Configuration Manager客户端的安全和隐私

项目
04/04/2023

适用于: Configuration Manager(current branch)

本文介绍Configuration Manager客户端的安全和隐私信息。它还包括由 Exchange Server 连接器管理的移动设备的信息。

客户端安全指南

Configuration Manager站点接受来自运行 Configuration Manager 客户端的设备的数据。此行为引入了客户端可能攻击站点的风险。例如，他们可能会发送格式错误的清单，或尝试使站点系统过载。仅将Configuration Manager客户端部署到你信任的设备。

使用以下安全指南来帮助保护站点免受恶意设备或遭到入侵的设备的影响。

使用公钥基础结构 (PKI) 证书与运行 IIS 的站点系统进行客户端通信

作为站点属性，请仅为 HTTPS 配置站点系统设置。有关详细信息，请参阅配置安全性。
使用 UsePKICert CCMSetup 属性安装客户端。
(CRL) 使用证书吊销列表。确保客户端和通信服务器始终可以访问它。

移动设备客户端和某些基于 Internet 的客户端需要这些证书。 Microsoft 建议为 Intranet 上的所有客户端连接提供这些证书。

有关在 Configuration Manager 中使用证书的详细信息，请参阅规划证书。

重要

从 Configuration Manager 版本 2103 开始，将弃用允许 HTTP 客户端通信的站点。为 HTTPS 或增强 HTTP 配置站点。有关详细信息，请参阅为仅 HTTPS 或增强的 HTTP 启用站点。

自动批准来自受信任域的客户端计算机，并手动检查和批准其他计算机

如果无法使用 PKI 身份验证，审批会标识你信任由 Configuration Manager 管理的计算机。层次结构具有以下用于配置客户端审批的选项：

手动
对受信任域中的计算机自动执行
自动适用于所有计算机

最安全的审批方法是自动批准属于受信任域成员的客户端。此选项包括来自连接的Microsoft Entra租户的已加入云域的客户端。然后手动检查并批准所有其他计算机。不建议自动批准所有客户端，除非你具有其他访问控制来防止不受信任的计算机访问你的网络。

有关如何手动批准计算机的详细信息，请参阅从设备节点管理客户端。

不要依赖阻止来阻止客户端访问Configuration Manager层次结构

阻止的客户端会被Configuration Manager基础结构拒绝。如果客户端被阻止，则它们无法与站点系统通信以下载策略、上传清单数据或发送状态或状态消息。

阻止适用于以下方案：

在将 OS 部署到客户端时阻止丢失或泄露的启动媒体
当所有站点系统都接受 HTTPS 客户端连接时

当站点系统接受 HTTP 客户端连接时，不要依赖阻止来保护Configuration Manager层次结构免受不受信任的计算机的影响。在此方案中，被阻止的客户端可以使用新的自签名证书和硬件 ID 重新加入站点。

证书吊销是防范可能泄露的证书的主要防线。证书吊销列表 (CRL) 仅在支持的公钥基础结构 (PKI) 可用。阻止Configuration Manager中的客户端提供了第二道防线来保护层次结构。

有关详细信息，请参阅确定是否阻止客户端。

使用最安全的客户端安装方法，这些方法适用于你的环境

对于域计算机， 组策略 客户端安装和 基于软件更新 的客户端安装方法比 客户端请求 安装更安全。
如果应用访问控制和更改控件，请使用映像和手动安装方法。
在客户端请求安装中使用 Kerberos 相互身份验证。

在所有客户端安装方法中，客户端请求安装是最不安全的，因为它具有许多依赖项。这些依赖项包括本地管理权限、 Admin$ 共享和防火墙例外。这些依赖项的数量和类型会增加攻击面。

使用客户端推送时，站点可以通过在建立连接之前不允许回退到 NTLM 来要求 Kerberos 相互身份验证。此增强功能有助于保护服务器和客户端之间的通信。有关详细信息，请参阅如何使用客户端请求安装客户端。

有关不同客户端安装方法的详细信息，请参阅客户端安装方法。

请尽可能选择在 Configuration Manager 中要求最低安全权限的客户端安装方法。限制分配有安全角色的管理用户，这些用户具有可用于客户端部署以外的目的的权限。例如，配置自动客户端升级需要 “完全管理员” 安全角色，该角色向管理用户授予所有安全权限。

