Zabezpečení a ochrana osobních údajů pro klienty Configuration Manager

  • Článek

Platí pro: Configuration Manager (Current Branch)

Tento článek popisuje informace o zabezpečení a ochraně osobních údajů pro klienty Configuration Manager. Obsahuje také informace o mobilních zařízeních spravovaných konektorem Exchange Server.

Pokyny k zabezpečení pro klienty

Lokalita Configuration Manager přijímá data ze zařízení, na kterých běží klient Configuration Manager. Toto chování představuje riziko, že by klienti mohli lokalitu napadnout. Mohou například odeslat poškozený inventář nebo se pokusit přetížit systémy lokality. Nasaďte klienta Configuration Manager jenom do zařízení, kterým důvěřujete.

Následující doprovodné materiály k zabezpečení vám pomůžou chránit web před podvody nebo ohroženými zařízeními.

Použití certifikátů infrastruktury veřejných klíčů (PKI) pro komunikaci klientů se systémy lokality se službou IIS

  • Jako vlastnost lokality nakonfigurujte nastavení systému lokality pouze pro HTTPS. Další informace najdete v tématu Konfigurace zabezpečení.

  • Nainstalujte klienty pomocí vlastnosti UsePKICert CCMSetup.

  • Použijte seznam odvolaných certifikátů (CRL). Ujistěte se, že k němu mají vždy přístup klienti a komunikující servery.

Klienti mobilních zařízení a někteří internetoví klienti vyžadují tyto certifikáty. Microsoft doporučuje tyto certifikáty pro všechna klientská připojení v intranetu.

Další informace o použití certifikátů v Configuration Manager najdete v tématu Plánování certifikátů.

Důležité

Od Configuration Manager verze 2103 jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.

Automaticky schvalovat klientské počítače z důvěryhodných domén a ručně kontrolovat a schvalovat ostatní počítače

Pokud nemůžete použít ověřování PKI, schválení identifikuje počítač, kterému důvěřujete, že bude spravován Configuration Manager. V hierarchii jsou k dispozici následující možnosti konfigurace schválení klienta:

  • Ruční
  • Automaticky pro počítače v důvěryhodných doménách
  • Automaticky pro všechny počítače

Nejbezpečnější metodou schvalování je automatické schvalování klientů, kteří jsou členy důvěryhodných domén. Tato možnost zahrnuje klienty připojené ke cloudové doméně z připojených Microsoft Entra tenantů. Pak ručně zkontrolujte a schvalte všechny ostatní počítače. Automatické schvalování všech klientů se nedoporučuje, pokud nemáte jiné řízení přístupu, které brání nedůvěryhodným počítačům v přístupu k vaší síti.

Další informace o ručním schvalování počítačů najdete v tématu Správa klientů z uzlu zařízení.

Nespoléhejte na blokování, abyste zabránili klientům v přístupu k hierarchii Configuration Manager.

Blokovaní klienti jsou odmítnuti infrastrukturou Configuration Manager. Pokud jsou klienti zablokovaní, nemůžou komunikovat se systémy lokality a stahovat zásady, nahrávat data inventáře nebo odesílat stavové nebo stavové zprávy.

Blokování je navržené pro následující scénáře:

  • Blokování ztraceného nebo ohroženého spouštěcího média při nasazení operačního systému do klientů
  • Když všechny systémy lokality přijímají připojení klientů HTTPS

Když systémy lokality přijímají připojení klientů HTTP, nespoléhejte při ochraně hierarchie Configuration Manager před nedůvěryhodnými počítači na blokování. V tomto scénáři by se blokovaný klient mohl znovu připojit k lokalitě s novým certifikátem podepsaným svým držitelem a ID hardwaru.

Odvolání certifikátu je primární obranou proti potenciálně ohroženým certifikátům. Seznam odvolaných certifikátů (CRL) je k dispozici pouze z podporované infrastruktury veřejných klíčů (PKI). Blokování klientů v Configuration Manager nabízí druhou linii obrany, která chrání vaši hierarchii.

