密碼編譯控制技術參考
適用於:Configuration Manager (目前的分支)
Configuration Manager 使用簽署和加密來協助保護 Configuration Manager 階層中的裝置管理。 使用簽署時,如果數據已在傳輸中改變,則會捨棄。 加密可協助防止攻擊者使用網路協定分析器讀取數據。
Configuration Manager 用來簽署的主要哈希演算法是SHA-256。 當兩個 Configuration Manager 網站彼此通訊時,會使用 SHA-256 簽署通訊。
從 2107 版開始,Configuration Manager 使用的主要加密演算法是 AES-256。 加密主要發生在下列兩個區域:
如果您啟用月臺 以使用加密,用戶端會加密其清查數據,以及傳送至管理點的狀態消息。
當用戶端下載秘密原則時,管理點一律會加密這些原則。 例如,包含密碼的 OS 部署工作順序。
注意事項
如果您設定 HTTPS 通訊,這些訊息會加密兩次。 訊息會使用 AES 加密,然後使用 AES-256 加密 HTTPS 傳輸。
當您透過 HTTPS 使用用戶端通訊時,請將公鑰基礎結構 (PKI) 設定為使用具有最大哈希演算法和金鑰長度的憑證。 使用 CNG v3 憑證時,Configuration Manager 用戶端僅支援使用 RSA 密碼編譯演算法的憑證。 如需詳細資訊,請參閱 PKI 憑證需求 和 CNG v3 憑證概觀。
基於傳輸安全性,任何使用TLS的專案都支援 AES-256。 此支援包括當您針對 增強式 HTTP (E-HTTP) 或 HTTPS 設定月臺時。 針對內部部署月台系統,您可以控制 TLS 加密套件。 針對雲端式角色,例如雲端管理閘道 (CMG) ,如果您啟用 TLS 1.2,Configuration Manager 設定加密套件。
對於大部分以 Windows 為基礎的操作系統的密碼編譯作業,Configuration Manager 會從 Windows CryptoAPI 連結庫 rsaenh.dll 使用這些演算法。
如需特定功能的詳細資訊,請參閱 網站作業。
月臺作業
Configuration Manager 中的資訊可以簽署和加密。 它支援具有或不含 PKI 憑證的這些作業。
原則簽署和加密
月臺會使用其自我簽署憑證簽署客戶端原則指派。 此行為有助於防止遭入侵管理點的安全性風險傳送遭竄改的原則。 如果您使用 以因特網為基礎的用戶端管理,此行為很重要,因為它需要因特網面向的管理點。
當原則包含敏感數據時,從 2107 版開始,管理點會使用 AES-256 進行加密。 包含敏感數據的原則只會傳送至授權的用戶端。 網站不會加密沒有敏感數據的原則。
當用戶端儲存原則時,它會使用 Windows 資料保護應用程式開發介面 (DPAPI) 來加密原則。
原則哈希
當用戶端要求原則時,它會先取得原則指派。 然後它會知道哪些原則適用於該原則,而且只能要求這些原則主體。 每個原則指派都包含對應原則主體的導出哈希。 用戶端會下載適用的原則主體,然後計算每個原則主體的哈希。 如果原則主體上的哈希不符合原則指派中的哈希,則用戶端會捨棄原則本文。
原則的哈希演算法是 SHA-256。
內容哈希
月臺伺服器上的發佈管理員服務會將所有套件的內容檔案哈希。 原則提供者會在軟體發佈原則中包含哈希。 當 Configuration Manager 用戶端下載內容時,用戶端會在本機重新產生哈希,並將其與原則中提供的哈希進行比較。 如果哈希相符,內容就不會改變,而且用戶端會安裝它。 如果變更內容的單一位元組,哈希將不會相符,而且用戶端不會安裝軟體。 這項檢查有助於確保已安裝正確的軟體,因為實際內容會與原則進行比較。
內容的預設哈希演算法是 SHA-256。
並非所有裝置都可以支持內容哈希。 例外狀況包括:
- Windows 用戶端串流 App-V 內容時。
清查簽署和加密
當用戶端將硬體或軟體清查傳送至管理點時,一律會簽署清查。 用戶端是否透過E-HTTP或 HTTPS 與管理點通訊並不重要。 如果他們使用 E-HTTP,您也可以選擇加密此數據,這是建議的。
狀態移轉加密
