Aracılığıyla paylaş

  • Makale

Configuration Manager'da Güvenlik Planlaması

 

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Not

Bu konu şunları içerir:System Center 2012 Configuration Manager için Site Yönetimi kılavuzu ve System Center 2012 Configuration Manager için Güvenlik ve Gizlilik kılavuzunda.

Microsoft System Center 2012 Configuration Manager içinde güvenlik planlaması yapmanıza yardımcı olması için aşağıdaki bilgileri kullanın.

  • Sertifikalar için Planlama Yapma (Otomatik İmzalı ve PKI)

    • PKI Sertifika İptali için Planlama Yapma

    • PKI Güvenilir Kök Sertifikaları ve Sertifika Verenler Listesi için Planlama Yapma

    • PKI İstemci Sertifika Seçimi için Planlama Yapma

    • PKI Sertifikaları için bir Geçiş Stratejisi Planlama ve İnternet Tabanlı İstemci Yönetimi

  • Güvenilir Kök Anahtar için Planlama

  • İmzalama ve Şifreleme için Planlama Yapma

  • Rol Tabanlı Yönetim için Planlama Yapma

Bu bölümlere ek olarak bkz. Configuration Manager'daki Site Yönetimi için Güvenlik ve Gizlilik.

Configuration Manager konsolunun sertifikaları ve şifreleme denetimlerini nasıl kullandığı hakkında ek bilgi için, bkz. Configuration Manager'da Kullanılan Şifreleme Denetimleri İçin Teknik Başvuru.

Sertifikalar için Planlama Yapma (Otomatik İmzalı ve PKI)

Configuration Manager, otomatik imzalı sertifikalar ile ortak anahtar altyapısı (PKI) sertifikalarının bir birleşimini kullanır.

Güvenlik en iyi uygulaması olarak mümkün olduğunda PKI sertifikalarını kullanın. PKI sertifikası gereksinimleri hakkında daha fazla bilgi edinmek için Configuration Manager İçin PKI Sertifikası Gereksinimleri konusuna bakın.Configuration Manager, mobil aygıtlar ve AMT sağlama için kayıt sırasında olduğu gibi, PKI sertifikalarını istediğinde, Active Directory Etki Alanı Hizmetlerini ve bir kuruluş sertifika yetkilisini kullanmalısınız. Tüm diğer PKI sertifikalarını Configuration Manager konsolundan bağımsız olarak dağıtmalı ve yönetmelisiniz.

PKI sertifikaları aynı zamanda istemci bilgisayarlar İnternet tabanlı site sistemlerine bağlandıklarında da gereklidir ve istemcilerin Internet Information Services (IIS) çalıştıran site sistemlerine bağlandıklarında bunların kullanılması önerilir. İstemci iletişimi hakkında daha fazla bilgi almak için, bkz. Configuration Manager'da İstemci İletişimi İçin Plan Yapma.

Bir PKI kullandığınızda, aynı zamanda bir sitedeki site sistemleri ile siteler arasındaki site sistemleri arasında sunucudan sunucuya iletişimi güvence altına almaya ve bilgisayarlar arasında veri aktarımı yaptığınız tüm diğer senaryolarda IPsec kullanabilirsiniz. IPsec uygulamasını, Configuration Manager konsolundan bağımsız olarak yapılandırmalı ve uygulamalısınız.

Configuration Manager, PKI sertifikaları kullanılabilir olmadığında otomatik imzalı sertifikaları otomatik olarak oluşturabilir ve Configuration Manager uygulamasındaki bazı sertifikalar her zaman otomatik imzalıdır. Çoğu durumda Configuration Manager uygulaması otomatik imzalı sertifikaları otomatik olarak yönetir, ek eylemde bulunmanız gerekmez. Olası istisnalardan biri, site sunucusu imzalama sertifikasıdır. Site sunucusu imzalama sertifikası her zaman otomatik imzalıdır ve istemcilerin yönetim noktasından indirdiği istemci ilkelerinin site sunucusundan gönderilmesini ve kurcalanmamış olmasını sağlar.

Site Sunucusu İmzalama Sertifikası (Otomatik İmzalı) için Planlama Yapma

İstemciler site sunucusu imzalama sertifikasının bir kopyasını Active Directory Etki Alanı Hizmetlerinden ve istemci anında yüklemesinden güvenli şekilde alabilirler. İstemciler bu düzeneklerden birini kullanarak site sunucusu imzalama sertifikasının bir kopyasını alamazlarsa, en iyi güvenlik uygulaması olarak site sunucusu imzalama sertifikasının bir kopyasını istemciyi yüklerken yükleyin. İstemcinin siteyle ilk iletişimi İnternet üzerinden olacaksa, bu özellikle önemlidir çünkü yönetim noktası güvenilmeyen bir ağa bağlıdır ve dolayısıyla saldırıya açıktır. Bu ek tedbiri almazsanız, istemciler site sunucusu imzalama sertifikasının bir kopyasını yönetim noktasından otomatik olarak indirirler.

İstemcilerin site sunucusu sertifikasının bir kopyasını güvenli şekilde edinemediği durumlara ait senaryolar aşağıdakileri içerir:

  • İstemci anında yüklemesini kullanarak istemciyi yükleyemezsiniz ve aşağıdaki koşullardan herhangi biri geçerlidir:

    • Active Directory şeması Configuration Manager için genişletilmemiş.

    • İstemcinin sitesi, Active Directory Etki Alanı Hizmetleri'ne yayımlanmamış.

    • İstemci, güvenilmeyen bir orman veya çalışma grubundan.

  • İstemciyi İnternetteyken yüklediniz.

Site sunucusu imzalama sertifikasının bir kopyasıyla birlikte istemcileri yüklemek için aşağıdaki yordamı kullanın.

İstemcileri site sunucusu imzalama sertifikasının bir kopyasıyla yüklemek için

  1. Site sunucusu imzala sertifikasını istemcinin birincil site sunucusunda bulun. Sertifika SMS sertifikası deposunda depolanır ve Konu adı Site Sunucusu ve kolay adı Site Sunucusu İmzalama Sertifikası olur.

  2. Özel anahtar olmadan sertifikayı dışa verin, dosyayı güvenli bir şekilde saklayın ve yalnızca güvenli bir kanaldan (örneğin, SMB imzalaması veya IPsec kullanarak) erişin.

  3. İstemciyi, CCMSetup.exe ile Client.msi özelliği olarak SMSSIGNCERT= <Tam yol ve dosya adı> kullanarak yükleyin.

