Configuration Manager'da Kullanılan Şifreleme Denetimleri İçin Teknik Başvuru
Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Not
Bu konu şunları içerir:System Center 2012 Configuration Manager için Site Yönetimi kılavuzu ve System Center 2012 Configuration Manager için Güvenlik ve Gizlilik kılavuzunda.
System Center 2012 Configuration Manager, Configuration Manager hiyerarşisindeki cihazların yönetimini korumaya yardımcı olmak üzere imzalama ve şifreleme kullanır. İmzalama, veriler geçiş sırasında değiştirildiyse verilerin iptal edilmesini sağlar. Şifreleme bir ağ protokolü çözümleyicisi kullanarak bir saldırganın verileri okumasını önler.
Configuration Manager tarafından imzalama için kullanılan birincil karma algoritması SHA-256’dır. İki Configuration Manager sitesi birbiriyle iletişim kurduğunda, SHA-256'yı kullanarak iletişimlerini imzalarlar. Uygulanan birincil şifreleme algoritması Configuration Manager 3DES’tir. Bu algoritma Configuration Manager veritabanına veri depolarken ve istemciler HTTP kullanarak iletişim kurduğunda kullanılır. HTTPS üzerinden istemci iletişimi kullandığınızda ortak anahtar altyapınızı (PKI) en büyük karma algoritmalara ve Configuration Manager İçin PKI Sertifikası Gereksinimleri içinde belirtilen anahtar uzunluklarına sahip RSA sertifikalarını kullanacak şekilde yapılandırabilirsiniz.
Windows tabanlı işletim sistemlerine yönelik birçok şifreleme işleminde Configuration Manager, Windows CryptoAPI library rsaenh.dll dosyasından SHA-1 ve SHA-2, 3DES ve AES ve RSA algoritmalarını kullanır.
Daha fazla bilgi için aşağıdaki bölümleri kullanın.
Configuration Manager İşlemleri için Şifreleme Denetimleri
Configuration Manager Tarafından Kullanılan Sertifikalar
Sunucu İletişimi için Şifreleme Denetimleri
Site Sistemleriyle HTTPS İletişimi Kullanan İstemciler için Şifreleme Denetimleri
Site Sistemleriyle HTTP İletişimi Kullanan İstemciler için Şifreleme Denetimleri
.jpeg "System_CAPS_important") Önemli |
|---|
SSL güvenlik açıklarına yanıt olarak önerilen değişiklikler için SSL Güvenlik Açıkları Hakkında içindeki bilgilere bakın. |
Configuration Manager İşlemleri için Şifreleme Denetimleri
Configuration Manager içindeki bilgiler, Configuration Manager ile birlikte PKI sertifikalarını kullanıp kullanmamanıza bağlı olarak imzalanabilir ve şifrelenebilir.
İlke İmzalama ve Şifreleme
İstemci ilke atamaları, kurcalanmış riskli yönetim noktası gönderme ilkelerinin güvenlik riskini önlemeye yardımcı olarak otomatik imzalı site sunucusu imzalama sertifikası tarafından imzalanır. Bu ortam Internet iletişimine açık bir yönetim noktası gerektirdiği için bu koruma özellikle Internet tabanlı bir istemci yönetimi kullanıyorsanız geçerlidir.
İlke duyarlı veriler içerdiğinde 3DES kullanılarak şifrelenir. Duyarlı veriler içeren ilke yalnızca yetkili istemcilere gönderilir. Duyarlı veriler içermeyen ilke şifrelenmez.
İlke istemcilere depolandığında Veri Koruma uygulama programlama arabirimi (DPAPI) kullanılarak şifrelenir.
İlke Karması
Configuration Manager istemcileri ilke talep ettiğinde hangi ilkelerin kendileri için geçerli olduğunu bilmek için öncelikle bir ilke ataması alırlar ve ardından yalnızca bu ilke gövdelerini isterler. Her ilke ataması ilgili ilke gövdesi için hesaplanmış karmayı içerir. İstemci ilgili ilke gövdelerini alır ve ardından o gövde üzerinde karmayı hesaplar. İndirilen ilke gövdesindeki karma ile ilke atamasındaki karma eşleşmezse istemci, ilke gövdesini iptal eder.
İlkenin karma algoritması SHA-1 ve SHA-256'dır.
İçerik Karması
Site sunucusundaki dağıtım yöneticisi hizmeti tüm paketler için içerik dosyalarının karmasını oluşturur. İlke sağlayıcısı, yazılım dağıtım ilkesine karmayı dahil eder.Configuration Manager istemcisi içeriği indirdiğinde istemci, karmayı yerel olarak yeniden oluşturur ve ilkede belirtilen karmayla karşılaştırır. Karmalar eşleşiyorsa içerik değiştirilmemiştir ve istemci tarafından yüklenir. İçeriğin tek bir baytı değiştirildiyse karmalar eşleşmez ve yazılım yüklenmez. Geçerli içerik ilkeyle çapraz denetimden geçirildiği için bu denetim doğru yazılımın yüklenmesini sağlamaya yardımcı olur.