當工作順序從用戶端擷取數據以進行OS部署時,它一律會加密數據。 在 2103 版和更新版本中,工作順序會使用 AES-256 加密演算法執行用戶狀態移轉工具 (USMT) 。
多播套件的加密
針對每個 OS 部署套件,您可以在使用多播時啟用加密。 此加密使用 AES-256 演算法。 如果您啟用加密,則不需要其他憑證設定。 啟用多播的發佈點會自動產生對稱金鑰來加密封裝。 每個套件都有不同的加密金鑰。 金鑰會使用標準 Windows API 儲存在啟用多播的發佈點上。
當用戶端連線到多播會話時,密鑰交換會透過加密的通道進行。 如果用戶端使用 HTTPS,則會使用 PKI 發出的用戶端驗證憑證。 如果用戶端使用 E-HTTP,則會使用自我簽署憑證。 用戶端只會在多播會話期間將加密金鑰儲存在記憶體中。
OS 部署媒體的加密
當您使用媒體部署作業系統時,應該一律指定密碼來保護媒體。 使用密碼時,工作順序環境變數會使用 AES-128 加密。 媒體上的其他數據,包括應用程式的套件和內容,不會加密。
雲端式內容的加密
當您啟用雲端管理閘道 (CMG) 來儲存內容時,會使用 AES-256 加密內容。 每當您更新內容時,內容都會加密。 當用戶端下載內容時,它會由 HTTPS 連線加密及保護。
登入軟體更新
所有軟體更新都必須由受信任的發行者簽署,以防止遭到竄改。 在用戶端電腦上,Windows Update 代理程式 (WUA) 掃描目錄中的更新。 如果本機計算機上的 [信任的發行者] 存放區中找不到數字證書,則不會安裝更新。
當您使用 System Center 匯報 Publisher 發佈軟體更新時,數位證書會簽署軟體更新。 您可以指定 PKI 憑證,或設定 匯報 Publisher 來產生自我簽署憑證來簽署軟體更新。 如果您使用自我簽署憑證來發佈更新目錄,例如 WSUS 發行者自我簽署,則憑證也必須位於本機計算機上的受信任跟證書授權單位證書存儲中。 WUA 也會檢查是否已在本機計算機上啟用 [ 允許來自內部網路的已簽署內容Microsoft更新服務位置 組策略] 設定。 必須啟用此原則設定,WUA 才能掃描使用 System Center 匯報 Publisher 建立和發佈的更新。
相容性設定的已簽署組態數據
當您匯入組態數據時,Configuration Manager 驗證檔案的數字簽名。 如果檔案未簽署,或簽章檢查失敗,主控台會警告您繼續匯入。 只有在您明確信任發行者和檔案完整性時,才匯入組態數據。
用戶端通知的加密和哈希
如果您使用用戶端通知,所有通訊都會使用 TLS,以及伺服器和用戶端可以交涉的最高演算法。 在使用 SHA-2 的用戶端通知期間,哈希傳輸的封包會發生相同的交涉。
憑證
如需 PKI (公鑰基礎結構的清單,) Configuration Manager 可以使用的憑證、任何特殊需求或限制,以及憑證的使用方式,請參閱 PKI 憑證需求。 此清單包含支援的哈希演算法和金鑰長度。 大部分的憑證都支援 SHA-256 和 2048位密鑰長度。
大部分使用憑證的 Configuration Manager 作業也支援 v3 憑證。 如需詳細資訊,請參閱 CNG v3 憑證概觀。
注意事項
Configuration Manager 使用的所有憑證都必須在主體名稱或主體別名中只包含單一位元組字元。
Configuration Manager 需要下列案例的 PKI 憑證:
當您在因特網上管理 Configuration Manager 用戶端時
當您使用雲端管理閘道 (CMG)
對於大部分需要憑證進行驗證、簽署或加密的其他通訊,Configuration Manager 會在可用時自動使用 PKI 憑證。 如果無法使用,Configuration Manager 會產生自我簽署憑證。
行動裝置管理和 PKI 憑證
注意事項
自 2021 年 11 月起,我們已淘汰行動裝置管理,建議客戶卸載此角色。
OS 部署和 PKI 憑證
當您使用 Configuration Manager 部署操作系統,而管理點需要 HTTPS 用戶端連線時,用戶端需要憑證才能與管理點通訊。 即使用戶端處於過渡階段,例如從工作順序媒體或啟用 PXE 的發佈點開機,還是需要這項需求。 若要支援此案例,請建立 PKI 用戶端驗證憑證,並使用私鑰加以匯出。 然後將它匯入月台伺服器屬性,並新增管理點受信任的根 CA 憑證。
