Configuration Manager用戶端的安全性和隱私權
適用於:Configuration Manager (目前的分支)
本文說明Configuration Manager用戶端的安全性和隱私權資訊。 它也包含由Exchange Server連接器管理的行動裝置資訊。
用戶端的安全性指引
Configuration Manager月臺會接受執行Configuration Manager用戶端之裝置的資料。 此行為會造成用戶端可能攻擊網站的風險。 例如,它們可能會傳送格式不正確的清查,或嘗試多載月臺系統。 僅將Configuration Manager用戶端部署至您信任的裝置。
使用下列安全性指引來協助保護網站免于遭受惡意或遭入侵的裝置攻擊。
使用公開金鑰基礎結構 (PKI) 憑證,以與執行 IIS 的月臺系統進行用戶端通訊
作為月臺屬性,僅設定 HTTPS的月臺系統設定。 如需詳細資訊, 請參閱設定安全性。
使用 UsePKICert CCMSetup 屬性安裝用戶端。
使用 CRL) (證書 吊銷清單 。 請確定用戶端和通訊伺服器一律可以存取它。
行動裝置用戶端和某些以網際網路為基礎的用戶端需要這些憑證。 Microsoft 建議針對內部網路上的所有用戶端連線使用這些憑證。
如需在Configuration Manager中使用憑證的詳細資訊,請參閱規劃憑證。
重要事項
從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站。
自動核准來自受信任網域的用戶端電腦,並手動檢查和核准其他電腦
當您無法使用 PKI 驗證時,核准會識別您信任由Configuration Manager管理的電腦。 階層有下列選項可設定用戶端核准:
- 手動
- 受信任網域中的電腦自動
- 所有電腦的自動
最安全的核准方法是自動核准屬於受信任網域成員的用戶端。 此選項包含已從已連線Microsoft Entra租使用者加入雲端網域的用戶端。 然後手動檢查並核准所有其他電腦。 除非您有其他存取控制,以防止不受信任的電腦存取您的網路,否則不建議自動核准所有用戶端。
如需如何手動核准電腦的詳細資訊,請參閱 從裝置節點管理客戶端。
請勿依賴封鎖來防止用戶端存取Configuration Manager階層
Configuration Manager基礎結構會拒絕封鎖的用戶端。 如果用戶端遭到封鎖,就無法與月臺系統通訊以下載原則、上傳清查資料,或傳送狀態或狀態訊息。
封鎖是針對下列案例所設計:
- 在您將 OS 部署至用戶端時封鎖遺失或遭入侵的開機媒體
- 當所有月臺系統都接受 HTTPS 用戶端連線時
當月臺系統接受 HTTP 用戶端連線時,請勿依賴封鎖來保護Configuration Manager階層不受信任的電腦。 在此案例中,封鎖的用戶端可以使用新的自我簽署憑證和硬體識別碼重新加入網站。
憑證撤銷是防範可能遭入侵憑證的主要防禦措施。 CRL) (憑證撤銷清單僅適用于支援的公開金鑰基礎結構 (PKI) 。 封鎖Configuration Manager中的用戶端提供第二行防禦來保護您的階層。
如需詳細資訊,請 參閱決定是否要封鎖用戶端。
使用最安全的用戶端安裝方法,這適用于您的環境
針對網域電腦, 群組原則 用戶端安裝和 軟體更新型 用戶端安裝方法比 用戶端推入 安裝更安全。
如果您套用存取控制和變更控制項,請使用映射處理和手動安裝方法。
搭配用戶端推入安裝使用 Kerberos 相互驗證。
在所有用戶端安裝方法中,用戶端推入安裝最不安全,因為它有許多相依性。 這些相依性包括本機系統管理許可權、 Admin$
共用和防火牆例外狀況。 這些相依性的數目和類型會增加您的受攻擊面。
使用用戶端推入時,月臺可能需要 Kerberos 相互驗證,方法是不允許在建立連線之前後援到 NTLM。 這項增強功能有助於保護伺服器與用戶端之間的通訊。 如需詳細資訊,請 參閱如何使用用戶端推入安裝用戶端。
