Zabezpečení a ochrana osobních údajů pro správu webu v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Tento článek obsahuje informace o zabezpečení a ochraně osobních údajů pro weby Configuration Manager a hierarchii.
Pokyny k zabezpečení pro správu lokality
Následující doprovodné materiály vám pomůžou zabezpečit Configuration Manager lokality a hierarchii.
Spuštění instalace z důvěryhodného zdroje a zabezpečená komunikace
Pokud chcete zabránit manipulaci se zdrojovými soubory, spusťte Configuration Manager nastavení z důvěryhodného zdroje. Pokud soubory ukládáte v síti, zabezpečte umístění v síti.
Pokud spustíte instalaci ze síťového umístění, abyste zabránili útočníkovi v manipulaci se soubory přenášenými přes síť, použijte podepisování protokolu IPsec nebo SMB mezi zdrojovým umístěním instalačních souborů a serverem lokality.
Pokud ke stažení souborů požadovaných instalačním programem používáte nástroj pro stahování instalačního programu, ujistěte se, že jste zabezpečili umístění, kde jsou tyto soubory uložené. Při spuštění instalace také zabezpečte komunikační kanál pro toto umístění.
Rozšíření schématu služby Active Directory a publikování lokalit do domény
Rozšíření schématu se ke spuštění Configuration Manager nevyžadují, ale vytvářejí bezpečnější prostředí. Klienti a servery lokality můžou načítat informace z důvěryhodného zdroje.
Pokud jsou klienti v nedůvěryhodné doméně, nasaďte do domén klientů následující role systému lokality:
Bod správy
Distribuční bod
Poznámka
Důvěryhodná doména pro Configuration Manager vyžaduje ověřování protokolem Kerberos. Pokud jsou klienti v jiné doménové struktuře, která nemá obousměrný vztah důvěryhodnosti doménové struktury s doménovou strukturou serveru lokality, považují se za klienty v nedůvěryhodné doméně. Externí vztah důvěryhodnosti pro tento účel nestačí.
Použití protokolu IPsec k zabezpečení komunikace
I když Configuration Manager zajišťuje zabezpečenou komunikaci mezi serverem lokality a počítačem, na kterém běží SQL Server, Configuration Manager nezabezpečuje komunikaci mezi rolemi systému lokality a SQL Server. Pro komunikaci uvnitř lokality můžete nakonfigurovat pouze některé systémy lokality s protokolem HTTPS.
Pokud k zabezpečení těchto kanálů mezi servery nepoužíváte další ovládací prvky, můžou útočníci použít různé útoky na falšování identity a útoky man-in-the-middle na systémy lokality. Pokud nemůžete použít protokol IPsec, použijte podepisování SMB.
Důležité
Zabezpečte komunikační kanál mezi serverem lokality a zdrojovým serverem balíčku. Tato komunikace používá protokol SMB. Pokud k zabezpečení této komunikace nemůžete použít protokol IPsec, použijte podepisování SMB a ujistěte se, že se soubory nedají manipulovat, než je klienti stáhnou a spustí.
Neměňte výchozí skupiny zabezpečení
Neměňte následující skupiny zabezpečení, které Configuration Manager vytváří a spravuje pro komunikaci systému lokality:
<SMS_SiteSystemToSiteServerConnection_MP_Kód lokality>
<SMS_SiteSystemToSiteServerConnection_SMSProv_Kód lokality>
<SMS_SiteSystemToSiteServerConnection_Stat_Kód lokality>
Configuration Manager tyto skupiny zabezpečení automaticky vytvoří a spravuje. Toto chování zahrnuje odebrání účtů počítačů při odebrání role systému lokality.
Pokud chcete zajistit kontinuitu služeb a nejnižší oprávnění, neupravujte tyto skupiny ručně.
Správa procesu zřizování důvěryhodných kořenových klíčů
Pokud se klienti nemůžou dotázat globálního katalogu na Configuration Manager informace, musí se při ověřování platných bodů správy spoléhat na důvěryhodný kořenový klíč. Důvěryhodný kořenový klíč je uložený v registru klienta. Dá se nastavit pomocí zásad skupiny nebo ruční konfigurace.
