Aracılığıyla paylaş


Configuration Manager'da İçerik Yönetimi İçin Güvenlik ve Gizlilik

 

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

İçerik Yönetimi için Önerilen Güvenlik Uygulamaları

İçerik yönetimi için aşağıdaki önerilen güvenlik uygulamalarını kullanın:

En iyi güvenlik yöntemi

Daha fazla bilgi

İntranetteki dağıtım noktaları için HTTPS ve HTTP kullanmanın avantajlarını ve dezavantajlarını değerlendirin

Dağıtım noktalarında HTTPS ve HTTP kullanımı arasındaki farklılıklar:

  • Dağıtım noktası için HTTPS kullandığınızda Configuration Manager, içeriğe erişim yetkisi vermek için paket erişim hesapları kullanmaz; bunun yerine içerik, ağ üzerinden aktarıldığında şifrelenir.

  • Dağıtım noktası için HTTP kullandığınızda ise yetkilendirme için paket erişim hesaplarını kullanabilirsiniz, ancak içerik, ağ üzerinden aktarıldığında şifrelenmez.

Çoğu senaryoda, yetkilendirme için HTTP ve paket erişim hesaplarının kullanımı, şifreli olan ancak yetkilendirme özelliği bulunmayan HTTPS'nin kullanımına kıyasla daha fazla güvenlik sağlar. Bununla birlikte, içeriğinizde aktarım sırasında şifrelemek istediğiniz gizli veriler varsa HTTPS kullanın.

Dağıtım noktası için otomatik olarak imzalanan bir sertifika yerine PKI istemci kimlik doğrulama sertifikası kullanıyorsanız, sertifika dosyasını (.pfx) güçlü bir parola ile koruyun. Dosyayı ağda saklıyorsanız, dosyayı Configuration Manager'a aktarırken ağ kanalını güvenli hale getirin.

Dağıtım noktasının yönetim noktaları ile iletişim kurması için kullanılan istemci kimlik doğrulama sertifikasını içe aktarmak üzere bir parolaya ihtiyaç duyduğunuzda, bu önlem sertifikanın bir saldırıdan korunmasına yardımcı olur.

Saldırganların sertifika dosyasını izinsiz şekilde değiştirmesini engellemek için ağ konumu ile site sunucusu arasında SMB imzası veya IPsec kullanın.

Dağıtım noktası rolünü site sunucusundan kaldırın.

Varsayılan olarak, bir dağıtım noktası, site sunucusu ile aynı sunucuya yüklenir. İstemciler doğrudan site sunucusuyla iletişim kurmak zorunda değildir; bu nedenle saldırı kapsamını kısıtlamak için dağıtım noktası rolünü site sunucusundan kaldırıp diğer site sistemlerine atayın.

İçeriği paket erişim seviyesinde güvenli hale getirin.

Not

Bu durum, paket erişim hesaplarını desteklemeyen, Configuration Manager SP1'deki bulut tabanlı dağıtım noktaları için geçerli değildir.

Dağıtım noktası paylaşımı tüm kullanıcılara Okuma erişimi sağlar. İçeriğe erişebilen kullanıcıları sınırlandırmak amacıyla, dağıtım noktası HTTP için yapılandırıldığında paket erişim hesaplarını kullanın.

Paket Erişim Hesabı hakkında daha fazla bilgi için Configuration Manager'da İçerik Yönetimiyle İlgili İşlemler ve Bakım konusunun Paket İçeriğine Erişmek üzere Hesapları Yönet bölümüne bakın

Dağıtım noktası site sistem rolü eklediğinizde Configuration Manager IIS'i yüklerse, dağıtım noktası yüklemesi tamamlandıktan sonra HTTP Yönlendirme ile IIS Yönetimi Kodları ve Araçları'nı kaldırın

Dağıtım noktası, HTTP Yönlendirme ile IIS Yönetim Kodları ve Araçları uygulamalarına ihtiyaç duymaz. Saldırı kapsamını kısıtlamak amacıyla web sunucusu (IIS) rolü için bu rol hizmetlerini kaldırın.

Dağıtım noktaları için kullanılan web sunucusu (IIS) rolüyle ilgili rol hizmetleri hakkında daha fazla bilgi için konusunun bölümüne bakın.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReqNo text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.

Paketi oluştururken paket erişim izinlerini ayarlayın

Paket dosyalarındaki erişim hesaplarında yaptığınız değişiklikler, paketi yeniden dağıttığınızda geçerli olacağından paketi ilk oluşturduğunuzda paket erişim izinlerini dikkatle ayarlayın. Bu durum özellikle aşağıdaki senaryolar için önemlidir:

  • Paket büyükse.

  • Paketi birçok dağıtım noktasına dağıtıyorsanız.

  • Ağ genişliği kapasitesi içerik dağıtımı için sınırlıysa.

Önceden hazırlanan içerik içeren medyayı korumak için erişim kontrollerini uygulayın

Önceden hazırlanan içerik sıkıştırılır fakat şifrelenmez. Bu durumda, aygıtlara indirilen dosyalar saldırganlar tarafından okunabilir ve değiştirilebilir.Configuration Manager istemcileri değiştirilmiş içeriği reddeder, ancak yine de içeriği indirir.

Önceden hazırlanan içeriği içe aktarmak için yalnızca Configuration Manager ile sunulan ExtractContent komut satırı aracını (ExtractContent.exe) kullanın ve bunun Microsoft tarafından imzalandığından emin olun

Onaysız değişiklik yapılmasından ve ayrıcalıkların yükseltilmesinden kaçınmak için yalnızca Configuration Manager ile sunulan onaylı komut satırı aracını kullanın.