如需不同用戶端安裝方法的詳細資訊,請參閱 用戶端安裝方法。
盡可能選取需要最少安全性許可權的用戶端安裝方法Configuration Manager。 限制指派安全性角色的系統管理使用者,其許可權可用於用戶端部署以外的用途。 例如,設定自動用戶端升級需要 系統高版權管理員 安全性角色,這會授與系統管理使用者所有安全性許可權。
如需每個用戶端安裝方法所需之相依性和安全性許可權的詳細資訊,請參閱 電腦用戶端的必要條件。
如果您必須使用用戶端推入安裝,請保護用戶端推入安裝帳戶
用戶端推入安裝帳戶必須是安裝Configuration Manager用戶端之每部電腦上本機Administrators群組的成員。 請勿將用戶端推入安裝帳戶新增至 Domain Admins 群組。 請改為建立全域群組,然後將該全域群組新增至用戶端上的本機 Administrators 群組。 建立群組原則物件以新增 限制群組 設定,以將用戶端推入安裝帳戶新增至本機 Administrators 群組。
為了提高安全性,請建立多個用戶端推入安裝帳戶,每個帳戶都有有限數量電腦的系統管理存取權。 如果一個帳戶遭到入侵,只有該帳戶具有存取權的用戶端電腦會遭到入侵。
在映射處理用戶端之前移除憑證
當您使用 OS 映射部署用戶端時,請一律先移除憑證,再擷取映射。 這些憑證包括用於用戶端驗證的 PKI 憑證,以及自我簽署憑證。 如果您未移除這些憑證,用戶端可能會彼此模擬。 您無法驗證每個用戶端的資料。
如需詳細資訊,請 參閱建立工作順序以擷取 OS。
請確定Configuration Manager用戶端取得憑證的授權複本
Configuration Manager受信任的跟金鑰憑證
當下列兩個語句都成立時,用戶端會依賴Configuration Manager受信任的根金鑰來驗證有效的管理點:
- 您尚未擴充適用于 Configuration Manager 的 Active Directory 架構
- 用戶端在與管理點通訊時不會使用 PKI 憑證
在此案例中,除非用戶端使用受信任的根金鑰,否則無法驗證階層的管理點是否受信任。 如果沒有受信任的根金鑰,技術熟練的攻擊者可能會將用戶端導向至 Rogue 管理點。
當用戶端未使用 PKI 憑證,且無法從 Active Directory 全域目錄下載受信任的根金鑰時,請使用受信任的根金鑰預先布建用戶端。 此動作可確保它們無法導向至 Rogue 管理點。 如需詳細資訊,請參閱 規劃受信任的根金鑰。
月臺伺服器簽署憑證
用戶端會使用月臺伺服器簽署憑證來確認月臺伺服器已簽署從管理點下載的原則。 此憑證是由月臺伺服器自我簽署,併發布至 Active Directory 網域服務。
當用戶端無法從 Active Directory 全域目錄下載此憑證時,預設會從管理點下載此憑證。 如果管理點向網際網路等不受信任的網路公開,請在用戶端上手動安裝月臺伺服器簽署憑證。 此動作可確保他們無法從遭入侵的管理點下載遭竄改的用戶端原則。
若要手動安裝月臺伺服器簽署憑證,請使用 CCMSetup client.msi 屬性 SMSSIGNCERT。
如果用戶端從其聯繫的第一個管理點下載受信任的根金鑰,請勿使用自動月臺指派
若要避免新用戶端從 Rogue 管理點下載受根信任金鑰的風險,請只在下列案例中使用自動月臺指派:
用戶端可以存取Configuration Manager發佈至Active Directory 網域服務的網站資訊。
您可以使用受信任的根金鑰預先布建用戶端。
您可以使用企業憑證授權單位單位的 PKI 憑證,在用戶端與管理點之間建立信任。
如需受根信任金鑰的詳細資訊,請參閱 規劃受信任的根金鑰。
請確定維護期間夠大,足以部署重要的軟體更新
裝置集合的維護期間會限制Configuration Manager在這些裝置上安裝軟體的時間。 如果您將維護期間設定為太小,用戶端可能不會安裝重要的軟體更新。 此行為讓用戶端容易遭受軟體更新降低的任何攻擊。
採取安全性預防措施,以使用寫入篩選器減少 Windows Embedded 裝置上的攻擊面
當您在 Windows Embedded 裝置上啟用寫入篩選時,只會對重迭進行任何軟體安裝或變更。 這些變更不會在裝置重新開機之後保存。 如果您使用Configuration Manager來停用寫入篩選器,則在這段期間內,內嵌裝置很容易受到所有磁片區的變更。 這些磁片區包括共用資料夾。
Configuration Manager在此期間鎖定電腦,讓只有本機系統管理員可以登入。 盡可能採取其他安全性預防措施來協助保護電腦。 例如,啟用防火牆的限制。
如果您使用維護時段來保存變更,請仔細規劃這些視窗。 將停用寫入篩選器的時間降到最低,但使其夠長,以允許軟體安裝和重新開機完成。
使用最新的用戶端版本搭配軟體更新型用戶端安裝
如果您使用以軟體更新為基礎的用戶端安裝,並在月臺上安裝更新版本的用戶端,請更新已發佈的軟體更新。 然後用戶端會從軟體更新點接收最新版本。
當您更新月臺時,發佈至軟體更新點的用戶端部署軟體更新不會自動更新。 將Configuration Manager用戶端重新發佈至軟體更新點,並更新版本號碼。
如需詳細資訊,請參閱如何使用以軟體更新為基礎的安裝來安裝Configuration Manager用戶端。
只暫停受信任和受限制存取裝置上的 BitLocker PIN 專案
僅針對您信任且具有限制實體存取的電腦,將用戶端設定為 [ 在重新開機時暫止 BitLocker PIN] 專案 設定為 [ Always ]。
當您將此用戶端設定設定為[永遠] 時,Configuration Manager可以完成軟體的安裝。 此行為有助於安裝重要的軟體更新並繼續服務。 如果攻擊者攔截重新開機程式,他們可以控制電腦。 只有當您信任電腦,以及電腦的實體存取受到限制時,才使用此設定。 例如,此設定可能適用于資料中心內的伺服器。
如需此用戶端設定的詳細資訊,請參閱 關於用戶端設定。
不要略過 PowerShell 執行原則
如果您將PowerShell 執行原則的 Configuration Manager 用戶端設定設為略過,則 Windows 允許執行未簽署的 PowerShell 腳本。 此行為可能會允許惡意程式碼在用戶端電腦上執行。 當您的組織需要此選項時,請使用自訂用戶端設定。 僅將它指派給必須執行未簽署 PowerShell 腳本的用戶端電腦。
如需此用戶端設定的詳細資訊,請參閱 關於用戶端設定。
行動裝置的安全性指引
在周邊網路中安裝註冊 Proxy 點,並在內部網路中安裝註冊點
針對您使用 Configuration Manager 註冊的網際網路型行動裝置,請在周邊網路中安裝註冊 Proxy 點,並在內部網路中安裝註冊點。 此角色區隔有助於保護註冊點免于遭受攻擊。 如果攻擊者入侵註冊點,他們可以取得憑證進行驗證。 他們也可以竊取註冊其行動裝置之使用者的認證。
設定密碼設定以協助保護行動裝置免于未經授權的存取
針對由 Configuration Manager 註冊的行動裝置:使用行動裝置設定專案將密碼複雜度設定為 PIN。 至少指定預設的最小密碼長度。
對於未安裝Configuration Manager用戶端,但由Exchange Server連接器管理的行動裝置:設定Exchange Server連接器的密碼設定,使密碼複雜度成為 PIN。 至少指定預設的最小密碼長度。
只允許由您信任的公司所簽署的應用程式執行
藉由只允許應用程式在您信任的公司簽署時執行,協助防止竄改清查資訊和狀態資訊。 不允許裝置安裝未簽署的檔案。
針對由 Configuration Manager 註冊的行動裝置:使用行動裝置設定專案,將[未簽署的應用程式] 安全性設定設定為 [禁止]。 將 未簽署的檔案安裝 設定為受信任的來源。
