Zabezpečení a ochrana osobních údajů pro správu obsahu v Správce konfigurace

Platí pro: Správce konfigurace (aktuální větev)

Tento článek obsahuje informace o zabezpečení a ochraně osobních údajů pro správu obsahu v Správce konfigurace.

Pokyny k zabezpečení

Výhody a nevýhody protokolu HTTPS nebo HTTP pro intranetové distribuční body

U distribučních bodů v intranetu zvažte výhody a nevýhody používání protokolu HTTPS nebo HTTP. Ve většině scénářů poskytuje použití účtů HTTP a přístupu ke balíčkům pro autorizaci větší zabezpečení než použití protokolu HTTPS se šifrováním, ale bez autorizace. Pokud ale máte v obsahu citlivá data, která chcete během přenosu šifrovat, použijte https.

  • Při použití protokolu HTTPS pro distribuční bod: Správce konfigurace k autorizaci přístupu k obsahu nepou3/4ívá účty pro přístup k balíčkům. Obsah se při přenosu přes síť zašifruje.

  • Při použití protokolu HTTP pro distribuční bod: K autorizaci můžete použít účty pro přístup k balíčkům. Obsah se při přenosu přes síť nezašifruje.

Zvažte povolení rozšířeného protokolu HTTP pro web. Tato funkce umožňuje klientům používat Azure Active Directory (Azure AD) k bezpečné komunikaci s distribučním bodem HTTP. Další informace najdete v článku Vylepšený protokol HTTP.

Důležité

Od verze Správce konfigurace 2103 jsou weby, které umožňují komunikaci klienta HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v článku Povolení webu jenom pro https nebo vylepšený protokol HTTP.

Ochrana souboru certifikátu ověřování klienta

Pokud pro distribuční bod používáte ověřovací certifikát klienta PKI místo certifikátu podepsaného svým držitelem, chraňte soubor certifikátu (.pfx) pomocí silného hesla. Pokud soubor uložíte do sítě, zabezpečte síťový kanál při importu souboru do Správce konfigurace.

Pokud potřebujete heslo k importu ověřovacího certifikátu klienta, který distribuční bod používá ke komunikaci s body správy, tato konfigurace pomáhá chránit certifikát před útočníkem. Pokud chcete útočníkovi zabránit v manipulaci se souborem certifikátu, použijte podepisování blokem zpráv serveru (SMB) nebo protokol IPsec mezi síťovým umístěním a serverem webu.

Odebrání role distribučního bodu ze serveru webu

Ve výchozím Správce konfigurace instalační program nainstaluje distribuční bod na server webu. Klienti nemusí komunikovat přímo se serverem webu. Pokud chcete omezit povrch útoku, přiřaďte roli distribučního bodu jiným systémům webu a odeberte ji ze serveru webu.

Zabezpečení obsahu na úrovni přístupu k balíčku

Sdílená distribuční bod umožňuje přístup pro čtení všem uživatelům. Pokud chcete omezit přístup uživatelů k obsahu, použijte účty pro přístup k balíčkům, když je distribuční bod nakonfigurovaný pro protokol HTTP. Tato konfigurace se nevztahuje na brány cloudové správy s podporou obsahu, které nepodporují účty pro přístup k balíčkům.

Další informace najdete v článku Účty pro přístup k balíčkům.

Konfigurace služby IIS v roli distribučního bodu

Pokud Správce konfigurace službu IIS nainstalujete, když přidáte roli systému lokality distribučních bodů, odeberte po dokončení instalace distribučního bodu přesměrování http a skripty pro správu služby IIS a nástroje. Distribuční bod tyto součásti nevyžaduje. Pokud chcete omezit povrch útoku, odeberte tyto služby rolí pro roli webového serveru.

Další informace o službách rolí pro roli webového serveru pro distribuční body najdete v tématu Požadavky na web a systém webu.

Nastavení přístupových oprávnění balíčku při vytváření balíčku

Vzhledem k tomu, že změny přístupových účtů v souborech balíčku nabývá účinnosti jenom v případě, že balíček znovu distribuujete, nastavte při prvním vytvoření balíčku pečlivě oprávnění pro přístup k balíčku. Tato konfigurace je důležitá, pokud je balíček velký nebo distribuovaný do mnoha distribučních bodů a pokud je šířka pásma sítě pro distribuci obsahu omezená.

Implementace ovládacích prvků přístupu k ochraně médií obsahujících předzpracovaný obsah

Předzpracovaný obsah je komprimovaný, ale není zašifrovaný. Útočník by mohl číst a upravovat soubory stažené do zařízení. Správce konfigurace klienti odmítají obsah, se který je zfalšovaný, ale přesto si ho stáhnou.

Import předzpracovaného obsahu pomocí funkce ExtractContent

Importujte jenom předzpracovaný obsah pomocí ExtractContent.exe příkazového řádku. Abyste se vyhnuli manipulaci a zvýšení oprávnění, používejte jenom autorizovaný nástroj příkazového řádku, který je součástí Správce konfigurace.

Další informace najdete v tématu Nasazení a správa obsahu.

Zabezpečení komunikačního kanálu mezi serverem webu a zdrojovým umístěním balíčku

Při vytváření aplikací, balíčků a dalších objektů s obsahem používejte podepisování protokolu IPsec nebo SMB mezi serverem webu a umístěním zdroje balíčku. Tato konfigurace pomáhá zabránit útočníkovi v manipulaci se zdrojovými soubory.

Odebrání výchozích virtuálních adresářů pro vlastní web s rolí distribučního bodu

Pokud po instalaci role distribučního bodu změníte možnost konfigurace webu tak, aby se místo výchozího webu používá vlastní web, odeberte výchozí virtuální adresáře. Když přepnete z výchozího webu na vlastní web, Správce konfigurace neodebere staré virtuální adresáře. Odeberte následující virtuální adresáře, které Správce konfigurace původně vytvořené pod výchozím webem:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Další informace o používání vlastního webu najdete v tématu Weby pro servery systému webu.

U bran cloudové správy s podporou obsahu chraňte podrobnosti a certifikáty předplatného Azure.

Když používáte brány pro správu cloudu s podporou obsahu, chraňte následující položky s vysokou hodnotou:

  • Uživatelské jméno a heslo pro vaše předplatné Azure
  • Tajné klíče pro registrace aplikací Azure
  • Ověřovací certifikát serveru

Certifikáty uložte bezpečně. Pokud k nim při konfiguraci cmg nasměrujete přes síť, použijte podepisování protokolu IPsec nebo SMB mezi serverem systému webu a zdrojovým umístěním.

Kvůli nepřetržitosti služeb sledujte datum vypršení platnosti certifikátů CMG.

Správce konfigurace vás neupozorní, když vyprší platnost importovaných certifikátů pro cmg. Sledujte data vypršení platnosti nezávisle na Správce konfigurace. Ujistěte se, že nové certifikáty obnovujete a importujete před datem vypršení platnosti. Tato akce je důležitá, pokud certifikát pro ověřování serveru získáte od externího veřejného poskytovatele, protože možná budete potřebovat víc času na získání obnoveného certifikátu.

Pokud platnost certifikátu vyprší, Správce konfigurace cloudových služeb vygeneruje stavovou zprávu s ID 9425. Soubor CloudMgr.log obsahuje položku, která označuje, že certifikát je ve stavu s ukončenou platností a datum vypršení platnosti je také přihlášené ve formátu UTC.

Důležité informace o zabezpečení

  • Klienti neověřují obsah, dokud se nestáhne. Správce konfigurace klienti ověří hodnotu hash obsahu až po stažení do mezipaměti klienta. Pokud útočník zakroucuje se seznamem souborů ke stažení nebo se samotným obsahem, může proces stahování za trvat značnou šířku pásma sítě. Když klient najde neplatnou hodnotu hash, zahodí obsah.

  • Když používáte brány cloudové správy s podporou obsahu:

    • Automaticky omezuje přístup k obsahu pro vaši organizaci. Nemůžete ho dál omezit na vybrané uživatele nebo skupiny.

    • Bod správy nejdřív ověří klienta. Klient pak pro přístup k cloudovým úložišti Správce konfigurace tokenu. Token je platný osm hodin. Toto chování znamená, že pokud klienta zablokujete, protože už není důvěryhodný, může dál stahovat obsah z cloudového úložiště, dokud nevyprší platnost tohoto tokenu. Bod správy nevydá pro klienta další token, protože je zablokovaný.

      Abyste blokovanému klientovi zabránili ve stahování obsahu v tomto osmihodinovém okně, zastavte cloudovou službu. V Správce konfigurace přejděte do pracovního prostoru Správa, rozbalte Cloudové služby a vyberte uzel Brána pro správu cloudu.

Informace o ochraně osobních údajů

Správce konfigurace neobsahuje žádná uživatelská data v souborech obsahu, ale správce se může rozhodnout tuto akci provést.

Další kroky