Aracılığıyla paylaş

  • Makale

Configuration Manager'da İstemciler İçin Güvenlik ve Gizlilik

 

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Bu bölümde, System Center 2012 Configuration Manager içindeki istemciler ve Exchange Server bağlayıcısı ile yönetilen mobil aygıtlar için güvenlik ve gizlilik bilgileri bulunmaktadır:

  • Configuration Manager İstemcileri ve Exchange Server Bağlayıcısı ile Yönetilen Mobil Aygıtlar için En İyi Güvenlik Uygulamaları

    • Configuration Manager İstemcileri için Güvenlik Konuları

  • Configuration Manager İstemcileri için Gizlilik Bilgileri

  • Exchange Server Bağlayıcısı Kullanılarak Yönetilen Mobil Aygıtlar için Gizlilik Bilgileri

Configuration Manager İstemcileri ve Exchange Server Bağlayıcısı ile Yönetilen Mobil Aygıtlar için En İyi Güvenlik Uygulamaları

Configuration Manager, Configuration Manager istemcisi çalıştırılan aygıtlardan veri kabul ettiğinde, bu durum, istemcilerin siteye saldırma riskini ortaya çıkarır. Örneğin, hatalı oluşturulmuş envanter gönderebilir veya site sistemlerini aşırı yüklemeyi deneyebilirler.Configuration Manager istemcisini yalnızca güvendiğiniz aygıtlara dağıtın. Ayrıca, siteyi yanlış veya riskli aygıtlardan korumaya yardımcı olmak için aşağıdaki en iyi güvenlik uygulamalarını kullanın:

En iyi güvenlik yöntemi

Daha fazla bilgi

IIS çalıştırılan site sistemleriyle istemci iletişimleri için, ortak anahtar altyapısı (PKI) sertifikaları kullanın:

  • Site özelliği olarak, Site sistem ayarları'nı Yalnızca HTTPS için yapılandırın.

  • /UsePKICert CCMSetup özellikli istemciler yükleyin

  • Bir sertifika iptal listesi (CRL) kullanın ve istemcilerin ve iletişim sunucularının buna daima erişebilmesini sağlayın.

Bu sertifikalar, mobil aygıt istemcileri için ve istemci bilgisayarlarının İnternet bağlantısı için ve dağıtım noktaları hariç olmak üzere, intranete tüm istemci bağlantıları için önerilir.

PKI sertifikası gereksinimleri ve Configuration Manager korumasına yardımcı olmak üzere nasıl kullanıldıkları hakkında daha fazla bilgi için, bkz. Configuration Manager İçin PKI Sertifikası Gereksinimleri.

Güvenilir etki alanlarındaki istemci bilgisayarlarını otomatik olarak onaylama ve diğer bilgisayarları el ile kontrol edip onaylama

Onay, güvendiğiniz bir bilgisayarın, PKI kimlik doğrulaması kullanamadığınızda Configuration Manager tarafından yönetileceğini belirtir.

Hiyerarşi için onayı el ile, güvenilir etki alanlarındaki bilgisayarlar için otomatik veya tüm bilgisayarlar için otomatik şeklinde yapılandırabilirsiniz. En güvenli onay yöntemi, güvenilir etki alanları üyeleri olan istemcileri otomatik olarak onaylamak ve ardından diğer tüm bilgisayarları el ile denetleyip onaylamaktır. Güvenilir olmayan bilgisayarların ağınıza erişimini önlemek için, başka erişim denetimleriniz olmadıkça tüm istemcilerin otomatik olarak onaylanması önerilmez.

Bilgisayarların elle nasıl onaylanacağı hakkında daha fazla bilgi için, bkz. İstemcileri Cihazlar Düğümünden Yönetme.

İstemcilerin Configuration Manager hiyerarşisine erişimini önleme engellemesine güvenmeyin

Engellenen istemciler Configuration Manager altyapısı tarafından reddedilir, böylelikle ilke indirmek, envanter verileri yüklemek veya durum mesajları göndermek üzere site sistemleriyle iletişim kuramazlar. Ancak, site sistemleri HTTP istemci bağlantılarını kabul ediyorken, Configuration Manager hiyerarşisini güvenilir olmayan bilgisayarlardan korumak üzere engellemeye güvenmeyin. Bu senaryoda engellenmiş bir istemci yeni bir kendi imzaladığı sertifika ve donanım kimliğiyle siteye yeniden katılabilir. Engelleme, istemcilere bir işletim sistemi dağıttığınızda ve tüm site sistemleri HTTPS istemci bağlantılarını kabul ettiğinde, kayıp veya riskli bir önyükleme medyasını engellemek için kullanılmak üzere tasarlanmıştır. Bir ortak anahtar altyapısı (PKI) kullanırsanız ve bu, sertifika iptal listesini (CRL) destekliyorsa, sertifika iptalini daima, riskli olabilecek sertifikalara karşı birincil savunma hattı olarak değerlendirin.Configuration Manager içinde istemcilerin engellenmesi, hiyerarşinizi korumak için ikinci bir savunma hattı sunar.

Daha fazla bilgi için, bkz. Configuration Manager'da İstemcilerin Engellenip Engellenmeyeceğini Belirleme.