Další informace najdete v tématu Určení, jestli se mají klienti blokovat.

Používejte nejbezpečnější metody instalace klienta, které jsou praktické pro vaše prostředí.

  • Pro počítače domény jsou metody instalace klienta zásad skupiny a instalace klienta založené na aktualizacích softwaru bezpečnější než klientské nabízené instalace.

  • Pokud použijete řízení přístupu a ovládací prvky změn, použijte metody vytváření obrázků a ruční instalace.

  • Používejte vzájemné ověřování kerberos s klientskou nabízenou instalací.

Ze všech metod instalace klienta je klientská nabízená instalace nejméně bezpečná, protože má mnoho závislostí. Mezi tyto závislosti patří oprávnění místního správce, sdílená Admin$ složka a výjimky brány firewall. Počet a typ těchto závislostí zvyšuje prostor pro útoky.

Při použití klientského nabízeného připojení může lokalita vyžadovat vzájemné ověřování protokolem Kerberos tím, že před navázáním připojení nepovolí návrat do protokolu NTLM. Toto vylepšení pomáhá zabezpečit komunikaci mezi serverem a klientem. Další informace najdete v tématu Postup instalace klientů s klientskými nabízenými oznámeními.

Další informace o různých metodách instalace klienta najdete v tématu Metody instalace klienta.

Kdykoli je to možné, vyberte metodu instalace klienta, která vyžaduje nejmenší oprávnění zabezpečení v Configuration Manager. Omezte administrativní uživatele, kteří mají přiřazené role zabezpečení, s oprávněními, která je možné použít k jiným účelům, než je nasazení klienta. Například konfigurace automatického upgradu klienta vyžaduje roli zabezpečení Úplný správce , která uživateli s právy správce udělí všechna oprávnění zabezpečení.

Další informace o závislostech a oprávněních zabezpečení požadovaných pro jednotlivé metody instalace klienta najdete v tématu Požadavky pro počítačové klienty.

Pokud musíte použít klientskou nabízenou instalaci, zabezpečte účet klientské nabízené instalace.

Účet nabízené instalace klienta musí být členem místní skupiny Administrators na každém počítači, který nainstaluje klienta Configuration Manager. Nikdy nepřidávejte účet nabízené instalace klienta do skupiny Domain Admins . Místo toho vytvořte globální skupinu a přidejte ji do místní skupiny Administrators ve vašich klientech. Vytvořte objekt zásad skupiny pro přidání nastavení Skupiny s omezeným přístupem, které přidá účet klientské nabízené instalace do místní skupiny Administrators .

Pro větší zabezpečení vytvořte několik klientských účtů nabízené instalace, z nichž každý má přístup pro správu k omezenému počtu počítačů. Pokud dojde k ohrožení zabezpečení jednoho účtu, budou ohroženy pouze klientské počítače, ke kterým má tento účet přístup.

Odebrání certifikátů před klienty pro vytváření imisí

Když nasazujete klienty pomocí imagí operačního systému, vždy před zachycením image odeberte certifikáty. Tyto certifikáty zahrnují certifikáty PKI pro ověřování klientů a certifikáty podepsané svým držitelem. Pokud tyto certifikáty neodeberete, můžou se klienti vydávat za sebe navzájem. Nemůžete ověřit data pro každého klienta.

Další informace najdete v tématu Vytvoření pořadí úkolů pro zachycení operačního systému.

Ujistěte se, že klient Configuration Manager získá autorizovanou kopii certifikátů.

Certifikát důvěryhodného kořenového klíče Configuration Manager

Pokud platí oba následující příkazy, klienti se při ověřování platných bodů správy spoléhají na Configuration Manager důvěryhodný kořenový klíč:

  • Neprodloužili jste schéma služby Active Directory pro Configuration Manager
  • Klienti nepoužívají certifikáty PKI při komunikaci s body správy

V tomto scénáři nemají klienti žádný způsob, jak ověřit, že bod správy je pro hierarchii důvěryhodný, pokud nepoužívají důvěryhodný kořenový klíč. Bez důvěryhodného kořenového klíče by zkušený útočník mohl nasměrovat klienty na podvodný bod správy.

