Technický odkaz na kryptografické ovládací prvky
Platí pro: Configuration Manager (Current Branch)
Configuration Manager používá podepisování a šifrování k ochraně správy zařízení v hierarchii Configuration Manager. Pokud se při podepisování data při přenosu změnila, zahodí se. Šifrování pomáhá zabránit útočníkovi ve čtení dat pomocí analyzátoru síťového protokolu.
Primární algoritmus hash, který Configuration Manager používá k podepisování, je SHA-256. Když spolu dva Configuration Manager lokality komunikují, podepíší svoji komunikaci s SHA-256.
Od verze 2107 je primární šifrovací algoritmus, který Configuration Manager používá, AES-256. K šifrování dochází hlavně v následujících dvou oblastech:
Pokud lokalitě povolíte používat šifrování, klient zašifruje data inventáře a stavové zprávy, které odesílá do bodu správy.
Když klient stáhne zásady tajných kódů, bod správy tyto zásady vždy zašifruje. Například pořadí úloh nasazení operačního systému, které obsahuje hesla.
Pro klienty ve verzi 2103 a starší je primární šifrovací algoritmus 3DES.
Poznámka
Pokud nakonfigurujete komunikaci PŘES PROTOKOL HTTPS, tyto zprávy se zašifrují dvakrát. Zpráva se zašifruje pomocí AES a pak se přenos HTTPS zašifruje pomocí AES.
Pokud používáte komunikaci klientů přes PROTOKOL HTTPS, nakonfigurujte infrastrukturu veřejných klíčů (PKI) tak, aby používala certifikáty s maximálními algoritmy hash a délkou klíčů. Při použití certifikátů CNG v3 Configuration Manager klienti podporují pouze certifikáty, které používají kryptografický algoritmus RSA. Další informace najdete v tématu Požadavky na certifikáty PKI a Přehled certifikátů CNG v3.
Pro zabezpečení přenosu podporuje AES vše, co používá protokol TLS. Tato podpora zahrnuje konfiguraci webu pro rozšířený protokol HTTP nebo HTTPS. U místních systémů lokality můžete řídit šifrovací sady TLS. Pokud povolíte protokol TLS 1.2, Configuration Manager pro cloudové role, jako je brána pro správu cloudu (CMG), nakonfiguruje šifrovací sady.
Pro většinu kryptografických operací s operačními systémy Windows používá Configuration Manager tyto algoritmy z knihovny Windows CryptoAPI rsaenh.dll.
Další informace o konkrétních funkcích najdete v tématu Operace lokality.
Operace lokality
Informace v Configuration Manager je možné podepsat a šifrovat. Podporuje tyto operace s certifikáty PKI nebo bez nich.
Podepisování a šifrování zásad
Lokalita podepisuje přiřazení zásad klienta svým certifikátem podepsaným svým držitelem. Toto chování pomáhá zabránit riziku zabezpečení ohroženého bodu správy v odesílání manipulovaných zásad. Pokud používáte internetovou správu klientů, je toto chování důležité, protože vyžaduje internetový bod správy.
Pokud zásady obsahují citlivá data, počínaje verzí 2107, bod správy je zašifruje pomocí AES-256. Ve verzi 2103 a starších používá 3DES. Zásady, které obsahují citlivá data, se odesílají jenom autorizovaným klientům. Web nešifruje zásady, které nemají citlivá data.
Když klient ukládá zásady, zašifruje zásady pomocí rozhraní DPAPI (Data Protection Application Programming Interface) systému Windows.
Hashování zásad
Když klient požádá o zásadu, nejprve získá přiřazení zásady. Pak ví, které zásady se na něj vztahují, a může požadovat pouze tyto subjekty zásad. Každé přiřazení zásad obsahuje vypočítanou hodnotu hash odpovídajícího textu zásad. Klient stáhne příslušné body zásad a pak vypočítá hodnotu hash pro každé tělo zásad. Pokud hodnota hash v těle zásady neodpovídá hodnotě hash v přiřazení zásad, klient tělo zásady zahodí.
Hashovací algoritmus pro zásady je SHA-256.