Ortamınız için uygun olan en güvenli istemci yükleme yöntemlerini kullanın:

  • Etki alanı bilgisayarları için, Grup İlkesi istemci yüklemesi ve yazılım güncelleştirme tabanlı istemci yükleme yöntemleri, istemci anında yüklemeden daha güvenlidir.

  • Erişim denetimleri ve değişiklik denetimleri uyguladığınızda Imaging ve el ile yükleme çok güvenli olabilir.

Tüm istemci yükleme yöntemleri arasında, sahip olduğu yerel yönetim izinleri, Admin$ paylaşımı ve birçok güvenlik duvarı istisnasını içeren pek çok bağımlılık nedeniyle, istemci anında yükleme en az güvenli olandır. Bu bağımlılıklar, saldırı yüzeyinizi artırır.

Farklı istemci yükleme yöntemleri hakkında daha fazla bilgi için, bkz. Configuration Manager'da Windows Bilgisayarları için Kullanılacak İstemci Yükleme Yöntemini Belirleyin.

Ek olarak, mümkün olduğunda, Configuration Manager içinde en az güvenlik izinleri gerektiren bir istemci yükleme yöntemi seçin ve istemci dağıtımı dışında amaçlar için kullanılabilecek izinleri içeren güvenlik rolleri atanmış yönetim kullanıcılarını kısıtlayın. Örneğin, otomatik istemci yükseltmesi, bir yönetim kullanıcısına tüm güvenlik izinlerini veren Tam Yönetici güvenlik rolünü gerektirir.

Her istemci yükleme yöntemi için gereken güvenlik izinleri ve bağımlılıklar hakkında daha fazla bilgi için, Bilgisayar İstemcileri için Önkoşullar konusunda Configuration Manager'da Windows İstemci Dağıtımı Önkoşulları bölümünde "Yükleme Yöntemi Bağımlılıkları" kısmına bakın.

İstemci anında yükleme kullanmanız gerekiyorsa, İstemci Anında Yükleme Hesabını güvenli hale getirmek için ek adımlar uygulayın

Bu hesabın Configuration Manager istemci yazılımını yükleyecek tüm bilgisayarlardaki yerel Yöneticiler grubunun bir üyesi olması gerekse de İstemciye Göndererek Yükleme Hesabı’nı hiçbir zaman Etki Alanı Yöneticileri grubuna eklemeyin. Bunun yerine, genel bir grup oluşturun ve o genel grubu istemci bilgisayarlarınızda yerel Yöneticiler grubuna ekleyin. İstemci Anında Yükleme Hesabını yerel Yöneticiler grubuna eklemek üzere bir Kısıtlı Grup ayarı eklemek için, bir Grup İlkesi nesnesi de oluşturabilirsiniz.

Daha fazla güvenlik için, bir tanesi riskli hale gelirse yalnızca o hesabın erişimi olduğu istemci bilgisayarlarının riske atılması adına, her birinin sınırlı sayıda bilgisayara yönetim erişimi olan birden çok İstemci Anında Yükleme Hesabı oluşturun.

İstemci bilgisayarını görüntülemeden önce sertifikaları kaldırın

İstemcileri, görüntüleme teknolojisi kullanarak dağıtmayı planlıyorsanız, görüntüyü yakalamadan önce, otomatik imzalı sertifikalar ve istemci kimlik doğrulamasını içeren, PKI sertifikaları gibi sertifikaları daima kaldırın. Bu sertifikaları kaldırmazsanız, istemciler birbirinin kimliğine bürünebilir ve her bir istemci için verileri doğrulayamazsınız.

Bir bilgisayarı görüntülemeye hazırlamak üzere Sysprep kullanma hakkında daha fazla bilgi için, Windows dağıtım belgenize bakın.

Configuration Manager bilgisayarı istemcilerinin bu sertifikaların onaylı bir kopyasını aldığından emin olun:

  • Configuration Manager güvenilir kök anahtarı

  • Site sunucusu imzalama sertifikası

  • Güvenilir kök anahtar:

    Configuration Manager için Active Directory şemasını genişletmediyseniz ve istemciler yönetim noktalarıyla iletişim kurduğunda PKI sertifikaları kullanmıyorsa, istemciler geçerli yönetim noktalarının kimlik doğrulaması için Configuration Manager güvenilir kök anahtarına bel bağlar. Bu senaryoda istemcilerin, güvenilir kök anahtarı kullanmadıkça, yönetim noktasının hiyerarşi için güvenilir bir yönetim noktası olduğunu doğrulama yolu yoktur. Güvenilir kök anahtar olmadan, becerikli bir saldırgan, istemcileri yanlış bir yönetim noktasına yönlendirebilir.

    İstemciler Configuration Manager güvenilir kök anahtarını Genel Katalog'dan veya PKI sertifikalarını kullanarak indiremiyorsa, yanlış bir yönetim noktasına yönlendirilemiyor olmalarını sağlamak üzere istemcilere güvenilir kök anahtarı önceden sağlayın. Daha fazla bilgi edinmek için Configuration Manager'da Güvenlik Planlaması konusunun Güvenilir Kök Anahtar için Planlama bölümüne bakın.

  • Site sunucusu imzalama sertifikası:

    İstemciler, site sunucusunun, bir yönetim noktasından indirdikleri istemci ilkesini imzaladığını doğrulamak için, site sunucusu imzalama sertifikasını kullanır. Bu sertifika, site sunucusu tarafından otomatik imzalanır ve Active Directory Etki Alanı Hizmetlerine yayımlanır.