Pokud klienti nepoužívají certifikáty PKI a nemůžou stáhnout důvěryhodný kořenový klíč z globálního katalogu služby Active Directory, předem zřiďte pro klienty důvěryhodný kořenový klíč. Tato akce zajistí, že je nelze směrovat na podvodný bod správy. Další informace najdete v tématu Plánování důvěryhodného kořenového klíče.

Podpisový certifikát serveru lokality

Klienti používají podpisový certifikát serveru lokality k ověření, že server lokality podepsal zásadu staženou z bodu správy. Tento certifikát je podepsaný svým držitelem serverem lokality a publikován do Active Directory Domain Services.

Pokud klienti nemohou stáhnout tento certifikát z globálního katalogu služby Active Directory, ve výchozím nastavení ho stáhnou z bodu správy. Pokud je bod správy vystaven nedůvěryhodné síti, jako je internet, ručně nainstalujte podpisový certifikát serveru lokality na klienty. Tato akce zajistí, že nebudou moct stáhnout zfalšované zásady klienta z ohroženého bodu správy.

Chcete-li ručně nainstalovat podpisový certifikát serveru lokality, použijte vlastnost CCMSetup client.msi SMSSIGNCERT.

Pokud klient stáhne důvěryhodný kořenový klíč z prvního bodu správy, který kontaktuje, nepoužívejte automatické přiřazení lokality.

Abyste se vyhnuli riziku, že nový klient stáhne důvěryhodný kořenový klíč z podvodného bodu správy, používejte automatické přiřazení lokality pouze v následujících scénářích:

  • Klient má přístup k Configuration Manager informacím o lokalitě, které jsou publikovány do Active Directory Domain Services.

  • Předem zřídíte klienta s důvěryhodným kořenovým klíčem.

  • Certifikáty PKI od podnikové certifikační autority slouží k navázání vztahu důvěryhodnosti mezi klientem a bodem správy.

Další informace o důvěryhodném kořenovém klíči najdete v tématu Plánování důvěryhodného kořenového klíče.

Ujistěte se, že jsou časové intervaly údržby dostatečně velké pro nasazení důležitých aktualizací softwaru.

Časové intervaly údržby pro kolekce zařízení omezují dobu, po kterou Configuration Manager může na tato zařízení instalovat software. Pokud nakonfigurujete časové období údržby tak, aby bylo příliš malé, je možné, že klient nenainstaluje důležité aktualizace softwaru. Toto chování zanechá klienta zranitelné vůči útokům, které aktualizace softwaru zmírní.

Podnikněte bezpečnostní opatření, abyste omezili prostor pro útoky na zařízení s Windows Embedded s filtry zápisu.

Když povolíte filtry zápisu na zařízeních se systémem Windows Embedded, všechny instalace nebo změny softwaru se provedou jenom v překryvu. Tyto změny se po restartování zařízení nezachovají. Pokud k zakázání filtrů zápisu použijete Configuration Manager, bude vložené zařízení během této doby zranitelné vůči změnám všech svazků. Tyto svazky zahrnují sdílené složky.

Configuration Manager během této doby uzamkne počítač, aby se mohli přihlásit jenom místní správci. Kdykoli je to možné, proveďte další bezpečnostní opatření, která pomáhají chránit počítač. Například povolte omezení brány firewall.

Pokud k zachování změn používáte časové intervaly údržby, pečlivě je naplánujte. Minimalizujte dobu, po kterou jsou filtry zápisu zakázané, ale nastavte je na dostatečně dlouhou dobu, aby bylo možné dokončit instalaci a restartování softwaru.

Použití nejnovější verze klienta s instalací klienta na základě aktualizací softwaru

Pokud používáte instalaci klienta na základě aktualizace softwaru a nainstalujete v lokalitě novější verzi klienta, aktualizujte publikovanou aktualizaci softwaru. Klienti pak získají nejnovější verzi z bodu aktualizace softwaru.