PKI Sertifika İptali için Planlama Yapma

PKI sertifikalarını Configuration Manager ile birlikte kullandığınızda, istemcilerin ve sunucuların bağlanılan bilgisayarda sertifikayı doğrulamak için bir sertifika iptal listesi (CRL) kullanıp kullanmayacaklarını ve nasıl kullanacaklarını planlayın. Sertifika iptal listesi (CRL), bir sertifika yetkilisi (CA) tarafından oluşturulup imzalanan ve verdiği ancak iptal edilen sertifikaların listesini içeren bir dosyadır. Örneğin verilen bir sertifikanın riske girdiği biliniyor veya bundan şüpheleniliyorsa, sertifikalar bir sertifika yetkilisi yöneticisi tarafından iptal edilebilir.

System_CAPS_importantÖnemli

CRL'nin konumu bir sertifika yetkilisi tarafından verildiğinde sertifikaya eklendiğinden, Configuration Manager konsolunun kullanacağı herhangi bir PKI sertifikasını dağıtmadan önce CRL için planlama yaptığınızdan emin olun.

Varsayılan olarak IIS her zaman istemci sertifikaları açısından CRL'yi kontrol eder ve bu yapılandırmayı Configuration Manager uygulamasında değiştiremezsiniz. Varsayılan olarak Configuration Manager istemcileri site sistemleri açısından CRL'yi her zaman kontrol ederler ancak bir site özelliği belirleyip, bir CCMSetup özelliği belirleyerek bu ayarı devre dışı bırakabilirsiniz. Intel AMT tabanlı bilgisayarları bant dışı yönettiğinizde, aynı zamanda bant dışı hizmet noktası ve Bant Dışı Yönetim konsolunu çalıştıran bilgisayarlar için CRL kontrolünü etkinleştirebilirsiniz.

Bilgisayarlar sertifika iptal etme kontrolünü kullanır ancak CRL'nin yerini bulamazlarsa, listede yok oldukları doğrulanamadığından, sertifika zincirindeki tüm sertifikalar iptal edilmiş gibi davranırlar. Bu senaryoda sertifika gerektiren ve bir CRL kullanan tüm bağlantılar başarısız olur.

Bir sertifikanın kullanıldığı her sefer CRL'nin kontrol edilmesi, iptal edilmiş bir sertifikaya karşı daha fazla güvenlik sunar ancak bir bağlantı gecikmesine ve istemcide ek işlem yapılmasına neden olur. İstemciler İnternet'te veya güvenilmeyen bir ağda bulunduklarında, bu ek güvenlik kontrolünün muhtemelen gerekli olacaktır.

Configuration Manager istemcilerinin CRL'yi kontrol etmesinin zorunlu olup olmaması konusunda karar vermeden önce PKI yöneticinize danışın, ardından aşağıdaki koşulların her ikisi de geçerli olduğunda Configuration Manager konsolunda bu seçeneği etkin halde tutmayı düşünün:

  • PKI altyapınız bir CRL'yi destekler ve bu, tüm Configuration Manager istemcilerinin bulabilecekleri bir yerde yayınlanır. İnternet tabanlı istemci yönetimi kullanıyorsanız ve istemciler güvenilmez ormanlardaysa, bunun İnternet üzerinden istemcileri içerebileceğini unutmayın.

  • Bir PKI sertifikasını kullanmak üzere yapılandırılmış bir site sistemine yapılan her bağlantı için CRL'yi kontrol etme gereksinimi, istemcide daha hızlı bağlantılar kurma ve verimli işlem yapma gereksiniminden daha olduğu kadar, istemcilerin CRL'yi bulamadıklarında sunuculara bağlanamama riskinden de daha büyük bir gereksinimdir.

PKI Güvenilir Kök Sertifikaları ve Sertifika Verenler Listesi için Planlama Yapma

IIS site sistemleriniz HTTP üzerinden istemci kimlik doğrulaması için veya HTTPS üzerinden istemci kimlik doğrulaması ve şifreleme için PKI istemci sertifikalarını kullanıyorsa, kök sertifika yetkilisi sertifikalarını site özelliği olarak içe almanız gerekir. İki senaryo aşağıdaki gibidir:

  • İşletim sistemlerini Configuration Manager konsolunu kullanarak dağıtırsınız ve yönetim noktaları yalnızca HTTPS istemci bağlantılarını kabul ederler.

  • Yönetim noktaları tarafından güvenilen bir kök sertifika yetkilisi (CA) sertifikasına zincir şeklinde bağlanmayan PKI istemci sertifikalarını kullanırsınız.

    Not

    Yönetim noktaları için kullandığınız sunucu sertifikalarını veren aynı sertifika yetkilisi hiyerarşisinden istemci PKI sertifikalarını verdiğinizde, bu kök sertifika yetkilisi sertifikasını belirlemeniz gerekmez. Ancak, birden çok sertifika yetkilisi hiyerarşisi kullanıyorsanız ve bunların birbirlerine güvenip güvenmediklerinden emin değilseniz, istemcilerin sertifika yetkilisi hiyerarşisi için kök sertifika yetkilisini içe alın.

Configuration Manager için kök sertifika yetkilisi sertifikalarını içe almanız gerekiyorsa, bunları sertifika veren yetkiliden veya istemci bilgisayardan dışa verin. Sertifikayı, aynı zamanda kök sertifika yetkilisi olan sertifika veren yetkiliden dışa veriyorsanız, özel anahtarın dışa verilmediğinden emin olun. Dışa verilen sertifika dosyasını kurcalanmaya karşı güvenli bir yerde saklayın. Siteyi yapılandırdığınızda dosyaya erişebilmelisiniz, böylece dosyaya ağ üzerinden erişirseniz, iletişimin SMB imzalama veya IPsec ile müdahalelere karşı korunduğundan emin olun.

İçe aldığınız kök sertifika yetkilisi sertifikalarından herhangi bir yenilenmişse, yenilenen sertifikaları içe almalısınız.

Bu içe alınan kök sertifika yetkilisi sertifikaları ve her bir yönetim noktasının kök sertifika yetkilisi sertifikası Configuration Manager bilgisayarların aşağıdaki şekillerde kullandığı sertifika verenler listesini oluştururlar:

  • İstemciler yönetim noktalarına bağlandıklarında, yönetim noktası istemci sertifikasının zincir şeklinde sitenin sertifika verenler listesindeki güvenilir bir kök sertifikaya bağlandığını doğrular. Bağlanmıyorsa, sertifika reddedilir ve PKI bağlantısı başarısız olur.