Pokud klient nemá kopii důvěryhodného kořenového klíče předtím, než poprvé kontaktuje bod správy, důvěřuje prvnímu bodu správy, se kterým komunikuje. Pokud chcete snížit riziko, že útočník nesprávně nasměruje klienty do neautorizovaného bodu správy, můžete pro klienty předem zřídit důvěryhodný kořenový klíč. Další informace najdete v tématu Plánování důvěryhodného kořenového klíče.
Použít jiná než výchozí čísla portů
Použití jiných než výchozích čísel portů může poskytnout další zabezpečení. Znesnadní útočníkům prozkoumání prostředí v rámci přípravy na útok. Pokud se rozhodnete použít jiné než výchozí porty, naplánujte si je před instalací Configuration Manager. Používejte je konzistentně ve všech lokalitách v hierarchii. Porty žádostí klientů a funkce Wake On LAN jsou příklady, kde můžete použít jiná než výchozí čísla portů.
Použití oddělení rolí v systémech lokality
I když můžete nainstalovat všechny role systému lokality na jeden počítač, tento postup se v produkčních sítích používá jen zřídka. Vytvoří kritický bod selhání.
Omezení profilu útoku
Izolování každé role systému lokality na jiném serveru snižuje riziko, že útok proti chybám zabezpečení v jednom systému lokality může být použit proti jinému systému lokality. Mnoho rolí vyžaduje instalaci Internetové informační služby (IIS) v systému lokality, což potřebuje zvýšit prostor pro útoky. Pokud potřebujete zkombinovat role, abyste snížili náklady na hardware, zkombinujte role služby IIS pouze s dalšími rolemi, které vyžadují službu IIS.
Důležité
Role záložního bodu stavu je výjimkou. Vzhledem k tomu, že tato role systému lokality přijímá neověřená data z klientů, nepřiřazujte roli záložního bodu stavu k žádné jiné Configuration Manager roli systému lokality.
Konfigurace statických IP adres pro systémy lokality
Ochrana statických IP adres před útoky překladu IP adres je jednodušší.
Statické IP adresy také usnadňují konfiguraci protokolu IPsec. Použití protokolu IPsec je osvědčený postup zabezpečení pro zabezpečení komunikace mezi systémy lokality v Configuration Manager.
Neinstalovat jiné aplikace na servery systému lokality
Když nainstalujete jiné aplikace na servery systému lokality, zvýšíte prostor pro útoky na Configuration Manager. Riskujete také problémy s nekompatibilitou.
Možnost Vyžadovat podepsání a povolit šifrování jako lokalitu
Povolte možnosti podepisování a šifrování pro lokalitu. Ujistěte se, že všichni klienti podporují algoritmus hash SHA-256, a pak povolte možnost Vyžadovat SHA-256.
Omezení a monitorování správců
Udělte přístup pro správu Configuration Manager jenom uživatelům, kterým důvěřujete. Pak jim udělte minimální oprávnění pomocí předdefinovaných rolí zabezpečení nebo přizpůsobením rolí zabezpečení. Správci, kteří můžou vytvářet, upravovat a nasazovat software a konfigurace, můžou potenciálně řídit zařízení v hierarchii Configuration Manager.
Pravidelně auditujte přiřazení administrativních uživatelů a jejich úroveň autorizace za účelem ověření požadovaných změn.
Další informace najdete v tématu Konfigurace správy na základě rolí.
Zabezpečení zálohování Configuration Manager
Při zálohování Configuration Manager tyto informace zahrnují certifikáty a další citlivá data, která by útočník mohl použít k zosobnění.
Při přenosu těchto dat přes síť použijte podepisování SMB nebo protokol IPsec a zabezpečte umístění zálohy.
Zabezpečená umístění pro exportované objekty
Při každém exportu nebo importu objektů z konzoly Configuration Manager do síťového umístění zabezpečte umístění a zabezpečte síťový kanál.
Omezte, kdo má přístup k síťové složce.