如果您建立可開機媒體,則會在建立可開機媒體時匯入客戶端驗證憑證。 若要協助保護工作順序中設定的私鑰和其他敏感數據,請在可開機媒體上設定密碼。 從可開機媒體開機的每部計算機都會使用與管理點相同的憑證,如要求客戶端原則等用戶端函式所需的憑證。
如果您使用 PXE,請將客戶端驗證憑證匯入啟用 PXE 的發佈點。 它會針對從啟用 PXE 的發佈點開機的每個用戶端使用相同的憑證。 為了協助保護工作順序中的私鑰和其他敏感數據,需要 PXE 的密碼。
如果其中一個客戶端驗證憑證遭到入侵,請封鎖 [系統管理] 工作區 [安全性] 節點中 [憑證] 節點中的憑證。 若要管理這些憑證,您需要 管理操作系統部署憑證的許可權。
部署 Configuration Manager OS 安裝客戶端之後,用戶端需要自己的 PKI 用戶端驗證憑證,才能進行 HTTPS 用戶端通訊。
ISV Proxy 解決方案和 PKI 憑證
獨立軟體供應商 (ISV) 可以建立可擴充 Configuration Manager 的應用程式。 例如,ISV 可以建立擴充功能來支援非 Windows 用戶端平臺。 不過,如果站台系統需要 HTTPS 用戶端連線,這些客戶端也必須使用 PKI 憑證來與站台通訊。 Configuration Manager 包括將憑證指派給ISV Proxy的能力,以啟用ISV Proxy用戶端與管理點之間的通訊。 如果您使用需要ISV Proxy 憑證的擴充功能,請參閱該產品的檔。
如果ISV憑證遭到入侵,請封鎖 [系統管理] 工作區 [安全性] 節點中 [憑證] 節點中的憑證。
複製ISV Proxy 憑證的 GUID
從 2111 版開始,若要簡化這些 ISV Proxy 憑證的管理,您現在可以在 Configuration Manager 控制台中複製其 GUID。
在 Configuration Manager 控制台中,移至 [系統管理] 工作區。
展開 [安全性],然後選取 [ 憑證 ] 節點。
依 [ 類型 ] 資料行排序憑證清單。
選取 ISV Proxy類型的憑證。
在功能區中,選取 [複製憑證 GUID]。
此動作會複製此憑證的 GUID,例如: aa05bf38-5cd6-43ea-ac61-ab101f943987
Asset Intelligence 和憑證
注意事項
自 2021 年 11 月起,我們已淘汰 Asset Intelligence,建議客戶卸載此角色。
Azure 服務和憑證
雲端管理網關 (CMG) 需要伺服器驗證憑證。 這些憑證可讓服務透過因特網提供 HTTPS 通訊給用戶端。 如需詳細資訊,請參閱 CMG 伺服器驗證憑證。
用戶端需要另一種類型的驗證,才能與 CMG 和內部部署管理點通訊。 他們可以使用 Microsoft Entra ID、PKI 憑證或網站令牌。 如需詳細資訊, 請參閱設定雲端管理閘道的客戶端驗證。
用戶端不需要用戶端 PKI 憑證即可使用雲端式記憶體。 向管理點進行驗證之後,管理點會發出 Configuration Manager 存取令牌給用戶端。 用戶端會將此令牌提供給CMG以存取內容。 令牌的有效期為八小時。
PKI 憑證的CRL檢查
(CRL 的 PKI 憑證撤銷清單) 提高整體安全性,但確實需要一些管理和處理額外負荷。 如果您啟用CRL檢查,但客戶端無法存取CRL,則 PKI 聯機會失敗。
IIS 預設會啟用CRL檢查。 如果您將CRL與 PKI 部署搭配使用,則不需要設定大部分執行 IIS 的站台系統。 軟體更新的例外狀況是需要手動步驟來啟用 CRL 檢查,以驗證軟體更新檔案上的簽章。
當用戶端使用 HTTPS 時,預設會啟用 CRL 檢查。
下列連線不支援CRL簽入 Configuration Manager:
- 伺服器對伺服器連線
伺服器通訊
Configuration Manager 使用下列密碼編譯控件進行伺服器通訊。
月臺內的伺服器通訊