Hashování obsahu
Služba správce distribuce na serveru lokality hashuje soubory obsahu pro všechny balíčky. Poskytovatel zásad zahrne hodnotu hash do zásad distribuce softwaru. Když Configuration Manager klient stáhne obsah, klient znovu vygeneruje hodnotu hash místně a porovná ji s hodnotou zadanou v zásadách. Pokud se hodnoty hash shodují, obsah se nezmění a klient ho nainstaluje. Pokud se změní jeden bajt obsahu, hodnoty hash se nebudou shodovat a klient software nenainstaluje. Tato kontrola pomáhá zajistit, aby byl nainstalován správný software, protože se skutečný obsah porovnává se zásadami.
Výchozí algoritmus hash obsahu je SHA-256.
Ne všechna zařízení podporují hashování obsahu. Mezi výjimky patří:
Klienti Windows při streamování obsahu App-V.
Klienti Windows Mobile, i když tito klienti ověřují podpis aplikace podepsané důvěryhodným zdrojem.
Podepisování a šifrování inventáře
Když klient odešle inventář hardwaru nebo softwaru do bodu správy, vždy inventář podepíše. Nezáleží na tom, jestli klient komunikuje s bodem správy přes PROTOKOL HTTP nebo HTTPS. Pokud používají protokol HTTP, můžete také tato data zašifrovat, což se doporučuje.
Šifrování migrace stavu
Když pořadí úkolů zachytává data z klienta pro nasazení operačního systému, vždy je zašifruje. Ve verzi 2103 a novějších sekvenci úkolů spustí nástroj usmt (User State Migration Tool) s šifrovacím algoritmem AES-256 . Ve verzi 2010 a starších používá 3DES.
Šifrování balíčků vícesměrového vysílání
U každého balíčku pro nasazení operačního systému můžete povolit šifrování při použití vícesměrového vysílání. Toto šifrování používá algoritmus AES . Pokud povolíte šifrování, nevyžaduje se žádná jiná konfigurace certifikátu. Distribuční bod s podporou vícesměrového vysílání automaticky generuje symetrické klíče pro šifrování balíčku. Každý balíček má jiný šifrovací klíč. Klíč je uložený v distribučním bodě s povoleným vícesměrovým vysíláním pomocí standardních rozhraní API systému Windows.
Když se klient připojí k relaci vícesměrového vysílání, dojde k výměně klíčů přes šifrovaný kanál. Pokud klient používá PROTOKOL HTTPS, použije ověřovací certifikát klienta vystavený infrastrukturou PKI. Pokud klient používá protokol HTTP, použije certifikát podepsaný svým držitelem. Klient ukládá šifrovací klíč do paměti pouze během relace vícesměrového vysílání.
Šifrování pro médium nasazení operačního systému
Pokud k nasazení operačních systémů používáte médium, měli byste vždy zadat heslo pro ochranu média. Pomocí hesla se proměnné prostředí pořadí úkolů šifrují pomocí AES-128. Ostatní data na médiu, včetně balíčků a obsahu pro aplikace, nejsou šifrovaná.
Šifrování cloudového obsahu
Když povolíte bráně pro správu cloudu (CMG) ukládání obsahu, obsah se zašifruje pomocí AES-256. Obsah se při každé aktualizaci zašifruje. Když klienti stahují obsah, je zašifrovaný a chráněný připojením HTTPS.
Aktualizace softwaru pro přihlašování
Všechny aktualizace softwaru musí být podepsány důvěryhodným vydavatelem, aby byly chráněny před manipulací. Na klientských počítačích vyhledá agent služba Windows Update (WUA) aktualizace z katalogu. Aktualizace se nenainstaluje, pokud nemůže najít digitální certifikát v úložišti Důvěryhodných vydavatelů na místním počítači.