Pokud chcete zabránit útočníkovi v manipulaci s exportovanými daty, použijte podepisování SMB nebo protokol IPsec mezi síťovým umístěním a serverem lokality. Zabezpečte také komunikaci mezi počítačem, na kterém běží konzola Configuration Manager, a serverem lokality. Pomocí protokolu IPsec zašifrujte data v síti, abyste zabránili zpřístupnění informací.
Ruční odebrání certifikátů ze serverů, které selhaly
Pokud se systém lokality neodinstaluje správně nebo přestane fungovat a nejde ho obnovit, odeberte certifikáty Configuration Manager pro tento server ručně z jiných Configuration Manager serverů.
Chcete-li odebrat vztah důvěryhodnosti partnerského vztahu, který byl původně vytvořen pomocí rolí systému lokality a systému lokality, odeberte ručně certifikáty Configuration Manager pro server, který selhal, v úložišti důvěryhodných Lidé certifikátů na jiných serverech systému lokality. Tato akce je důležitá, pokud server znovu použijete bez přeformátování.
Další informace najdete v tématu Kryptografické ovládací prvky pro komunikaci se serverem.
Nekonfigurujte internetové systémy lokality tak, aby přemostily hraniční síť.
Nekonfigurujte servery systému lokality tak, aby byly s více domovy, aby se připojily k hraniční síti a intranetu. Přestože tato konfigurace umožňuje internetovým systémům lokality přijímat připojení klientů z internetu a intranetu, eliminuje hranici zabezpečení mezi hraniční sítí a intranetem.
Konfigurace serveru lokality pro inicializaci připojení k hraničním sítím
Pokud se systém lokality nachází v nedůvěryhodné síti, jako je hraniční síť, nakonfigurujte server lokality tak, aby inicioval připojení k systému lokality.
Ve výchozím nastavení systémy lokality iniciují připojení k serveru lokality za účelem přenosu dat. Tato konfigurace může být bezpečnostním rizikem, pokud inicializace připojení probíhá z nedůvěryhodné sítě do důvěryhodné sítě. Pokud systémy lokality přijímají připojení z internetu nebo se nacházejí v nedůvěryhodné doménové struktuře, nakonfigurujte systém lokality na Vyžadovat, aby server lokality inicioval připojení k tomuto systému lokality. Po instalaci systému lokality a všech rolí jsou všechna připojení iniciována serverem lokality z důvěryhodné sítě.
Použití přemostění a ukončení protokolu SSL s ověřováním
Pokud používáte webový proxy server pro správu internetových klientů, použijte přemostění SSL na SSL pomocí ukončení s ověřováním.
Když na webovém proxy serveru nakonfigurujete ukončení protokolu SSL, budou pakety z internetu před předáním do interní sítě podrobeny kontrole. Webový proxy server ověří připojení z klienta, ukončí ho a pak otevře nové ověřené připojení k internetovým systémům lokality.
Pokud Configuration Manager klientské počítače používají webový proxy server pro připojení k internetovým systémům lokality, je identita klienta (GUID) bezpečně obsažena v datové části paketu. Pak bod správy nepovažuje webový proxy server za klienta.
Pokud váš webový proxy server nepodporuje požadavky na přemostění SSL, podporuje se také tunelování SSL. Tato možnost je méně bezpečná. Pakety SSL z internetu se předávají systémům lokality bez ukončení. Pak je nelze zkontrolovat, jestli neobsahuje škodlivý obsah.
Upozornění
Mobilní zařízení zaregistrovaná službou Configuration Manager nemůžou používat přemostění SSL. Musí používat pouze tunelování SSL.
Konfigurace, které se mají použít, pokud nakonfigurujete lokalitu tak, aby probouzela počítače k instalaci softwaru
Pokud používáte tradiční pakety probuzení, použijte místo všesměrového vysílání řízeného podsítí jednosměrové vysílání.
Pokud musíte použít všesměrová vysílání směrovaná na podsíť, nakonfigurujte směrovače tak, aby umožňovaly všesměrová vysílání směrovaná protokolem IP pouze ze serveru lokality a pouze na jiné než výchozí číslo portu.