每部月臺系統伺服器都會使用憑證,將數據傳輸到相同月臺 Configuration Manager 中的其他月台系統。 某些站台系統角色也會使用憑證進行驗證。 例如,如果您在一部伺服器上安裝註冊 Proxy 點,並在另一部伺服器上安裝註冊點,則它們可以使用此身分識別憑證彼此驗證。
當 Configuration Manager 使用憑證進行此通訊時,如果有具有伺服器驗證功能的 PKI 憑證,Configuration Manager 會自動使用它。 如果沒有,Configuration Manager 會產生自我簽署憑證。 此自我簽署憑證具有伺服器驗證功能、使用SHA-256,密鑰長度為2048位。 Configuration Manager 將憑證複製到其他可能需要信任站台系統之月台系統伺服器上的受信任 人員 存放區。 月臺系統接著可以使用這些憑證和 PeerTrust 彼此信任。
除了每個月台系統伺服器的此憑證之外,Configuration Manager 會為大部分的月臺系統角色產生自我簽署憑證。 當相同網站中有多個月台系統角色實例時,它們會共用相同的憑證。 例如,您可能在同一個站台中有多個管理點。 此自我簽署憑證使用SHA-256,金鑰長度為2048位。 它會複製到月台系統伺服器上可能需要信任的受信任 人員 存放區。 下列月臺系統角色會產生此憑證:
Asset Intelligence 同步處理點
Endpoint Protection 點
後援狀態點
管理點
啟用多播的發佈點
Reporting Services 點
軟體更新點
狀態移轉點
Configuration Manager 會自動產生和管理這些憑證。
若要將狀態消息從發佈點傳送至管理點,Configuration Manager 使用用戶端驗證憑證。 當您設定 HTTPS 的管理點時,它需要 PKI 憑證。 如果管理點接受 E-HTTP 連線,您可以使用 PKI 憑證。 它也可以使用具有客戶端驗證功能的自我簽署憑證、使用 SHA-256,且密鑰長度為 2048 位。
月臺之間的伺服器通訊
Configuration Manager 使用資料庫復寫和檔案型復寫,在月臺之間傳輸數據。 如需詳細資訊,請 參閱月臺之間的數據傳輸 和 端點之間的通訊。
Configuration Manager 自動設定月臺之間的資料庫複寫。 如果有的話,它會使用具有伺服器驗證功能的 PKI 憑證。 如果無法使用,Configuration Manager 建立伺服器驗證的自我簽署憑證。 在這兩種情況下,它會使用使用PeerTrust之受信任 人員存放區中的憑證,在月臺之間進行驗證。 它會使用此證書存儲來確保只有 Configuration Manager 階層 SQL Server 會參與站對站複寫。
站臺伺服器會使用自動發生的安全密鑰交換來建立站對站通訊。 傳送的月臺伺服器會產生哈希,並使用其私鑰加以簽署。 接收站臺伺服器會使用公鑰來檢查簽章,並比較哈希與本機產生的值。 如果相符,接收月臺會接受複寫的數據。 如果值不相符,Configuration Manager 拒絕復寫數據。
Configuration Manager 中的資料庫複寫會使用 SQL Server Service Broker 在月臺之間傳輸數據。 它會使用下列機制:
SQL Server SQL Server:此聯機會使用 Windows 認證進行伺服器驗證,並使用 1024 位的自我簽署憑證,以 AES 演演算法簽署和加密數據。 如果有的話,它會使用具有伺服器驗證功能的 PKI 憑證。 它只會使用計算機個人證書存儲中的憑證。
SQL Service Broker:此服務使用具有 2048 位的自我簽署憑證進行驗證,並使用 AES 演演算法簽署和加密數據。 它只會使用 SQL Server master 資料庫中的憑證。
檔案型復寫會使用伺服器消息塊 (SMB) 通訊協定。 它會使用 SHA-256 來簽署未加密且不包含任何敏感數據的數據。 若要加密此數據,請使用您從 Configuration Manager 獨立實作的 IPsec。
使用 HTTPS 的用戶端