Když pomocí nástroje System Center Aktualizace Publisher publikujete aktualizace softwaru, podepíše je digitální certifikát. Můžete zadat certifikát PKI nebo nakonfigurovat Aktualizace Publisher tak, aby vygeneroval certifikát podepsaný svým držitelem pro podepsání aktualizace softwaru. Pokud k publikování katalogu aktualizací použijete certifikát podepsaný svým držitelem, například vydavatelé wsus podepsané svým držitelem, musí být certifikát také v úložišti certifikátů důvěryhodných kořenových certifikačních autorit na místním počítači. Wua také zkontroluje, jestli je v místním počítači povolené nastavení zásad skupiny Povolit podepsaný obsah z intranetového umístění služby Microsoft Update . Toto nastavení zásad musí být povolené, aby služba WUA hledala aktualizace, které byly vytvořeny a publikovány pomocí nástroje System Center Aktualizace Publisher.
Podepsaná konfigurační data pro nastavení dodržování předpisů
Při importu konfiguračních dat Configuration Manager ověří digitální podpis souboru. Pokud soubory nejsou podepsané nebo pokud se kontrola podpisu nezdaří, konzola vás upozorní, abyste pokračovali v importu. Konfigurační data importujte pouze v případě, že vydavateli a integritě souborů explicitně důvěřujete.
Šifrování a hashování oznámení klienta
Pokud používáte oznámení klienta, veškerá komunikace používá protokol TLS a nejvyšší algoritmy, které může server a klient vyjednat. Například všechny podporované verze operačního systému Windows můžou používat šifrování alespoň AES-128 . Ke stejnému vyjednávání dochází při hashování paketů, které se přenesou během oznámení klienta, které používá SHA-2.
Certifikáty
Seznam certifikátů infrastruktury veřejných klíčů (PKI), které můžou používat Configuration Manager, všechny zvláštní požadavky nebo omezení a způsob použití certifikátů najdete v tématu Požadavky na certifikáty PKI. Tento seznam obsahuje podporované hashovací algoritmy a délky klíčů. Většina certifikátů podporuje délku klíče SHA-256 a 2048 bitů.
Většina Configuration Manager operací, které používají certifikáty, podporuje také certifikáty v3. Další informace najdete v tématu Přehled certifikátů CNG v3.
Poznámka
Všechny certifikáty, které Configuration Manager používají, musí obsahovat pouze jedno bajtové znaky v názvu subjektu nebo alternativním názvu subjektu.
Configuration Manager vyžaduje certifikáty PKI pro následující scénáře:
Při správě Configuration Manager klientů na internetu
Při správě Configuration Manager klientů na mobilních zařízeních
Při správě počítačů s macOS
Při použití brány pro správu cloudu (CMG)
U většiny ostatních komunikací, které vyžadují certifikáty pro ověřování, podepisování nebo šifrování, Configuration Manager automaticky používá certifikáty PKI, pokud jsou k dispozici. Pokud nejsou k dispozici, Configuration Manager vygeneruje certifikáty podepsané svým držitelem.
Configuration Manager certifikáty PKI nepoužívá, když spravuje mobilní zařízení pomocí konektoru Exchange Server.
Správa mobilních zařízení a certifikáty PKI
Pokud mobilní zařízení není uzamčené mobilním operátorem, můžete pomocí Configuration Manager požádat o klientský certifikát a nainstalovat ho. Tento certifikát zajišťuje vzájemné ověřování mezi klientem na mobilním zařízení a Configuration Manager systémy lokality. Pokud je mobilní zařízení uzamčené, nemůžete k nasazení certifikátů použít Configuration Manager.
Pokud povolíte inventář hardwaru pro mobilní zařízení, Configuration Manager také inventarizaci certifikátů nainstalovaných v mobilním zařízení.
Nasazení operačního systému a certifikáty PKI
Pokud k nasazení operačních systémů použijete Configuration Manager a bod správy vyžaduje připojení klienta HTTPS, klient potřebuje certifikát pro komunikaci s bodem správy. Tento požadavek platí i v případě, že je klient v přechodné fázi, jako je spouštění z média pořadí úkolů nebo distribučního bodu s povoleným technologií PXE. Pokud chcete tento scénář podporovat, vytvořte certifikát ověřování klienta PKI a exportujte ho s privátním klíčem. Potom ho naimportujte do vlastností serveru lokality a přidejte také certifikát důvěryhodné kořenové certifikační autority bodu správy.