    İstemciler site sunucusu imzalama sertifikasını Genel Katalog'dan indiremediğinde, onu varsayılan olarak yönetim noktasından indirirler+. Yönetim noktası güvenilir olmayan bir ağa (İnternet gibi) sunulduğunda, riskli bir yönetim noktasından üzerinde oynanmış istemci ilkelerini çalıştıramadıklarından emin olmak amacıyla, istemcilerde site sunucusu imzalama sertifikasını el ile yükleyin.

    Site sunucusu imzalama sertifikasını el ile yüklemek için, CCMSetup client.msi özelliği SMSSIGNCERT kullanın. Daha fazla bilgi için Configuration Manager'da İstemci Yükleme Özellikleri Hakkında konusuna bakın.

İstemci, güvenilir kök anahtarı bağlantı kurduğu ilk yönetim noktasından indirecekse otomatik site ataması kullanmayın

Bu en iyi güvenlik uygulaması, önceki girişle bağlantılıdır. Yeni bir istemcinin, yanlış bir yönetim noktasından güvenilir kök anahtarı indirme riskini önlemek için, otomatik site atamasını yalnızca aşağıdaki senaryolarda kullanın:

  • İstemci, Active Directory Etki Alanı Hizmetleri'ne yayımlanan Configuration Manager sitesi bilgilerine erişebildiğinde.

  • İstemciye güvenilir kök anahtarı önceden sağladığınızda.

  • İstemci ve yönetim noktası arasında güven sağlamak için bir kuruluş sertifika yetkilisinden PKI sertifikaları kullandığınızda.

Güvenilen kök anahtarı hakkında daha fazla bilgi için Güvenilir Kök Anahtar için Planlama konusunun Configuration Manager'da Güvenlik Planlaması bölümüne bakın.

İstemci bilgisayarlarını CCMSetup Client.msi seçeneği SMSDIRECTORYLOOKUP=NoWINS ile yükleyin

İstemcilerin, siteleri ve yönetim noktalarını bulmak için en güvenli hizmet konumu yöntemi, Active Directory Etki Alanı Hizmetleri'ni kullanmaktır. Örneğin Configuration Manager için Active Directory şemasını genişletemediğiniz veya istemciler güvenilir olmayan bir orman ya da çalışma grubunda oldukları için bu mümkün değilse, alternatif bir hizmet konumu yöntemi olarak DNS yayımlama kullanabilirsiniz. Bu yöntemlerin her ikisi de başarısız olursa, yönetim noktası HTTPS istemci bağlantıları için yapılandırılmadığında istemciler WINS kullanmaya geri dönebilir.

WINS'e yayımlama, diğer yayımlama yöntemlerinden daha az güvenli oluğundan, SMSDIRECTORYLOOKUP=NoWINS belirterek istemci bilgisayarlarını WINS kullanmaya geri dönmemek üzere yapılandırın. Hizmet konumu için WINS kullanmanız gerekiyorsa, yönetim noktasının otomatik olarak imzalanan sertifikasını doğrulamak üzere Configuration Manager güvenilir kök anahtarını kullanan SMSDIRECTORYLOOKUP=WINSSECURE kullanın (varsayılan ayar).

Not

İstemci SMSDIRECTORYLOOKUP=WINSSECURE için yapılandırıldığında ve WINS'den bir yönetim noktası bulduğunda, istemci onun WMI içindeki Configuration Manager güvenilir kök anahtarı kopyasını denetler. Yönetim noktası sertifikasındaki imza, istemcinin güvenilir kök anahtar kopyasıyla aynıysa sertifika doğrulanır ve istemci WINS kullanarak bulduğu yönetim noktasıyla iletişim kurar. Yönetim noktası sertifikasındaki imza, istemcinin güvenilir kök anahtar kopyasıyla aynı değilse sertifika geçerli değildir ve istemci WINS kullanarak bulduğu yönetim noktasıyla iletişim kurmaz.

Bakım pencerelerinin, kritik yazılım güncelleştirmelerini dağıtmaya yetecek büyüklükte olmalarını sağlayın

Configuration Manager için bu aygıtlara yazılım yükleme zamanlarını kısıtlamak amacıyla, aygıt koleksiyonları bakım pencerelerini yapılandırabilirsiniz. Bakım penceresini çok küçük olacak şekilde yapılandırırsanız, istemci kritik yazılım güncelleştirmelerini yükleyemeyebilir ve böylelikle yazılım güncelleştirmesiyle azaltılan saldırıya açık halde kalır.

Yazma filtreleri bulunan Windows katıştırılmış aygıtlar için, yazılım yüklemeleri ve değişikliklerine devam etmek amacıyla, yazma filtreleri Configuration Manager tarafından devre dışı bırakıldığında saldırı yüzeyini azaltmaya yönelik ek güvenlik önlemleri alın

Yazma filtreleri Windows Katıştırılmış aygıtlarda etkin olduğunda, herhangi bir yazılım yüklemesi veya değişikliği yalnızca katmana yapılır ve aygıt yeniden başladıktan sonra devam etmez. Yazılım yüklemeleri ve değişikliklerine devam etmek amacıyla, yazma filtrelerini kalıcı olarak devre dışı bırakmak için Configuration Manager kullanırsanız, bu süre boyunca, katıştırılmış aygıt tüm birimlerde değişikliklere açıktır, bunlara paylaşılan klasörler dahildir.