  • İstemciler bir PKI sertifikası seçtiklerinde, sertifika verenler listesine sahiplerse, sertifika verenler listesinde güvenilir bir kök sertifikaya zincir şeklinde bağlanan bir sertifikayı seçerler. Eşleşme yoksa, istemci bir PKI sertifikası seçemez. İstemci sertifikası işlemi hakkında daha fazla bilgi için bu konunun PKI İstemci Sertifika Seçimi için Planlama Yapma bölümüne bakın.

Site yapılandırmasından bağımsız olarak mobil aygıtlara veya Mac bilgisayarlara kayıt yaptığınızda ve Intel ATM tabanlı bilgisayarları kablosuz ağlar için sağladığınızda kök sertifika yetkilisi sertifikası içe almanız gerekir.

PKI İstemci Sertifika Seçimi için Planlama Yapma

IIS site sistemleriniz HTTP üzerinden istemci kimlik doğrulaması ve HTTPS üzerinden istemci kimlik doğrulaması ve şifrelemesi için PKI sertifikalarını kullanacaksa, Windows tabanlı istemcilerin Configuration Manager için kullanmak üzere sertifikayı nasıl seçeceklerini planlayın.

Not

Tüm aygıtlar bir sertifika seçim yöntemini desteklemezler ve bunun yerine sertifika gereksinimlerini karşılayan ilk sertifikayı otomatik olarak seçerler. Örneğin, Mac bilgisayarlardaki istemciler ile mobil aygıtlar bir sertifika seçme yöntemini desteklemezler.

Çoğu durumda varsayılan yapılandırma ve davranış yeterli olacaktır. Windows tabanlı bilgisayarlardaki Configuration Manager istemcisi aşağıdaki ölçütleri kullanarak birden çok sertifikayı süzer:

  1. Sertifika verenler listesi: Sertifika, yönetim noktası tarafından güvenilen bir kök sertifika yetkilisine zincirleme bağlanır.

  2. Sertifika, varsayılan Kişisel sertifika deposundadır.

  3. Sertifika geçerlidir, iptal edilmemiştir ve süresi dolmamıştır. Geçerlilik kontrolleri, özel anahtarın erişilebilir olduğunun doğrulanmasını ve sertifikanın, Configuration Manager ile uyumlu olmayan sürüm 3 sertifika şablonu kullanılarak oluşturulmamış olmasını içerir.

  4. Sertifika istemci kimlik doğrulama özelliğine sahiptir veya bilgisayar adına verilmiştir.

  5. Sertifika en uzun geçerlilik süresine sahiptir.

İstemciler, aşağıdaki düzenekleri kullanarak sertifika verenler listesini kullanacak şekilde yapılandırılabilirler:

  • Configuration Manager site bilgisi olarak Active Directory Etki Alanı Hizmetlerine yayınlanmıştır.

  • İstemciler, istemci yükleme kullanılarak yüklenir.

  • İstemciler sitelerine başarılı şekilde atadıktan sonra onu yönetim noktasından indirirler.

  • CCMCERTISSUERS'nin CCMSetup client.msi özelliği olarak istemci yüklemesi sırasında belirlenir.

İlk yüklendiklerinde ve henüz siteye atanmadıklarında istemcilerde sertifika verenler listesi yoksa, bu kontrolü atlarlar. Sertifika verenler listesine sahip olmadıklarında ve sertifika verenler listesinde güvenilen bir kök sertifikaya zincirleme bağlı bir PKI sertifikası bulunmadığında, sertifika seçimi başarısız olur ve istemciler diğer sertifika seçim ölçütlerine devam etmezler.

Çoğu durumda Configuration Manager istemcisi benzersiz ve uygun bir PKI sertifikasını kullanmak üzere doğru şekilde tanımlar. Ancak durum bu şekilde olmadığında istemci yetki doğrulama özelliğini temel alan sertifika seçmek yerine iki alternatif seçim yöntemini yapılandırabilirsiniz:

  • İstemci sertifikası Konu adı üzerinde kısmi dize eşleşmesi. Bu, konu alanında tam etki alanı adı (FQDN) kullanıyor ve sertifika seçiminin örneğin contoso.com gibi etki alanı sonekini temel almasını istiyorsanız, uygun bir büyük-küçük harf duyarlı eşleşmedir. Ancak bu seçim yöntemini, sertifikayı istemci sertifika deposundaki diğerlerinden ayıran, sertifika Konu adındaki herhangi bir sıralı karakterler dizgesini tanımlamak için kullanabilirsiniz.

    Not

    Konu Alternatif Adı (SAN) ile kısmi dize eşleşmesini bir site ayarı olarak kullanamazsınız. CCMSetup kullanarak SAN için bir kısmi dizi eşleşmesi belirtebilseniz de, aşağıdaki senaryolarda site özellikleri ile üzerine yazılacaktır:

    • İstemciler, Active Directory Etki Alanı Hizmetleri'ne yayımlanan site bilgilerini aldığında.

    • İstemciler, istemci anında yükleme kullanılarak yüklendiğinde.

    Yalnızca istemcileri el ile yüklediğinizde ve istemciler Active Directory Etki Alanı Hizmetleri'nden site bilgilerini almadığında, SAN'de kısmi dize eşleşmesi kullanın. Örneğin, bu koşullar yalnızca İnternet istemcileri için geçerlidir.

  • İstemci sertifikası Konu adı özelliği değerleri veya Konu Alternatif Adı (SAN) özellik değerlerinde bir eşleşme. Bu, bir X500 ayırt edici adı veya RFC 3280 ile uyumu eşdeğer OID'ler (Nesne Tanımlayıcılar) kullanıyorsanız ve sertifika seçiminin özellik değerlerine dayanmasını istiyorsanız uygun olan, büyük/küçük harfe duyarlı bir eşleşmedir. Sertifikayı benzersiz şekilde tanımlamak ve doğrulamak ve sertifikayı, sertifika deposundaki diğerlerinden ayırmak için, yalnızca size gerekli özellik ve değerlerini belirtebilirsiniz.

Aşağıdaki tabloda, Configuration Manager tarafından istemci sertifikası seçim kriterleri için desteklenen özellik değerleri gösterilmektedir.