Při aktualizaci lokality se aktualizace softwaru pro nasazení klienta publikovaná do bodu aktualizace softwaru automaticky neaktualizuje. Znovu publikujte klienta Configuration Manager do bodu aktualizace softwaru a aktualizujte číslo verze.

Další informace najdete v tématu Instalace klientů Configuration Manager pomocí instalace na základě aktualizací softwaru.

Pozastavit zadávání PIN kódu nástroje BitLocker jenom na důvěryhodných zařízeních a zařízeních s omezeným přístupem

Nakonfigurujte nastavení klienta tak, aby při restartování pozastavil zadávání pin kódu nástroje BitLocker , pouze na Vždy pro počítače, kterým důvěřujete a které mají omezený fyzický přístup.

Když nastavíte toto nastavení klienta na Vždy, Configuration Manager může dokončit instalaci softwaru. Toto chování pomáhá instalovat důležité aktualizace softwaru a obnovovat služby. Pokud útočník zachytí proces restartování, může převzít kontrolu nad počítačem. Toto nastavení použijte pouze v případě, že počítači důvěřujete a pokud je fyzický přístup k počítači omezený. Toto nastavení může být například vhodné pro servery v datacentru.

Další informace o tomto nastavení klienta najdete v tématu Informace o nastavení klienta.

Nevyužívat zásady spouštění PowerShellu

Pokud nakonfigurujete nastavení klienta Configuration Manager pro zásady spouštění PowerShellu na Obejít, systém Windows umožní spouštění nepodepsaných skriptů PowerShellu. Toto chování by mohlo umožnit spuštění malwaru na klientských počítačích. Pokud vaše organizace tuto možnost vyžaduje, použijte vlastní nastavení klienta. Přiřaďte ho jenom klientským počítačům, které musí spouštět nepodepsané skripty PowerShellu.

Další informace o tomto nastavení klienta najdete v tématu Informace o nastavení klienta.

Pokyny k zabezpečení mobilních zařízení

Instalace zprostředkačního bodu registrace v hraniční síti a bodu registrace v intranetu

U internetových mobilních zařízení, která zaregistrujete pomocí Configuration Manager, nainstalujte zprostředkovaný bod registrace v hraniční síti a bod registrace v intranetu. Toto oddělení rolí pomáhá chránit bod registrace před útokem. Pokud útočník napadá bod registrace, může získat certifikáty pro ověření. Můžou také ukrást přihlašovací údaje uživatelů, kteří si zaregistrují svá mobilní zařízení.

Konfigurace nastavení hesla pro ochranu mobilních zařízení před neoprávněným přístupem

Pro mobilní zařízení zaregistrovaná službou Configuration Manager: Pomocí položky konfigurace mobilního zařízení nakonfigurujte složitost hesla jako PIN. Zadejte alespoň výchozí minimální délku hesla.

Pro mobilní zařízení, která nemají nainstalovaného klienta Configuration Manager, ale spravuje je konektor Exchange Server: Nakonfigurujte nastavení hesla pro konektor Exchange Server tak, aby složitost hesla byla PIN. Zadejte alespoň výchozí minimální délku hesla.

Povolte spouštění jenom aplikací podepsaných společnostmi, kterým důvěřujete.

Pomozte zabránit manipulaci s informacemi o inventáři a informacemi o stavu tím, že povolíte spouštění aplikací jenom tehdy, když jsou podepsané společnostmi, kterým důvěřujete. Nepovolit zařízením instalovat nepodepsané soubory.

Pro mobilní zařízení zaregistrovaná službou Configuration Manager: Pomocí položky konfigurace mobilního zařízení nakonfigurujte nastavení zabezpečení Nepodepsané aplikace jako Zakázáno. Nakonfigurujte instalace nepodepsaného souboru jako důvěryhodný zdroj.