Další informace o různých technologiích Wake On LAN najdete v tématu Plánování způsobu probuzení klientů.
Pokud používáte e-mailové oznámení, nakonfigurujte ověřený přístup k poštovnímu serveru SMTP.
Kdykoli je to možné, použijte poštovní server, který podporuje ověřený přístup. K ověření použijte účet počítače serveru lokality. Pokud musíte zadat uživatelský účet pro ověřování, použijte účet s nejmenšími oprávněními.
Vynucení vazby kanálu LDAP a podepisování LDAP
Zabezpečení řadičů domény služby Active Directory lze zlepšit konfigurací serveru tak, aby odmítal vazby PROTOKOLU LDAP sasl (Simple Authentication and Security Layer), které nevyžadují podepisování, nebo aby odmítl jednoduché vazby LDAP, které se provádějí u připojení typu nešiřený text. Od verze 1910 Configuration Manager podporuje vynucování vazeb kanálů LDAP a podepisování LDAP. Další informace najdete v tématu Požadavky na vazbu kanálů LDAP a podepisování LDAP pro Windows 2020.
Pokyny k zabezpečení serveru lokality
Následující doprovodné materiály vám pomůžou zabezpečit server Configuration Manager lokality.
Upozornění
Účet pro přístup k síti – Neudělujte tomuto účtu na SQL Serverech interaktivní přihlašovací práva. Neudělujte tomuto účtu právo připojit počítače k doméně. Pokud musíte počítače připojit k doméně během pořadí úkolů, použijte účet připojení k doméně pořadí úkolů.
Instalace Configuration Manager na členský server místo na řadič domény
Server lokality a systémy lokality Configuration Manager nevyžadují instalaci na řadiči domény. Řadiče domény nemají jinou místní databázi sam (Security Accounts Management) než databázi domény. Když Configuration Manager nainstalujete na členský server, můžete účty Configuration Manager udržovat v místní databázi SAM, nikoli v doménové databázi.
Tento postup také snižuje prostor pro útoky na řadiče domény.
Instalace sekundárních lokalit bez kopírování souborů přes síť
Když spustíte instalaci a vytvoříte sekundární lokalitu, nevybírejte možnost kopírování souborů z nadřazené lokality do sekundární lokality. Nepoužívejte také umístění zdroje sítě. Při kopírování souborů přes síť by zkušený útočník mohl zneucitit instalační balíček sekundární lokality a manipulovat se soubory před jejich instalací. Načasování tohoto útoku by bylo obtížné. Tento útok je možné zmírnit použitím protokolu IPsec nebo PROTOKOLU SMB při přenosu souborů.
Místo kopírování souborů přes síť zkopírujte na serveru sekundární lokality zdrojové soubory ze složky médií do místní složky. Po spuštění instalačního programu pro vytvoření sekundární lokality vyberte na stránce Zdrojové soubory instalacemožnost Použít zdrojové soubory v následujícím umístění na počítači sekundární lokality (nejbezpečnější) a zadejte tuto složku.
Další informace najdete v tématu Instalace sekundární lokality.
Instalace role lokality dědí oprávnění z kořenového adresáře jednotky.
Před instalací první role systému lokality na libovolný server nezapomeňte správně nakonfigurovat oprávnění systémové jednotky. Například C:\SMS_CCM dědí oprávnění z .C:\ Pokud kořenový adresář jednotky není správně zabezpečený, uživatelé s nízkými právy můžou mít přístup k obsahu ve složce Configuration Manager nebo ho upravovat.
Pokyny k zabezpečení pro SQL Server
Configuration Manager používá jako back-end databázi SQL Server. Pokud dojde k ohrožení zabezpečení databáze, útočníci by mohli obejít Configuration Manager. Pokud k SQL Server přistupují přímo, můžou zahájit útoky prostřednictvím Configuration Manager. Zvažte útoky na SQL Server jako vysoce rizikové a odpovídajícím způsobem je zmírňovat.
Následující doprovodné materiály k zabezpečení vám pomůžou zabezpečit SQL Server pro Configuration Manager.