Pokud vytvoříte spouštěcí médium, importujete certifikát ověřování klienta při vytváření spouštěcího média. Pokud chcete lépe chránit privátní klíč a další citlivá data nakonfigurovaná v pořadí úloh, nakonfigurujte heslo na spouštěcím médiu. Každý počítač, který se spouští ze spouštěcího média, používá stejný certifikát s bodem správy, který se vyžaduje pro funkce klienta, jako je požadavek na zásady klienta.
Pokud používáte technologii PXE, importujte certifikát ověřování klienta do distribučního bodu s povoleným technologií PXE. Používá stejný certifikát pro každého klienta, který se spouští z tohoto distribučního bodu s podporou PXE. Pokud chcete lépe chránit privátní klíč a další citlivá data v pořadí úkolů, vyžadovat heslo pro technologii PXE.
Pokud dojde k ohrožení zabezpečení některého z těchto ověřovacích certifikátů klienta, zablokujte certifikáty v uzlu Certifikáty v pracovním prostoru Správa v uzlu Zabezpečení . Ke správě těchto certifikátů potřebujete oprávnění Spravovat certifikát nasazení operačního systému.
Jakmile Configuration Manager nasadí operační systém nainstaluje klienta, klient vyžaduje pro komunikaci klienta HTTPS vlastní ověřovací certifikát klienta PKI.
Proxy řešení ISV a certifikáty PKI
Nezávislí dodavatelé softwaru můžou vytvářet aplikace, které rozšiřují Configuration Manager. Výrobce softwaru může například vytvořit rozšíření pro podporu klientských platforem jiných systémů než Windows, jako je macOS. Pokud však systémy lokality vyžadují připojení klientů HTTPS, musí tito klienti také používat certifikáty PKI pro komunikaci s lokalitou. Configuration Manager zahrnuje možnost přiřadit certifikát k proxy výrobcům softwaru, který umožňuje komunikaci mezi klienty proxy isv a bodem správy. Pokud používáte rozšíření, která vyžadují certifikáty isV proxy, projděte si dokumentaci k danému produktu.
Pokud dojde k ohrožení zabezpečení certifikátu ISV, zablokujte certifikát v uzlu Certifikáty v pracovním prostoru Správa v uzlu Zabezpečení .
Kopírovat identifikátor GUID pro certifikát proxy isv
Počínaje verzí 2111 teď můžete zkopírovat identifikátor GUID v konzole Configuration Manager, aby se zjednodušila správa těchto certifikátů proxy serverů ISV.
V konzole Configuration Manager přejděte do pracovního prostoru Správa.
Rozbalte Zabezpečení a vyberte uzel Certifikáty .
Seřaďte seznam certifikátů podle sloupce Typ .
Vyberte certifikát typu Proxy isv.
Na pásu karet vyberte Kopírovat identifikátor GUID certifikátu.
Tato akce zkopíruje identifikátor GUID tohoto certifikátu, například: aa05bf38-5cd6-43ea-ac61-ab101f943987
Asset Intelligence a certifikáty
Configuration Manager se nainstaluje s certifikátem X.509, který bod synchronizace Asset Intelligence používá pro připojení k Microsoftu. Configuration Manager tento certifikát používá k vyžádání ověřovacího certifikátu klienta z certifikační služby Microsoftu. Certifikát ověřování klienta je nainstalovaný v bodě synchronizace asset intelligence a používá se k ověření serveru v Microsoftu. Configuration Manager používá certifikát pro ověření klienta ke stažení katalogu Asset Intelligence a k nahrání softwarových titulů.
Tento certifikát má klíč o délce 1024 bitů.
Služby a certifikáty Azure
Brána pro správu cloudu (CMG) vyžaduje ověřovací certifikáty serveru. Tyto certifikáty umožňují službě poskytovat komunikaci https klientům přes internet. Další informace najdete v tématu Ověřovací certifikát serveru CMG.
