Configuration Manager安全性基础知识

项目
04/04/2023

适用于: Configuration Manager(current branch)

本文总结了任何Configuration Manager环境的以下基本安全组件：

安全层
基于角色的管理
保护客户端终结点
Configuration Manager帐户和组
隐私

安全层

Configuration Manager的安全性包括以下层：

Windows OS 和网络安全
网络基础结构：防火墙、入侵检测、公钥基础结构 (PKI)
Configuration Manager安全控制
SMS 提供程序
站点数据库权限

Windows OS 和网络安全

第一层由适用于 OS 和网络的 Windows 安全功能提供。此层包括以下组件：

文件共享，用于在Configuration Manager组件之间传输文件。
访问控制列出 (ACL) 以帮助保护文件和注册表项。
Internet 协议安全性 (IPsec) 来帮助保护通信。
用于设置安全策略的组策略。
分布式组件对象模型 (DCOM) 分布式应用程序（如 Configuration Manager 控制台）的权限。
Active Directory 域服务来存储安全主体。
Windows 帐户安全性，包括Configuration Manager在安装过程中创建的一些组。

网络基础结构

网络安全组件（如防火墙和入侵检测）有助于为整个环境提供防御。行业标准公钥基础结构 (PKI) 实现颁发的证书有助于提供身份验证、签名和加密。

Configuration Manager安全控制

默认情况下，只有本地管理员有权访问Configuration Manager控制台在安装它的计算机上所需的文件和注册表项。

SMS 提供程序

下一个安全层基于对 SMS 提供程序的访问。 SMS 提供程序是一个Configuration Manager组件，它授予用户查询站点数据库以获取信息的权限。 SMS 提供程序主要通过 Windows Management Instrumentation (WMI) 公开访问权限，还公开名为管理服务的 REST API。

默认情况下，访问提供程序仅限于本地 SMS 管理员 组的成员。此组最初仅包含安装Configuration Manager的用户。若要向其他帐户授予对通用信息模型 (CIM) 存储库和 SMS 提供程序的权限，请将其他帐户添加到 SMS 管理员组。

可以指定管理员访问Configuration Manager站点的最低身份验证级别。此功能强制管理员以所需级别登录到 Windows。有关详细信息，请参阅规划 SMS 提供程序。

站点数据库权限

最后一层安全基于对站点数据库中对象的权限。默认情况下，用于安装Configuration Manager的本地系统帐户和用户帐户可以管理站点数据库中的所有对象。使用基于角色的管理向 Configuration Manager 控制台中的其他管理用户授予和限制权限。

基于角色的管理

Configuration Manager使用基于角色的管理来帮助保护集合、部署和站点等对象。此管理模型集中定义和管理所有站点和站点设置的层次结构范围的安全访问设置。

管理员将 安全角色 分配给管理用户和组权限。权限连接到不同的Configuration Manager对象类型，例如，用于创建或更改客户端设置。

安全范围 包括管理用户负责管理的特定对象实例。例如，安装 Configuration Manager 控制台的应用程序。

安全角色、安全作用域和集合的组合定义了管理用户可以查看和管理的对象。 Configuration Manager为典型管理任务安装一些默认安全角色。创建自己的安全角色以支持特定的业务需求。

有关详细信息，请参阅基于角色的管理基础。

保护客户端终结点

Configuration Manager通过使用自签名证书或 PKI 证书或Microsoft Entra令牌来保护客户端与站点系统角色的通信。某些方案需要使用 PKI 证书。例如，基于 Internet 的客户端管理和移动设备客户端。

可以配置客户端连接到的站点系统角色，以便进行 HTTPS 或 HTTP 客户端通信。客户端计算机始终使用最安全的可用方法进行通信。如果具有允许 HTTP 通信的站点系统角色，则客户端计算机仅回退到使用不太安全的通信方法。

重要

从 Configuration Manager 版本 2103 开始，将弃用允许 HTTP 客户端通信的站点。为 HTTPS 或增强 HTTP 配置站点。有关详细信息，请参阅为仅 HTTPS 或增强的 HTTP 启用站点。

有关详细信息，请参阅计划安全性。

Configuration Manager帐户和组

Configuration Manager对大多数站点操作使用本地系统帐户。某些站点操作允许使用服务帐户，而不是使用站点服务器的域计算机帐户。某些管理任务可能需要创建和维护其他帐户。例如，在 OS 部署任务序列期间加入域。

Configuration Manager在设置过程中创建多个默认组和SQL Server角色。可能需要手动将计算机或用户帐户添加到默认组和SQL Server角色。

有关详细信息，请参阅 Configuration Manager 中使用的帐户。

隐私

在实施Configuration Manager之前，请考虑隐私要求。尽管企业管理产品具有许多优势，因为它们可以有效地管理大量客户端，但该软件可能会影响组织中的用户的隐私。 Configuration Manager包括许多用于收集数据和监视设备的工具。某些工具可能会在组织中引发隐私问题。

例如，安装 Configuration Manager 客户端时，默认情况下会启用许多管理设置。此配置会导致客户端软件将信息发送到Configuration Manager站点。站点将客户端信息存储在站点数据库中。客户端信息不会直接发送到 Microsoft。有关详细信息，请参阅诊断和使用情况数据。

后续步骤

基于角色的管理基础知识

规划安全