Konfigurace zabezpečení v Správce konfigurace

Platí pro: Správce konfigurace (aktuální větev)

Informace v tomto článku vám pomůžou nastavit možnosti související se zabezpečením pro Správce konfigurace. Než začnete, ujistěte se, že máte plán zabezpečení.

Důležité

Od verze Správce konfigurace 2103 jsou weby, které umožňují komunikaci klienta HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v článku Povolení webu jenom pro https nebo vylepšený protokol HTTP.

Klientské certifikáty PKI

Pokud chcete použít certifikáty infrastruktury veřejných klíčů (PKI) pro připojení klientů k systémům webu, které používají Internetová informační služba (IIS), nakonfigurujte nastavení těchto certifikátů pomocí následujícího postupu.

  1. V Správce konfigurace přejděte do pracovního prostoru Správa, rozbalte Konfigurace webu a vyberte uzel Weby. Vyberte primární web, který chcete nakonfigurovat.

  2. Na pásu karet zvolte Vlastnosti. Potom přejděte na kartu Zabezpečení komunikace.

  3. Vyberte nastavení pro systémy webu, které používají službu IIS.

    • Jenom protokol HTTPS: Klienti, kteří jsou k webu přiřazeni, vždy používají klientský certifikát PKI, když se připojují k systémům webu, které používají službu IIS. Například bod správy a distribuční bod.

    • HTTPS nebo HTTP: Klienti nechcete, aby používejte certifikáty PKI.

    • Použití Správce konfigurace generovaných certifikátů pro systémy webu HTTP: Další informace o tomto nastavení najdete v článku Vylepšený protokol HTTP.

  4. Vyberte nastavení pro klientské počítače.

    • Pokud je k dispozici klientský certifikát PKI (možnost ověřování klientů): Pokud jste zvolili nastavení serveru webu HTTPS nebo HTTP, zvolte tuto možnost, pokud chcete pro připojení HTTP použít klientský certifikát PKI. Klient používá tento certifikát místo certifikátu podepsaného svým držitelem k ověření v systémech webu. Pokud jste zvolili jenom protokol HTTPS, vybere se tato možnost automaticky.

      Pokud je v klientovi k dispozici více než jeden platný klientský certifikát PKI, vyberte Změnit a nakonfigurujte metody výběru klientských certifikátů. Další informace o metodě výběru klientských certifikátů najdete v tématu Plánování výběru klientského certifikátu pki.

    • Klienti zkontrolujte seznam odvolaných certifikátů (CRL) pro systémy lokality: Povolte toto nastavení pro klienty, aby kontroloval seznam CRL vaší organizace u odvolaných certifikátů. Další informace o kontrole seznamu crl pro klienty najdete v tématu Plánování odvolání certifikátů PKI.

  5. Pokud chcete importovat, zobrazit a odstranit certifikáty pro důvěryhodné kořenové certifikační autority, vyberte Nastavit. Další informace najdete v tématu Plánování důvěryhodných kořenovýchcertifikátů pki a seznamu vystavitelů certifikátů.

Tento postup opakujte pro všechny primární weby v hierarchii.

Správa důvěryhodného kořenového klíče

Pomocí těchto postupů můžete před zřízením a ověřením důvěryhodného kořenového klíče Správce konfigurace klienta.

Poznámka

Pokud klienti mohou získat důvěryhodný kořenový klíč služba Active Directory Domain Services nebo nabízenou klientskou nabízenou platbou, nemusíte ho předem zřídit.

Když klienti používají komunikaci HTTPS s body správy, nemusíte před zřízením důvěryhodného kořenového klíče předem zřídit. Navázání důvěryhodnosti pomocí certifikátů PKI

Další informace o důvěryhodném kořenovém klíči najdete v tématu Plánování zabezpečení.