Klienti vyžadují ke komunikaci s CMG a místním bodem správy jiný typ ověřování. Můžou použít id Microsoft Entra, certifikát PKI nebo token lokality. Další informace najdete v tématu Konfigurace ověřování klientů pro bránu pro správu cloudu.
Klienti nevyžadují klientský certifikát PKI, aby mohli používat cloudové úložiště. Po ověření v bodu správy vydá bod správy klientovi přístupový token Configuration Manager. Klient předloží tento token cmg pro přístup k obsahu. Token je platný po dobu osmi hodin.
Kontrola seznamu CRL pro certifikáty PKI
Seznam odvolaných certifikátů PKI (CRL) zvyšuje celkové zabezpečení, ale vyžaduje určité režijní náklady na správu a zpracování. Pokud povolíte kontrolu seznamu CRL, ale klienti nemají přístup k seznamu CRL, připojení PKI selže.
Služba IIS ve výchozím nastavení povoluje kontrolu seznamu CRL. Pokud při nasazení infrastruktury veřejných klíčů používáte seznam CRL, nemusíte konfigurovat většinu systémů lokality, které používají službu IIS. Výjimkou jsou aktualizace softwaru, které vyžadují ruční krok k povolení kontroly seznamu CRL k ověření podpisů v souborech aktualizací softwaru.
Když klient používá PROTOKOL HTTPS, ve výchozím nastavení umožňuje kontrolu seznamu CRL. U klientů macOS nemůžete zakázat kontrolu seznamu CRL.
Následující připojení nepodporují kontrolu seznamu CRL v Configuration Manager:
Připojení mezi servery
Mobilní zařízení zaregistrovaná službou Configuration Manager
Komunikace serveru
Configuration Manager používá pro komunikaci se serverem následující kryptografické ovládací prvky.
Komunikace serveru v rámci lokality
Každý server systému lokality používá certifikát k přenosu dat do jiných systémů lokality ve stejné Configuration Manager lokalitě. Některé role systému lokality také používají certifikáty k ověřování. Pokud například nainstalujete proxy bod registrace na jeden server a bod zápisu na jiný server, můžou se navzájem ověřovat pomocí tohoto certifikátu identity.
Pokud Configuration Manager používá pro tuto komunikaci certifikát, pokud je k dispozici certifikát PKI s možností ověřování serveru, Configuration Manager ho automaticky použije. Pokud ne, Configuration Manager vygeneruje certifikát podepsaný svým držitelem. Tento certifikát podepsaný svým držitelem má schopnost ověřování serveru, používá SHA-256 a má klíč o délce 2 048 bitů. Configuration Manager zkopíruje certifikát do důvěryhodného úložiště Lidé na jiných serverech systému lokality, které můžou systému lokality důvěřovat. Systémy lokality si pak mohou vzájemně důvěřovat pomocí těchto certifikátů a peertrustu.
Kromě tohoto certifikátu pro každý server systému lokality Configuration Manager pro většinu rolí systému lokality vygeneruje certifikát podepsaný svým držitelem. Pokud je ve stejné lokalitě více než jedna instance role systému lokality, sdílejí stejný certifikát. Ve stejné lokalitě můžete mít například více bodů správy. Tento certifikát podepsaný svým držitelem používá SHA-256 a má klíč o délce 2 048 bitů. Zkopíruje se do důvěryhodného úložiště Lidé na serverech systému lokality, které mu možná budou muset důvěřovat. Tento certifikát generují následující role systému lokality:
Bod synchronizace funkce Asset Intelligence
Bod registrace certifikátu
Bod ochrany koncového bodu
Bod registrace
Bod stavu náhradního stavu
Bod správy
Distribuční bod s povoleným vícesměrovým vysíláním
Bod služby Reporting Services
Bod aktualizace softwaru
Bod migrace stavu
Configuration Manager tyto certifikáty automaticky generuje a spravuje.
K odesílání stavových zpráv z distribučního bodu do bodu správy používá Configuration Manager certifikát ověřování klienta. Když nakonfigurujete bod správy pro HTTPS, vyžaduje certifikát PKI. Pokud bod správy přijímá připojení HTTP, můžete použít certifikát PKI. Může také používat certifikát podepsaný svým držitelem s možností ověřování klienta, používá SHA-256 a má klíč o délce 2 048 bitů.