OID Özelliği

Ayırt edici ad özelliği

Öznitelik tanımı

0.9.2342.19200300.100.1.25

DC

Etki alanı bileşeni

1.2.840.113549.1.9.1

E veya E-posta

E-posta adresi

2.5.4.3

CN

Ortak ad

2.5.4.4

SN

Konu adı

2.5.4.5

SERIALNUMBER

Seri numarası

2.5.4.6

C

Ülke kodu

2.5.4.7

L

Konum

2.5.4.8

S veya ST

Eyalet veya bölge adı

2.5.4.9

STREET

Açık adres

2.5.4.10

O

Kuruluş adı

2.5.4.11

OU

Kurum birimi

2.5.4.12

T veya Title

Başlık

2.5.4.42

G veya GN veya GivenName

Ad

2.5.4.43

I veya Initials

Baş harfler

2.5.29.17

(değer yok)

Konu Diğer Adı

Seçim kriterleri uygulandıktan sonra birden fazla uygun sertifika bulunuyorsa, en uzun geçerlilik süresi olan sertifikayı seçmeye dair varsayılan yapılandırmayı iptal edebilir ve bunun yerine hiçbir sertifika seçilmemesini belirtebilirsiniz. Bu senaryoda, istemci bir PKI sertifikası kullanarak IIS site sistemleriyle iletişim kuramayacaktır. İstemci, atanmış geri dönüş durum noktasına bir hata iletisi göndererek, sertifika seçim kriterlerinizi değiştirebilmeniz veya daraltabilmeniz adına sertifika seçim hatası uyarısını verir. İstemci davranışı ardından, başarısız bağlantının HTTPS veya HTTP üzerinden olmasına bağlıdır:

  • Başarısız bağlantı HTTPS üzerindense: İstemci HTTP üzerinden bir bağlantı kurmayı dener ve istemci otomatik olarak imzalanan sertifikasını kullanır.

  • Başarısız bağlantı HTTP üzerindense: İstemci, otomatik olarak imzalanan istemci sertifikasını kullanarak HTTP üzerinden başka bir bağlantı kurmayı dener.

Benzersiz bir PKI istemci sertifikası tanımlamaya yardımcı olmak için, Bilgisayar deposundaki varsayılan Kişisel yerine özel bir depo da belirtebilirsiniz. Ancak, bu depoyu Configuration Manager'dan bağımsız olarak oluşturmanız gerekir ve bu özel depodan sertifikaları dağıtabilmeli ve geçerlilik süreleri sona ermeden önce bunları yenilemeniz gerekir.

İstemci sertifikaları ayarlarını yapılandırma hakkında daha fazla bilgi için İstemci PKI Sertifikaları İçin Ayarları Yapılandırma konusunun Configuration Manager Güvenliğini Yapılandırma bölümüne bakın.

PKI Sertifikaları için bir Geçiş Stratejisi Planlama ve İnternet Tabanlı İstemci Yönetimi

Configuration Manager içindeki esnek yapılandırma seçenekleri, istemci uç noktalarını güvenli hale getirmeye yardımcı olmak için istemcileri ve siteyi kademeli olarak PKI sertifikaları kullanmaya geçirmenizi sağlar. PKI sertifikaları daha iyi güvenlik sağlar ve istemcilerin, İnternette olduklarında yönetilmesini sağlar.

Configuration Manager içindeki yapılandırma seçeneği ve seçimi sayısı nedeniyle, bir siteyi, tüm istemciler HTTPS bağlantıları kullanabilecek şekilde geçirmenin tek bir yolu yoktur. Ancak, kılavuz olarak aşağıdaki adımları uygulayabilirsiniz:

  1. Configuration Manager sitesini yükleyin ve onu, site sistemleri HTTPS ve HTTP üzerinden istemci bağlantıları kabul edecek şekilde yapılandırın.

  2. Site özelliklerindeki İstemci Bilgisayarı İletişimi sekmesini, Site Sistem AyarlarıHTTP veya HTTPS olacak şekilde yapılandırın Mevcut olduğunda PKI istemci sertifikası (istemci kimlik doğrulama özelliği) kullanan onay kutusunu seçin. Bu sekmeden, sizin için gerekli diğer ayarları yapılandırın. Daha fazla bilgi için Configuration Manager Güvenliğini Yapılandırma konusundaki İstemci PKI Sertifikaları İçin Ayarları Yapılandırma bölümüne bakın.

  3. İstemci sertifikaları için bir PKI sunumu deneyin. Örnek bir dağıtım için Windows Bilgisayarlara İstemci Sertifikasını Dağıtma konusunun Configuration Manager için PKI Sertifikalarının Adım Adım Örnek Dağıtımı: Windows Server 2008 Sertifika Yetkilisi bölümüne bakın.

  4. İstemci anında yükleme yöntemini kullanarak istemcileri yükleyin. Daha fazla bilgi için Configuration Manager'da İstemcileri Windows Tabanlı Bilgisayarlara Yükleme konusundaki İstemci Anında Yükleme Kullanarak Configuration Manager İstemcileri Yükleme bölümüne bakın.

  5. Configuration Manager konsolunda raporları ve bilgileri kullanarak istemci dağıtımı ve durumunu izleyin.

  6. Varlıklar ve Uyum çalışma alanında Aygıtlar düğümünde İstemci Sertifikası sütununu görüntüleyerek kaç istemcinin bir istemci PKI sertifikası kullandığını izleyin.

    Ayrıca Configuration Manager HTTPS Hazırlık Değerlendirme Aracı'nı (cmHttpsReadiness.exe) bilgisayarlara dağıtabilir ve kaç bilgisayarın Configuration Manager ile bir istemci PKI sertifikası kullanabileceğini görüntülemek için raporları kullanabilirsiniz.

    Not

    Configuration Manager istemcisi, istemci bilgisayarlarına yüklendiğinde, cmHttpsReadiness.exe aracı %windir%\CCM klasörü içine yüklenir. Bu aracı istemcilerde çalıştırdığınızda, aşağıdaki seçenekleri belirtebilirsiniz:

    • /Store:<name>

    • /Issuers:<list>

    • /Criteria:<criteria>

    • /SelectFirstCert

    Bu seçenekler, sırasıyla CCMCERTSTORE, CCMCERTISSUERS, CCMCERTSEL, and CCMFIRSTCERT Client.msi özelliklerine eşlenir. Bu seçenekler hakkında daha fazla bilgi için bkz. Configuration Manager'da İstemci Yükleme Özellikleri Hakkında.