對於未安裝Configuration Manager用戶端,但由Exchange Server連接器管理的行動裝置:設定Exchange Server連接器的應用程式設定,以禁止安裝未簽署的檔案和未簽署的應用程式。
不在使用中時鎖定行動裝置
在未使用行動裝置時鎖定行動裝置,協助防止權限提高攻擊。
針對由Configuration Manager註冊的行動裝置:使用行動裝置設定專案,在鎖定行動裝置之前幾分鐘內設定 [閒置時間] 密碼設定。
對於未安裝Configuration Manager用戶端,但由Exchange Server連接器管理的行動裝置:設定Exchange Server連接器的密碼設定,以在鎖定行動裝置之前幾分鐘內設定閒置時間。
限制可註冊其行動裝置的使用者
藉由限制可註冊其行動裝置的使用者,協助防止提高許可權。 使用自訂用戶端設定,而非預設用戶端設定,只允許授權的使用者註冊其行動裝置。
行動裝置的使用者裝置親和性指引
在下列案例中,請勿將應用程式部署到已由Configuration Manager註冊行動裝置的使用者:
超過一個人會使用行動裝置。
系統管理員會代表使用者註冊裝置。
裝置會轉移給另一個人,而不會淘汰,然後重新註冊裝置。
裝置註冊會建立使用者裝置親和性關聯性。 此關聯性會將註冊的使用者對應至行動裝置。 如果其他使用者使用行動裝置,他們可以執行部署至原始使用者的應用程式,這可能會導致提高許可權。 同樣地,如果系統管理員為使用者註冊行動裝置,部署至使用者的應用程式就不會安裝在行動裝置上。 相反地,可能會安裝部署到系統管理員的應用程式。
保護Configuration Manager月臺伺服器與Exchange Server之間的連線
如果Exchange Server內部部署,請使用 IPsec。 託管的 Exchange 會使用 HTTPS 自動保護連線。
針對 Exchange 連接器使用最低許可權原則
如需Exchange Server連接器所需的最小 Cmdlet 清單,請參閱使用 Configuration Manager 和 Exchange 管理行動裝置。
macOS 裝置的安全性指引
從安全的位置儲存和存取用戶端來源檔案
在 macOS 電腦上安裝或註冊用戶端之前,Configuration Manager不會確認這些用戶端來源檔案是否遭到竄改。 從可信任的來源下載這些檔案。 安全地儲存和存取它們。
監視及追蹤憑證的有效期間
監視及追蹤您用於 macOS 電腦之憑證的有效期間。 Configuration Manager不支援自動更新此憑證,或警告您憑證即將到期。 一般有效期間為一年。
如需如何更新憑證的詳細資訊,請參閱 手動更新 macOS 用戶端憑證。
僅針對 SSL 設定受信任的根憑證
若要協助防止提高許可權,請設定受信任根憑證授權單位的憑證,使其只受 SSL 通訊協定信任。
當您註冊 Mac 電腦時,系統會自動安裝管理Configuration Manager用戶端的使用者憑證。 此使用者憑證在其信任鏈結中包含受信任的根憑證。 若只要將此根憑證的信任限制為 SSL 通訊協定,請使用下列程式:
在 Mac 電腦上,開啟終端機視窗。
輸入下列命令:
sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
在 [ 金鑰鏈存取] 對話方塊的 [ 金鑰鏈] 區 段中,選取 [ 系統]。 然後在 [ 類別] 區 段中,選取 [ 憑證]。
找出並開啟 Mac 用戶端憑證的根 CA 憑證。
在根 CA 憑證的對話方塊中,展開 [ 信任 ] 區段,然後進行下列變更:
使用此憑證時:將 [ 永遠信任] 設定變更為 [使用系統預設值]。
安全通訊端層 (SSL) : 未將指定的值 變更為 永遠信任。
關閉對話方塊。 出現提示時,輸入系統管理員的密碼,然後選取 [ 更新設定]。
完成此程式之後,根憑證只會受信任來驗證 SSL 通訊協定。 目前不受此根憑證信任的其他通訊協定包括 Secure Mail (S/MIME) 、可延伸驗證 (EAP) 或程式碼簽署。
注意事項
如果您在Configuration Manager中獨立安裝用戶端憑證,也請使用此程式。
用戶端的安全性問題
下列安全性問題沒有緩和措施:
狀態訊息未通過驗證
管理點不會驗證狀態訊息。 當管理點接受 HTTP 用戶端連線時,任何裝置都可以將狀態訊息傳送至管理點。 如果管理點只接受 HTTPS 用戶端連線,則裝置必須具有有效的用戶端驗證憑證,但也可以傳送任何狀態訊息。 管理點會捨棄從用戶端收到的任何無效狀態訊息。
針對此弱點有一些潛在的攻擊:
- 攻擊者可能會傳送假的狀態訊息,以取得以狀態訊息查詢為基礎的集合成員資格。
- 任何用戶端都可以對管理點啟動阻斷服務,方法是將狀態訊息充入管理點。
- 如果狀態訊息觸發狀態訊息篩選規則中的動作,攻擊者可能會觸發狀態訊息篩選規則。
- 攻擊者可能會傳送會使報告資訊不正確的狀態訊息。
原則可以重定為非目標用戶端
攻擊者可以使用數種方法,將以一個用戶端為目標的原則套用至完全不同的用戶端。 例如,受信任用戶端的攻擊者可能會傳送錯誤清查或探索資訊,讓電腦新增至不應所屬的集合。 該用戶端接著會接收該集合的所有部署。
控制項的存在可協助防止攻擊者直接修改原則。 不過,攻擊者可能會採用重新格式化並重新部署 OS 的現有原則,並將其傳送至不同的電腦。 此重新導向原則可能會建立阻斷服務。 這些類型的攻擊需要精確的時機和廣泛的Configuration Manager基礎結構知識。
用戶端記錄允許使用者存取
所有用戶端記錄檔都允許具有讀取許可權的使用者群組,以及具有寫入資料存取權的特殊互動式使用者。 如果您啟用詳細資訊記錄,攻擊者可能會讀取記錄檔,以尋找合規性或系統弱點的相關資訊。 用戶端在使用者內容中安裝的軟體等程式必須寫入低許可權使用者帳戶的記錄。 此行為表示攻擊者也可以使用低許可權帳戶寫入記錄。
最嚴重的風險是攻擊者可能會移除記錄檔中的資訊。 系統管理員可能需要此資訊來進行稽核和入侵偵測。
電腦可用來取得專為行動裝置註冊而設計的憑證
當Configuration Manager處理註冊要求時,它無法確認要求源自行動裝置,而不是來自電腦。 如果要求來自電腦,它可以安裝 PKI 憑證,然後允許它向Configuration Manager註冊。
為了協助防止在此案例中提高許可權攻擊,只允許信任的使用者註冊其行動裝置。 仔細監視月臺中的裝置註冊活動。
封鎖的用戶端仍然可以將訊息傳送至管理點
當您封鎖不再信任的用戶端,但已建立用戶端通知的網路連線時,Configuration Manager不會中斷會話的連線。 封鎖的用戶端可以繼續將封包傳送至其管理點,直到用戶端與網路中斷連線為止。 這些封包只是小型的保持連線封包。 在解除封鎖之前,Configuration Manager無法管理此用戶端。
自動用戶端升級不會驗證管理點
當您使用自動用戶端升級時,可以將用戶端導向管理點以下載用戶端來源檔案。 在此案例中,用戶端不會將管理點驗證為受信任的來源。
當使用者第一次註冊 macOS 電腦時,他們面臨 DNS 詐騙的風險
當 macOS 電腦在註冊期間連線到註冊 Proxy 點時,macOS 電腦不太可能已經有受信任的根 CA 憑證。 此時,macOS 電腦不信任伺服器,並提示使用者繼續。 如果 rogue DNS 伺服器 (註冊 Proxy 點的 FQDN) 解析完整功能變數名稱,則可能會將 macOS 電腦導向至 Rogue 註冊 Proxy 點,以從不受信任的來源安裝憑證。 若要協助降低此風險,請遵循 DNS 指引,以避免在您的環境中詐騙。
macOS 註冊不會限制憑證要求
每次要求新的用戶端憑證時,使用者都可以重新註冊其 macOS 電腦。 Configuration Manager不會檢查多個要求,也不會限制從單一電腦要求的憑證數目。 惡意使用者可以執行重複命令列註冊要求的腳本。 此攻擊可能會導致網路或頒發憑證授權單位單位 (CA) 拒絕服務。 若要協助降低此風險,請仔細監視發行 CA 是否有這種類型的可疑行為。 在Configuration Manager階層中立即封鎖任何顯示此行為模式的電腦。