Pro mobilní zařízení, která nemají nainstalovaného klienta Configuration Manager, ale spravuje je konektor Exchange Server: Nakonfigurujte nastavení aplikace pro konektor Exchange Server tak, aby instalace nepodepsaného souboru a nepodepsané aplikace byly zakázány.

Uzamčení mobilních zařízení, když se nepoužívají

Pomozte zabránit útokům na zvýšení oprávnění tím, že mobilní zařízení uzamknete, když se nepoužívá.

Pro mobilní zařízení zaregistrovaná službou Configuration Manager: Pomocí položky konfigurace mobilního zařízení nakonfigurujte nastavení hesla Doba nečinnosti v minutách před uzamčením mobilního zařízení.

Pro mobilní zařízení, která nemají nainstalovaného klienta Configuration Manager, ale spravuje je konektor Exchange Server: Nakonfigurujte nastavení hesla pro konektor Exchange Server tak, aby nastavovalo dobu nečinnosti v minutách před uzamčením mobilního zařízení.

Omezení uživatelů, kteří můžou registrovat svá mobilní zařízení

Pomozte zabránit zvýšení oprávnění tím, že omezíte uživatele, kteří můžou registrovat jejich mobilní zařízení. Pokud chcete povolit registraci mobilních zařízení pouze autorizovaným uživatelům, použijte místo výchozího nastavení klienta vlastní nastavení klienta.

Pokyny ke spřažení uživatelských zařízení pro mobilní zařízení

Nenasazujte aplikace uživatelům, kteří mají mobilní zařízení zaregistrovaná službou Configuration Manager v následujících scénářích:

  • Mobilní zařízení používá více než jedna osoba.

  • Zařízení zaregistruje správce jménem uživatele.

  • Zařízení se přenese na jinou osobu, aniž by bylo vyřazeno z provozu a pak ho znovu zaregistruje.

Registrace zařízení vytvoří vztah spřažení zařízení uživatele. Tento vztah mapuje uživatele, který provede registraci, na mobilní zařízení. Pokud mobilní zařízení používá jiný uživatel, může spouštět aplikace nasazené pro původního uživatele, což může vést ke zvýšení oprávnění. Podobně platí, že pokud správce zaregistruje mobilní zařízení pro uživatele, aplikace nasazené pro uživatele se na mobilním zařízení nenainstalují. Místo toho se můžou nainstalovat aplikace nasazené pro správce.

Ochrana připojení mezi serverem Configuration Manager lokality a Exchange Server

Pokud je Exchange Server místní, použijte protokol IPsec. Hostovaný Exchange automaticky zabezpečuje připojení pomocí protokolu HTTPS.

Použití principu nejnižších oprávnění pro Exchange Connector

Seznam minimálních rutin, které konektor Exchange Server vyžaduje, najdete v tématu Správa mobilních zařízení pomocí Configuration Manager a Exchange.

Pokyny k zabezpečení pro zařízení s macOS

Ukládání a přístup ke zdrojovým souborům klienta ze zabezpečeného umístění

Před instalací nebo registrací klienta na počítači s macOS Configuration Manager neověřuje, jestli s těmito zdrojovými soubory klienta nedošlo k manipulaci. Stáhněte si tyto soubory z důvěryhodného zdroje. Bezpečně je ukládejte a přistupujte k nim.

Monitorování a sledování doby platnosti certifikátu

Monitorujte a sledujte dobu platnosti certifikátů, které používáte pro počítače s macOS. Configuration Manager nepodporuje automatické prodlužování platnosti tohoto certifikátu nebo vás upozorňuje, že platnost certifikátu brzy vyprší. Typická doba platnosti je jeden rok.

Další informace o obnovení certifikátu najdete v tématu Ruční obnovení klientského certifikátu macOS.

Konfigurace důvěryhodného kořenového certifikátu pouze pro SSL

Pokud chcete pomoct chránit před zvýšením oprávnění, nakonfigurujte certifikát pro důvěryhodnou kořenovou certifikační autoritu tak, aby byl důvěryhodný jenom pro protokol SSL.