  7. Yeterli sayıda istemcinin HTTP üzerinden kimlik doğrulaması için istemci PKI sertifikalarını başarılı bir şekilde kullandığından emin olduğunuzda aşağıdakileri yapın:

    1. Site için ek bir yönetim noktası çalıştıracak bir üye sunucuya bir PKI web sunucusu sertifikası dağıtın ve o sertifikayı IIS'de yapılandırın. Daha fazla bilgi için Configuration Manager için PKI Sertifikalarının Adım Adım Örnek Dağıtımı: Windows Server 2008 Sertifika Yetkilisi konusundaki IIS çalıştıran Site Sistemleri için Web Sunucusu Sertifikasını Dağıtma bölümüne bakın.

    2. Bu sunucuya yönetim noktası rolünü yükleyin ve HTTPS için yönetim noktası özelliklerinde İstemci bağlantıları seçeneğini yapılandırın.

  8. İzleyin ve bir PKI sertifikası olan istemcilerin, HTTPS kullanarak yeni yönetim noktasını kullandığını doğrulayın. Bunu doğrulamak için IIS günlük kaydı veya performans sayaçları kullanabilirsiniz.

  9. HTTPS istemci bağlantılarını kullanmak için diğer site sistem rollerini yeniden yapılandırın. İstemcileri internetten yönetmek istiyorsanız, site sistemlerinde bir İnternet FQDN'si bulunduğundan emin olun ve tek tek yönetim noktalarını ve dağıtım noktalarını İnternetten istemci bağlantılarını kabul etmek üzere yapılandırın.

    System_CAPS_importantÖnemli

    Site sistem rollerini, İnternetten bağlantıları kabul etmek üzere yapılandırmadan önce, İnternet tabanlı istemci yönetimi için planlama bilgilerini ve önkoşulları gözden geçirin. Daha fazla bilgi için Configuration Manager'da İletişim Planlaması konusundaki Internet Tabanlı İstemci Yönetimi İçin Plan Yapma bölümüne bakın.

  10. IIS çalıştıran site sistemleri ve istemciler için PKI sertifikası sunumunu genişletin ve gerektiği şekilde, site sistem rollerini HTTPS istemci bağlantıları ve İnternet bağlantıları için yapılandırın.

  11. En yüksek güvenlik için: Tüm istemcilerin, kimlik doğrulaması ve şifreleme için bir istemci PKI sertifikası kullandığından emin olduğunuzda, site özelliklerini yalnızca HTTPS kullanmak üzere değiştirin.

Önce yalnızca HTTP üzerinden kimlik doğrulaması için ve ardından HTTPS üzerinden kimlik doğrulaması ve şifreleme için PKI sertifikalarını kademeli olarak sunmak üzere bu planı uyguladığınızda, istemcilerin yönetilmez hale gelme riskini azaltırsınız. Ek olarak, Configuration Manager tarafından desteklenen en yüksek güvenlikten faydalanırsınız.

Güvenilir Kök Anahtar için Planlama

Configuration Manager güvenilir kök anahtarı, Configuration Manager istemcilerinin, site sistemlerinin kendi hiyerarşilerine ait olduğunu doğrulaması için bir mekanizma sağlar. Her site sunucusu, diğer sitelerle iletişim kurmak için bir site değişim anahtarı oluşturur. Hiyerarşideki üst düzey siteden site değişim anahtarına, güvenilir kök anahtar adı verilir.

Configuration Manager içinde güvenilir kök anahtarın işlevi, güvenilir kök anahtarın özel anahtarı tarafından imzalanan herhangi bir şeye hiyerarşide aşağıda da güvenilmesi bakımından, bir genel anahtar altyapısındaki bir kök sertifikayı andırır. Örneğin, yönetim noktası sertifikasını güvenilir kök anahtar çiftinin özel anahtarıyla imzalayarak ve güvenilir kök anahtar çiftinin özel anahtarının bir kopyasını istemciler için kullanılabilir kılarak, istemciler kendi hiyerarşilerindeki yönetim noktaları ve kendi hiyerarşilerinde olmayan yönetim noktalarını birbirinden ayırabilir. İstemciler, güvenilir kök anahtarın bir kopyasını root\ccm\locationservices ad alanında depolamak için WMI kullanır.

İstemciler, iki mekanizma kullanarak, güvenilir kök anahtarın genel kopyasını otomatik olarak alabilir:

  • Active Directory şeması, Configuration Manager için genişletilir, site Active Directory Etki Alanı Hizmetleri'ne yayımlanır ve istemciler bu site bilgilerini bir genel katalog sunucusundan alabilir.

  • İstemciler, istemci yükleme kullanılarak yüklenir.

İstemciler, bu mekanizmaların birini kullanarak güvenilir kök anahtarı alamıyorsa, iletişim kurdukları ilk yönetim noktası tarafından sağlanan güvenilir kök anahtara güvenirler. Bu senaryoda bir istemci, yanlış yönetim noktasından ilke alacağı, bir saldırganın yönetim noktasına yanlış yönlendirilebilir. Bunun tecrübeli bir saldırganın eylemi olması olasıdır ve istemci geçerli bir yönetim noktasından güvenilir kök anahtarı almadan önce sınırlı bir zaman içinde gerçekleşebilir. Ancak, bir saldırganın istemcileri yanlış bir yönetim noktasına yönlendirmesi riskini azaltmak için, güvenilir kök anahtarı kullanarak istemcileri önceden sağlayabilirsiniz.

Bir Configuration Manager istemcisi için güvenilir kök anahtarı önceden sağlamak ve doğrulamak için aşağıdaki yordamları kullanın:

  • Bir dosya kullanıp güvenilir kök anahtarı kullanarak bir istemciyi önceden sağlayın.

  • Bir dosya kullanmadan güvenilir kök anahtarı kullanarak bir istemciyi önceden sağlayın.

  • Güvenilir kök anahtarı bir istemcide doğrulayın.

Not

Yeniden sağlamayı Active Directory Etki Alanı Hizmetleri'nden edinebiliyorlarsa veya istemci yükleme kullanılarak yüklenmişlerse, istemciyi güvenilir kök anahtarı kullanarak önceden sağlamanız gerekmez. Ek olarak, HTTPS bağlantısı kullandıklarında yönetim noktalarına istemcileri önceden sağlamanız gerekmez çünkü güven, PKI sertifikaları kullanılarak temin edilir.