İçerik için varsayılan karma algoritması SHA-256’dır. Bu varsayılanı değiştirmek için Configuration Manager Yazılım Geliştirme Seti (SDK) belgelerine bakın.
İçerik karmasını tüm cihazlar destekleyemez. Aşağıdaki özel durumlar mevcuttur:
App-V içeriği yayınlayan Windows istemcileri.
Windows Phone istemcileri: Ancak, bu istemciler güvenilen bir kaynak tarafından atılan bir uygulama imzasını doğrular.
Windows RT istemcileri: Ancak, bu istemciler güvenilen bir kaynak tarafından atılan bir uygulama imzasını doğrular ve ayrıca paket tam adı (PFN) doğrulamasını kullanır.
iOS: Ancak, bu cihazlar güvenilen bir kaynaktan herhangi bir geliştirici sertifikası tarafından atılan bir uygulama imzasını doğrular.
Nokia istemcileri: Ancak, bu istemciler otomatik imzalı bir sertifika kullanılan uygulamanın imzasını doğrular. Ya da güvenilen bir kaynaktan sertifikanın imzası ve sertifika, Nokia Symbian Yükleme Kaynağı (SIS) uygulamalarını imzalayabilir.
Android. Bunun yanında, bu cihazlar uygulama yüklemesi için imza doğrulaması kullanmaz.
Linux ve UNIX sürümlerinde çalışan istemciler SHA-256’yı desteklemez. Daha fazla bilgi için Linux ve UNIX sunucuları için istemci dağıtımı için planlama konusundaki bölümüne bakın.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_NoSHA-256
Envanter İmzalama ve Şifreleme
İstemcilerin yönetim noktalarına gönderdiği envanter, HTTP veya HTTPS üzerinden yönetim noktalarıyla iletişim kurup kurmadıklarına bakılmaksızın her zaman cihazlar tarafından imzalanır. HTTP kullanılıyorsa bir güvenlik en iyi uygulaması olarak bu verileri şifrelemeyi seçebilirsiniz.
Durum Geçişi Şifrelemesi
İşletim sistemi dağıtımı için durum geçiş noktalarına depolanan veriler her zaman 3DES kullanılarak Kullanıcı Durumu Taşıma Aracı (USMT) tarafından şifrelenir.
İşletim Sistemlerine Dağıtılacak Çok Noktaya Yayın Paketleri için Şifreleme
Her işletim sistemi dağıtım paketi için paket çok noktaya yayın kullanılarak bilgisayarlara aktarıldığında şifrelemeyi etkinleştirebilirsiniz. Şifreleme, Gelişmiş Şifreleme Standardı (AES) kullanır. Şifrelemeyi etkinleştirirseniz ek bir sertifika yapılandırması gerekmez. Çok noktaya yayın özelliği etkinleştirilmiş dağıtım noktası, paketi şifrelemek için simetrik anahtarları otomatik olarak oluşturur. Her pakette farklı bir şifreleme anahtarı mevcuttur. Anahtar, standart Windows API'ları kullanarak çok noktaya yayın özelliği etkinleştirilmiş dağıtım noktasına depolanır. İstemci çok noktaya yayın oturumuna bağlandığında PKI ile verilen istemci kimlik doğrulaması sertifikası (istemci HTTPS kullandığında) veya otomatik imzalı sertifika (istemci HTTP kullandığında) ile şifrelenmiş bir kanal üzerinden anahtar değişimi gerçekleştirilir. İstemci, anahtarı yalnızca çok noktaya yayın oturumu süresince belleğe depolar.
İşletim Sistemlerine Dağıtılacak Medya için Şifreleme
İşletim sistemlerine dağıtmak üzere medya kullandığınızda ve medyayı korumak için bir parola belirttiğinizde, ortam değişkenleri Gelişmiş Şifreleme Standardı (AES) kullanılarak şifrelenir. Medya üzerindeki paketler ve uygulama içerikleri dahil diğer veriler şifrelenmez.
Bulut Tabanlı Dağıtım Noktalarında Barındırılan İçerik için Şifreleme
System Center 2012 Configuration Manager SP1'den itibaren bulut tabanlı dağıtım noktaları kullandığınızda bu dağıtım noktalarına yüklediğiniz içerik, 256 bit anahtar boyutuyla Gelişmiş Şifreleme Standardı (AES) kullanılarak şifrelenir. İçerik her güncelleştirdiğinizde yeniden şifrelenir. İstemciler içeriği indirdiklerinde HTTPS bağlantısıyla şifrelenip korunur.
Yazılım Güncelleştirmelerini İmzalama
Tüm yazılım güncelleştirmeleri, kurcalanmaya karşı koruma sağlamak üzere güvenilen bir yayımcı tarafından imzalanmalıdır. İstemci bilgisayarlarda Windows Update Aracısı (WUA) katalogdaki güncelleştirmeleri tarar, ancak yerel bilgisayardaki Güvenilen Yayımcılar deposunda dijital sertifikayı bulamazsa güncelleştirmeyi yüklemez. Güncelleştirme kataloğunu yayımlamak için WSUS Publishers Self-signed gibi otomatik imzalı bir sertifika kullanıldıysa, sertifikanın geçerliliğinin onaylanabilmesi için yerel bilgisayardaki Güvenilen Kök Sertifika Yetkilileri sertifika deposunda da sertifikanın olması gerekir. WUA ayrıca yerel bilgisayarda İntranet Microsoft güncelleştirme hizmeti konumu Grup İlkesinden imzalanmış içeriğe izin ver ayarının etkinleştirilip etkinleştirilmediğini denetler. Updates Publisher ile oluşturulup yayımlanan güncelleştirmeleri taramak üzere WUA için bu ilke ayarı etkinleştirilmelidir.