Při registraci počítačů Mac se automaticky nainstaluje uživatelský certifikát pro správu klienta Configuration Manager. Tento uživatelský certifikát zahrnuje důvěryhodné kořenové certifikáty ve svém řetězu důvěryhodnosti. Chcete-li omezit vztah důvěryhodnosti tohoto kořenového certifikátu pouze na protokol SSL, použijte následující postup:

  1. Na počítači Mac otevřete okno terminálu.

  2. Zadejte následující příkaz: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. V dialogovém okně Přístup k klíči vyberte v části Klíčenkymožnost Systém. Pak v části Kategorie vyberte Certifikáty.

  4. Vyhledejte a otevřete certifikát kořenové certifikační autority pro klientský certifikát systému Mac.

  5. V dialogovém okně pro certifikát kořenové certifikační autority rozbalte část Důvěryhodnost a proveďte následující změny:

    1. Při použití tohoto certifikátu: Změňte nastavení Vždy důvěřovat na Použít výchozí systémové hodnoty.

    2. Ssl (Secure Sockets Layer):Neměňte žádnou hodnotu zadanou na Always Trust.

  6. Zavřete dialogové okno. Po zobrazení výzvy zadejte heslo správce a pak vyberte Aktualizovat nastavení.

Po dokončení tohoto postupu je kořenový certifikát důvěryhodný pouze pro ověření protokolu SSL. Mezi další protokoly, které jsou nyní nedůvěryhodné s tímto kořenovým certifikátem, patří zabezpečená pošta (S/MIME), EAP (Extensible Authentication) nebo podepisování kódu.

Poznámka

Tento postup použijte také v případě, že jste klientský certifikát nainstalovali nezávisle na Configuration Manager.

Problémy se zabezpečením pro klienty

Následující problémy se zabezpečením nemají žádné zmírnění:

Stavové zprávy se neověřují

Bod správy neověřuje stavové zprávy. Když bod správy přijímá klientská připojení HTTP, může do bodu správy odesílat stavové zprávy jakékoli zařízení. Pokud bod správy přijímá pouze připojení klientů HTTPS, zařízení musí mít platný certifikát ověřování klienta, ale může také odeslat jakoukoli stavovou zprávu. Bod správy zahodí všechny neplatné stavové zprávy přijaté od klienta.

Existuje několik potenciálních útoků proti této chybě zabezpečení:

  • Útočník by mohl odeslat falešnou stavovou zprávu, aby získal členství v kolekci, která je založená na dotazech na stavové zprávy.
  • Jakýkoli klient by mohl spustit odepření služby proti bodu správy tím, že ho zahltí stavovými zprávami.
  • Pokud stavové zprávy aktivují akce v pravidlech filtru stavových zpráv, útočník by mohl aktivovat pravidlo filtru stavových zpráv.
  • Útočník by mohl odeslat stavovou zprávu, která by vygenerovala nepřesné informace o sestavách.

Zásady je možné přesměrovat na necílové klienty.

Existuje několik metod, které by útočníci mohli použít k tomu, aby zásady cílené na jednoho klienta platily pro úplně jiného klienta. Útočník v důvěryhodném klientovi může například odeslat nepravdivé informace o inventáři nebo zjišťování, aby počítač přidal do kolekce, do které by neměl patřit. Tento klient pak obdrží všechna nasazení do této kolekce.

Existují ovládací prvky, které brání útočníkům v přímé úpravě zásad. Útočníci ale můžou použít existující zásadu, která přeformátuje a znovu nasadí operační systém a odešle ho do jiného počítače. Tato přesměrovaná zásada může způsobit odepření služby. Tyto typy útoků by vyžadovaly přesné načasování a rozsáhlé znalosti Configuration Manager infrastruktury.

Protokoly klientů umožňují přístup uživatelů.