抹除通知不會確認裝置已成功抹除
當您啟動行動裝置的抹除動作,且Configuration Manager認可抹除時,驗證是Configuration Manager成功傳送訊息。 它不會驗證裝置是否對要求 採取動作 。
針對由Exchange Server連接器管理的行動裝置,抹除通知會確認該命令是由 Exchange 所接收,而不是由裝置接收。
如果您使用選項在 Windows Embedded 裝置上認可變更,帳戶可能會比預期更快鎖定
如果 Windows Embedded 裝置執行的作業系統版本早于 Windows 7,且使用者在寫入篩選器被Configuration Manager停用時嘗試登入,則 Windows 在鎖定帳戶之前,只允許一半設定的不正確嘗試次數。
例如,您將 帳戶鎖定閾值 的網域原則設定為六次嘗試。 使用者輸入錯誤的密碼三次,而且帳戶已鎖定。此行為會有效地建立阻斷服務。 如果使用者必須在此案例中登入內嵌裝置,請注意鎖定閾值降低的可能性。
用戶端的隱私權資訊
當您部署Configuration Manager用戶端時,您會啟用Configuration Manager功能的用戶端設定。 您用來設定功能的設定可以套用至Configuration Manager階層中的所有用戶端。 無論是直接連線到內部網路、透過遠端會話連線,或連線到網際網路,此行為都相同。
用戶端資訊會儲存在您SQL Server Configuration Manager月臺資料庫中,而且不會傳送給 Microsoft。 資訊會保留在資料庫中,直到月臺維護工作每隔 90 天刪除一次過時 探索資料 為止。 您可以設定刪除間隔。
某些摘要或匯總的診斷和使用方式資料會傳送給 Microsoft。 如需詳細資訊,請參閱 診斷和使用方式資料。
您可以在 Microsoft 隱私權聲明中深入瞭解 Microsoft 的資料收集和使用。
用戶端狀態
Configuration Manager監視用戶端的活動。 它會定期評估Configuration Manager用戶端,並可補救用戶端及其相依性的問題。 預設會啟用用戶端狀態。 它會使用伺服器端計量進行用戶端活動檢查。 用戶端狀態會使用用戶端動作進行自我檢查、補救,以及將用戶端狀態資訊傳送至月臺。 用戶端會根據您設定的排程執行自我檢查。 用戶端會將檢查結果傳送至Configuration Manager網站。 這項資訊會在傳輸期間加密。
用戶端狀態資訊會儲存在您SQL Server的Configuration Manager資料庫中,而且不會傳送給 Microsoft。 資訊不會以加密格式儲存在月臺資料庫中。 此資訊會保留在資料庫中,直到根據針對 [保留用戶端狀態歷程記錄] 設定的值刪除,直到用戶端狀態設定的 下列天數 。 此設定的預設值為每 31 天一次。
Exchange Server連接器的隱私權資訊
Exchange Server連接器會使用 ActiveSync 通訊協定來尋找及管理連線到內部部署或裝載Exchange Server的裝置。 Exchange Server連接器找到的記錄會儲存在SQL Server中的 Configuration Manager 資料庫中。 資訊會從Exchange Server收集。 它不包含行動裝置傳送至Exchange Server的任何其他資訊。
行動裝置資訊不會傳送給 Microsoft。 行動裝置資訊會儲存在您SQL Server的Configuration Manager資料庫中。 資訊會保留在資料庫中,直到月臺維護工作每隔 90 天刪除一次過時 探索資料 為止。 您可以設定刪除間隔。
您可以在 Microsoft 隱私權聲明中深入瞭解 Microsoft 的資料收集和使用。