Yazılım güncelleştirmeleri System Center Updates Publisher'da yayımlandığında, bir güncelleştirme sunucusuna yayımlanan yazılım güncelleştirmeleri dijital bir sertifika tarafından imzalanır. Bir PKI sertifikası belirtebilir veya Updates Publisher'ı yazılım güncelleştirmelerinin imzalanması için otomatik imzalı bir sertifika oluşturacak şekilde yapılandırabilirsiniz.
Uyumluluk Ayarları için İmzalanmış Yapılandırma Verileri
Yapılandırma verilerini içeri aktardığınızda Configuration Manager dosyanın dijital imzasını doğrular. Dosyalar imzalanmamışsa veya dijital yapı doğrulama denetimi başarısız olursa bir uyarı alırsınız ve içeri aktarmaya devam etmek isteyip istemediğiniz sorulur. Yapılandırma verilerini içeri aktarmaya yalnızca yayımcıya ve dosyaların bütünlüğüne açıkça güveniyorsanız devam edin.
İstemci Bildirimi için Şifreleme ve Karma Oluşturma
İstemci bildirimi kullanıyorsanız tüm iletişimlerde TLS'yi ve sunucu ile istemci işletim sistemlerinin anlaşabileceği en yüksek şifrelemeyi kullanır. Örneğin, Windows 7 çalıştıran bir istemci bilgisayar ve Windows Server 2008 R2 çalıştıran bir yönetim noktası 128 bit AES şifrelemesini destekleyebilirken, aynı yönetim noktasıyla Vista çalıştıran bir istemci bilgisayar 3DES şifrelemesiyle anlaşır. Aynı anlaşma, SHA-1 veya SHA-2 kullanan istemci bildirimi sırasında aktarılan paketlerin karmasını oluştururken meydana gelir.
Configuration Manager Tarafından Kullanılan Sertifikalar
Configuration Manager tarafından kullanılabilen ortak anahtar altyapısı (PKI) sertifikalarının bir listesi, her türlü özel gereksinim veya kısıtlama ve sertifikaların nasıl kullanıldığı hakkında bilgi için bkz. Configuration Manager İçin PKI Sertifikası Gereksinimleri. Bu liste desteklenen karma algoritmaları ve anahtar uzunluklarını içerir. Birçok sertifika SHA-256 ve 2048 bit anahtar uzunluğunu destekler.
Not
Configuration Manager tarafından kullanılan tüm sertifikalar aynı konu adı veya konu diğer adı içinde yalnızca tek baytlık karakterler içermelidir.
PKI sertifikaları aşağıdaki senaryolar için gereklidir:
Configuration Manager istemcilerini Internet üzerinden yönettiğinizde.
Configuration Manager istemcilerini mobil cihazlardan yönettiğinizde.
Mac bilgisayarları yönettiğinizde.
Bulut tabanlı dağıtım noktaları kullandığınızda.
Bant dışı Intel AMT tabanlı bilgisayarlar kullandığınızda.
Kimlik doğrulaması, imza veya şifreleme için sertifika gerektiren diğer birçok Configuration Manager iletişiminde Configuration Manager, PKI sertifikaları varsa otomatik olarak onları kullanır. Bunlar yoksa, Configuration Manager otomatik olarak imzalanan sertifikalar oluşturur.
Configuration Manager Exchange Server bağlayıcısı kullanarak mobil cihazları yönettiğinde PKI sertifikaları kullanmaz.
Mobile Cihaz Yönetimi ve PKI Sertifikaları
Mobil cihaz cep telefonu operatörü tarafından kilitlenmediyse, bir istemci sertifikasını isteyip yüklemek için Configuration Manager veya Microsoft Intune'u kullanabilirsiniz. Bu sertifika mobil cihazdaki istemci ile Configuration Manager site sistemleri veya Microsoft Intune hizmetleri arasında karşılıklı kimlik doğrulaması sağlar. Mobil cihazınız kilitliyse Configuration Manager veya Intune kullanarak sertifikaları dağıtamazsınız. Daha fazla bilgi için, bkz. İstemcileri Configuration Manager Kullanılarak Windows Mobile ve Nokia Symbian Cihazlarına Yükleme.
Mobil cihazlar için donanım envanterini etkinleştirirseniz Configuration Manager veya Intune ayrıca mobil cihazlara yüklü sertifikaların envanterini oluşturur.
Bant Dışı Yönetim ve PKI Sertifikaları
Intel AMT tabanlı bilgisayarlara yönelik bant dışı yönetim PKI ile verilen en az iki sertifika türünü kullanır: AMT sağlama sertifikası ve web sunucusu sertifikası.