Nepoužívejte server databáze Configuration Manager lokality ke spouštění jiných aplikací SQL Server.
Když zvýšíte přístup k serveru databáze Configuration Manager lokality, tato akce zvýší riziko pro Configuration Manager data. Pokud dojde k ohrožení Configuration Manager databáze lokality, budou ohroženy i další aplikace ve stejném SQL Server počítači.
Konfigurace SQL Server pro použití ověřování Systému Windows
I když Configuration Manager přistupuje k databázi lokality pomocí účtu systému Windows a ověřování systému Windows, je stále možné nakonfigurovat SQL Server tak, aby používaly SQL Server smíšený režim. SQL Server smíšený režim umožňuje přístup k databázi dalším SQL Server přihlášením. Tato konfigurace není nutná a zvyšuje prostor pro útok.
Aktualizace SQL Server Express v sekundárních lokalitách
Při instalaci primární lokality Configuration Manager stahování SQL Server Express z webu Stažení softwaru společnosti Microsoft. Potom zkopíruje soubory na server primární lokality. Když nainstalujete sekundární lokalitu a vyberete možnost, která nainstaluje SQL Server Express, Configuration Manager nainstaluje dříve staženou verzi. Nekontroluje, jestli jsou k dispozici nové verze. Pokud chcete mít jistotu, že má sekundární lokalita nejnovější verze, proveďte jednu z následujících úloh:
Po instalaci sekundární lokality spusťte služba Windows Update na serveru sekundární lokality.
Před instalací sekundární lokality ručně nainstalujte SQL Server Express na server sekundární lokality. Ujistěte se, že jste nainstalovali nejnovější verzi a všechny aktualizace softwaru. Pak nainstalujte sekundární lokalitu a vyberte možnost použít existující instanci SQL Server.
Pravidelně spouštět služba Windows Update pro všechny nainstalované verze SQL Server. Tímto postupem se zajistí, že mají nejnovější aktualizace softwaru.
Postupujte podle obecných pokynů pro SQL Server
Zjistěte a postupujte podle obecných pokynů pro vaši verzi SQL Server. Vezměte však v úvahu následující požadavky na Configuration Manager:
Účet počítače serveru lokality musí být členem skupiny Administrators v počítači, na kterém běží SQL Server. Pokud budete postupovat podle SQL Server doporučení "explicitně zřídit objekty zabezpečení správce", musí být účet, který používáte ke spuštění instalace na serveru lokality, členem skupiny SQL Server Users.
Pokud instalujete SQL Server pomocí uživatelského účtu domény, ujistěte se, že je účet počítače serveru lokality nakonfigurovaný pro hlavní název služby (SPN), který je publikovaný do Active Directory Domain Services. Bez hlavního názvu služby (SPN) se ověřování kerberos nezdaří a instalace Configuration Manager se nezdaří.
Doprovodné materiály k zabezpečení pro systémy lokality se službou IIS
Několik rolí systému lokality v Configuration Manager vyžaduje službu IIS. Proces zabezpečení služby IIS umožňuje Configuration Manager správně fungovat a snižuje riziko útoků na zabezpečení. V praxi minimalizujte počet serverů, které vyžadují službu IIS. Spusťte například jenom počet bodů správy, které potřebujete pro podporu klientské základny, s ohledem na vysokou dostupnost a izolaci sítě pro správu internetových klientů.
Následující doprovodné materiály vám pomůžou zabezpečit systémy lokality se službou IIS.
Zakázání funkcí služby IIS, které nepotřebujete
Nainstalujte pouze minimální funkce služby IIS pro roli systému lokality, kterou nainstalujete. Další informace najdete v tématu Požadavky na lokalitu a systém lokality.
Konfigurace rolí systému lokality tak, aby vyžadovaly PROTOKOL HTTPS
Když se klienti připojují k systému lokality pomocí protokolu HTTP místo https, používají ověřování Systému Windows. Toto chování se může vrátit k použití ověřování NTLM místo ověřování Kerberos. Při použití ověřování NTLM se klienti můžou připojit k podvodnému serveru.
Výjimkou z těchto pokynů můžou být distribuční body. Účty pro přístup k balíčkům nefungují, když je distribuční bod nakonfigurovaný pro PROTOKOL HTTPS. Účty pro přístup k balíčkům poskytují autorizaci obsahu, takže můžete omezit, kteří uživatelé mají přístup k obsahu. Další informace najdete v tématu Pokyny k zabezpečení pro správu obsahu.
Důležité
Od Configuration Manager verze 2103 jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.
Konfigurace seznamu důvěryhodnosti certifikátů (CTL) ve službě IIS pro role systému lokality
Role systému lokality:
Distribuční bod, který nakonfigurujete pro HTTPS
Bod správy, který nakonfigurujete pro HTTPS a povolíte podporu mobilních zařízení
Hodnota CTL je definovaný seznam důvěryhodných kořenových certifikačních autorit (CA). Pokud použijete hodnotu CTL se zásadami skupiny a nasazením infrastruktury veřejných klíčů (PKI), umožňuje hodnota CTL doplnit stávající důvěryhodné kořenové certifikační autority nakonfigurované ve vaší síti. Například certifikační autority, které se automaticky nainstalují se systémem Microsoft Windows nebo se přidají prostřednictvím kořenových certifikačních autorit systému Windows enterprise. Když je hodnota CTL nakonfigurovaná ve službě IIS, definuje podmnožinu těchto důvěryhodných kořenových certifikačních autorit.
Tato podmnožina poskytuje větší kontrolu nad zabezpečením. Hodnota CTL omezuje klientské certifikáty, které jsou přijímány, pouze na certifikáty vydané ze seznamu certifikačních autorit v seznamu CTL. Systém Windows se například dodává s řadou dobře známých certifikátů certifikační autority třetích stran.
Ve výchozím nastavení počítač se službou IIS důvěřuje certifikátům, které se zřetězí s těmito známými certifikačními autoritami. Pokud službu IIS nenakonfigurujete s hodnotou CTL pro uvedené role systému lokality, lokalita přijme jako platného klienta jakékoli zařízení, které má certifikát vystavený z těchto certifikačních autorit. Pokud nakonfigurujete službu IIS s hodnotou CTL, která tyto certifikační autority neobsahuje, lokalita odmítne připojení klientů, pokud se certifikáty řetězí s těmito certifikačními autoritami. Aby bylo možné přijímat Configuration Manager klienty pro uvedené role systému lokality, je nutné nakonfigurovat službu IIS se seznamem CTL, který určuje certifikační autority používané klienty Configuration Manager.
Poznámka
Pouze uvedené role systému lokality vyžadují, abyste ve službě IIS nakonfigurovali hodnotu CTL. Seznam vystavitelů certifikátů, který Configuration Manager používá pro body správy, poskytuje stejné funkce pro klientské počítače, když se připojují k bodům správy HTTPS.
Další informace o konfiguraci seznamu důvěryhodných certifikačních autorit ve službě IIS najdete v dokumentaci ke službě IIS.
Neumisťovat server lokality do počítače se službou IIS
Oddělení rolí pomáhá omezit profil útoku a zlepšit obnovitelnost. Účet počítače serveru lokality má obvykle oprávnění správce ke všem rolím systému lokality. Tato oprávnění může mít také u klientů Configuration Manager, pokud používáte klientskou nabízenou instalaci.
Použití vyhrazených serverů IIS pro Configuration Manager
I když můžete na serverech SLUŽBY IIS hostovat více webových aplikací, které používají také Configuration Manager, může tento postup výrazně zvětšit prostor pro útoky. Špatně nakonfigurovaná aplikace by mohla útočníkovi umožnit získat kontrolu nad Configuration Manager systémem lokality. Toto narušení zabezpečení by mohlo útočníkovi umožnit získat kontrolu nad hierarchií.
Pokud musíte v systémech Configuration Manager lokality spouštět jiné webové aplikace, vytvořte vlastní web pro systémy Configuration Manager lokality.
Použití vlastního webu
Pro systémy lokality, které používají službu IIS, nakonfigurujte Configuration Manager tak, aby místo výchozího webu používaly vlastní web. Pokud potřebujete v systému lokality spouštět jiné webové aplikace, musíte použít vlastní web. Toto nastavení je nastavení pro celou lokalitu, nikoli nastavení pro konkrétní systém lokality.
Pokud používáte vlastní weby, odeberte výchozí virtuální adresáře.
Když změníte výchozí web na vlastní web, Configuration Manager staré virtuální adresáře neodebere. Odeberte virtuální adresáře, které Configuration Manager původně vytvořené na výchozím webu.
Odeberte například následující virtuální adresáře pro distribuční bod:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
Postupujte podle pokynů k zabezpečení serveru IIS.
Identifikujte a postupujte podle obecných pokynů pro vaši verzi serveru SLUŽBY IIS. Vezměte v úvahu všechny požadavky, které Configuration Manager mají na konkrétní role systému lokality. Další informace najdete v tématu Požadavky na lokalitu a systém lokality.
Konfigurace vlastních hlaviček služby IIS
Nakonfigurujte následující vlastní hlavičky a zakažte tak čichání MIME:
x-content-type-options: nosniff
Další informace najdete v tématu Vlastní hlavičky.
Pokud stejnou instanci služby IIS používají i jiné služby, ujistěte se, že jsou tyto vlastní hlavičky kompatibilní.
Pokyny k zabezpečení pro bod správy
Body správy jsou primárním rozhraním mezi zařízeními a Configuration Manager. Útoky na bod správy a server, na kterém běží, považujte za vysoce rizikové a odpovídajícím způsobem je zmírňovat. Využijte všechny vhodné pokyny k zabezpečení a sledujte neobvyklou aktivitu.
Následující doprovodné materiály vám pomůžou zabezpečit bod správy v Configuration Manager.
Přiřazení klienta v bodu správy ke stejné lokalitě
Vyhněte se situaci, kdy přiřazujete klienta Configuration Manager, který je v bodu správy, k jiné lokalitě, než je lokalita bodu správy.
Pokud migrujete ze starší verze na Configuration Manager aktuální větev, migrujte klienta v bodu správy co nejdříve do nové lokality.
Pokyny k zabezpečení pro bod stavu náhradního stavu
Pokud nainstalujete bod záložního stavu v Configuration Manager, použijte následující doprovodné materiály k zabezpečení:
Další informace o aspektech zabezpečení při instalaci bodu záložního stavu najdete v tématu Určení, jestli vyžadujete bod stavu náhradního stavu.
Nespouštět žádné jiné role ve stejném systému lokality
Bod záložního stavu je navržený tak, aby přijímal neověřenou komunikaci z libovolného počítače. Pokud tuto roli systému lokality spustíte s jinými rolemi nebo řadičem domény, riziko pro tento server se výrazně zvýší.
Před instalací klientů s certifikáty PKI nainstalujte bod záložního stavu.
Pokud systémy Configuration Manager lokality nepřijímají komunikaci klientů HTTP, nemusíte vědět, že klienti jsou nespravované kvůli problémům s certifikáty souvisejícími s infrastrukturou veřejných klíčů. Pokud přiřadíte klienty k bodu záložního stavu, hlásí tyto problémy s certifikátem prostřednictvím bodu stavu náhradního stavu.
Z bezpečnostních důvodů nemůžete klientům po instalaci přiřadit bod záložního stavu. Tuto roli můžete přiřadit pouze během instalace klienta.
Nepoužívejte bod záložního stavu v hraniční síti.
Bod záložního stavu záměrně přijímá data z libovolného klienta. I když vám bod záložního stavu v hraniční síti může pomoct s řešením potíží s internetovými klienty, vyvažte výhody řešení potíží s rizikem systému lokality, který přijímá neověřená data ve veřejně přístupné síti.
Pokud nainstalujete záložní stavový bod v hraniční síti nebo nedůvěryhodné síti, nakonfigurujte server lokality tak, aby zahájil přenosy dat. Nepoužívejte výchozí nastavení, které umožňuje bodu záložního stavu zahájit připojení k serveru lokality.
Problémy se zabezpečením pro správu lokality
Projděte si následující problémy se zabezpečením pro Configuration Manager:
Configuration Manager nemá žádnou obranu proti autorizovanému správci, který používá Configuration Manager k útoku na síť. Neautorizované administrativní uživatele představují vysoké bezpečnostní riziko. Mohly by zahájit mnoho útoků, které zahrnují následující strategie:
Nasazení softwaru slouží k automatické instalaci a spuštění škodlivého softwaru na všech Configuration Manager klientských počítačích v organizaci.
Vzdálené řízení klienta Configuration Manager bez oprávnění klienta
Nakonfigurujte rychlé intervaly dotazování a extrémní objemy zásob. Tato akce vytvoří útoky na dostupnost služby na klienty a servery.
Použijte jednu lokalitu v hierarchii k zápisu dat do dat služby Active Directory jiné lokality.
Hierarchie lokality je hranice zabezpečení. Zvažte lokality pouze jako hranice správy.
Auditujte všechny aktivity administrativních uživatelů a pravidelně kontrolujte protokoly auditu. Vyžadovat, aby všichni Configuration Manager administrativní uživatelé před najmutím prošli kontrolou na pozadí. Vyžadovat pravidelné opakované kontroly jako podmínku zaměstnání.
Pokud dojde k ohrožení zabezpečení bodu registrace, útočník by mohl získat certifikáty pro ověřování. Mohli by odcizit přihlašovací údaje uživatelů, kteří si zaregistrují svá mobilní zařízení.
Bod registrace komunikuje s certifikační autoritou. Může vytvářet, upravovat a odstraňovat objekty služby Active Directory. Nikdy neinstalujte bod registrace v hraniční síti. Vždy sledujte neobvyklou aktivitu.
Pokud povolíte zásady uživatelů pro správu internetových klientů, zvýšíte profil útoku.
Kromě použití certifikátů PKI pro připojení klient-server vyžadují tyto konfigurace ověřování systému Windows. Může se vrátit k ověřování NTLM místo protokolu Kerberos. Ověřování NTLM je zranitelné vůči útokům zosobnění a přehrání. Pokud chcete úspěšně ověřit uživatele na internetu, musíte povolit připojení z internetového systému lokality k řadiči domény.
Sdílená složka Správa$ se vyžaduje na serverech systému lokality.
Server Configuration Manager lokality používá sdílenou složku Správa$ pro připojení k systémům lokality a provádění operací služby v systémech lokality. Tuto sdílenou složku nezakazujte ani neodebíjejte.
Configuration Manager používá služby překladu názvů k připojení k jiným počítačům. Tyto služby je obtížné zabezpečit před následujícími útoky zabezpečení:
- Spoofing
- Manipulaci
- Odmítnutí
- Zpřístupnění informací
- Odepření služby
- Zvýšení oprávnění
Identifikujte a postupujte podle všech pokynů k zabezpečení pro verzi DNS, kterou používáte k překladu ip adres.
Informace o ochraně osobních údajů pro zjišťování
Zjišťování vytvoří záznamy pro síťové prostředky a uloží je do Configuration Manager databáze. Záznamy dat zjišťování obsahují informace o počítači, jako jsou IP adresy, verze operačního systému a názvy počítačů. Můžete také nakonfigurovat metody zjišťování služby Active Directory tak, aby vracely všechny informace, které vaše organizace ukládá v Active Directory Domain Services.
Jedinou metodou zjišťování, kterou Configuration Manager ve výchozím nastavení povolí, je zjišťování prezenčních signálů. Tato metoda zjišťuje pouze počítače, které již mají nainstalovaný klientský software Configuration Manager.
Informace o zjišťování se neposílají přímo do Microsoftu. Je uložený v databázi Configuration Manager. Configuration Manager uchovává informace v databázi, dokud data neodstraní. Tento proces probíhá každých 90 dnů úlohou údržby lokality Odstranit zastaralá data zjišťování.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro