oluşturulan bir değerle karşılaştırır. Eşleşirse, alıcı site çoğaltılan verileri kabul eder. Değerler eşleşmiyorsa Configuration Manager çoğaltma verilerini reddeder.

Configuration Manager'deki veritabanı çoğaltması, siteler arasında veri aktarmak için SQL Server Hizmet Aracısı'nı kullanır. Aşağıdaki mekanizmaları kullanır:

• SQL Server SQL Server: Bu bağlantı, AES algoritmasıyla verileri imzalamak ve şifrelemek için sunucu kimlik doğrulaması için Windows kimlik bilgilerini ve 1024 bit ile otomatik olarak imzalanan sertifikaları kullanır. Varsa, sunucu kimlik doğrulama özelliğine sahip PKI sertifikalarını kullanır. Yalnızca bilgisayarın Kişisel sertifika deposundaki sertifikaları kullanır.

• SQL Hizmet Aracısı: Bu hizmet, kimlik doğrulaması ve AES algoritmasıyla verileri imzalamak ve şifrelemek için 2048 bit ile otomatik olarak imzalanan sertifikalar kullanır. Yalnızca SQL Server ana veritabanındaki sertifikaları kullanır.

Dosya tabanlı çoğaltma, sunucu ileti bloğu (SMB) protokollerini kullanır. Şifrelenmemiş ve hassas veri içermeyen verileri imzalamak için SHA-256 kullanır. Bu verileri şifrelemek için, Configuration Manager bağımsız olarak uyguladığınız IPsec'i kullanın.

HTTPS kullanan istemciler

Site sistemi rolleri istemci bağlantılarını kabul ettiğinde, bunları HTTPS ve HTTP bağlantılarını veya yalnızca HTTPS bağlantılarını kabul etmek üzere yapılandırabilirsiniz. İnternet'ten gelen bağlantıları kabul eden site sistemi rolleri yalnızca HTTPS üzerinden istemci bağlantılarını kabul eder.

HTTPS üzerinden istemci bağlantıları, istemciden sunucuya iletişimi korumaya yardımcı olmak için ortak anahtar altyapısı (PKI) ile tümleştirilerek daha yüksek bir güvenlik düzeyi sunar. Ancak PKI planlama, dağıtım ve işlemleri hakkında ayrıntılı bilgi edinmeden HTTPS istemci bağlantılarını yapılandırmak sizi savunmasız bırakabilir. Örneğin, kök sertifika yetkilinizin (CA) güvenliğini sağlamazsanız saldırganlar tüm PKI altyapınızın güvenini tehlikeye atabilir. PKI sertifikalarının denetimli ve güvenli işlemler kullanılarak dağıtılamaması ve yönetilememesi, kritik yazılım güncelleştirmelerini veya paketlerini alamayan yönetilmeyen istemcilere neden olabilir.

Önemli

Configuration Manager istemci iletişimi için kullanılan PKI sertifikaları, yalnızca istemci ile bazı site sistemleri arasındaki iletişimi korur. Site sunucusu ile site sistemleri arasındaki veya site sunucuları arasındaki iletişim kanalını korumaz.

İstemciler HTTPS kullandığında şifrelenmemiş iletişim

İstemciler HTTPS üzerinden site sistemleriyle iletişim kurarken trafiğin çoğu şifrelenir. Aşağıdaki durumlarda, istemciler şifreleme kullanmadan site sistemleriyle iletişim kurar:

• İstemci intranette HTTPS bağlantısı yapamaz ve site sistemleri bu yapılandırmaya izin verince HTTP kullanmaya geri döner.

• Aşağıdaki site sistemi rolleriyle iletişim:

  • İstemci geri dönüş durum noktasına durum iletileri gönderir.

  • İstemci PXE isteklerini PXE özellikli bir dağıtım noktasına gönderir.

  • İstemci bir yönetim noktasına bildirim verileri gönderir.

Raporlama hizmetleri noktalarını, istemci iletişim modundan bağımsız olarak HTTP veya HTTPS kullanacak şekilde yapılandırabilirsiniz.

HTTP kullanan istemciler

İstemciler site sistemi rolleriyle HTTP iletişimi kullandığında, istemci kimlik doğrulaması için PKI sertifikalarını veya Configuration Manager oluşturan otomatik olarak imzalanan sertifikaları kullanabilir. Configuration Manager otomatik olarak imzalanan sertifikalar oluşturduğunda, imzalama ve şifreleme için özel bir nesne tanımlayıcısı vardır. Bu sertifikalar istemciyi benzersiz olarak tanımlamak için kullanılır. Bu otomatik olarak imzalanan sertifikalar SHA-256 kullanır ve 2048 bit anahtar uzunluğuna sahiptir.

İşletim sistemi dağıtımı ve otomatik olarak imzalanan sertifikalar

otomatik olarak imzalanan sertifikalara sahip işletim sistemlerini dağıtmak için Configuration Manager kullandığınızda, istemcinin yönetim noktasıyla iletişim kuracak bir sertifikası da olmalıdır. Bu gereksinim, bilgisayar görev dizisi medyasından veya PXE özellikli bir dağıtım noktasından önyükleme gibi bir geçiş aşamasında olsa bile gereklidir. HTTP istemci bağlantıları için bu senaryoya destek olmak için, Configuration Manager imzalama ve şifreleme için özel bir nesne tanımlayıcısı olan otomatik olarak imzalanan sertifikalar oluşturur. Bu sertifikalar istemciyi benzersiz olarak tanımlamak için kullanılır. Bu otomatik olarak imzalanan sertifikalar SHA-256 kullanır ve 2048 bit anahtar uzunluğuna sahiptir. Otomatik olarak imzalanan bu sertifikaların güvenliği aşılırsa, saldırganların güvenilen istemcilerin kimliğine bürünmek için bunları kullanmasını engelleyin. Yönetim çalışma alanı olan Güvenlik düğümündeki Sertifikalar düğümündeki sertifikaları engelleyin.

İstemci ve sunucu kimlik doğrulaması

İstemciler HTTP üzerinden bağlandığında, Active Directory Domain Services veya Configuration Manager güvenilen kök anahtarını kullanarak yönetim noktalarının kimliğini doğrularlar. İstemciler, durum geçiş noktaları veya yazılım güncelleştirme noktaları gibi diğer site sistemi rollerinin kimliğini doğrulamaz.

Bir yönetim noktası otomatik olarak imzalanan istemci sertifikasını kullanarak bir istemcinin kimliğini ilk kez doğruladığında, herhangi bir bilgisayar otomatik olarak imzalanan bir sertifika oluşturabileceğinden bu mekanizma en az güvenlik sağlar. Bu işlemi geliştirmek için istemci onayını kullanın. Güvenilen bilgisayarları yalnızca Configuration Manager tarafından otomatik olarak veya yönetici kullanıcı tarafından el ile onaylayın. Daha fazla bilgi için bkz. İstemcileri yönetme.

SSL güvenlik açıkları hakkında

Configuration Manager istemcilerinizin ve sunucularınızın güvenliğini artırmak için aşağıdaki eylemleri gerçekleştirin:

• TÜM cihazlarda ve hizmetlerde TLS 1.2'yi etkinleştirin. Configuration Manager için TLS 1.2'yi etkinleştirmek için bkz. Configuration Manager için TLS 1.2'yi etkinleştirme.

• SSL 3.0, TLS 1.0 ve TLS 1.1'i devre dışı bırakın.

• TLS ile ilgili şifre paketlerini yeniden sırala.

Daha fazla bilgi için aşağıdaki makalelere bakın:

• Schannel.dll'de belirli şifreleme algoritmalarının ve protokollerinin kullanımını kısıtlayın
• Schannel şifreleme paketlerinin önceliklerini belirleme

Bu yordamlar Configuration Manager işlevselliği etkilemez.

Not

Şifreleme paketi gereksinimleri olan Azure içerik teslim ağından (CDN) Configuration Manager indirmeye Güncelleştirmeler. Daha fazla bilgi için bkz. Azure Front Door: TLS yapılandırması hakkında SSS..