Všechny soubory protokolu klienta umožňují skupině Uživatelé s přístupem ke čtení a speciálnímu interaktivnímu uživateli s přístupem k zápisu dat. Pokud povolíte podrobné protokolování, útočníci můžou číst soubory protokolu a hledat informace o chybách zabezpečení dodržování předpisů nebo ohrožení zabezpečení systému. Procesy, jako je software, který klient nainstaluje v kontextu uživatele, musí zapisovat do protokolů s uživatelským účtem s nízkými právy. Toto chování znamená, že útočník může také zapisovat do protokolů s účtem s nízkými právy.

Nejzávažnějším rizikem je, že by útočník mohl odebrat informace ze souborů protokolu. Správce může tyto informace potřebovat k auditování a detekci neoprávněných vniknutí.

Počítač by se dal použít k získání certifikátu, který je určený pro registraci mobilních zařízení.

Když Configuration Manager zpracuje žádost o registraci, nemůže ověřit, že žádost pochází z mobilního zařízení, a ne z počítače. Pokud je požadavek z počítače, může nainstalovat certifikát PKI, který mu pak umožní zaregistrovat se u Configuration Manager.

Aby se v tomto scénáři zabránilo útoku na zvýšení oprávnění, povolte registraci mobilních zařízení jenom důvěryhodným uživatelům. Pečlivě monitorujte aktivity registrace zařízení na webu.

Blokovaný klient může dál posílat zprávy do bodu správy.

Když zablokujete klienta, kterému už nedůvěřujete, ale vytvořil síťové připojení pro klientské oznámení, Configuration Manager relaci neodpojí. Blokovaný klient může dál odesílat pakety do svého bodu správy, dokud se klient neodpojí od sítě. Tyto pakety jsou pouze malé pakety s udržováním aktivního připojení. Tento klient nemůže spravovat Configuration Manager, dokud ho neodblokuje.

Automatický upgrade klienta neověřuje bod správy.

Při použití automatického upgradu klienta lze klienta směrovat do bodu správy a stáhnout zdrojové soubory klienta. V tomto scénáři klient neověřuje bod správy jako důvěryhodný zdroj.

Když uživatelé poprvé zaregistrují počítače s macOS, jsou ohroženi falšováním identity DNS.

Když se počítač s macOS připojí k zprostředkovému bodu registrace během registrace, je nepravděpodobné, že počítač s macOS už má certifikát důvěryhodné kořenové certifikační autority. V tomto okamžiku počítač s macOS serveru nedůvěřuje a vyzve uživatele, aby pokračoval. Pokud podvodný server DNS přeloží plně kvalifikovaný název domény (FQDN) zprostředkovaného bodu registrace, může počítač s macOS nasměrovat na zprostředkovaný bod pro podvodnou registraci, aby nainstaloval certifikáty z nedůvěryhodného zdroje. Pokud chcete toto riziko snížit, postupujte podle pokynů k DNS, abyste se vyhnuli falšování identity ve vašem prostředí.

Registrace macOS neomezuje žádosti o certifikáty

Uživatelé můžou znovu zaregistrovat své počítače s macOS pokaždé, když si vyžádají nový klientský certifikát. Configuration Manager nekontroluje více požadavků ani neomezuje počet certifikátů požadovaných z jednoho počítače. Podvodný uživatel může spustit skript, který zopakuje žádost o registraci z příkazového řádku. Tento útok může způsobit odepření služby v síti nebo ve vydávající certifikační autoritě (CA). Pokud chcete toto riziko snížit, pečlivě monitorujte vydávající certifikační autoritu pro tento typ podezřelého chování. Okamžitě zablokujte z hierarchie Configuration Manager jakýkoli počítač, který ukazuje tento vzor chování.

Potvrzení o vymazání neověřuje úspěšné vymazání zařízení.

Když spustíte akci vymazání mobilního zařízení a Configuration Manager potvrdí vymazání, ověří se, že Configuration Manager zprávu úspěšně odeslal. Neověřuje, že zařízení na žádost reagovalo .

U mobilních zařízení spravovaných konektorem Exchange Server potvrzení o vymazání ověřuje, že příkaz přijal Exchange, nikoli zařízení.