Site sunucusu ve paket kaynak konumu arasındaki iletişim kanalını güvenli hale getirin

Uygulamaları ve paketleri oluştururken site sunucusu ve paket kaynak konumu arasında IPsec veya SMB imzası kullanın. Bu, saldırganların kaynak dosyalar üzerinde değişiklik yapmalarını engellemenize yardımcı olur.

Site yapılandırma seçeneğini herhangi bir dağıtım noktası rolü yüklendikten sonra varsayılan web sitesi yerine özel bir web sitesi kullanılacak şekilde değiştirirseniz varsayılan sanal dizinleri kaldırın

Varsayılan web sitesi yerine özel bir web sitesi kullanmayı seçtiğinizde Configuration Manager, eski sanal dizinleri kaldırmaz.Configuration Manager'in başlangıçta varsayılan web sitesi altında oluşturduğu sanal dizinleri kaldırın:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Configuration Manager SP1 ile başlayan kullanılabilir bulut tabanlı dağıtım noktaları için: Abonelik detaylarınızı ve sertifikalarınızı koruyun

Bulut tabanlı dağıtım noktaları kullandığınızda aşağıdaki yüksek değerdeki öğelerinizi koruyun:

  • Windows Azure aboneliğiniz için kullanıcı adı ve parolanız.

  • Windows Azure yönetim sertifikası.

  • Bulut tabanlı dağıtım noktası hizmet sertifikası.

Sertifikaları güvenli bir biçimde saklayın ve bulut tabanlı dağıtım noktasını yapılandırdığınızda bu sertifikalara ağ üzerinde göz atarsanız, site sistem sunucusu ve kaynak konumu arasında IPsec veya SMB imzası kullanın.

Configuration Manager SP1 ile başlayan kullanılabilir bulut tabanlı dağıtım noktaları için: Hizmetin sürekliliği için sertifikaların bitiş tarihlerini takip edin

Configuration Manager bulut tabanlı dağıtım noktası hizmetinin yönetimi için içe aktarılan sertifikaların süresi dolmak üzereyken sizi uyarmaz. Bitiş tarihlerini Configuration Manager'dan bağımsız olarak izlemelisiniz ve bitiş tarihinden önce sertifikayı yenileyip yeni sertifikayı içe aktardığınızdan emin olmalısınız. Bu durum, yenilenmiş bir sertifika edinmeniz ek zaman alacağından, özellikle bir dış sertifika yetkilisinden (CA) bulut tabanlı bir Configuration Manager dağıtım noktası hizmet sertifikası satın aldığınız durumlarda önemlidir.

Not

Sertifikalardan birinin süresi dolarsa Cloud Services Manager, 9425 numaralı durum iletisini oluşturur ve CloudMgr.log dosyası sertifikanın is in expired state durumda olduğunu belirten, UTC saat diliminde kaydedilmiş bitiş tarihini de gösteren bir giriş içerir.

İçerik Yönetimi için Güvenlik Sorunları

İçerik yönetiminde aşağıdaki güvenlik sorunları vardır:

  • İstemciler, indirilene kadar içeriği doğrulamaz

    Configuration Manager istemcileri içerikteki karma veriyi ancak istemci önbelleklerine indirildikten sonra doğrular. Bir saldırgan, indirilecek dosyaların listesini veya içeriğin kendisini izinsiz olarak değiştirirse, istemcinin içeriği indirme işlemi ve daha sonra geçersiz karma veriyle karşılaşıldığında içeriğin silinmesi oldukça fazla ağ bant genişliği tüketebilir.

  • Erişimi, bulut tabanlı dağıtım noktaları tarafından kullanıcılara veya gruplara sunulan içerikle sınırlandıramazsınız

    Configuration Manager SP1'den itibaren, bulut tabanlı dağıtım noktaları kullandığınızda içeriğe erişim otomatik olarak kuruluşunuzla sınırlandırılır ve bu erişimi, seçilen kullanıcılarla veya gruplarla daha fazla sınırlandıramazsınız.

  • Engellenen istemci, bulut tabanlı bir dağıtım noktasından 8 saate kadar içerik indirmeye devam edebilir

    Configuration Manager SP1'den itibaren, bulut tabanlı dağıtım noktaları kullandığınızda istemcilerin kimliği yönetim noktası tarafından doğrulanır; sonrasında bulut tabanlı dağıtım noktalarına erişim için bir Configuration Manager belirteci kullanın. Belirteç 8 saatliğine geçerli olur; bu yüzden artık güvenilir olmadığı için bir istemciyi engellediğinizde bu belirtecin geçerlilik süresi sona erene kadar istemci içeriği bulut tabanlı bir dağıtım noktasından indirmeye devam edebilir. Bu durumda yönetim noktası, istemci engellenmiş olduğundan istemci için başka bir belirteç yayınlamayacaktır.

    Bu 8 saatlik pencerede engellenmiş bir istemcinin içerik indirmesini önlemek için Configuration Manager konsolundaki Yönetim çalışma alanında bulunan Bulut düğümü, Hiyerarşi Yapılandırması seçeneğinden bulut hizmetini durdurabilirsiniz. Daha fazla bilgi için, bkz. Configuration Manager Bulut Hizmetlerini Yönetme.

İçerik Yönetimi için Gizlilik Bilgileri

Configuration Manager bir yönetici kullanıcı aksini yapmayı seçebilse bile içerik dosyalarına kullanıcı verilerini dahil etmez.

İçerik yönetimini yapılandırmadan önce gizlilik gereksinimlerinizi gözden geçirin.