Předběžné zřízení klienta pomocí důvěryhodného kořenového klíče pomocí souboru

  1. Na serveru webu přejděte do instalačního Správce konfigurace adresáře. V \bin\<platform> podsložce otevřete v textovém editoru následující soubor: mobileclient.tcf

  2. Vyhledejte položku SMSPublicRootKey . Zkopírujte hodnotu z tohoto řádku a zavřete soubor bez uložení změn.

  3. Vytvořte nový textový soubor a vložte hodnotu klíče, kterou jste zkopírovali ze souboru mobileclient.tcf.

  4. Uložte soubor do umístění, kde k ní mají přístup všechny počítače, ale kde je soubor v bezpečí před neoprávněnou manipulací.

  5. Nainstalujte klienta pomocí libovolné metody instalace, která přijímá client.msi vlastností. Zadejte následující vlastnost: SMSROOTKEYPATH=<full path and file name>

    Důležité

    Když během instalace klienta zadáte důvěryhodný kořenový klíč, zadejte také kód webu. Použijte následující client.msi vlastnost: SMSSITECODE=<site code>

Předběžné zřízení klienta pomocí důvěryhodného kořenového klíče bez použití souboru

  1. Na serveru webu přejděte do instalačního Správce konfigurace adresáře. V \bin\<platform> podsložce otevřete v textovém editoru následující soubor: mobileclient.tcf

  2. Vyhledejte položku SMSPublicRootKey . Zkopírujte hodnotu z tohoto řádku a zavřete soubor bez uložení změn.

  3. Nainstalujte klienta pomocí libovolné metody instalace, která přijímá client.msi vlastností. Zadejte následující client.msi vlastnost: kde je řetězec, který jste zkopírovali SMSPublicRootKey=<key> <key> z mobileclient.tcf.

    Důležité

    Když během instalace klienta zadáte důvěryhodný kořenový klíč, zadejte také kód webu. Použijte následující client.msi vlastnost: SMSSITECODE=<site code>

Ověření důvěryhodného kořenového klíče klienta

  1. Otevřete Windows PowerShell konzolu jako správce.

  2. Spusťte následující příkaz:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

Vrácený řetězec je důvěryhodný kořenový klíč. Ověřte, že odpovídá hodnotě SMSPublicRootKey v souboru mobileclient.tcf na serveru webu.

Odebrání nebo nahrazení důvěryhodného kořenového klíče

Odeberte důvěryhodný kořenový klíč z klienta pomocí vlastnosti client.msi , RESETKEYINFORMATION = TRUE .

Pokud chcete nahradit důvěryhodný kořenový klíč, znovu nainstalujte klienta společně s novým důvěryhodným kořenovým klíčem. Můžete třeba použít nabízenou klientskou službu nebo zadat client.msi SMSPublicRootKey.

Další informace o těchto vlastnostech instalace najdete v tématu O parametrech a vlastnostech instalace klienta.

Podepisování a šifrování

Nakonfigurujte nejbezpečnější nastavení podepisování a šifrování pro systémy webu, které mohou podporovat všichni klienti na webu. Tato nastavení jsou zvlášť důležitá, když klientům umožňujíte komunikovat se systémy webu pomocí certifikátů podepsaných svým držitelem prostřednictvím protokolu HTTP.

  1. V Správce konfigurace přejděte do pracovního prostoru Správa, rozbalte Konfigurace webu a vyberte uzel Weby. Vyberte primární web, který chcete nakonfigurovat.

  2. Na pásu karet vyberte Vlastnosti a pak přejděte na kartu Podepisování a šifrování.

    Tato karta je dostupná jenom v primárním webu. Pokud kartu Podepisování a šifrování nevidíte, ujistěte se, že nejste připojení k webu centrální správy nebo sekundárnímu webu.

  3. Nakonfigurujte možnosti podepisování a šifrování pro klienty pro komunikaci s webem.

    • Vyžadovat podepisování: Klienti podepisují data před odesláním do bodu správy.

    • Vyžadovat SHA-256: Klienti při podepisování dat používají algoritmus SHA-256.

      Upozornění

      Nepožadovat SHA-256, aniž byste nejdřív potvrdili, že tento algoritmus hash podporují všichni klienti. Mezi tyto klienty patří klienti, kteří můžou být k webu v budoucnu přiřazeni.

      Pokud zvolíte tuto možnost a klienti s certifikáty podepsaných svým držitelem nepodporují SHA-256, Správce konfigurace odmítne. Komponenta SMS_MP_CONTROL_MANAGER protokoluje ID zprávy 5443.