Configuration Manager, bilgisayarı bu süre boyunca yalnızca yerel yöneticilerin oturum açabilmesi adına kilitlese de, mümkün olduğunda, bilgisayarın korunmasına yardımcı olmak için ek güvenlik önlemleri alın. Örneğin, güvenlik duvarında ek kısıtlamaları etkinleştirin ve aygıtın ağ bağlantısını kesin.

Değişiklikleri devam ettirmek için bakım pencerelerini kullanırsanız, yazma filtrelerinin devre dışı bırakılabileceği süreyi en aza indirgemek ancak yazılım yüklemeleri ve yeniden başlatmalarının tamamlanmasına yetecek uzunlukta tutmak üzere bu pencereleri dikkatli bir şekilde planlayın.

Yazılım güncelleştirmesi tabanlı istemci yüklemesi kullanırsanız ve siteye istemcinin daha sonraki bir sürümünü yüklerseniz, istemcilerin en güncel sürümü alabilmesi adına, yazılım güncelleştirme noktasında yayımlanan yazılım güncelleştirmesini güncelleştirin.

Siteye istemcinin daha sonraki bir sürümünü yüklerseniz, örneğin, siteyi yükseltirseniz, yazılım güncelleştirme noktasına yayımlanan istemci dağıtımı yazılım güncelleştirmesi otomatik olarak güncelleştirilmez.Configuration Manager istemcisini yazılım güncelleştirme noktasına yeniden yayımlamanız ve sürüm numarasını güncelleştirmek için Evet'i tıklatmanız gerekir.

Daha fazla bilgi için Yazılım Güncelleştirme Tabanlı Yükleme Kullanarak Configuration Manager İstemcilerini Yükleme konusunun Configuration Manager'da İstemcileri Windows Tabanlı Bilgisayarlara Yükleme bölümündeki "Configuration Manager istemcisini yazılım güncelleştirme noktasına yayımlamak için" yordamına bakın.

Bilgisayar Aracısı istemci aygıtı Yeniden başlatma sırasında BitLocker PIN girişini askıya al ayarını, yalnızca güvendiğiniz ve sınırlı fiziksel erişimi olan bilgisayarlar için Daima olarak yapılandırın

Bu ayarı Her Zaman olarak belirlediğinizde Configuration Manager kritik yazılım güncelleştirmelerinin yüklendiğinden ve hizmetlerin sürdürüldüğünden emin olmaya yardım etmek üzere yazılım yüklemesini tamamlayabilir. Ancak bir saldırgan yeniden başlatma işlemiyle kesişirse bilgisayarın denetimini ele geçirebilir. Bu ayarı yalnızca bilgisayara güveniyorsanız ve bilgisayara fiziksel erişim kısıtlı olduğunda kullanın. Bir örnek olarak bu ayar bir veri merkezindeki sunucular için uygun olabilir.

Bilgisayar Aracısı istemci aygıtı ayarı PowerShell yürütme ilkesiniAtlama olarak yapılandırmayın.

Bu istemci ayarı Configuration Manager istemcisinin imzalanmamış PowerShell komut dosyaları çalıştırmasına imkan tanır ve böylece istemci bilgisayarlarda kötü amaçlı yazılımların çalışmasına izin verebilir. Bu seçeneği belirlemeniz gerekiyorsa özel bir istemci ayarı kullanın ve yalnızca imzalanmamış PowerShell komut dosyalarını çalıştırması gereken istemci bilgisayarlara atayın.

İnternet'te desteklenecek kaydettiğiniz mobil aygıtlar ve Configuration Manager için: Kayıt proxy noktasını bir çevre ağına, kayıt noktasını ise intranete yükleyin

Bu rol ayrımı, kayıt noktasını saldırıdan korumaya yardımcı olur. Kayıt noktasının güvenliği ihlal edildiyse bir saldırgan, kimlik doğrulamaya ait sertifikaları alabilir ve mobil aygıtlarını kaydeden kullanıcıların kimlik bilgilerini çalabilir.

Mobil aygıtlar için: Mobil aygıtları yetkisiz erişimden korumak için parola ayarlarını yapılandır

Configuration Manager tarafından kaydedilen mobil aygıtlar için: Parola karmaşıklığını PIN olarak, minimum parola uzunluğu için de en azından varsayılan uzunluğu yapılandırmak için bir mobil aygıt yapılandırması kullanın.

Configuration Manager istemcisi yüklü olmayan, ancak Exchange Server Bağlayıcısı tarafından yönetilen mobil cihazlar için: Exchange Server bağlayıcısı için Parola Ayarları'nı, parola karmaşıklığı PIN olacak şekilde yapılandırın ve en küçük parola uzunluğu için en azından varsayılan uzunluğu belirtin.

Mobil aygıtlar için: Uygulamaların yalnızca güvendiğiniz şirketler tarafından imzalandığında çalışmasına izin vererek ve imzalanmamış dosyaların yüklenmesine izin vermeyerek envanter bilgileri ve durum bilgileri ile oynanmasını önlemeye yardımcı olun

Configuration Manager tarafından kaydedilen diğer mobil aygıtlar için: İmzasız uygulamalar güvenlik ayarını Yasaklanmış olarak, İmzasız dosya yüklemeleri seçeneğini ise güvenilen bir kaynak olarak yapılandırmak için bir mobil aygıt yapılandırma öğesi kullanın.