有关每个客户端安装方法所需的依赖项和安全权限的详细信息，请参阅计算机客户端的先决条件。

如果必须使用客户端请求安装，请保护客户端请求安装帐户

客户端请求安装帐户必须是安装 Configuration Manager 客户端的每台计算机上的本地管理员组的成员。切勿将客户端请求安装帐户添加到 域管理员 组。请改为创建一个全局组，然后将该全局组添加到客户端上的本地 管理员 组。创建组策略对象以添加 受限组 设置，以将客户端请求安装帐户添加到本地 Administrators 组。

为了提高安全性，请创建多个客户端请求安装帐户，每个帐户对有限数量的计算机具有管理访问权限。如果一个帐户遭到入侵，则只会泄露该帐户有权访问的客户端计算机。

在映像客户端之前删除证书

使用 OS 映像部署客户端时，始终在捕获映像之前删除证书。这些证书包括用于客户端身份验证的 PKI 证书和自签名证书。如果不删除这些证书，客户端可能会相互模拟。无法验证每个客户端的数据。

有关详细信息，请参阅创建任务序列以捕获 OS。

确保Configuration Manager客户端获取证书的授权副本

Configuration Manager受信任的根密钥证书

当以下两个语句都为 true 时，客户端依赖于Configuration Manager受信任的根密钥对有效管理点进行身份验证：

尚未扩展适用于 Configuration Manager 的 Active Directory 架构
客户端在与管理点通信时不使用 PKI 证书

在这种情况下，除非客户端使用受信任的根密钥，否则无法验证层次结构是否信任管理点。如果没有受信任的根密钥，熟练的攻击者可以将客户端定向到恶意管理点。

如果客户端不使用 PKI 证书，并且无法从 Active Directory 全局目录下载受信任的根密钥，请使用受信任的根密钥预预配客户端。此操作可确保无法将其定向到恶意管理点。有关详细信息，请参阅规划受信任的根密钥。

站点服务器签名证书

客户端使用站点服务器签名证书来验证站点服务器是否对从管理点下载的策略进行了签名。此证书由站点服务器自签名，并发布到Active Directory 域服务。

当客户端无法从 Active Directory 全局目录下载此证书时，默认情况下会从管理点下载该证书。如果管理点向 Internet 等不受信任的网络公开，请在客户端上手动安装站点服务器签名证书。此操作可确保他们无法从遭到入侵的管理点下载篡改的客户端策略。

若要手动安装站点服务器签名证书，请使用 CCMSetup client.msi 属性 SMSSIGNCERT。

如果客户端从它联系的第一个管理点下载受信任的根密钥，请不要使用自动站点分配

为了避免新客户端从恶意管理点下载受信任的根密钥的风险，请仅在以下方案中使用自动站点分配：

客户端可以访问发布到Active Directory 域服务Configuration Manager站点信息。
使用受信任的根密钥预预配客户端。
使用企业证书颁发机构提供的 PKI 证书在客户端和管理点之间建立信任。

有关受信任的根密钥的详细信息，请参阅规划受信任的根密钥。

确保维护时段足够大，可以部署关键软件更新

设备集合的维护时段限制Configuration Manager在这些设备上安装软件的时间。如果将维护时段配置为太小，则客户端可能不会安装关键软件更新。此行为使客户端容易受到软件更新缓解的任何攻击。

采取安全预防措施，通过写入筛选器减少 Windows Embedded 设备上的攻击面

在 Windows Embedded 设备上启用写入筛选器时，仅对覆盖进行任何软件安装或更改。设备重启后，这些更改不会保留。如果使用 Configuration Manager 禁用写入筛选器，在此期间，嵌入式设备容易受到所有卷的更改。这些卷包括共享文件夹。

Configuration Manager在此期间锁定计算机，以便只有本地管理员可以登录。请尽可能采取其他安全预防措施来帮助保护计算机。例如，对防火墙启用限制。

如果使用维护时段来保留更改，请仔细规划这些时段。尽量减少禁用写入筛选器的时间，但使其足够长，以允许软件安装和重启完成。

将最新的客户端版本与基于软件更新的客户端安装配合使用

如果使用基于软件更新的客户端安装，并在站点上安装更高版本的客户端，请更新已发布的软件更新。然后，客户端从软件更新点接收最新版本。

更新站点时，发布到软件更新点的客户端部署软件更新不会自动更新。将Configuration Manager客户端重新发布到软件更新点并更新版本号。

有关详细信息，请参阅如何使用基于软件更新的安装安装Configuration Manager客户端。

仅在受信任和受限访问设备上挂起 BitLocker PIN 条目

仅将客户端设置配置为在重启时将 BitLocker PIN 条目挂起，对于你信任且具有受限物理访问的计算机，请仅将客户端设置配置为“始终”。

将此客户端设置设置为“始终”时，Configuration Manager可以完成软件的安装。此行为有助于安装关键软件更新和恢复服务。如果攻击者截获重启过程，他们可以控制计算机。仅当信任计算机并且限制对计算机的物理访问时，才使用此设置。例如，此设置可能适用于数据中心中的服务器。

有关此客户端设置的详细信息，请参阅关于客户端设置。

不要绕过 PowerShell 执行策略

如果将 PowerShell 执行策略的 Configuration Manager 客户端设置配置为“绕过”，则 Windows 允许运行未签名的 PowerShell 脚本。此行为可能允许恶意软件在客户端计算机上运行。当组织需要此选项时，请使用自定义客户端设置。仅将其分配给必须运行未签名 PowerShell 脚本的客户端计算机。

有关此客户端设置的详细信息，请参阅关于客户端设置。

移动设备安全指南

在外围网络中安装注册代理点，在 Intranet 中安装注册点

对于使用 Configuration Manager 注册的基于 Internet 的移动设备，请在外围网络中安装注册代理点，并在 Intranet 中安装注册点。这种角色分离有助于保护注册点免受攻击。如果攻击者入侵注册点，他们可以获取证书进行身份验证。他们还可以窃取注册其移动设备的用户的凭据。

配置密码设置以帮助保护移动设备免受未经授权的访问

对于Configuration Manager注册的移动设备：使用移动设备配置项目将密码复杂性配置为 PIN。至少指定默认的最小密码长度。

对于未安装Configuration Manager客户端但由Exchange Server连接器管理的移动设备：配置Exchange Server连接器的密码设置，使密码复杂性为 PIN。至少指定默认的最小密码长度。

仅允许由你信任的公司签署的应用程序运行

通过仅允许应用程序在由你信任的公司签名时运行，帮助防止篡改库存信息和状态信息。不允许设备安装未签名的文件。

对于Configuration Manager注册的移动设备：使用移动设备配置项目将安全设置“未签名的应用程序”配置为“禁止”。将 未签名的文件安装 配置为受信任的源。

对于未安装Configuration Manager客户端但由Exchange Server连接器管理的移动设备：配置Exchange Server连接器的应用程序设置，以便禁止未签名的文件安装和未签名的应用程序。

不使用时锁定移动设备

通过锁定未使用移动设备来帮助防止特权提升攻击。

对于Configuration Manager注册的移动设备：使用移动设备配置项目配置密码设置，以分钟为单位，移动设备锁定前的空闲时间。

对于未安装 Configuration Manager 客户端但由Exchange Server连接器管理的移动设备：配置Exchange Server连接器的密码设置，以设置移动设备锁定前几分钟的空闲时间。

限制可以注册其移动设备的用户

通过限制可注册其移动设备的用户，帮助防止特权提升。使用自定义客户端设置（而不是默认客户端设置）仅允许授权用户注册其移动设备。

移动设备的用户设备相关性指南

在以下情况下，不要将应用程序部署到Configuration Manager注册了移动设备的用户：

移动设备由多人使用。
设备由管理员代表用户注册。
设备在不停用的情况下转移到另一个人，然后重新注册设备。

设备注册会创建用户设备相关性关系。此关系将注册的用户映射到移动设备。如果其他用户使用移动设备，他们可以运行部署到原始用户的应用程序，这可能会导致特权提升。同样，如果管理员为用户注册移动设备，则不会在移动设备上安装部署到该用户的应用程序。相反，可能会安装部署到管理员的应用程序。

保护Configuration Manager站点服务器与Exchange Server之间的连接

如果Exchange Server在本地，请使用 IPsec。 Hosted Exchange 使用 HTTPS 自动保护连接。

对 Exchange 连接器使用最小特权原则

有关Exchange Server连接器所需的最小 cmdlet 列表，请参阅使用 Configuration Manager 和 Exchange 管理移动设备。

适用于 macOS 设备的安全指南

从安全位置存储和访问客户端源文件

在 macOS 计算机上安装或注册客户端之前，Configuration Manager不会验证这些客户端源文件是否已被篡改。从可信源下载这些文件。安全地存储和访问它们。

监视和跟踪证书的有效期

监视和跟踪用于 macOS 计算机的证书的有效期。 Configuration Manager不支持自动续订此证书，或警告你证书即将过期。典型的有效期为一年。

有关如何续订证书的详细信息，请参阅手动续订 macOS 客户端证书。

仅为 SSL 配置受信任的根证书

为了帮助防止特权提升，请为受信任的根证书颁发机构配置证书，使其仅对 SSL 协议受信任。

在 Mac 计算机上，打开终端窗口。
输入以下命令： sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
在“ 密钥链访问 ”对话框中的“ 密钥链 ”部分中，选择“ 系统”。然后在 “类别 ”部分中，选择“ 证书”。
找到并打开 Mac 客户端证书的根 CA 证书。
在根 CA 证书的对话框中，展开 “信任” 部分，然后进行以下更改：
1. 使用此证书时：将 “始终信任” 设置更改为 “使用系统默认值”。
2. 安全套接字层 (SSL) ： 将未指定的值 更改为 Always Trust。
关闭该对话框。出现提示时，输入管理员的密码，然后选择“更新设置”。

完成此过程后，仅信任根证书来验证 SSL 协议。此根证书现在不受信任的其他协议包括安全邮件 (S/MIME) 、可扩展身份验证 (EAP) 或代码签名。

注意

如果独立于Configuration Manager安装了客户端证书，也请使用此过程。

客户端的安全问题

以下安全问题没有缓解措施：

状态消息未经过身份验证

管理点不对状态消息进行身份验证。当管理点接受 HTTP 客户端连接时，任何设备都可以将状态消息发送到管理点。如果管理点仅接受 HTTPS 客户端连接，则设备必须具有有效的客户端身份验证证书，但也可以发送任何状态消息。管理点放弃从客户端接收的任何无效状态消息。

存在针对此漏洞的一些潜在攻击：

攻击者可以发送虚假状态消息，以获取基于状态消息查询的集合的成员身份。
任何客户端都可以通过充斥状态消息来针对管理点启动拒绝服务。
如果状态消息触发状态消息筛选规则中的操作，攻击者可能会触发状态消息筛选规则。
攻击者可能会发送状态消息，使报告信息不准确。

可将策略重新定向到非目标客户端

攻击者可以使用多种方法将针对一个客户端的策略应用于完全不同的客户端。例如，受信任的客户端上的攻击者可能会发送虚假清单或发现信息，以将计算机添加到它不应所属的集合中。然后，该客户端将接收该集合的所有部署。

存在控制以帮助防止攻击者直接修改策略。但是，攻击者可能会采用重新格式化和重新部署 OS 的现有策略，并将其发送到其他计算机。此重定向策略可能会造成拒绝服务。这些类型的攻击需要精确的时机和对Configuration Manager基础结构的广泛了解。

客户端日志允许用户访问

所有客户端日志文件都允许具有读取访问权限的用户组和具有写入数据访问权限的特殊交互式用户。如果启用详细日志记录，攻击者可能会读取日志文件以查找有关合规性或系统漏洞的信息。客户端在用户上下文中安装的软件等进程必须使用低权限用户帐户写入日志。此行为意味着攻击者还可以使用低权限帐户写入日志。

最严重的风险是攻击者可能会删除日志文件中的信息。管理员可能需要此信息才能进行审核和入侵检测。

计算机可用于获取专为移动设备注册设计的证书

当Configuration Manager处理注册请求时，它无法验证来自移动设备而不是计算机的请求。如果请求来自计算机，它可以安装 PKI 证书，然后允许其注册到 Configuration Manager。

为了帮助防止在这种情况下特权提升攻击，仅允许受信任的用户注册其移动设备。仔细监视站点中的设备注册活动。

被阻止的客户端仍可将消息发送到管理点

如果阻止不再信任的客户端，但它为客户端通知建立了网络连接，Configuration Manager不会断开会话连接。被阻止的客户端可以继续将数据包发送到其管理点，直到客户端与网络断开连接。这些数据包只是小型保持活动状态的数据包。在解除阻止之前，Configuration Manager无法管理此客户端。

自动客户端升级不会验证管理点

使用自动客户端升级时，可以将客户端定向到管理点以下载客户端源文件。在此方案中，客户端不会将管理点验证为受信任的源。

当用户首次注册 macOS 计算机时，他们面临 DNS 欺骗的风险

当 macOS 计算机在注册期间连接到注册代理点时，macOS 计算机不太可能已有受信任的根 CA 证书。此时，macOS 计算机不信任服务器，并提示用户继续。如果恶意 DNS 服务器解析注册代理点 (FQDN) 的完全限定域名，则它可能会将 macOS 计算机定向到恶意注册代理点，以安装来自不受信任的源的证书。若要帮助降低此风险，请遵循 DNS 指南，避免在你的环境中进行欺骗。

macOS 注册不限制证书请求

每次请求新的客户端证书时，用户都可以重新注册其 macOS 计算机。 Configuration Manager不会为多个请求检查，也不会限制从单个计算机请求的证书数。恶意用户可以运行重复命令行注册请求的脚本。此攻击可能导致网络或证书颁发机构 (CA) 拒绝服务。为了帮助降低此风险，请仔细监视颁发 CA 以检测此类可疑行为。立即阻止Configuration Manager层次结构中显示此行为模式的任何计算机。

擦除确认不会验证是否已成功擦除设备

启动移动设备的擦除操作并Configuration Manager确认擦除时，验证是否Configuration Manager已成功发送消息。它不会验证设备是否对请求 进行操作 。

对于由 Exchange Server 连接器管理的移动设备，擦除确认会验证命令是否由 Exchange 接收，而不是由设备接收。

如果使用选项在 Windows Embedded 设备上提交更改，帐户可能比预期更早被锁定

如果 Windows Embedded 设备运行的操作系统版本早于 Windows 7，并且用户在Configuration Manager禁用写入筛选器时尝试登录，则在帐户被锁定之前，Windows 只允许配置的错误的尝试次数的一半。

例如，将 帐户锁定阈值 的域策略配置为六次尝试。用户错误键入其密码三次，帐户被锁定。此行为会有效地创建拒绝服务。如果用户必须在此方案中登录到嵌入式设备，请提醒他们降低锁定阈值的可能性。

客户端的隐私信息

部署 Configuration Manager 客户端时，为Configuration Manager功能启用客户端设置。用于配置功能的设置可以应用于Configuration Manager层次结构中的所有客户端。无论是直接连接到内部网络、通过远程会话连接还是连接到 Internet，此行为都是相同的。

客户端信息存储在SQL Server Configuration Manager站点数据库中，不会发送给 Microsoft。信息将保留在数据库中，直到站点维护任务每隔 90 天删除一次过期的发现数据。可以配置删除间隔。

某些汇总或聚合诊断和使用情况数据将发送到 Microsoft。有关详细信息，请参阅诊断和使用情况数据。

可以在 Microsoft 隐私声明中了解有关 Microsoft 数据收集和使用的详细信息。

客户端状态

Configuration Manager监视客户端的活动。它定期评估Configuration Manager客户端，并可以修正客户端及其依赖项的问题。客户端状态默认处于启用状态。它使用服务器端指标进行客户端活动检查。客户端状态使用客户端操作进行自我检查、修正，以及将客户端状态信息发送到站点。客户端根据你配置的计划运行自检。客户端将检查结果发送到Configuration Manager站点。此信息在传输过程中会加密。

客户端状态信息存储在SQL Server Configuration Manager数据库中，不会发送给 Microsoft。该信息不以加密格式存储在站点数据库中。此信息将保留在数据库中，直到根据为 以下天数客户端状态设置配置的“保留客户端状态历史记录 ”设置的值将其删除。此设置的默认值为每 31 天一次。

Exchange Server连接器的隐私信息

Exchange Server连接器使用 ActiveSync 协议查找和管理连接到本地或托管Exchange Server的设备。 Exchange Server连接器发现的记录存储在SQL Server的 Configuration Manager 数据库中。从Exchange Server收集信息。它不包含移动设备发送到Exchange Server的任何其他信息。

移动设备信息不会发送给 Microsoft。移动设备信息存储在SQL Server Configuration Manager数据库中。信息将保留在数据库中，直到站点维护任务每隔 90 天删除一次过期的发现数据。配置删除间隔。