CCMSetup.exe ile RESETKEYINFORMATION = TRUE Client.msi özelliğini kullanarak güvenilen kök anahtarı bir istemciden kaldırabilirsiniz. Güvenilir kök anahtarı değiştirmek için, istemciyi yeni güvenilir kök anahtarıyla yeniden yükleyin. Örneğin istemci yükleme kullanarak veya CCMSetup.exe kullanıp SMSPublicRootKey Client.msi özelliğini belirterek.

Bir dosya kullanarak güvenilir kök anahtarla bir istemciyi önceden sağlamak için

  1. Bir metin düzenleyicisinde <Configuration Manager dizini>\bin\mobileclient.tcf dosyasını açın.

  2. SMSPublicRootKey= girişini bulun, o satırdan anahtarı kopyalayın ve dosyayı herhangi bir değişiklik yapmadan kapatın.

  3. Yeni bir metin dosyası oluşturun ve mobileclient.tcf dosyasından kopyaladığınız anahtar bilgisini yapıştırın.

  4. Dosyayı kaydedin ve tüm bilgisayarların erişebileceği ancak dosyayla oynamanın önleneceği güvenli bir yere koyun,

  5. İstemciyi, Client.msi özelliklerini kabul eden herhangi bir yükleme yöntemini kullanarak yükleyin ve SMSROOTKEYPATH=<Tam yol ve dosya adı> Client.msi özelliğini belirtin.

    System_CAPS_importantÖnemli

    İstemci yüklemesi sırasında ek güvenlik için, güvenilir kök anahtarı belirttiğinizde, SMSSITECODE=<site kodu> Client.msi özelliğini kullanarak site kodunu da belirtmeniz gerekir.

Bir dosya kullanmadan güvenilir kök anahtarla bir istemciyi önceden sağlamak için

  1. Bir metin düzenleyicisinde <Configuration Manager dizini>\bin\mobileclient.tcf dosyasını açın.

  2. SMSPublicRootKey= girişini bulun, o satırdaki anahtarı not edin veya Panoya kopyalayın ve ardından dosyayı herhangi bir değişiklik yapmadan kapatın.

  3. İstemciyi, Client.msi özelliklerini kabul eden herhangi bir yükleme yöntemiyle yükleyin ve SMSPublicRootKey=<anahtar> Client.msi özelliğini belirtin, burada <anahtar>, mobileclient.tcf dosyasından kopyaladığınız dizedir.

    System_CAPS_importantÖnemli

    İstemci yüklemesi sırasında ek güvenlik için, güvenilir kök anahtarı belirttiğinizde, SMSSITECODE=<site kodu> Client.msi özelliğini kullanarak site kodunu da belirtmeniz gerekir

Güvenilir kök anahtarı bir istemcide doğrulamak için

  1. Başlat menüsünde, Çalıştır'a tıklatın ve ardından Wbemtest yazın.

  2. Windows Yönetim Araçları Test Aracı iletişim kutusunda, Bağlan'a tıklatın.

  3. Bağlan iletişim kutusunda, Ad alanı kutusunda, root\ccm\locationservices yazın ve ardından Bağlan'a tıklatın.

  4. Windows Yönetim Araçları Test Aracı iletişim kutusunda, IWbemServices bölümünde, Enum Sınıfları'na tıklatın.

  5. Üst Sınıf Bilgisi iletişim kutusunda, Yinelemeli'yi seçin ve ardından Tamam'a tıklatın.

  6. Sorgu Sonucu penceresinde, listenin sonuna kaydırın ve ardından TrustedRootKey () öğesine çift tıklatın.

  7. TrustedRootKey için nesne düzenleyici iletişim kutusunda, Örnekler'e tıklatın.

  8. TrustedRootKey örnekleri görüntülenen yeni Sorgu Sonucu penceresinde, TrustedRootKey=@ öğesine çift tıklatın

  9. TrustedRootKey=@ için nesne düzenleyici iletişim kutusunda, Özellikler bölümünde, aşağı kaydırarak TrustedRootKey CIM_STRING öğesine gidin. Sağ sütundaki dize, güvenilir kök anahtardır. Bu anahtarın <Configuration Manager dizini>\bin\mobileclient.tcf dosyasındaki SMSPublicRootKey değeri ile eşleştiğini doğrulayın.

İmzalama ve Şifreleme için Planlama Yapma

Tüm istemci iletişimleri için PKI sertifikaları kullandığınızda, istemci veri iletişiminin güvenliğini sağlamayı kolaylaştırmak için imzalama ve şifreleme planlaması yapmanız gerekmez. Bununla birlikte, IIS çalıştıran site sistemlerini HTTP istemci bağlantılarına izin verecek şekilde yapılandırırsanız, site için istemci iletişiminin güvenliğini nasıl sağlayacağınıza karar vermeniz gerekir.

İstemcilerin yönetim noktalarına gönderdiği verileri korumaya yardımcı olmak için, verilerin imzalanmasını gerekli kılabilirsiniz. Ayrıca, HTTP kullanan istemcilerden gelen tüm imzalı verilerin SHA-256 algoritması kullanılarak imzalanmasını da gerekli kılabilirsiniz. Bu ayar daha güvenli olmasına rağmen, tüm istemciler SHA-256’yı desteklemiyorsa bu seçeneği etkinleştirmeyin. Birçok işletim sistemi SHA-256’yı yerel olarak destekler, ancak daha eski işletim sistemleri için bir güncelleştirme veya düzeltme gerekebilir. Örneğin, Windows Server 2003 SP2 çalıştıran bilgisayarlara, BB makalesi 938397'de göndermede bulunulan bir düzeltmenin yüklenmesi gerekir.

İmzalama verileri müdahaleye karşı korurken, şifreleme verileri bilgi ifşaatına karşı korur. İstemciler tarafından sitedeki yönetim noktalarına gönderilen envanter verileri ve durum iletileri için 3DES şifrelemeyi etkinleştirebilirsiniz. bu seçeneği desteklemek üzere istemcilere herhangi bir güncelleştirme yüklemeniz gerekmez, ancak şifreleme ve şifre çözme işlemleri için istemcilerde ve yönetim noktasında gerekecek ek CPU kullanımı unutulmamalıdır.

İmzalar ve şifreleme hakkında daha fazla bilgi için İmzalama ve Şifrelemeyi Yapılandırma konusunun Configuration Manager Güvenliğini Yapılandırma bölümüne bakın.

Rol Tabanlı Yönetim için Planlama Yapma

Rol tabanlı yönetim System Center 2012 Configuration Manager hiyerarşisi için aşağıdakilerin birini veya hepsini kullanarak yönetim güvenliği tasarlayıp uygulamanıza olanak sağlar:

  • Güvenlik rolleri

  • Koleksiyonlar

  • Güvenlik kapsamları

Bu ayarlar hep birlikte bir yönetici kullanıcıya yönelik yönetim kapsamını tanımlar. Yönetim kapsamı, bir yönetici kullanıcının Configuration Manager konsolunda görüntüleyebileceği nesneleri ve kullanıcının nesneler üzerinde sahip olduğu izinleri belirler. Rol tabanlı yönetim yapılandırmaları hiyerarşideki her siteye global veri olarak çoğaltılır ve sonra tüm yönetim bağlantılarına uygulanır.

System_CAPS_importantÖnemli

Siteler arası çoğaltma gecikmeleri bir sitenin rol tabanlı yönetimle ilgili değişiklikleri almasını engelleyebilir. Siteler arası veritabanı çoğaltmayı izleme hakkında daha fazla bilgi için Veritabanı Çoğaltması Bağlantılarını ve Çoğaltma Durumunu İzleme konusunun Configuration Manager Siteleri ve Hiyerarşisi İzleyicisi bölümüne bakın.

Güvenlik Rolleri İçin Planlama

Yönetim kullanıcılarına güvenlik izinleri vermek için güvenlik rollerini kullanın. Güvenlik rolleri, yönetim görevlerini gerçekleştirebilmeleri için yönetim kullanıcılarına atadığınız güvenlik izinleri gruplarıdır. Bu güvenlik izinleri bir yönetim kullanıcısının gerçekleştirebileceği yönetim eylemlerini ve belirli nesne türleri için verilen izinleri tanımlar. Bir güvenlik en iyi yöntemi olarak, en az izinleri sağlayan güvenlik rollerini atayın.

System Center 2012 Configuration Manager tipi yönetim görevleri gruplarını destekleyecek birtakım yerleşik güvenlik rolleri içerir ve belirli iş gereksinimlerinizi destekleyecek kendi özel güvenlik rollerinizi de oluşturabilirsiniz. Yerleşik güvenlik rollerine örnekler:

  • Tam Yönetici: Bu güvenlik rolü Configuration Manager ortamında tüm izinleri sağlar.

  • Varlık Çözümleyicisi: Bu güvenlik rolü yönetim kullanıcılarının Varlık Yönetim Bilgileri, yazılım envanteri, donanım envanteri ve yazılım ölçer kullanılarak toplanan verileri görüntülemesine olanak sağlar. Yönetim kullanıcıları ölçüm kuralları ve Varlık Yönetim Bilgileri İstemci kategorileri, aileleri ve etiketleri oluşturabilir.

  • Yazılım Güncelleştirme Yöneticisi: Bu güvenlik rolü yazılım güncelleştirmelerini tanımlama ve dağıtma izinleri sağlar. Bu rolle ilişkilendirilen yönetici kullanıcılar Ağ Erişimi Koruması (NAP) için koleksiyonlar, yazılım güncelleştirme grupları, dağıtımlar, şablonlar oluşturabilir ve yazılım güncelleştirmelerini etkinleştirebilirler.

System_CAPS_tipİpucu

Yerleşik güvenlik rollerinin listesini ve oluşturduğunuz özel güvenlik rollerini, açıklamalarıyla birlikte Configuration Manager konsolunda görüntüleyebilirsiniz. Bunu yapmak için, Yönetim çalışma alanında, Güvenlik öğesini genişletin ve Güvenlik Rolleri'ni seçin.

Her güvenlik rolünün farklı nesne türleri için belirli izinleri vardır. Örneğin, Uygulama Yöneticisi güvenlik rolünde uygulamalar için şu izinler vardır: Onayla, Oluştur, Sil, Değiştir, Klasörleri Değiştir, Nesneleri Taşı, Oku/Dağıt, Güvenlik Kapsamını Ayarla. Yerleşik güvenlik rolleriyle ilgili izinleri değiştiremezsiniz, ancak bu rolü kopyalayabilir, değişikliler yapabilir ve sonra bu değişiklikleri yeni özel güvenlik rolü olarak kaydedebilirsiniz. Ayrıca başka bir hiyerarşiden (örneğin, bir test ağından) dışarı aktardığınız güvenlik rollerini de içeri aktarabilirsiniz. Yerleşik güvenlik rollerini mi kullanacağınızı, yoksa kendi özel güvenlik rollerinizi oluşturmanız mı gerektiğini belirlemek için güvenlik rollerini ve izinlerini inceleyin.

Güvenlik rolleri için planlama yapmanıza yardımcı olması için aşağıdaki adımları kullanın:

  1. Yönetici kullanıcının System Center 2012 Configuration Manager ortamında gerçekleştirdiği görevleri tanımlayın. Bu görevler uygulama ve paket dağıtma, işletim sistemleri ve uyumluluk ayarları dağıtma, siteleri ve güvenliği yapılandırma, denetleme, bilgisayarları uzaktan kontrol etme ve envanter verilerini toplama gibi bir veya daha fazla yönetim görev gruplarıyla ilgili olabilir.

  2. Bu yönetim görevlerini yerleşik güvenlik rollerinden bir veya birkaçıyla eşleştirin.

  3. Yönetici kullanıcılardan bazıları birden fazla güvenlik rolüyle ilgili görevleri gerçekleştiriyorsa, görevleri birleştiren yeni bir güvenlik rolü oluşturmak yerine bu yönetici kullanıcılara birden fazla güvenlik rolü atayın.

  4. Tanımladığınız görevler yerleşik güvenlik rolleriyle eşleşmiyorsa, yeni güvenlik rolleri tanımlayıp test edin.

Rol tabanlı yönetim için güvenlik rolleri oluşturma ve yapılandırma hakkında bilgi için Özel Güvenlik Rolleri Oluşturma konusunun Güvenlik Rollerini Yapılandırma ve Configuration Manager Güvenliğini Yapılandırma bölümlerine bakın.

