共用方式為


密碼編譯控制技術參考

適用於:Configuration Manager (目前的分支)

Configuration Manager使用簽署和加密來協助保護Configuration Manager階層中的裝置管理。 使用簽署時,如果資料已在傳輸中改變,則會捨棄。 加密可協助防止攻擊者使用網路通訊協定分析器讀取資料。

Configuration Manager用來簽署的主要雜湊演算法是SHA-256。 當兩個Configuration Manager網站彼此通訊時,會與 SHA-256 簽署通訊。

從 2107 版開始,Configuration Manager使用的主要加密演算法是AES-256。 加密主要發生在下列兩個區域:

  • 如果您啟用月臺 以使用加密,用戶端會加密其清查資料,以及傳送至管理點的狀態訊息。

  • 當用戶端下載秘密原則時,管理點一律會加密這些原則。 例如,包含密碼的 OS 部署工作順序。

針對 2103 版和更早版本的用戶端,主要加密演算法為 3DES

注意事項

如果您設定 HTTPS 通訊,這些訊息會加密兩次。 訊息會使用 AES 加密,然後使用 AES 加密 HTTPS 傳輸。

當您透過 HTTPS 使用用戶端通訊時,請將公開金鑰基礎結構 (PKI) 設定為使用具有最大雜湊演算法和金鑰長度的憑證。 使用 CNG v3 憑證時,Configuration Manager用戶端僅支援使用 RSA 密碼編譯演算法的憑證。 如需詳細資訊,請參閱 PKI 憑證需求CNG v3 憑證概觀

為了傳輸安全性,使用 TLS 的任何專案都支援 AES。 此支援包括當您為月臺設定 增強式 HTTP 或 HTTPS 時。 針對內部部署月臺系統,您可以控制 TLS 加密套件。 針對雲端式角色,例如雲端管理閘道 (CMG) ,如果您啟用 TLS 1.2,Configuration Manager設定加密套件。

對於大部分使用 Windows 作業系統的密碼編譯作業,Configuration Manager會使用來自 Windows CryptoAPI 程式庫 rsaenh.dll 的這些演算法。

如需特定功能的詳細資訊,請參閱 網站作業

月臺作業

Configuration Manager中的資訊可以簽署和加密。 它支援具有或不含 PKI 憑證的這些作業。

原則簽署和加密

月臺會使用其自我簽署憑證簽署用戶端原則指派。 此行為有助於防止遭入侵管理點的安全性風險傳送遭竄改的原則。 如果您使用 以網際網路為基礎的用戶端管理,此行為很重要,因為它需要網際網路面向的管理點。

當原則包含敏感性資料時,從 2107 版開始,管理點會使用 AES-256 進行加密。 在 2103 版和更早版本中,它會使用 3DES。 包含敏感性資料的原則只會傳送至授權的用戶端。 網站不會加密沒有敏感性資料的原則。

當用戶端儲存原則時,它會使用 Windows 資料保護應用程式開發介面 (DPAPI) 來加密原則。

原則雜湊

當用戶端要求原則時,它會先取得原則指派。 然後它會知道哪些原則適用于該原則,而且只能要求這些原則主體。 每個原則指派都包含對應原則主體的匯出雜湊。 用戶端會下載適用的原則主體,然後計算每個原則主體的雜湊。 如果原則主體上的雜湊不符合原則指派中的雜湊,則用戶端會捨棄原則本文。

原則的雜湊演算法是 SHA-256

內容雜湊

月臺伺服器上的發佈管理員服務會將所有套件的內容檔案雜湊。 原則提供者會在軟體發佈原則中包含雜湊。 當Configuration Manager用戶端下載內容時,用戶端會在本機重新產生雜湊,並將其與原則中提供的雜湊進行比較。 如果雜湊相符,內容就不會改變,而且用戶端會安裝它。 如果變更內容的單一位元組,雜湊將不會相符,而且用戶端不會安裝軟體。 這項檢查有助於確保已安裝正確的軟體,因為實際內容會與原則進行比較。

內容的預設雜湊演算法是 SHA-256

並非所有裝置都可以支援內容雜湊。 例外狀況包括:

  • Windows 用戶端串流 App-V 內容時。

  • Windows Mobile 用戶端,雖然這些用戶端會驗證受信任來源所簽署應用程式的簽章。

清查簽署和加密

當用戶端將硬體或軟體清查傳送至管理點時,一律會簽署清查。 用戶端是否透過 HTTP 或 HTTPS 與管理點通訊並不重要。 如果他們使用 HTTP,您也可以選擇加密此資料,這是建議的。

狀態移轉加密

當工作順序從用戶端擷取資料以進行 OS 部署時,它一律會加密資料。 在 2103 版和更新版本中,工作順序會使用 AES-256 加密演算法執行使用者狀態移轉工具 (USMT) 。 在 2010 版和更早版本中,它會使用 3DES

多播套件的加密

針對每個 OS 部署套件,您可以在使用多播時啟用加密。 此加密會使用 AES 演算法。 如果您啟用加密,則不需要其他憑證設定。 啟用多播的發佈點會自動產生對稱金鑰來加密封裝。 每個套件都有不同的加密金鑰。 金鑰會使用標準 Windows API 儲存在啟用多播的發佈點上。

當用戶端連線到多播會話時,金鑰交換會透過加密的通道進行。 如果用戶端使用 HTTPS,則會使用 PKI 發出的用戶端驗證憑證。 如果用戶端使用 HTTP,則會使用自我簽署憑證。 用戶端只會在多播會話期間將加密金鑰儲存在記憶體中。

OS 部署媒體的加密

當您使用媒體部署作業系統時,應該一律指定密碼來保護媒體。 使用密碼時,工作順序環境變數會使用 AES-128加密。 媒體上的其他資料,包括應用程式的套件和內容,不會加密。

雲端式內容的加密

當您啟用雲端管理閘道 (CMG) 來儲存內容時,會使用 AES-256加密內容。 每當您更新內容時,內容都會加密。 當用戶端下載內容時,它會由 HTTPS 連線加密及保護。

登入軟體更新

所有軟體更新都必須由受信任的發行者簽署,以防止遭到竄改。 在用戶端電腦上,Windows Update代理程式 (WUA) 掃描目錄中的更新。 如果本機電腦上的 [信任的發行者] 存放區中找不到數位憑證,則不會安裝更新。

當您使用 System Center 匯報 Publisher 發佈軟體更新時,數位憑證會簽署軟體更新。 您可以指定 PKI 憑證,或設定 匯報 Publisher 產生自我簽署憑證來簽署軟體更新。 如果您使用自我簽署憑證來發佈更新目錄,例如 WSUS 發行者自我簽署,則憑證也必須位於本機電腦上的受信任根憑證授權單位憑證存放區中。 WUA 也會檢查是否已在本機電腦上啟用 [ 允許來自內部網路 Microsoft 更新服務位置的已簽署內容 ] 群組原則設定。 必須啟用此原則設定,WUA 才能掃描使用 System Center 匯報 Publisher 建立和發佈的更新。

相容性設定的已簽署組態資料

當您匯入組態資料時,Configuration Manager驗證檔案的數位簽章。 如果檔案未簽署,或簽章檢查失敗,主控台會警告您繼續匯入。 只有在您明確信任發行者和檔案完整性時,才匯入組態資料。

用戶端通知的加密和雜湊

如果您使用用戶端通知,所有通訊都會使用 TLS,以及伺服器和用戶端可以交涉的最高演算法。 例如,所有支援的 Windows OS 版本都可以使用至少 AES-128 加密。 在使用 SHA-2的用戶端通知期間,雜湊傳輸的封包會發生相同的交涉。

憑證

如需 PKI (公開金鑰基礎結構的清單,) Configuration Manager可以使用的憑證、任何特殊需求或限制,以及憑證的使用方式,請參閱PKI 憑證需求。 此清單包含支援的雜湊演算法和金鑰長度。 大部分的憑證都支援 SHA-2562048位金鑰長度。

大部分使用憑證的Configuration Manager作業也支援 v3 憑證。 如需詳細資訊,請參閱 CNG v3 憑證概觀

注意事項

Configuration Manager使用的所有憑證都必須在主體名稱或主體別名中只包含單一位元組字元。

Configuration Manager在下列案例中需要 PKI 憑證:

  • 當您在網際網路上管理Configuration Manager用戶端時

  • 當您在行動裝置上管理Configuration Manager用戶端時

  • 當您管理 macOS 電腦時

  • 當您使用雲端管理閘道 (CMG)

對於大部分需要憑證進行驗證、簽署或加密的其他通訊,Configuration Manager會在可用時自動使用 PKI 憑證。 如果無法使用,Configuration Manager會產生自我簽署憑證。

Configuration Manager使用Exchange Server連接器管理行動裝置時,不會使用 PKI 憑證。

行動裝置管理和 PKI 憑證

如果行動裝置未由電信業者鎖定,您可以使用Configuration Manager來要求並安裝用戶端憑證。 此憑證可在行動裝置上的用戶端與月臺系統Configuration Manager相互驗證。 如果行動裝置已鎖定,您就無法使用Configuration Manager來部署憑證。

如果您啟用行動裝置的硬體清查,Configuration Manager也會清查行動裝置上安裝的憑證。

OS 部署和 PKI 憑證

當您使用Configuration Manager部署作業系統,而管理點需要 HTTPS 用戶端連線時,用戶端需要憑證才能與管理點通訊。 即使用戶端處於過渡階段,例如從工作順序媒體或啟用 PXE 的發佈點開機,還是需要這項需求。 若要支援此案例,請建立 PKI 用戶端驗證憑證,並使用私密金鑰加以匯出。 然後將它匯入月臺伺服器屬性,並新增管理點受信任的根 CA 憑證。

如果您建立可開機媒體,則會在建立可開機媒體時匯入用戶端驗證憑證。 若要協助保護工作順序中設定的私密金鑰和其他敏感性資料,請在可開機媒體上設定密碼。 從可開機媒體開機的每部電腦都會使用與管理點相同的憑證,如要求用戶端原則等用戶端函式所需的憑證。

如果您使用 PXE,請將用戶端驗證憑證匯入啟用 PXE 的發佈點。 它會針對從啟用 PXE 的發佈點開機的每個用戶端使用相同的憑證。 為了協助保護工作順序中的私密金鑰和其他敏感性資料,需要 PXE 的密碼。

如果其中一個用戶端驗證憑證遭到入侵,請封鎖 [系統管理] 工作區 [安全性] 節點中 [憑證] 節點中的憑證。 若要管理這些憑證,您需要 管理作業系統部署憑證的許可權

在Configuration Manager部署 OS 安裝用戶端之後,用戶端需要自己的 PKI 用戶端驗證憑證,才能進行 HTTPS 用戶端通訊。

ISV Proxy 解決方案和 PKI 憑證

獨立軟體廠商 (ISV) 可以建立可擴充Configuration Manager的應用程式。 例如,ISV 可以建立擴充功能來支援非 Windows 用戶端平臺,例如 macOS。 不過,如果月臺系統需要 HTTPS 用戶端連線,這些用戶端也必須使用 PKI 憑證來與月臺通訊。 Configuration Manager包括將憑證指派給 ISV Proxy 的功能,以啟用 ISV Proxy 用戶端與管理點之間的通訊。 如果您使用需要 ISV Proxy 憑證的擴充功能,請參閱該產品的檔。

如果 ISV 憑證遭到入侵,請封鎖 [系統管理] 工作區 [安全性] 節點中 [憑證] 節點中的憑證。

複製 ISV Proxy 憑證的 GUID

從 2111 版開始,若要簡化這些 ISV Proxy 憑證的管理,您現在可以在 Configuration Manager 主控台中複製其 GUID。

  1. 在 Configuration Manager 主控台中,移至 [系統管理] 工作區。

  2. 展開 [安全性],然後選取 [ 憑證 ] 節點。

  3. 依 [ 類型 ] 資料行排序憑證清單。

  4. 選取 ISV Proxy類型的憑證。

  5. 在功能區中,選取 [複製憑證 GUID]

此動作會複製此憑證的 GUID,例如: aa05bf38-5cd6-43ea-ac61-ab101f943987

Asset Intelligence 和憑證

Configuration Manager會使用 Asset Intelligence 同步處理點用來連線到 Microsoft 的 X.509 憑證進行安裝。 Configuration Manager使用此憑證向 Microsoft 憑證服務要求用戶端驗證憑證。 用戶端驗證憑證會安裝在 Asset Intelligence 同步處理點上,並用來向 Microsoft 驗證服務器。 Configuration Manager使用用戶端驗證憑證來下載 Asset Intelligence 類別目錄,以及上傳軟體標題。

此憑證的金鑰長度為 1024 位。

Azure 服務和憑證

雲端管理閘道 (CMG) 需要伺服器驗證憑證。 這些憑證可讓服務透過網際網路提供 HTTPS 通訊給用戶端。 如需詳細資訊,請參閱 CMG 伺服器驗證憑證

用戶端需要另一種類型的驗證,才能與 CMG 和內部部署管理點通訊。 他們可以使用Microsoft Entra識別碼、PKI 憑證或網站權杖。 如需詳細資訊, 請參閱設定雲端管理閘道的用戶端驗證

用戶端不需要用戶端 PKI 憑證即可使用雲端式儲存體。 向管理點進行驗證之後,管理點會發出Configuration Manager存取權杖給用戶端。 用戶端會將此權杖提供給 CMG 以存取內容。 權杖的有效期為八小時。

PKI 憑證的 CRL 檢查

(CRL 的 PKI 憑證撤銷清單) 提高整體安全性,但確實需要一些管理和處理額外負荷。 如果您啟用 CRL 檢查,但用戶端無法存取 CRL,則 PKI 連線會失敗。

IIS 預設會啟用 CRL 檢查。 如果您將 CRL 與 PKI 部署搭配使用,則不需要設定大部分執行 IIS 的月臺系統。 軟體更新的例外狀況是需要手動步驟來啟用 CRL 檢查,以驗證軟體更新檔案上的簽章。

當用戶端使用 HTTPS 時,預設會啟用 CRL 檢查。 針對 macOS 用戶端,您無法停用 CRL 檢查。

下列連線不支援 CRL 簽入Configuration Manager:

  • 伺服器對伺服器連線

  • 由 Configuration Manager 註冊的行動裝置。

伺服器通訊

Configuration Manager使用下列密碼編譯控制項進行伺服器通訊。

月臺內的伺服器通訊

每個月臺系統伺服器都會使用憑證,將資料傳輸到相同月臺中的其他月臺系統Configuration Manager。 某些月臺系統角色也會使用憑證進行驗證。 例如,如果您在一部伺服器上安裝註冊 Proxy 點,並在另一部伺服器上安裝註冊點,則它們可以使用此身分識別憑證彼此驗證。

當Configuration Manager使用憑證進行此通訊時,如果有伺服器驗證功能可用的 PKI 憑證,Configuration Manager會自動使用它。 如果沒有,Configuration Manager會產生自我簽署憑證。 此自我簽署憑證具有伺服器驗證功能、使用 SHA-256,金鑰長度為 2048 位。 Configuration Manager將憑證複製到其他可能需要信任月臺系統之月臺系統伺服器上的受信任人員存放區。 月臺系統接著可以使用這些憑證和 PeerTrust 彼此信任。

除了每個月臺系統伺服器的此憑證之外,Configuration Manager會為大部分的月臺系統角色產生自我簽署憑證。 當相同網站中有多個月臺系統角色實例時,它們會共用相同的憑證。 例如,您可能在同一個月臺中有多個管理點。 此自我簽署憑證使用 SHA-256,金鑰長度為 2048 位。 它會複製到月臺系統伺服器上可能需要信任的受信任人員存放區。 下列月臺系統角色會產生此憑證:

  • Asset Intelligence 同步處理點

  • 憑證登錄點

  • Endpoint Protection 點

  • 註冊點

  • 後援狀態點

  • 管理點

  • 啟用多播的發佈點

  • Reporting Services 點

  • 軟體更新點

  • 狀態移轉點

Configuration Manager會自動產生和管理這些憑證。

若要將狀態訊息從發佈點傳送至管理點,Configuration Manager使用用戶端驗證憑證。 當您設定 HTTPS 的管理點時,它需要 PKI 憑證。 如果管理點接受 HTTP 連線,您可以使用 PKI 憑證。 它也可以使用具有用戶端驗證功能的自我簽署憑證、使用 SHA-256,且金鑰長度為 2048 位。

月臺之間的伺服器通訊

Configuration Manager使用資料庫複寫和檔案型複寫,在月臺之間傳輸資料。 如需詳細資訊,請 參閱月臺之間的資料傳輸端點之間的通訊

Configuration Manager自動設定月臺之間的資料庫複寫。 如果有的話,它會使用具有伺服器驗證功能的 PKI 憑證。 如果無法使用,Configuration Manager建立伺服器驗證的自我簽署憑證。 在這兩種情況下,它會使用使用 PeerTrust 之受信任人員存放區中的憑證,在月臺之間進行驗證。 它會使用此憑證存放區來確保只有Configuration Manager階層 SQL Server 參與站對站複寫。

月臺伺服器會使用自動發生的安全金鑰交換來建立站對站通訊。 傳送的月臺伺服器會產生雜湊,並使用其私密金鑰加以簽署。 接收月臺伺服器會使用公開金鑰來檢查簽章,並比較雜湊與本機產生的值。 如果相符,接收月臺會接受複寫的資料。 如果值不相符,Configuration Manager會拒絕複寫資料。

Configuration Manager中的資料庫複寫會使用 SQL Server Service Broker 在月臺之間傳輸資料。 它會使用下列機制:

  • SQL Server SQL Server:此連線會使用 Windows 認證進行伺服器驗證,並使用 1024 位的自我簽署憑證,以 AES 演算法簽署和加密資料。 如果有的話,它會使用具有伺服器驗證功能的 PKI 憑證。 它只會使用電腦個人憑證存儲中的憑證。

  • SQL Service Broker:此服務使用具有 2048 位的自我簽署憑證進行驗證,並使用 AES 演算法簽署和加密資料。 它只會使用SQL Server master 資料庫中的憑證。

檔案型複寫會使用伺服器訊息區 (SMB) 通訊協定。 它會使用 SHA-256 來簽署未加密且不包含任何敏感性資料的資料。 若要加密此資料,請使用 IPsec,這是您獨立實作的Configuration Manager。

使用 HTTPS 的用戶端

當月臺系統角色接受用戶端連線時,您可以將它們設定為接受 HTTPS 和 HTTP 連線,或只接受 HTTPS 連線。 接受來自網際網路連線的月臺系統角色只接受透過 HTTPS 的用戶端連線。

透過 HTTPS 的用戶端連線可藉由整合公開金鑰基礎結構 (PKI) 來協助保護用戶端對伺服器的通訊,來提供更高層級的安全性。 不過,在未徹底瞭解 PKI 規劃、部署和作業的情況下設定 HTTPS 用戶端連線,仍可能會讓您容易受到攻擊。 例如,如果您未保護根憑證授權單位 (CA) ,攻擊者可能會危害整個 PKI 基礎結構的信任。 無法使用受控制且受保護的程式來部署和管理 PKI 憑證,可能會導致未受管理的用戶端無法接收重要的軟體更新或套件。

重要事項

Configuration Manager用於用戶端通訊的 PKI 憑證只會保護用戶端與某些月臺系統之間的通訊。 它們不會保護月臺伺服器與月臺系統之間或月臺伺服器之間的通道。

用戶端使用 HTTPS 時未加密的通訊

當用戶端透過 HTTPS 與月臺系統通訊時,大部分的流量都會加密。 在下列情況下,用戶端會與月臺系統通訊,而不需要使用加密:

  • 用戶端無法在內部網路上建立 HTTPS 連線,而且會在月臺系統允許此設定時回復為使用 HTTP。

  • 與下列月臺系統角色的通訊:

    • 用戶端會將狀態訊息傳送至後援狀態點。

    • 用戶端會將 PXE 要求傳送至啟用 PXE 的發佈點。

    • 用戶端會將通知資料傳送至管理點。

您可以將 Reporting Services 點設定為獨立于用戶端通訊模式使用 HTTP 或 HTTPS。

使用 HTTP 的用戶端

當用戶端使用月臺系統角色的 HTTP 通訊時,他們可以使用 PKI 憑證進行用戶端驗證,或Configuration Manager產生的自我簽署憑證。 當Configuration Manager產生自我簽署憑證時,它們會有用於簽署和加密的自訂物件識別碼。 這些憑證可用來唯一識別用戶端。 這些自我簽署憑證使用 SHA-256,金鑰長度為 2048 位。

OS 部署和自我簽署憑證

當您使用Configuration Manager來部署具有自我簽署憑證的作業系統時,用戶端也必須有憑證才能與管理點通訊。 即使電腦處於過渡階段,例如從工作順序媒體或啟用 PXE 的發佈點開機,還是需要這項需求。 若要針對 HTTP 用戶端連線支援此案例,Configuration Manager會產生自我簽署憑證,其中具有用於簽署和加密的自訂物件識別碼。 這些憑證可用來唯一識別用戶端。 這些自我簽署憑證使用 SHA-256,金鑰長度為 2048 位。 如果這些自我簽署憑證遭到入侵,請防止攻擊者使用它們來模擬信任的用戶端。 封鎖 [系統管理] 工作區 [安全性] 節點中 [憑證] 節點中的憑證。

用戶端和伺服器驗證

當用戶端透過 HTTP 連線時,他們會使用Active Directory 網域服務或使用Configuration Manager受信任的根金鑰來驗證管理點。 用戶端不會驗證其他月臺系統角色,例如狀態移轉點或軟體更新點。

當管理點第一次使用自我簽署用戶端憑證驗證用戶端時,此機制提供最低的安全性,因為任何電腦都可以產生自我簽署憑證。 使用用戶端核准來增強此程式。 只核准受信任的電腦,由Configuration Manager自動核准,或由系統管理使用者手動核准。 如需詳細資訊,請 參閱管理用戶端

關於 SSL 弱點

若要改善Configuration Manager用戶端和伺服器的安全性,請執行下列動作:

  • 在所有裝置和服務上啟用 TLS 1.2。 若要啟用 TLS 1.2 for Configuration Manager,請參閱如何啟用 TLS 1.2 for Configuration Manager

  • 停用 SSL 3.0、TLS 1.0 和 TLS 1.1。

  • 重新排序 TLS 相關的加密套件。

如需詳細資訊,請參閱下列文章:

這些程式不會影響Configuration Manager功能。

注意事項

匯報Configuration Manager從具有加密套件需求的 Azure 內容傳遞網路 (CDN) 下載。 如需詳細資訊,請參閱 Azure Front Door:TLS 設定常見問題