Bant dışı hizmet noktası, bilgisayarları bant dışı yönetime hazırlamak için bir AMT sağlama sertifikası kullanır. Sağlanacak AMT tabanlı bilgisayarlar, bant dışı yönetim noktası tarafından sunulan sertifikaya güvenmelidir. Varsayılan olarak, AMT tabanlı bilgisayarlar bilgisayar üreticisi tarafından VeriSign, Go Daddy, Comodo ve Starfield gibi dış sertifika yetkililerini kullanacak şekilde yapılandırılır. Dış sertifika yetkililerinden birinden bir sağlama sertifikası satın alıp, Configuration Manager öğesini bu sağlama sertifikasını kullanacak şekilde yapılandırırsanız AMT tabanlı bilgisayarlar sağlama sertifikasının sertifika yetkilisine güvenir ve sağlama başarılı olabilir. Ancak, AMT sağlama sertifikalarını düzenlemek üzere kendi iç sertifika yetkilinizi kullanmanız en iyi güvenlik uygulamasıdır. Daha fazla bilgi için, bkz. Güvenlik dışında bant dışı yönetim için en iyi uygulamalar.
AMT tabanlı bilgisayarlar ürün yazılımlarında bir web sunucusu bileşeni çalıştırır ve bu web sunucusu bileşeni Aktarım Katmanı Güvenliği (TLS) kullanarak bant dışı hizmet noktasıyla iletişim kanalını şifreler. AMT BIOS'ta bir sertifikayı elle yapılandırmak için kullanıcı arabirimi bulunmadığından, talep eden AMT tabanlı bilgisayarlarının sertifika isteklerini otomatik olarak onaylayan bir Microsoft kuruluş sertifika yetkilisine sahip olmanız gerekir. İstek biçimi olarak PKCS#10 kullanılır ve sonuç olarak AMT tabanlı bilgisayarlara sertifika bilgilerinin aktarılması için PKCS#7 kullanılır.
AMT tabanlı bilgisayar kendisini yöneten bilgisayarda kimlik doğrulamasından geçirilse de, yöneten bilgisayarda karşılık gelen bir istemci PKI sertifikası yoktur. Bunun yerine, bu iletişimler Kerberos veya HTTP Digest kimlik doğrulaması kullanır. HTTP Digest kullanıldığında TLS ile şifrelenir.
Bant dışı AMT tabanlı bilgisayarları yönetmek için ek bir sertifika türü gerekli olabilir: 802.1X kimliği doğrulanmış kablolu ağlar ve kablosuz ağlar için isteğe bağlı istemci sertifikası. AMT tabanlı bilgisayar RADIUS sunucusunda kimlik doğrulaması için istemci sertifikası gerektirebilir. RADIUS sunucusu EAP-TLS kimlik doğrulaması için yapılandırıldığında her zaman bir istemci sertifikası gerekir. RADIUS sunucusu EAP-TTLS/MSCHAPv2 veya PEAPv0/EAP-MSCHAPv2 için yapılandırıldığında RADIUS yapılandırması bir istemci sertifikasının gerekli olup olmadığını belirtir. Bu sertifika, web sunucusu sertifika isteğiyle aynı işlemleri kullanarak AMT tabanlı bilgisayar tarafından istenir.
İşletim Sistemi Dağıtımı ve PKI Sertifikaları
İşletim sistemlerini dağıtmak için Configuration Manager kullandığınızda ve bir yönetim noktası HTTPS istemci bağlantıları gerektirdiğinde, görev sırası medyasından veya PXE özellikli bir dağıtım noktasından önyükleme gibi bir geçiş aşamasında olsa bile istemci bilgisayarda ayrıca yönetim noktasıyla iletişim kurmak üzere bir sertifika olmalıdır. Bu senaryoyu desteklemek için bir PKI istemci kimlik doğrulama sertifikası oluşturmanız ve özel anahtarla dışarı aktardıktan sonra site sunucusu özelliklerine aktarmanız ve ayrıca yönetim noktasının güvenilen kök CA sertifikasını eklemeniz gerekir.
Önyüklenebilir medya oluşturmak için, önyüklenebilir medya oluştururken istemci kimlik doğrulama sertifikasını içe aktarın. Özel anahtarı ve görev sırasında yapılandırılmış diğer duyarlı verileri korumaya yardımcı olmak üzere önyüklenebilir medyada bir parola yapılandırın. Önyüklenebilir medyadan başlatılan her bilgisayar, yönetim noktasına istemci ilkesini isteme gibi istemci işlevleri için gereken sertifikanın aynısını sunar.
PXE önyüklemesi kullanıyorsanız, istemci kimlik doğrulama sertifikasını PXE özellikli dağıtım noktasına aktarırsınız ve bu PXE özellikli dağıtım noktasından başlatılan her istemci için aynı sertifika kullanılır. En iyi güvenlik uygulaması olarak, bilgisayarlarını bir PXE hizmetine bağlayan kullanıcıların özel anahtarı ve görev sırasındaki diğer duyarlı verileri korumaya yardımcı olmak üzere bir parola belirtmesini isteyin.