Configuration Manager istemcisi yüklü olmayan, ancak Exchange Server Bağlayıcısı tarafından yönetilen mobil cihazlar için: Exchange Server bağlayıcısı için Uygulama Ayarları'nı İmzasız dosya yüklemesi ve İmzasız uygulamalar seçenekleri Yasaklanmış olarak ayarlanacak şekilde yapılandırın.

Mobil aygıtlar için: Mobil aygıtı kullanımda olmadığında kilitleyerek ayrıcalık saldırılarının yükselmesini önleyin

Configuration Manager tarafından kaydedilen diğer mobil aygıtlar için: Mobil aygıtın kilitlenmesinden önce dakika olarak boşta kalma süresi parola ayarını yapılandırmak için bir mobil aygıt yapılandırma öğesini kullanın.

Configuration Manager istemcisi yüklü olmayan, ancak Exchange Server Bağlayıcısı tarafından yönetilen mobil cihazlar için: Exchange Server bağlayıcısı için Parola Ayarları'nı Mobil aygıtın kilitlenmesinden önce dakika olarak boşta kalma süresi ayarı için yapılandırın.

Mobil aygıtlar için: Mobil aygıtlarını kaydedebilen kullanıcıları kısıtlayarak ayrıcalıkların yükselmesini önlemeye yardımcı olun.

Yalnızca izin verilen kullanıcıların mobil aygıtlarını kaydetmesine izin vermek için varsayılan istemci ayarları yerine özel bir istemci ayarı kullanın.

Mobil aygıtlar için: Mobil cihazları Configuration Manager veya Microsoft Intune tarafından kaydedilmiş kullanıcılara aşağıdaki senaryolarda uygulama dağıtmayın:

  • Mobil aygıt birden çok kişi tarafından kullanıldığında.

  • Aygıt bir kullanıcı adına yönetici tarafından kaydedildiğinde.

  • Aygıt devre dışı bırakılıp tekrar kaydedilmeden başka bir kişiye aktarıldığında.

Kayıt sırasında, kaydı gerçekleştiren kullanıcıyı mobil aygıta eşleyen bir kullanıcı aygıtı benzeşim ilişkisi oluşturulur. Mobil aygıtı başka bir kullanıcı kullanırsa, özgün kullanıcıya dağıttığınız uygulamaları çalıştırabilir ve ayrıcalıkların yükselmesine neden olabilir. Benzer şekilde, mobil aygıtı kullanıcı adına bir yönetici kaydederse, kullanıcıya dağıtılan uygulamalar mobil aygıta yüklenmez ve bunun yerine yöneticiye dağıtılan uygulamalar yüklenebilir.

Windows bilgisayarlar için kullanıcı aygıt benzeşiminin aksine, Microsoft Intune tarafından kaydedilen mobil cihazlar için kullanıcı aygıt benzeşimi bilgilerini el ile tanımlayamazsınız.

Intune tarafından kaydedilen bir mobil aygıtın sahipliğini aktarıyorsanız, kullanıcı aygıt benzeşimini kaldırmak üzere mobil cihazı Intune'da devre dışı bırakın ve ardından geçerli kullanıcıdan cihazı tekrar kaydetmesini isteyin.

Mobil aygıtlar için: Kullanıcıların Microsoft Intune'da kendi mobil cihazlarını kaydettiğinden emin olun

Kayıt sırasında kaydı gerçekleştiren kullanıcıyı mobil aygıta eşleyen bir kullanıcı aygıtı benzeşimi oluşturulduğu için, mobil aygıtı kullanıcı adına bir yönetici kaydederse, kullanıcıya dağıtılan uygulamalar mobil aygıta yüklenmez ve bunun yerine yöneticiye dağıtılan uygulamalar yüklenebilir.

Exchange Server bağlayıcısı için: Configuration Manager site sunucusu ile Exchange Server bilgisayarı arasındaki bağlantının korunduğundan emin olun

Exchange Server şirket içindeyse IPsec kullanın; barındırılan Exchange, SSL kullanarak bağlantı güvenliğini otomatik olarak sağlar.

Exchange Server bağlayıcısı için: Bağlayıcı için en düşük ayrıcalık ilkesini kullanın

Exchange Server bağlayıcısının gerektirdiği en küçük cmdlet'lerin listesi için bkz. Configuration Manager'ı ve Exchange'i Kullanarak Mobil Cihazları Yönetme.

Mac bilgisayarlar için: İstemci kaynak dosyalarını depolayın ve güvenli bir konumdan erişin.

Configuration Manager, istemciyi Mac bilgisayarına yüklemeden veya kaydetmeden önce bu istemci kaynak dosyalarıyla oynanıp oynanmadığını doğrulamaz. Bu dosyaları güvenilen bir kaynaktan indirin ve güvenli bir şekilde depolayıp erişin.

Mac bilgisayarlar için: Configuration Manager öğesinden bağımsız olarak, kullanıcılara kaydedilmiş sertifikanın geçerlilik süresini izleyin.