    • Šifrování: Klienti před odesláním do bodu správy šifrují data inventáře klientů a zprávy o stavu.

Tento postup opakujte pro všechny primární weby v hierarchii.

Správa založená na rolích

Správa založená na rolích kombinuje role zabezpečení, obory zabezpečení a přiřazené kolekce a definuje obor správy pro každého uživatele správy. Obor zahrnuje objekty, které může uživatel zobrazit v konzole, a úkoly související s těmito objekty, ke které má oprávnění. Konfigurace správy založené na rolích se použijí na každém webu v hierarchii.

Další informace najdete v tématu Konfigurace správy založené na rolích. Tento článek podrobně popisuje následující akce:

  • Vytvoření vlastních rolí zabezpečení

  • Konfigurace rolí zabezpečení

  • Konfigurace oborů zabezpečení pro objekt

  • Konfigurace kolekcí pro správu zabezpečení

  • Vytvoření nového uživatele pro správu

  • Změna rozsahu správy uživatele pro správu

Důležité

Vlastní obor správy definuje objekty a nastavení, která můžete přiřadit při konfiguraci správy založené na rolích pro jiného správce. Informace o plánování správy založené na rolích najdete v tématu Základy správy založené na rolích.

Správa účtů

Správce konfigurace podporuje Windows účtů pro mnoho různých úkolů a použití. Pokud chcete zobrazit účty, které jsou nakonfigurované pro různé úkoly, a spravovat heslo, Správce konfigurace používá pro každý účet, použijte následující postup:

  1. V Správce konfigurace přejděte do pracovního prostoru Správa, rozbalte Zabezpečení a pak zvolte uzel Účty.

  2. Pokud chcete změnit heslo účtu, vyberte účet v seznamu. Pak na pásu karet zvolte Vlastnosti.

  3. Zvolte Nastavit a otevřete tak dialogové Windows Uživatelský účet. Zadejte nové heslo, Správce konfigurace chcete pro tento účet použít.

    Poznámka

    Heslo, které zadáte, se musí shodovat s heslem tohoto účtu ve službě Active Directory.

Další informace najdete v článku Účty používané v Správce konfigurace.

Azure Active Directory

Integrujte Správce konfigurace s Azure Active Directory (Azure AD) a zjednodušte a cloudové prostředí. Povolte webu a klientům ověřování pomocí Azure AD.

Další informace najdete ve službě Cloud Management v tématu Konfigurace služeb Azure.

Ověřování poskytovatele SMS

Můžete zadat minimální úroveň ověřování pro správce pro přístup k Správce konfigurace webům. Tato funkce vynucuje správcům přihlášení k Windows s požadovanou úrovní, než budou mít přístup k Správce konfigurace. Další informace najdete v tématu Plánování ověřování poskytovatele sms.

Důležité

Tato konfigurace je nastavení pro celou hierarchii. Než toto nastavení změníte, ujistěte se, že se Správce konfigurace všichni správci můžou přihlásit Windows s požadovanou úrovní ověřování.

Toto nastavení nakonfigurujete takto:

  1. Nejdřív se přihlaste k Windows s určenou úrovní ověřování.

  2. V Správce konfigurace přejděte do pracovního prostoru Správa, rozbalte Konfigurace webu a vyberte uzel Weby.

  3. Na pásu Nastavení vyberte Hierarchie.

  4. Přepněte na kartu Ověřování. Vyberte požadovanou úroveň ověřování apak vyberte OK.

    • Jenom v případě potřeby vyberte Přidat a vyloučíte konkrétní uživatele nebo skupiny. Další informace najdete v tématu Vyloučení.

Vyloučení

Na kartě Ověřování v hierarchii Nastavení můžete také vyloučit určité uživatele nebo skupiny. Tuto možnost použijte šetrně. Pokud třeba konkrétní uživatelé vyžadují přístup ke konzole Správce konfigurace, ale neověřují se k Windows na požadované úrovni. Může to být také nutné pro automatizaci nebo služby, které běží v kontextu systémového účtu.

Další kroky