Bu istemci kimlik doğrulama sertifikalarından biri riske girerse, Yönetim çalışma alanındaki Güvenlik düğümü, Sertifikalar düğümünde bulunan sertifikaları engelleyin. Bu sertifikaları yönetmek için İşletim sistemi dağıtım sertifikasını yönet hakkına sahip olmanız gerekir.
İşletim sistemi dağıtıldıktan ve Configuration Manager yüklendikten sonra istemci, HTTPS istemci iletişimi için kendi PKI istemci kimlik doğrulama sertifikasını gerektirir.
ISV Proxy Çözümleri ve PKI Sertifikaları
Bağımsız Yazılım Satıcıları (ISV) Configuration Manager özelliğini genişleten uygulamalar oluşturabilir. Örneğin, bir ISV Macintosh veya UNIX bilgisayarlar gibi Windows dışı istemci platformlarını destekleyen uzantılar oluşturabilir. Ancak, site sistemleri HTTPS istemci bağlantıları gerektiriyorsa bu istemciler siteyle iletişim için PKI sertifikalarını da kullanmalıdır.Configuration Manager, ISV proxy istemcileri ile yönetim noktası arasında iletişimi sağlayan ISV proxy’sine bir sertifika atama özelliğini içerir. ISV proxy sertifikaları gerektiren uzantılar kullanıyorsanız ilgili ürünün belgelerine başvurun. ISV proxy sertifikaları hakkında daha fazla bilgi için Configuration Manager Yazılım Geliştirme Setine (SDK) bakın.
ISV sertifikası riske girerse, Yönetim çalışma alanındaki Güvenlik düğümü, Sertifikalar düğümünde bulunan sertifikayı engelleyin.
Varlık Yönetim Bilgileri ve Sertifikaları
Configuration Manager, Varlık Yönetim Bilgileri eşitleme noktasının Microsoft’a bağlanmak için kullandığı bir X.509 sertifikası yükler.Configuration Manager bu sertifikayı Microsoft sertifika hizmetinden bir istemci kimlik doğrulama sertifikası istemek için kullanır. İstemci kimlik doğrulama sertifikası, Varlık Yönetim Bilgileri eşitleme noktası site sistem sunucusuna yüklenir ve sunucunun kimliğini Microsoft'ta doğrulamak için kullanılır. Configuration Manager, Varlık Yönetim Bilgileri kataloğunu indirmek ve yazılım başlıklarını karşıya yüklemek için istemci kimlik doğrulama sertifikasını kullanır.
Bu sertifika 1024 bit anahtar uzunluğuna sahiptir.
Bulut Tabanlı Dağıtım Noktaları ve Sertifikalar
System Center 2012 Configuration Manager SP1'den itibaren bulut tabanlı dağıtım noktaları Microsoft Azure'a yüklediğiniz bir yönetim sertifikası (otomatik imzalı veya PKI) gerektirir. Bu yönetim sertifikası, sunucu kimlik doğrulama özelliğini ve 2048 bit sertifika anahtarı uzunluğunu gerektirir. Bunun yanında, her bulut tabanlı dağıtım noktası için otomatik imzalı olamayacak, ancak ayrıca sunucu kimlik doğrulama özelliğine ve 2048 bit en küçük sertifika anahtar uzunluğuna sahip bir hizmet sertifikası yapılandırmanız gerekir.
Not
Otomatik imzalı yönetim sertifikası yalnızca sınama amaçlıdır ve üretim ağlarında kullanıma yönelik değildir.
İstemciler bulut tabanlı dağıtım noktalarını kullanmak için bir istemci PKI sertifikası gerektirmez; otomatik imzalı bir sertifika veya bir istemci PKI sertifikası kullanarak yönetim kimliğini doğrularlar. Yönetim noktası bundan sonra istemci için istemcinin bulut tabanlı dağıtım noktasına sunduğu bir Configuration Manager erişim belirteci düzenler. Belirteç 8 saat boyunca geçerlidir.
Microsoft Intune Bağlayıcısı ve Sertifikaları
Microsoft Intune mobil cihazları kaydettiğinde bu mobil cihazları Configuration Manager ürününde bir Microsoft Intune bağlayıcısı oluşturarak yönetebilirsiniz. Bağlayıcı, Configuration Manager'da Microsoft Intune kimliğini doğrulamak ve aralarındaki tüm bilgileri SSL kullanarak aktarmak için istemci kimlik doğrulama özelliğine sahip bir PKI sertifikası kullanır. Sertifika anahtar boyutu 2048 bittir ve SHA-1 karma algoritmasını kullanır.
Bağlayıcıyı yüklediğinizde bir imzalama sertifikası oluşturulur ve dışarıdan yükleme anahtarları için site sunucusuna depolanır ve Basit Sertifika Kayıt Protokolü (SCEP) sınamasını şifrelemek üzere bir şifreleme sertifikası oluşturulup sertifika kayıt noktasına depolanır. Bu sertifikalar da 2048 bit anahtar boyutuna sahiptir ve SHA-1 karma algoritmasını kullanır.
Intune mobil cihazları kaydettiğinde mobil cihaza bir PKI sertifikası yükler. Bu sertifika, istemci kimlik doğrulama özelliğine sahiptir, 2048 bit anahtar boyutu ve SHA-1 karma algoritmasını kullanır.
Bu PKI sertifikaları Microsoft Intune tarafından otomatik olarak istenir, oluşturulur ve yüklenir.
PKI Sertifikaları için CRL Denetleme
Bir PKI sertifika iptal listesi (CRL) yönetim ve işleme yüklerini artırmasına karşın daha güvenlidir. Ancak, CRL denetlemesinin etkinleştirilmesine rağmen CRL'ye erişilemiyorsa PKI bağlantısı başarısız olur. Daha fazla bilgi edinmek için Configuration Manager'da Güvenlik Planlaması konusunun PKI Sertifika İptali için Planlama Yapma bölümüne bakın.
Sertifika iptal listesi (CRL) denetleme özelliği IIS'de varsayılan olarak etkindir, bu yüzden PKI dağıtımınızla birlikte bir CRL kullanıyorsanız IIS çalıştıran birçok Configuration Manager site sisteminde başka bir işlem yapılması gerekmez. Buradaki özel durum, yazılım güncelleştirme dosyalarındaki imzaları doğrulamak için CRL denetlemeyi elle etkinleştirmeyi gerektiren yazılım güncelleştirmeleridir.
CRL denetlemesi, HTTPS istemci bağlantıları kullanan istemci bilgisayarlar için varsayılan olarak etkindir. CRL denetlemesi, AMT tabanlı bir bilgisayara bağlanmak için Bant Dışı Yönetim konsolunu çalıştırdığınızda varsayılan olarak etkinleştirilmez ve bu seçeneği etkinleştirebilirsiniz.Configuration Manager SP1 ve sonrasında Mac bilgisayarlardaki istemciler için CRL denetlemesini devre dışı bırakabilirsiniz.
CRL denetlemesi Configuration Manager içinde aşağıdaki bağlantılar için desteklenmez:
Sunucudan sunucuya bağlantılar.
Configuration Manager tarafından kaydedilen mobil cihazlar.
Microsoft Intune tarafından kaydedilen mobil cihazlar.
Sunucu İletişimi için Şifreleme Denetimleri
Configuration Manager sunucu iletişimi için aşağıdaki şifreleme denetimlerini kullanır.
Bir Sitedeki Sunucu İletişimi
Her site sistem sunucusu aynı Configuration Manager sitesindeki diğer site sistemlerine veri aktarmak için bir sertifika kullanır. Bazı site sistem rolleri ayrıca kimlik doğrulaması için sertifikalar kullanır. Örneğin, bir sunucuya kayıt proxy noktası, diğer bir sunucuya ise kayıt noktası yüklerseniz bu kimlik sertifikasını kullanarak birbirlerinin kimliğini doğrulayabilirler.Configuration Manager bu iletişim için bir sertifika kullandığında, sunucu kimlik doğrulama özelliğine sahip bir PKI sertifikası varsa Configuration Manager otomatik olarak bunu kullanır; aksi takdirde Configuration Manager otomatik imzalı bir sertifika oluşturur. Bu otomatik olarak imzalanan sertifika, sunucu kimlik doğrulama özelliğine sahiptir, SHA-256 kullanır ve 2048 bit anahtar uzunluğuna sahiptir.Configuration Manager, sertifikayı site sistemine güvenmesi gerekebilecek diğer site sistem sunucularındaki Güvenilir Kişiler deposuna kopyalar. Site sistemleri bu durumda bu sertifikaları ve PeerTrust'ı kullanarak birbirine güvenebilir.
Configuration Manager her site sistem sunucusu için bu sertifikaya ek olarak birçok site sistem rolü için otomatik imzalı bir sertifika oluşturur. Aynı sitede site sistem rolünün birden çok örneği olduğunda aynı sertifikayı paylaşırlar. Örneğin, aynı sitede birden çok yönetim noktanız veya birden çok kayıt noktanız olabilir. Bu otomatik imzalı sertifika da SHA-256 kullanır ve 2048 bit anahtar uzunluğuna sahiptir. Ayrıca site sistem sunucularında buna güvenmesi gerekebilen Güvenilir Kişiler Deposuna kopyalanır. Aşağıdaki site sistem rolleri şu sertifikayı oluşturur:
Uygulama Kataloğu web hizmet noktası
Uygulama Kataloğu web sitesi noktası
Varlık Yönetim Bilgileri eşitleme noktası
Sertifika kayıt noktası
Uç Nokta Koruma noktası
Kayıt noktası
Geri dönüş durumu noktası
Yönetim noktası
Çok noktaya yayını destekleyen dağıtım noktası
Bant dışı hizmet noktası
Raporlama hizmetleri noktası
Yazılım güncelleştirme noktası
Durum geçiş noktası
Sistem Durumu Doğrulayıcı noktası
Microsoft Intune bağlayıcısı
Bu sertifikalar Configuration Manager tarafından otomatik olarak yönetilir ve gerektiğinde otomatik olarak oluşturulur.
Configuration Manager, ayrıca dağıtım noktasından yönetim noktasına durum iletileri göndermek için bir istemci kimlik doğrulama sertifikasını kullanır. Yönetim noktası yalnızca HTTPS istemci bağlantıları için yapılandırıldığında bir PKI sertifikası kullanmanız gerekir. Yönetim noktası HTTP bağlantılarını kabul ediyorsa bir PKI sertifikası kullanabilir veya istemci kimlik doğrulama özelliğine sahip, SHA-256 kullanan ve anahtar uzunluğu 2048 bit olan otomatik imzalı bir sertifika kullanma seçeneğini belirleyebilirsiniz.
Siteler Arasındaki Sunucu İletişimi
Configuration Manager, veritabanı çoğaltmasını ve dosya tabanlı çoğaltmayı kullanarak verileri siteler arasında aktarır. Daha fazla bilgi için, bkz. Configuration Manager'daki Site Yönetimi için Teknik Başvuru.
Configuration Manager siteler arasındaki veritabanı çoğaltmasını otomatik olarak yapılandırır ve varsa sunucu kimlik doğrulama özelliğine sahip PKI sertifikaları kullanır; yoksa, Configuration Manager sunucu kimlik doğrulaması için otomatik imzalı sertifikalar oluşturur. Her iki durumda da siteler arasındaki kimlik doğrulaması, PeerTrust kullanan Güvenilir Kişiler Deposundaki sertifikalar kullanılarak gerçekleştirilir. Bu sertifika deposu yalnızca Configuration Manager hiyerarşisi tarafından kullanılan SQL Server bilgisayarlarının siteden siteye çoğaltmaya katılmasını sağlamak için kullanılır. Birincil siteler ve merkezi yönetim sitesi yapılandırma değişikliklerini hiyerarşideki tüm sitelere kopyalarken, ikincil siteler yapılandırma değişikliklerine yalnızca üst sitelerine kopyalayabilir.
Site sunucuları otomatik olarak gerçekleşen bir güvenli anahtar değişimini kullanarak siteden siteye iletişim kurar. Gönderen site sunucusu bir karma oluşturur ve özel anahtarıyla imzalar. Alan site sunucusu ortak anahtar kullanarak imzayı denetler ve karmayı yerel olarak oluşturulmuş bir değerle karşılaştırır. Eşleşiyorlarsa alıcı site çoğaltılan verileri kabul eder. Değerler eşleşmiyorsa Configuration Manager çoğaltma verilerini reddeder.
Configuration Manager içindeki veritabanı çoğaltması, siteler arasında veri aktarmak için SQL Server Hizmet Aracısını kullanarak aşağıdaki mekanizmalardan faydalanır:
SQL Server'dan SQL Server'a bağlantı: Bu seçenek Gelişmiş Şifreleme Standardı (AES) kullanarak verileri imzalamak ve şifrelemek üzere sunucu kimlik doğrulaması için Windows kimlik bilgilerini ve 1024 bitle otomatik imzalı sertifikaları kullanır. Sunucu kimlik doğrulama özelliğine sahip PKI sertifikaları mevcutsa bunlar kullanılır. Sertifika, Bilgisayar sertifika deposunun Kişisel deposunda bulunmalıdır.
SQL Hizmet Aracısı: Bu seçenek, Gelişmiş Şifreleme Standardı (AES) kullanarak kimlik doğrulaması yapmak ve verileri imzalamak ve şifrelemek üzere kimlik doğrulaması için 2048 bitle otomatik imzalı sertifikaları kullanır. Sertifika SQL Server ana veritabanında olmalıdır.
Dosya tabanlı çoğaltma özelliği, şifrelenmemiş ancak herhangi bir duyarlı veri içermeyen bu verileri imzalamak için Sunucu İleti Bloğu (SMB) protokolü ve SHA-256 kullanır. Bu verileri şifrelemek isterseniz IPsec kullanabilirsiniz ve bunu Configuration Manager öğesinden bağımsız olarak uygulamanız gerekir.
Site Sistemleriyle HTTPS İletişimi Kullanan İstemciler için Şifreleme Denetimleri
Site sistem rolleri istemci bağlantılarını kabul ettiğinde, bunları HTTPS ve HTTP bağlantılarını ya da yalnızca HTTPS bağlantılarını kabul edecek şekilde yapılandırabilirsiniz. Internet bağlantılarını kabul eden site sistem rolleri yalnızca HTTPS üzerinden istemci bağlantılarını kabul eder.
HTTPS üzerinden kurulan istemci bağlantıları, istemciden sunucuya iletişimi korumak üzere ortak anahtar altyapısı (PKI) ile bütünleşerek daha yüksek düzeyde güvenlik sunar. Ancak, HTTPS istemci bağlantılarının PKI planlama, dağıtım ve işlemleri iyice anlaşılmadan yapılandırılması sizi güvenlik açıklarına maruz bırakabilir. Örneğin, kök sertifika yetkilinizin güvenliğini sağlamazsanız saldırganlar tüm PKI altyapınızın güvenini riske sokabilir. Denetimli ve güvenli işlemler kullanılarak PKI sertifikalarının dağıtılamaması ve yönetilememesi, kritik yazılım güncelleştirmelerini veya paketlerini alamayan, yönetilmeyen istemcilerle sonuçlanabilir.
| Önemli |
|---|
İstemci iletişimi için kullanılan PKI sertifikaları yalnızca istemci ile bazı site sistemleri arasındaki iletişimi korur. Bunlar site sunucusu ile site sistemleri veya site sunucuları arasındaki iletişim kanalını korumaz. |
İstemciler HTTPS İletişimi Kullanırken Şifrelenmeyen İletişim
İstemciler HTTPS kullanarak site sistemleriyle iletişim kurduğunda bu iletişimler genellikle SSL üzerinden şifrelenir. Ancak, aşağıdaki durumlarda istemciler, site sistemleriyle şifreleme olmadan iletişim kurarlar:
İstemci intranet üzerinde bir HTTPS bağlantısı oluşturamaz ve site sistemleri bu yapılandırmaya izin verdiğinde HTTP kullanmaya geri döner
Aşağıdaki site sistem rolleriyle iletişim:
İstemci geri dönüş durum noktasına durum iletileri gönderir
İstemci PXE özellikli bir dağıtım noktasına PXE istekleri gönderir
İstemci bir yönetim noktasına bildirim verileri gönderir
Raporlama hizmetleri noktaları HTTP veya HTTPS'yi istemci iletişim modundan bağımsız olarak kullanmak üzere yapılandırılmıştır.
Site Sistemleriyle HTTP İletişimi Kullanan İstemciler için Şifreleme Denetimleri
İstemciler site sistem rolleriyle HTTP iletişimi kurarsa istemci kimlik doğrulaması için PKI sertifikaları veya Configuration Manager tarafından oluşturulan otomatik imzalı sertifikalar kullanabilirler.Configuration Manager otomatik imzalı sertifikalar kullandığında imzalama ve şifreleme için özel bir nesne tanımlayıcısına sahiptir ve bu sertifikalar istemciyi benzersiz şekilde tanımlamak için kullanılır. Windows Server 2003 hariç desteklenen tüm işletim sistemlerinde bu otomatik imzalı sertifikalar SHA-256 ve 2048 bit anahtar uzunluğu kullanır. Windows Server 2003'te ise 1024 bit anahtar uzunluğuyla SHA1 kullanılır.
İşletim Sistemi Dağıtımı ve Otomatik Olarak İmzalanan Sertifikalar
İşletim sistemlerini otomatik olarak imzalanan sertifikalarla dağıtmak için Configuration Manager kullandığınızda istemci bilgisayar, görev sırası medyasından veya PXE kullanan bir dağıtım noktasından önyükleme gibi bir geçici aşamada olsa bile bilgisayarda ayrıca yönetim noktasıyla iletişim kurmak üzere bir sertifika olmalıdır. HTTP istemcisi bağlantılarında bu senaryoyu desteklemek için Configuration Manager, imzalama ve şifreleme için özel bir nesne tanımlayıcısına sahip olan otomatik olarak imzalanan sertifikalar oluşturur ve bu sertifikalar istemciyi benzersiz şekilde tanımlamak için kullanılır. Windows Server 2003 hariç desteklenen tüm işletim sistemlerinde bu otomatik imzalı sertifikalar SHA-256 ve 2048 bit anahtar uzunluğu kullanır. Windows Server 2003'te ise 1024 bit anahtar uzunluğu olan SHA1 kullanılır. Otomatik olarak imzalanan bu sertifikaların güvenliği aşılırsa saldırganların güvenilen istemcilerin kimliğine bürünmek üzere onları kullanmasına engel olmak için sertifikaları Yönetim çalışma alanındaki Sertifikalar düğümünde ve Güvenlik düğümünde engelleyin.
İstemci ve Sunucu Kimlik Doğrulaması
İstemciler HTTP üzerinden bağlandıklarında, Active Directory Etki Alanı Hizmetlerini veya Configuration Manager güvenilen kök anahtarını kullanarak yönetim noktalarının kimliğini doğrularlar. İstemciler, durum geçiş noktaları veya yazılım güncelleştirme noktaları gibi diğer site sistemi rollerinin kimliğini doğrulamaz.
Bir yönetim noktası otomatik olarak imzalanan sertifikayı kullanarak istemcinin kimliğini ilk kez doğruladığında, her bilgisayar otomatik olarak imzalanan sertifika oluşturabileceği için bu düzenek en düşük güvenliği sağlar. Bu senaryoda, istemci kimliği işlemi onay yoluyla yükseltilmelidir. Yetkili kullanıcı tarafından yalnızca güvenilen bilgisayarlar Configuration Manager ile otomatik olarak veya elle onaylanmalıdır. Daha fazla bilgi için İstemciler Tarafından Başlatılan İletişim konusundaki onay bölümüne bakın.
SSL Güvenlik Açıkları Hakkında
Configuration Manager sunucularınızın güvenliğini artırmak için SSL 3.0’ın devre dışı bırakılması, TLS 1.1 ve 1.2’nin etkinleştirilmesi ve TLS ile ilgili şifre paketlerinin yeniden sıralanması önerilir. Bu işlemlerin nasıl yapılacağını bu KB makalesinde öğrenebilirsiniz. Bu işlem Configuration Manager işlevselliğini etkilemez.