İş sürekliliğini sağlamak üzere, Mac bilgisayarlar için kullandığınız sertifikaların geçerlilik süresini izleyin.Configuration Manager SP1 bu sertifikanın otomatik yenilenmesini desteklemez veya sertifika süresinin dolmak üzere olduğu yönünde sizi uyarmaz. Tipik geçerlilik süresi 1 yıldır.

Sertifikanın nasıl yenileneceği hakkında bilgi için Configuration Manager'da Mac Bilgisayarlarına İstemci Yükleme konusu altındaki Mac İstemcisi Sertifikasını Yenileme bölümlerine bakın.

Mac bilgisayarlar için: Ayrıcalıkların yükselmesini önlemeye yardımcı olmak için güvenilen kök CA sertifikasını yalnızca SSL protokolü için güvenilecek şekilde yapılandırmayı deneyin.

Mac bilgisayarları kaydettiğinizde Configuration Manager istemcisini yönetecek bir kullanıcı sertifikası, bağlı olduğu güvenilen kök sertifikası ile birlikte otomatik olarak yüklenir. Bu kök sertifikasının güvenilirliğini yalnızca SSL protokolü ile kısıtlamak istiyorsanız aşağıdaki prosedürü kullanabilirsiniz.

Bu prosedürü tamamladıktan sonra SSL dışındaki protokollerin doğrulanması için kök sertifikaya güvenilmemelidir örneğin Güvenli Posta (S/MIME), Genişletilebilir Kimlik Doğrulaması (EAP) veya kod imzalama.

Not

Ayrıca istemci sertifikasını Configuration Manager öğesinden bağımsız olarak yüklediyseniz bu prosedürü kullanabilirsiniz.

Kök CA sertifikasını yalnızca SSL protokolüyle kısıtlamak için:

  1. Mac bilgisayarda bir terminal penceresi açın.

  2. sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access komutunu girin

  3. Anahtarlık Erişimi iletişim kutusunda, Anahtarlıklar bölümünde Sistem'i tıklatın ve sonra Kategori bölümünde Sertifikalar'ı tıklatın.

  4. Mac istemci sertifikası için kök CA sertifikayı bulup çift tıklatın.

  5. Kök CA sertifikası iletişim kutusunda Güven bölümünü genişletin ve ardından aşağıdaki değişiklikleri yapın:

    1. Bu sertifikayı kullanırken ayarı için Her Zaman Güven varsayılan ayarını Sistem Varsayılanlarını Kullan olarak değiştirin.

    2. Güvenli Yuva Katmanı (SSL) ayarı için değer belirtilmedi ayarını Her Zaman Güven olarak değiştirin.

  6. İletişim kutusunu kapatın ve sorulduğunda yöneticinin parolasını girip Ayarları Güncelleştir öğesini tıklatın.

Configuration Manager İstemcileri için Güvenlik Konuları

Aşağıdaki güvenlik sorunlarının çözümü yoktur:

  • Durum iletilerinin kimlik doğrulaması yapılmıyor

    Durum iletileri üzerinde bir kimlik doğrulaması gerçekleştirilmez. Bir yönetim noktası HTTP istemci bağlantılarını kabul ettiğinde yönetim noktasına herhangi bir aygıt durum iletisi gönderebilir. Yönetim noktası yalnızca HTTPS istemci bağlantılarını kabul ediyorsa bir aygıt güvenilen bir kök sertifika yetkilisinden geçerli bir istemci kimlik doğrulama sertifikası edinmelidir, ancak daha sonra herhangi bir durum iletisi gönderebilir. Bir istemci geçersiz bir durum iletisi gönderirse iptal edilir.

    Bu güvenlik açığına karşı birkaç saldırı yapılabilir. Bir saldırgan, durum iletisi sorgularına dayalı bir koleksiyonda üyelik kazanmak için sahte bir durum iletisi gönderebilir. Herhangi bir istemci, yönetim noktasını durum iletileriyle doldurarak yönetim noktasına karşı bir hizmet reddi başlatabilir. Durum iletileri durum iletisi filtreleme kurallarında eylemleri tetikliyorsa, durum iletisi filtreleme kuralını bir saldırgan tetikleyebilir. Bir saldırgan ayrıca raporlama bilgilerini yanlış hale getiren durum iletileri gönderebilir.

  • İlkeler hedeflenmeyen kullanıcılara yönlendirilebilir

    Saldırganlar bir istemciye yöneltilmiş bir ilkeyi tamamen farklı bir istemciye uygulamak üzere birçok yöntem kullanabilir. Örneğin, güvenilen bir istemcideki saldırgan, bilgisayarın ait olmaması gereken bir koleksiyona eklenmesi için yanlış envanter veya bulma bilgileri gönderebilir ve ardından tüm dağıtımları o koleksiyona alabilir. Saldırganların ilkeyi doğrudan değiştirmesini önlemeye yardımcı denetimler mevcut olsa da, saldırganlar mevcut bir ilkeyi kullanarak işletim sistemini yeniden biçimlendirebilir veya yeniden dağıtabilir ve farklı bir bilgisayara göndererek hizmet reddi oluşturabilir. Bu tür saldırılar tam zamanlama ve Configuration Manager altyapısıyla ilgili kapsamlı bilgi gerektirir.