Komunikace serveru mezi lokalitami
Configuration Manager přenáší data mezi lokalitami pomocí replikace databáze a replikace na základě souborů. Další informace najdete v tématech Přenosy dat mezi lokalitami a Komunikace mezi koncovými body.
Configuration Manager automaticky nakonfiguruje replikaci databáze mezi lokalitami. Pokud je k dispozici, používá certifikáty PKI s možností ověřování serveru. Pokud není k dispozici, Configuration Manager vytvoří certifikáty podepsané svým držitelem pro ověřování serveru. V obou případech se ověřuje mezi weby pomocí certifikátů v úložišti důvěryhodných Lidé, které používá PeerTrust. Toto úložiště certifikátů používá k zajištění, aby se replikace typu site-to-site účastnila pouze Configuration Manager hierarchii SQL Serverů.
Servery lokality navazují komunikaci typu site-to-site pomocí zabezpečené výměny klíčů, která probíhá automaticky. Server odesílající lokality vygeneruje hodnotu hash a podepíše ji svým privátním klíčem. Přijímající server lokality zkontroluje podpis pomocí veřejného klíče a porovná hodnotu hash s místně vygenerovanou hodnotou. Pokud se shodují, přijímající lokalita replikovaná data přijme. Pokud se hodnoty neshodují, Configuration Manager replikační data odmítne.
Replikace databáze v Configuration Manager používá k přenosu dat mezi lokalitami SQL Server Service Broker. Používá následující mechanismy:
SQL Server na SQL Server: Toto připojení používá přihlašovací údaje Windows pro ověřování serveru a certifikáty podepsané svým držitelem se 1024 bity k podepisování a šifrování dat pomocí algoritmu AES. Pokud je k dispozici, používá certifikáty PKI s možností ověřování serveru. Používá pouze certifikáty v osobním úložišti certifikátů počítače.
SQL Service Broker: Tato služba používá certifikáty podepsané svým držitelem s 2048 bity k ověřování a k podepisování a šifrování dat pomocí algoritmu AES. Používá pouze certifikáty v hlavní databázi SQL Server.
Replikace na základě souborů používá protokol SMB (Server Message Block). Používá SHA-256 k podepisování dat, která nejsou šifrovaná a neobsahují žádná citlivá data. K šifrování těchto dat použijte protokol IPsec, který implementujete nezávisle na Configuration Manager.
Klienti, kteří používají PROTOKOL HTTPS
Když role systému lokality přijímají připojení klientů, můžete je nakonfigurovat tak, aby přijímaly připojení HTTPS a HTTP, nebo jenom připojení HTTPS. Role systému lokality, které přijímají připojení z internetu, přijímají pouze připojení klientů přes protokol HTTPS.
Připojení klientů přes PROTOKOL HTTPS nabízejí vyšší úroveň zabezpečení díky integraci s infrastrukturou veřejných klíčů (PKI), která pomáhá chránit komunikaci mezi klientem a serverem. Konfigurace klientských připojení HTTPS bez důkladného pochopení plánování, nasazení a provozu infrastruktury veřejných klíčů by ale mohla být zranitelná. Pokud například nezabezpečíte kořenovou certifikační autoritu, útočníci můžou ohrozit důvěryhodnost celé vaší infrastruktury PKI. Selhání nasazení a správy certifikátů PKI pomocí kontrolovaných a zabezpečených procesů může mít za následek nespravované klienty, kteří nebudou moct přijímat důležité aktualizace softwaru nebo balíčky.
Důležité
Certifikáty PKI, které Configuration Manager používají ke komunikaci klientů, chrání komunikaci pouze mezi klientem a některými systémy lokality. Nechrání komunikační kanál mezi serverem lokality a systémy lokality ani mezi servery lokality.
Nešifrovaná komunikace, když klienti používají HTTPS
Když klienti komunikují se systémy lokality přes HTTPS, je většina provozu šifrovaná. V následujících situacích klienti komunikují se systémy lokality bez použití šifrování:
Klientovi se nepodaří na intranetu vytvořit připojení HTTPS a vrátí se k použití protokolu HTTP, pokud systémy lokality tuto konfiguraci povolují.
Komunikace s následujícími rolemi systému lokality:
Klient odesílá stavové zprávy do záložního stavového bodu.
Klient odesílá požadavky PXE do distribučního bodu s podporou PXE.
Klient odesílá data oznámení do bodu správy.
Nakonfigurujete body služby Reporting Services tak, aby používaly protokol HTTP nebo HTTPS nezávisle na režimu komunikace klienta.
Klienti, kteří používají protokol HTTP
Když klienti používají komunikaci HTTP s rolemi systému lokality, můžou k ověřování klientů použít certifikáty PKI nebo certifikáty podepsané svým držitelem, které Configuration Manager vygenerují. Když Configuration Manager vygeneruje certifikáty podepsané svým držitelem, mají vlastní identifikátor objektu pro podepisování a šifrování. Tyto certifikáty slouží k jednoznačné identifikaci klienta. Tyto certifikáty podepsané svým držitelem používají sha-256 a mají délku klíče 2048 bitů.
Nasazení operačního systému a certifikáty podepsané svým držitelem
Pokud používáte Configuration Manager k nasazení operačních systémů s certifikáty podepsanými svým držitelem, klient musí mít také certifikát pro komunikaci s bodem správy. Tento požadavek platí i v případě, že je počítač v přechodné fázi, jako je spouštění z média pořadí úkolů nebo distribučního bodu s povolenou technologií PXE. Pro podporu tohoto scénáře pro připojení klientů HTTP vygeneruje Configuration Manager certifikáty podepsané svým držitelem, které mají vlastní identifikátor objektu pro podepisování a šifrování. Tyto certifikáty slouží k jednoznačné identifikaci klienta. Tyto certifikáty podepsané svým držitelem používají sha-256 a mají délku klíče 2048 bitů. Pokud dojde k ohrožení zabezpečení těchto certifikátů podepsaných svým držitelem, zabraňte útočníkům v jejich použití k zosobnění důvěryhodných klientů. Zablokujte certifikáty v uzlu Certifikáty v pracovním prostoru Správa v uzlu Zabezpečení .
Ověřování klientů a serverů
Když se klienti připojují přes protokol HTTP, ověřují body správy pomocí Active Directory Domain Services nebo pomocí Configuration Manager důvěryhodného kořenového klíče. Klienti neověřují jiné role systému lokality, jako jsou body migrace stavu nebo body aktualizace softwaru.
Když bod správy nejprve ověří klienta pomocí klientského certifikátu podepsaného svým držitelem, tento mechanismus poskytuje minimální zabezpečení, protože každý počítač může vygenerovat certifikát podepsaný svým držitelem. Tento proces můžete vylepšit pomocí schválení klienta. Schvalovat pouze důvěryhodné počítače, a to buď automaticky Configuration Manager, nebo ručně administrativním uživatelem. Další informace najdete v tématu Správa klientů.
Informace o chybách zabezpečení SSL
Pokud chcete zlepšit zabezpečení klientů a serverů Configuration Manager, proveďte následující akce:
Povolte protokol TLS 1.2 na všech zařízeních a službách. Pokud chcete povolit protokol TLS 1.2 pro Configuration Manager, přečtěte si téma Jak povolit protokol TLS 1.2 pro Configuration Manager.
Zakažte SSL 3.0, TLS 1.0 a TLS 1.1.
Změna pořadí šifrovacích sad souvisejících s protokolem TLS
Další informace najdete v následujících článcích:
- Omezení použití určitých kryptografických algoritmů a protokolů v Schannel.dll
- Stanovení priority šifrových sad Schannel
Tyto postupy nemají vliv na Configuration Manager funkce.
Poznámka
Aktualizace ke stažení Configuration Manager ze služby Azure Content Delivery Network (CDN), která má požadavky na šifrovací sadu. Další informace najdete v tématu Azure Front Door: Nejčastější dotazy ke konfiguraci protokolu TLS.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro