Configuration Manager中内容管理的安全性和隐私性

项目
04/04/2023

适用于: Configuration Manager(current branch)

本文包含Configuration Manager中内容管理的安全和隐私信息。

安全指南

适用于 Intranet 分发点的 HTTPS 或 HTTP 的优点和缺点

对于 Intranet 上的分发点，请考虑使用 HTTPS 或 HTTP 的优点和缺点。在大多数情况下，使用 HTTP 和包访问帐户进行授权比使用带有加密但未授权的 HTTPS 更安全。但是，如果内容中有要在传输过程中加密的敏感数据，请使用 HTTPS。

对分发点使用 HTTPS 时：Configuration Manager不使用包访问帐户来授权访问内容。通过网络传输内容时，内容会加密。
对分发点使用 HTTP 时：可以使用包访问帐户进行授权。通过网络传输内容时，内容不会加密。

请考虑为站点启用 增强型 HTTP 。此功能允许客户端使用Microsoft Entra身份验证来安全地与 HTTP 分发点通信。有关详细信息，请参阅增强型 HTTP。

重要

从 Configuration Manager 版本 2103 开始，将弃用允许 HTTP 客户端通信的站点。为 HTTPS 或增强 HTTP 配置站点。有关详细信息，请参阅为仅 HTTPS 或增强的 HTTP 启用站点。

保护客户端身份验证证书文件

如果使用 PKI 客户端身份验证证书而不是分发点的自签名证书，请使用强密码保护证书文件 (.pfx) 。如果将文件存储在网络上，请在将文件导入Configuration Manager时保护网络通道。

需要密码来导入分发点用来与管理点通信的客户端身份验证证书时，此配置有助于保护证书免受攻击者的侵害。若要防止攻击者篡改证书文件，请在网络位置和站点服务器之间使用服务器消息块 (SMB) 签名或 IPsec。

从站点服务器中删除分发点角色

默认情况下，Configuration Manager安装程序在站点服务器上安装分发点。客户端不必直接与站点服务器通信。若要减少攻击面，请将分发点角色分配给其他站点系统，并将其从站点服务器中删除。

在包访问级别保护内容

分发点共享允许对所有用户进行读取访问。若要限制哪些用户可以访问内容，请在为 HTTP 配置分发点时使用包访问帐户。此配置不适用于不支持包访问帐户的已启用内容的云管理网关。

有关详细信息，请参阅包访问帐户。

在分发点角色上配置 IIS

如果在添加分发点站点系统角色时Configuration Manager安装 IIS，请在分发点安装完成后删除 HTTP 重定向和 IIS 管理脚本和工具。分发点不需要这些组件。若要减少攻击面，请删除 Web 服务器角色的这些角色服务。

有关分发点的 Web 服务器角色的角色服务的详细信息，请参阅站点和站点系统先决条件。

创建包时设置包访问权限

由于仅当你重新分发包时，对包文件上的访问帐户所做的更改才会生效，因此在首次创建包时请仔细设置包访问权限。当包较大或分发到多个分发点以及内容分发的网络带宽容量受限时，此配置非常重要。

实现访问控制以保护包含预留内容的媒体

预留内容已压缩，但未加密。攻击者可以读取和修改下载到设备的文件。 Configuration Manager客户端拒绝被篡改的内容，但仍会下载它。

使用 ExtractContent 导入预留内容

仅使用 ExtractContent.exe 命令行工具导入预留内容。若要避免篡改和特权提升，请仅使用Configuration Manager附带的授权命令行工具。

有关详细信息，请参阅部署和管理内容。

保护站点服务器和包源位置之间的信道

创建包含内容的应用程序、包和其他对象时，在站点服务器和包源位置之间使用 IPsec 或 SMB 签名。此配置有助于防止攻击者篡改源文件。

删除具有分发点角色的自定义网站的默认虚拟目录

如果在安装分发点角色后将站点配置选项更改为使用自定义网站而不是默认网站，请删除默认虚拟目录。从默认网站切换到自定义网站时，Configuration Manager不会删除旧的虚拟目录。删除Configuration Manager最初在默认网站下创建的以下虚拟目录：

SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$

有关使用自定义网站的详细信息，请参阅站点系统服务器的网站。

对于已启用内容的云管理网关，请保护 Azure 订阅详细信息和证书

使用已启用内容的云管理网关 (CMG) 时，请保护以下高价值项：

Azure 订阅的用户名和密码
Azure 应用注册的密钥
服务器身份验证证书

安全地存储证书。如果在配置 CMG 时通过网络浏览到它们，请在站点系统服务器和源位置之间使用 IPsec 或 SMB 签名。

为保证服务连续性，请监视 CMG 证书的到期日期

Configuration Manager不会在 CMG 的导入证书即将过期时发出警告。独立于Configuration Manager监视到期日期。请确保在到期日期之前续订并导入新证书。如果从外部公共提供程序获取服务器身份验证证书，则此操作非常重要，因为可能需要更多时间来获取续订的证书。

如果证书过期，Configuration Manager云服务管理器将生成 ID 为 9425 的状态消息。 CloudMgr.log 文件包含一个条目，指示证书 处于过期状态，到期日期也以 UTC 记录。

安全注意事项

客户端在下载内容之前不会对其进行验证。 Configuration Manager客户端仅在内容下载到其客户端缓存后，才验证内容的哈希。如果攻击者篡改要下载的文件列表或内容本身，下载过程可能会占用大量网络带宽。然后，客户端在找到无效哈希时放弃内容。
使用已启用内容的云管理网关时：
- 它会自动限制对组织的内容的访问。不能将其进一步限制为选定的用户或组。
- 管理点首先对客户端进行身份验证。然后，客户端使用Configuration Manager令牌访问云存储。令牌的有效期为 8 小时。此行为意味着，如果由于客户端不再受信任而阻止该客户端，它可以继续从云存储下载内容，直到此令牌过期为止。管理点不会为客户端颁发另一个令牌，因为它被阻止。
  
  若要避免被阻止的客户端在此 8 小时内下载内容，请停止云服务。在Configuration Manager控制台中，转到“管理”工作区，展开“云服务”，然后选择“云管理网关”节点。

隐私信息

Configuration Manager内容文件中不包含任何用户数据，但管理用户可能会选择执行此操作。