Koleksiyonlar için Planlama

Koleksiyonlar bir yönetici kullanıcının görüntüleyebileceği veya yönetebileceği kullanıcı ve bilgisayar kaynaklarını tanımlar. Örneğin, yönetici kullanıcıların uygulama dağıtmaları veya uzaktan kumandayı çalıştırabilmeleri için, bu kaynakları içeren bir koleksiyona erişim veren bir güvenlik rolüne atanmaları gerekir. Kullanıcı ve cihaz koleksiyonları seçebilirsiniz.

Koleksiyonlar hakkında daha fazla bilgi için bkz. Yapılandırma Yöneticisi'nde koleksiyonları giriş.

Rol tabanlı yönetimi yapılandırmadan önce, aşağıdakilerden herhangi biri nedeniyle yeni koleksiyonlar oluşturmanız gerekip gerekmediğini kontrol edin.

  • İşlevsel organizasyon. Örneğin, sunucu ve iş istasyonlarından oluşan ayrı koleksiyonlar.

  • Coğrafi yerleşim. Örneğin, Kuzey Amerika ve Avrupa için ayrı koleksiyonlar.

  • Güvenlik gereksinimleri ve iş gereksinimleri. Örneğin, üretim ve test bilgisayarları için ayrı koleksiyonlar.

  • Organizasyon yerleşimi. Örneğin, her iş birimi için ayrı koleksiyonlar.

Rol tabanlı yönetim için koleksiyonları yapılandırma hakkında bilgi için Güvenliği Yönetmek İçin Koleksiyonları Yapılandırma konusunun Configuration Manager Güvenliğini Yapılandırma bölümüne bakın.

Güvenlik Kapsamları İçin Planlama

Yönetici kullanıcılara güvenli kılınabilir nesneler için erişim sağlamak için güvenlik kapsamlarını kullanın. Güvenlik kapsamları grup olarak yönetici kullanıcılara atanan güvenli kılınabilir nesneler adlandırılmış kümesidir. Güvenliği sağlanabilen tüm nesneler, bir veya daha fazla güvenlik kapsamına atanmalıdır.Configuration Manager, iki yerleşik güvenlik kapsamına sahiptir:

  • Tümü: Bu yerleşik güvenlik kapsamı tüm kapsamlara erişim verir. Bu güvenlik kapsamına nesne atayamazsınız.

  • Varsayılan: Bu yerleşik güvenlik kapsamı varsayılan olarak tüm nesneler için kullanılır. İlk kez System Center 2012 Configuration Manager yüklediğinizde, tüm nesneler bu güvenlik kapsamına atanır.

Yönetici kullanıcıların görebileceği ve yönetebileceği nesneleri sınırlamak isterseniz, kendi özel güvenlik kapsamlarınızı oluşturup kullanmanız gerekir. Güvenlik kapsamı hiyerarşik bir yapıyı desteklemez ve iç içe geçemez. Güvenlik kapsamları aşağıdakileri kapsayan bir veya daha fazla nesne türü içerebilir:

  • Uyarı abonelikleri

  • Uygulamalar

  • Önyükleme görüntüleri

  • Sınır grupları

  • Yapılandırma öğeleri

  • Özel istemci ayarları

  • Dağıtım noktaları ve dağıtım noktası grupları

  • Sürücü paketleri

  • Genel koşullar

  • Geçiş işleri

  • İşletim sistemi görüntüleri

  • İşletim sistemi yükleme paketleri

  • Paketler

  • Sorgular

  • Siteler

  • Yazılım kullanım ölçümü kuralları

  • Yazılım güncelleştirme grupları

  • Yazılım güncelleştirmeleri paketleri

  • Görev sırası paketleri

  • Windows CE aygıt ayarı öğeleri ve paketleri

Yalnızca güvenlik rolleri tarafından güvenliği sağlandığı için güvenlik kapsamlarına dahil edemeyeceğiniz bazı nesneler de vardır. Bu nesnelere yönetimsel erişim kullanılabilir nesnelerin bir alt kümesiyle sınırlanamaz. Örneğin, belirli bir site için kullanılan sınır grupları oluşturan bir yönetici kullanıcınız olabilir. Sınır nesnesi güvenlik kapsamlarını desteklemediğinden, bu kullanıcıya, yalnızca bu siteyle ilişkilendirilmiş olabilecek sınırlara erişim sağlayan bir güvenlik kapsamı atayamazsınız. Bir sınır nesnesi bir güvenlik kapsamıyla ilişkilendirilemeyeceği için, bir kullanıcıya, sınır nesnelerine erişimi içeren bir güvenlik kapsamı atadığınızda, bu kullanıcı hiyerarşideki her sınıra erişebilir.

Güvenlik kapsamlarıyla sınırlandırılmayan nesneler aşağıdakileri içerir:

  • Active Directory ormanları

  • Yönetici kullanıcılar

  • Uyarılar

  • Kötü Amaçlı Yazılımdan Koruma İlkeleri

  • Sınırlar

  • Bilgisayar ilişkilendirmeleri

  • Varsayılan istemci ayarları

  • Dağıtım şablonları

  • Aygıt sürücüleri

  • Exchange Server bağlayıcısı

  • Siteden siteye eşlemeleri geçişi

  • Mobil aygıt kayıt profilleri

  • Güvenlik rolleri

  • Güvenlik kapsamları

  • Site adresleri

  • Site sistemi rolleri

  • Yazılım başlıkları

  • Yazılım güncelleştirmeleri

  • Durum iletileri

  • Kullanıcı aygıtı benzeşimleri

Nesnelerin ayrı örneklerine erişimi sınırlamanız gerektiğinde güvenlik kapsamları oluşturun. Örneğin:

  • Üretim uygulamalarını görmesi gereken, ancak test uygulamalarını görmemesi gereken bir grup yönetici kullanıcınız var. Üretim uygulamaları için bir güvenlik kapsamı ve test uygulamaları için başka bir güvenlik kapsamı oluşturun.

  • Farklı yönetici kullanıcılar bir nesnenin bazı örnekleri için farklı erişime gereksinim duyar. örneğin, bir grup yönetici kullanıcı belirli yazılım güncelleştirme grupları için Okuma izni ve başka bir grup yönetici kullanıcı diğer yazılım güncelleştirme grupları için Değiştirme ve Silme izinlerine gereksinim duyar. Bu yazılım güncelleştirme grupları için farklı güvenlik kapsamları oluşturun.

Rol tabanlı yönetim için güvenlik kapsamlarını yapılandırma hakkında bilgi için Nesnenin Güvenlik Kapsamlarını Yapılandırma konusunun Configuration Manager Güvenliğini Yapılandırma bölümüne bakın.