  • İstemci günlükleri kullanıcı erişimine izin veriyor

    Tüm istemci günlük dosyaları kullanıcılara Okuma erişimi ve Etkileşimli Kullanıcılara Yazma erişimi verir. Ayrıntılı günlüğe yazmayı etkinleştirirseniz, saldırganlar uyum veya sistem güvenlik açıkları hakkındaki bilgileri aramak için günlük dosyalarını okuyabilir. Bir kullanıcının bağlamında gerçekleştirilen yazılım yüklemesi gibi işlemler, düşük haklara sahip bir kullanıcı hesabıyla günlüklere yazabilmelidir. Bu durum bir saldırganın da düşük haklar hesabıyla günlüklere yazabileceği anlamına gelir.

    En ciddi risk, yöneticinin denetleme ve davetsiz misafir algılama için ihtiyaç duyabileceği günlük dosyası bilgilerinin bir saldırgan tarafından kaldırılabilmesidir.

  • Mobil aygıt kaydı için tasarlanmış bir sertifikayı almak için bir bilgisayar kullanılabilir

    Configuration Manager bir kayıt isteğini işlerken isteğin bir bilgisayar yerine mobil aygıttan geldiğini doğrulayamaz. İstek bir bilgisayardan geliyorsa daha sonra Configuration Manager ile kaydetmeye imkan tanıyan bir PKI sertifikası yükleyebilir. Bu senaryoda ayrıcalık yükselmesi saldırısını önlemek üzere yalnızca güvenilen kullanıcıların mobil aygıtlarını kaydetmesine izin verin ve kayıt etkinliklerini dikkatlice izleyin.

  • Bir istemciyi engellerseniz istemci ile yönetim noktası arasındaki bağlantı bırakılmaz ve engellenen istemci, yönetim noktasına etkin tutma iletileri halinde istemci bildirim paketleri göndermeye devam edebilir

    System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için:

    Artık güvenmediğiniz bir istemciyi engellediğinizde ve bir istemci bildirim iletişimi kurulduğunda Configuration Manager, oturumun bağlantısını kesmez. Engellenen istemci, ağ bağlantısı kesilene kadar yönetim noktasına paket göndermeye devam edebilir. Bu paketler yalnızca küçük, etkin tutma paketleridir ve bu istemciler engelleri kaldırılana kadar Configuration Manager tarafından yönetilemez.

  • Otomatik istemci yükseltmesi kullandığınızda ve istemci, istemci kaynak dosyalarını indirmek üzere bir yönetim noktasına yönlendirildiğinde yönetim noktası güvenilen bir kaynak olarak doğrulanmaz

    System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için:

    Bazı sitelerin Configuration Manager SP1, bazı sitelerin ise hizmet paketi içermeyen Configuration Manager çalıştırdığı bir Configuration Manager hiyerarşisinde otomatik istemci yükseltmesi kullanıyorsanız hizmet paketi içermeyen bir Configuration Manager sitesindeki istemci, dağıtım noktaları yerine atanmış yönetim noktasından istemci kaynak dosyaları indirmek üzere yönetilir. Bunun yapılması, hizmet paketi içermeyen Configuration Manager çalıştıran sitelere atanmış istemcilerin Configuration Manager SP1 istemci kaynak dosyaları yüklememesini sağlar ve istemcinin yönetilmemesine neden olur. Bu senaryoda yönetim noktası, istemciler tarafından güvenilen bir kaynak olarak doğrulanmaz ve istemciler, istemci yükleme dosyaları için yanlış bir yönetim noktasına yönlendirilebilir. Ancak, istemciler Microsoft tarafından imzalanmayan tüm istemci yükleme dosyalarını reddedeceği için bu risk düşüktür. İstemciler yönetim noktalarından istemci ilkesini indirmeden önce güveni mutlaka doğrular.

  • Kullanıcılar Mac bilgisayarları ilk kez kaydederken DNS yanıltma riski altındadır

    Mac bilgisayarı kayıt sırasında kayıt proxy noktasına bağlandığında Mac bilgisayarın zaten kök CA sertifikasına sahip olma olasılığı düşüktür. Bu noktada Mac bilgisayarın sunucuya güveni kaldırılır ve kullanıcının devam etmesi istenir. Kayıt proxy noktasının tam adı yanlış bir DNS sunucusu tarafından çözümlenirse, Mac bilgisayarı yanlış bir kayıt proxy noktasına yönlendirir ve güvenilmeyen bir kaynaktan sertifikalar yükler. Bu riski azaltmaya yardımcı olmak üzere en iyi uygulamaları izleyerek ortamınızda DNS yanıltmayı önleyin.

  • Mac kaydı sertifika isteklerini sınırlamaz

    Kullanıcılar Mac bilgisayarlarını yeniden kaydettirerek her seferinde yeni bir istemci sertifikası isteyebilirler.Configuration Manager, birden fazla isteği denetlemez veya tek bir bilgisayardan istenen sertifika sayısını sınırlamaz. Yanlış bir kullanıcı, komut satırı kayıt isteğini tekrarlayan bir komut dosyası çalıştırarak ağda veya sertifika verme yetkilisinde (CA) bir hizmet reddi oluşturabilir. Bu riski azaltmaya yardımcı olmak için sertifika verme yetkilisini bu tür şüpheli davranışlara karşı dikkatlice izleyin. Bu tür davranış sergileyen bir bilgisayar Configuration Manager hiyerarşisinde hemen engellenmelidir.

  • Silme onayı, aygıtın başarıyla silindiğini doğrulamıyor

    Bir mobil aygıt için silme işlemi başlattığınızda ve Configuration Manager öğesi onaylanacak silme durumunu gösterdiğinde, üzerinde işlem yapan aygıtın değil Configuration Manager öğesinin iletiyi başarıyla gönderdiği doğrulanır. Bunun yanında, Exchange Server bağlayıcı tarafından yönetilen mobil aygıtlar için silme onayı, komutun aygıt tarafından değil, Exchange tarafından alındığını doğrular.

  • Değişiklikleri Configuration Manager SP1'deki Windows Katıştırılmış aygıtlarında yürütme seçeneklerini kullanırsanız hesaplar beklenenden daha kısa sürede kilitlenebilir.

    Windows Katıştırılmış aygıtı Windows 7'den daha önceki bir işletim sistemini çalıştırıyorsa ve yazma filtrelerinin Configuration Manager SP 1 tarafından yapılan değişiklikleri yürütmek için devre dışı durumdayken bir kullanıcı oturum açmayı denerse, hesap kilitlenmeden önce izin verilen hatalı oturum açma girişimlerinin sayısı etkin bir şekilde yarıya iner. Örneğin, Hesap Kilitleme Eşiği 6 olarak yapılandırıldıysa ve bir kullanıcı parolasını 3 defa yanlış yazarsa, hizmet durumu reddi oluşturarak hesap kilitlenir. Kullanıcıların bu senaryodaki katıştırılmış aygıtlara bağlanması gerekirse olası azalmış kilitleme eşiği hakkında bu kullanıcıları uyarın.

Configuration Manager İstemcileri için Gizlilik Bilgileri

Configuration Manager istemcisini dağıttığınızda Configuration Manager yönetim özelliklerini kullanabilmek için istemci ayarlarını yapılandırırsınız. Özellikleri yapılandırmak için kullandığınız ayarlar, şirket ağına doğrudan bağlı olup olmadığına, bir uzak oturum üzerinden bağlı olup olmadığına veya Internet'e bağlı olup Configuration Manager tarafından desteklenip desteklenmediğine bakmaksızın Configuration Manager hiyerarşisindeki tüm istemciler için geçerli olabilir.

İstemci bilgileri Configuration Manager veritabanında depolanır ve Microsoft'a gönderilmez. Bilgiler, Eski Bulma Verilerini Sil site bakım görevleri tarafından her 90 günde bir silinene kadar veritabanında tutulur. Silme aralığını yapılandırabilirsiniz.

Configuration Manager istemcisini yapılandırmadan önce gizlilik gereksinimlerinizi göz önünde bulundurun.

Configuration Manager Tarafından Kaydedilen Mobil Aygıt İstemcileri için Gizlilik Bilgileri

Configuration Manager ile bir mobil aygıtı kaydettiğiniz bir durum hakkında gizlilik bilgileri için, bkz. Microsoft System Center 2012 Configuration Manager Gizlilik Bildirimi - Mobil Aygıt Eki.

İstemci Durumu

Configuration Manager, istemcilerin etkinliklerini izleyip düzenli aralıklarla değerlendirir ve Configuration Manager istemcileri ile bağımlılıklarını düzeltebilir. İstemci durumu varsayılan olarak etkindir ve istemci etkinlik denetimleri için sunucu tarafı ölçümünü ve kendi denetimi, düzeltme ve istemci durum bilgilerini Configuration Manager sitesine gönderme için istemci tarafı eylemlerini kullanır. İstemciler kendi denetimlerini, yapılandırabileceğiniz bir zamanlamaya göre çalıştırır. İstemci, denetimlerin sonuçlarını Configuration Manager sitesine gönderir. Bu bilgiler aktarım sırasında şifrelenir.

İstemci durum bilgileri Configuration Manager veritabanında depolanır ve Microsoft'a gönderilmez. Bilgiler site veritabanında şifreli biçimde depolanmaz. Bilgiler, İstemci durum geçmişini şu sayıda gün boyunca koru istemci durum ayarı için yapılandırılan değere bağlı olarak silinene kadar veritabanında tutulur. Bu ayar için varsayılan değer her 31 günde birdir.

İstemci durum denetlemesi ile birlikte Configuration Manager istemcisini yüklemeden önce gizlilik gereksinimlerinizi gözden geçirin.

Exchange Server Bağlayıcısı Kullanılarak Yönetilen Mobil Aygıtlar için Gizlilik Bilgileri

Exchange Server Bağlayıcısı, ActiveSync protokolünü kullanarak Exchange Server'a (şirket içi veya konak) bağlanan aygıtları bulur ve yönetir. Exchange Server Bağlayıcısı tarafından bulunan kayıtlar Configuration Manager veritabanında depolanır. Bilgiler Exchange Server'dan toplanır. Mobil aygıtların Exchange Server'a gönderdiklerinin dışında ek bilgiler içermez.

Mobil aygıt bilgileri Microsoft'a gönderilmez. Mobil aygıt bilgileri Configuration Manager veritabanında depolanır. Bilgiler, Eski Bulma Verilerini Sil site bakım görevleri tarafından her 90 günde bir silinene kadar veritabanında tutulur. Silme aralığını yapılandırabilirsiniz.

Exchange Server bağlayıcısını yüklemeden ve yapılandırmadan önce gizlilik gereksinimlerinizi gözden geçirin.