當月台系統角色接受用戶端連線時,您可以將它們設定為接受 HTTPS 和 HTTP 連線,或只接受 HTTPS 連線。 接受來自因特網連線的月台系統角色只接受透過 HTTPS 的用戶端連線。
透過 HTTPS 的用戶端連線可藉由整合公鑰基礎結構 (PKI) 來協助保護用戶端對伺服器的通訊,來提供更高層級的安全性。 不過,在未徹底瞭解 PKI 規劃、部署和作業的情況下設定 HTTPS 用戶端連線,仍可能會讓您容易受到攻擊。 例如,如果您未保護跟證書授權單位 (CA) ,攻擊者可能會危害整個 PKI 基礎結構的信任。 無法使用受控制且受保護的程式來部署和管理 PKI 憑證,可能會導致未受管理的客戶端無法接收重要的軟體更新或套件。
重要事項
Configuration Manager 用於客戶端通訊的 PKI 憑證只會保護用戶端與某些月台系統之間的通訊。 它們不會保護月臺伺服器與月台系統之間或月臺伺服器之間的通道。
用戶端使用 HTTPS 時未加密的通訊
當用戶端透過 HTTPS 與站台系統通訊時,大部分的流量都會加密。 在下列情況下,用戶端會與月台系統通訊,而不需要使用加密:
用戶端無法在內部網路上建立 HTTPS 連線,而且會在站台系統允許此設定時回復為使用 HTTP。
與下列月臺系統角色的通訊:
用戶端會將狀態消息傳送至後援狀態點。
用戶端會將 PXE 要求傳送至啟用 PXE 的發佈點。
用戶端會將通知數據傳送至管理點。
您可以將 Reporting Services 點設定為獨立於用戶端通訊模式使用 HTTP 或 HTTPS。
使用 E-HTTP 的用戶端
當用戶端使用月台系統角色的 E-HTTP 通訊時,他們可以使用 PKI 憑證進行客戶端驗證,或 Configuration Manager 產生的自我簽署憑證。 當 Configuration Manager 產生自我簽署憑證時,它們會有用於簽署和加密的自定義物件識別符。 這些憑證可用來唯一識別用戶端。 這些自我簽署憑證使用 SHA-256,金鑰長度為2048位。
OS 部署和自我簽署憑證
當您使用 Configuration Manager 來部署具有自我簽署憑證的操作系統時,用戶端也必須有憑證才能與管理點通訊。 即使計算機處於過渡階段,例如從工作順序媒體或啟用 PXE 的發佈點開機,還是需要這項需求。 為了支援此 E-HTTP 用戶端連線案例,Configuration Manager 會產生自我簽署憑證,其中具有用於簽署和加密的自定義物件標識符。 這些憑證可用來唯一識別用戶端。 這些自我簽署憑證使用 SHA-256,金鑰長度為2048位。 如果這些自我簽署憑證遭到入侵,請防止攻擊者使用它們來模擬信任的用戶端。 封鎖 [系統管理] 工作區 [安全性] 節點中 [憑證] 節點中的憑證。
用戶端和伺服器驗證
當用戶端透過 E-HTTP 連線時,他們會使用 Active Directory 網域服務 或使用 Configuration Manager 受信任的根密鑰來驗證管理點。 用戶端不會驗證其他站台系統角色,例如狀態移轉點或軟體更新點。
當管理點第一次使用自我簽署用戶端憑證驗證用戶端時,此機制提供最低的安全性,因為任何計算機都可以產生自我簽署憑證。 使用用戶端核准來增強此程式。 只核准受信任的計算機,由 Configuration Manager 自動核准,或由系統管理用戶手動核准。 如需詳細資訊,請 參閱管理用戶端。
關於 SSL 弱點
若要改善 Configuration Manager 客戶端和伺服器的安全性,請執行下列動作:
在所有裝置和服務上啟用 TLS 1.2。 若要啟用 TLS 1.2 for Configuration Manager,請參閱如何啟用 TLS 1.2 for Configuration Manager。
停用 SSL 3.0、TLS 1.0 和 TLS 1.1。
重新排序 TLS 相關的加密套件。
如需詳細資訊,請參閱下列文章:
這些程式不會影響 Configuration Manager 功能。
注意事項
匯報 從具有加密套件需求的 Azure 內容傳遞網路 (CDN) Configuration Manager 下載。 如需詳細資訊,請參閱 Azure Front Door:TLS 設定常見問題。