Pokud použijete možnosti k potvrzení změn na zařízeních se systémem Windows Embedded, můžou se účty uzamknout dříve, než se čekalo.

Pokud zařízení s Windows Embedded používá verzi operačního systému starší než Windows 7 a uživatel se pokusí přihlásit, zatímco filtry zápisu jsou zakázány Configuration Manager, systém Windows před uzamčením účtu povolí jenom polovinu nakonfigurovaného počtu nesprávných pokusů.

Například nakonfigurujete zásadu domény pro prahovou hodnotu uzamčení účtu na šest pokusů. Uživatel třikrát chybně zadá heslo a účet je uzamčený. Toto chování efektivně vytváří odepření služby. Pokud se uživatelé v tomto scénáři musí přihlásit k vloženým zařízením, upozorněte je na potenciální snížení prahové hodnoty uzamčení.

Informace o ochraně osobních údajů pro klienty

Když nasadíte klienta Configuration Manager, povolíte nastavení klienta pro Configuration Manager funkce. Nastavení, která použijete ke konfiguraci funkcí, se můžou vztahovat na všechny klienty v hierarchii Configuration Manager. Toto chování je stejné bez ohledu na to, jestli jsou přímo připojeny k interní síti, připojeny přes vzdálenou relaci nebo připojené k internetu.

Informace o klientovi jsou uložené v databázi Configuration Manager lokality ve vašem SQL Server a neodesílají se do Microsoftu. Informace se uchovávají v databázi, dokud je neodstraní úloha údržby lokality Odstranit zastaralá data zjišťování každých 90 dnů. Můžete nakonfigurovat interval odstraňování.

Microsoftu se odesílají některá souhrnná nebo agregovaná diagnostická data a data o využití. Další informace najdete v tématu Diagnostika a data o využití.

Další informace o shromažďování a používání dat společností Microsoft najdete v Prohlášení společnosti Microsoft o zásadách ochrany osobních údajů.

Stav klienta

Configuration Manager monitoruje aktivitu klientů. Pravidelně vyhodnocuje Configuration Manager klienta a může napravit problémy s klientem a jeho závislostmi. Stav klienta je ve výchozím nastavení povolený. Pro kontroly aktivit klienta používá metriky na straně serveru. Stav klienta používá akce na straně klienta pro vlastní kontroly, nápravu a odesílání informací o stavu klienta do lokality. Klient spustí vlastní kontroly podle plánu, který nakonfigurujete. Klient odešle výsledky kontrol do Configuration Manager lokality. Tyto informace se během přenosu zašifrují.

Informace o stavu klienta se ukládají do databáze Configuration Manager ve vašem SQL Server a neodesílají se do Microsoftu. Informace se v databázi lokality neukládají v šifrovaných formátech. Tyto informace se uchovávají v databázi, dokud nebudou odstraněny podle hodnoty nakonfigurované pro nastavení Zachovat historii stavu klienta po následující počet dnů . Výchozí hodnota tohoto nastavení je každých 31 dní.

Informace o ochraně osobních údajů pro Exchange Server Connector

Konektor Exchange Server vyhledá a spravuje zařízení, která se připojují k místnímu nebo hostovanému Exchange Server pomocí protokolu ActiveSync. Záznamy nalezené konektorem Exchange Server se ukládají do databáze Configuration Manager ve vašem SQL Server. Informace se shromažďují z Exchange Server. Neobsahuje žádné další informace z toho, co mobilní zařízení odesílají do Exchange Server.

Informace o mobilním zařízení se microsoftu neodesílají. Informace o mobilním zařízení jsou uložené v databázi Configuration Manager ve vašem SQL Server. Informace se uchovávají v databázi, dokud je neodstraní úloha údržby lokality Odstranit zastaralá data zjišťování každých 90 dnů. Nakonfigurujete interval odstraňování.

Další informace o shromažďování a používání dat společností Microsoft najdete v Prohlášení společnosti Microsoft o zásadách ochrany osobních údajů.