Technické informace o kryptografických kontrolách použitých v nástroji Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Toto téma se zobrazuje v příručka Správa lokality pro nástroj System Center 2012 Configuration Manager a v příručce Zabezpečení a ochrana soukromí pro aplikaci System Center 2012 Configuration Manager.
System Center 2012 Configuration Manager využívá podepisování a šifrování jako pomoc při ochraně prostředí zařízení v hierarchii nástroje Configuration Manager. Podepisování zajišťuje, že pokud byla data přizpůsobena při přenosu, budou zahozena. Šifrování zabraňuje útočníkovi v přečtení dat pomocí analyzátoru protokolu sítě.
Primární algoritmus hash, který nástroj Configuration Manager používá k podepisování, je SHA-256. Pokud dvě lokality nástroje Configuration Manager navzájem komunikují, podepisují svoji komunikaci pomocí algoritmu SHA-256. Primární algoritmus šifrování implementovaný v nástroji Configuration Manager je 3DES. Tento algoritmus se používá k ukládání dat v databázi Configuration Manager a když klienti komunikují pomocí protokolu HTTP. Pokud použijete komunikaci klienta pomocí protokolu HTTPS, můžete konfigurovat infrastrukturu veřejného klíče (PKI) a použít RSA certfikáty s maximálními délkami algoritmů hash a délkami klíče, které jsou dokumentovány v Požadavky na certifikát PKI pro nástroj Configuration Manager.
Pro většinu kryptografických operací pro operační systémy Windows používá nástroj Configuration Manager algoritmy SHA-1 a SHA-2, 3DES a AES a RSA z knihovny CryptoAPI systému Windows rsaenh.dll.
Další informace naleznete v těchto částech.
Ovládání kryptografie pro činnosti nástroje Configuration Manager
Certifikáty používané nástrojem Configuration Manager
Ovládání kryptografie pro komunikaci serveru
Ovládání kryptografie pro klienty, kteří používají komunikaci pomocí protokolu HTTPS se systémy lokality
Ovládání kryptografie pro klienty, kteří používají komunikaci pomocí protokolu HTTP se systémy lokality
.jpeg "System_CAPS_important") Důležité |
|---|
Viz informace o doporučovaných změnách v reakci na slabá místa zabezpečení SSL v části Slabá místa zabezpečení SSL. |
Ovládání kryptografie pro činnosti nástroje Configuration Manager
Informace v nástroji Configuration Manager lze podepsat a zašifrovat, nezávisle na tom, zda používáte certifikáty PKI s nástrojem Configuration Manager.
Zásady podepisování a šifrování
Přiřazení zásad klienta se podepisují pomocí podepisovacího certifikátu serveru lokality s podpisem držitele, aby nedocházelo k bezpečnostnímu riziku narušeného bodu správy odesíláním zásad, které byly pozměněny. Bezpečnostní pojistka je zvláště důležitá, pokud používáte správu internetového klienta, protože toto prostředí vyžaduje bod správy, který je vystaven internetové komunikaci.
Pokud zásady obsahují citlivá data, jsou šifrovány pomocí algoritmu 3DES. Zásady obsahující citlivá data jsou odesílány pouze autorizovaným klientům. Zásady, které neobsahují citlivá data nejsou šifrovány.
Pokud je zásada uložena v klientech, je zašifrována pomocí programovacího rozhraní aplikace ochrany dat (DPAPI).
Hashování zásad
Když klienti Configuration Manager vyžadují zásadu, nejprve obdrží přiřazení zásady, takže vědí, které zásady pro ně platí a pak si mohou vyžádat pouze tyto zásady. Každé přiřazení zásady obsahuje vypočtený hash pro příslušné tělo zásady. Klient načte platná těla zásad a pak vypočte hash k tomuto tělu. Pokud se hash ve staženém těle zásady neshoduje s hash klíčem v přiřazení zásady, pak klient tělo zásady zahodí.
Algoritmus hash pro zásady je SHA-1 a SHA-256.
Hashování obsahu
Služba správy distribuce na serveru lokality hashuje soubory obsahu pro všechny balíčky. Poskytovatel zásad zahrnuje hash klíče do zásad distribuce softwaru. Pokud klient Configuration Manager stáhne obsah, klient regeneruje hash místně a porovná ho s klíčem dodaným v zásadě. Pokud se klíče hash shodují, pak nebyl obsah pozměněn a klient ho nainstaluje. Pokud byl jediný bajt obsahu pozměněn, pak se klíče hash neshodují a software nebude nainstalován. Tato kontrola pomáhá zajistit, že bude nainstalován správný software, jelikož skutečný obsah je kontrolován oproti zásadě.
Výchozí algoritmus hash pro obsah je SHA-256. Pokud chcete změnit toto výchozí nastavení, projděte si dokumentaci pro sadu SDK (Software Development Kit) nástroje Configuration Manager.
Ne všechna zařízení mohou podporovat hashování obsahu. Mezi výjimky patří následující:
Klienti systému Windows, kteří streamují obsah App-V.
Klienti Windows Phone: Tito klienti však ověřují podpis aplikace, která je podepsána důvěryhodným zdrojem.
Klienti Windows RT: Tito klienti však ověřují podpis aplikace, která je podepsána důvěryhodným zdrojem a také používají ověřování celého názvu balíčku (PFN).
iOS: Tato zařízení však ověřují podpis aplikace, která je podepsána pomocí certifikátu developera z důvěryhodného zdroje.
Klienti Nokia: Tito klienti však ověřují podpis aplikace, který používá certifikát s podpisem držitele. Nebo mohou být aplikace Nokia Symbian Installation Source (SIS) podepisovány pomocí certifikátu z důvěryhodného zdroje.
Android. Navíc tato zařízení nepoužívají ověřování podpisu pro instalaci aplikací.
Klienti, kteří jsou spuštění na verzích systémů Linux a UNIX, které nepodporují šifrování SHA-256. Další informace najdete v části v tématu Plánování nasazení klienta pro servery UNIX a Linux.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_NoSHA-256
Podepisování a šifrování inventáře
Inventář, který klienti zasílají do bodů správy je vždy podepisován pomocí zařízení, nezávisle na tom, zda zařízení komunikují s body správy pomocí protokolu HTTP nebo HTTPS. Pokud používají protokol HTTP, můžete si zvolit šifrování těchto dat, což je nejlepší postup zabezpečení.
Šifrování stavu migrace
Data uložená v bodech stavu migrace pro nasazení operačního systému jsou vždy šifrována pomocí nástroje přenesení stavu uživatele (USMT) pomocí 3DES.
Šifrování pro balíčky pro vícesměrové vysílání pro nasazení operačních systémů
Při přenosu balíčku pomocí vícesměrového vysílání máte možnost povolit šifrování, a to v případě každého balíčku nasazení operačního systému. Šifrování používá rozšířený standard šifrování (AES). Pokud šifrování povolíte, nebude vyžadována konfigurace dalšího certifikátu. Distribuční bod s povoleným vícesměrovým vysíláním automaticky vygeneruje symetrické klíče pro šifrování balíčku. Každý balíček obsahuje odlišný šifrovací klíč. Klíče je uložen v distribučním bodě s vícesměrovým vysíláním pomocí standardních API systému Windows. Když se klient připojí do relace vícesměrového vysílání, dojde k výměně klíčů pomocí šifrovaného kanálu pomocí certifikátu ověřování klienta vydaného PKI (pokud klient používá protokol HTTPS) nebo certifikátu podepsaného držitelem (pokud klient používá protokol HTTP). Klient uloží klíč do paměti pouze po dobu trvání relace vícesměrového vysílání.
Šifrování médií pro nasazení operačních systémů
Pokud používáte média k nasazení operačních systémů a určení hesla k ochraně média, jsou proměnné prostředí šifrovány pomocí rozšířeného standardu šifrování (AES). Další data v médiu, včetně balíčků a obsahu aplikací, nejsou šifrována.
Šifrování obsahu, který je hostován v cloudových distribučních bodech
Počínaje nástrojem System Center 2012 Configuration Manager SP1 pokud používáte cloudové distribuční body, je obsah, který nahrajete do těchto distribučních bodů, šifrován pomocí rozšířeného standardu šifrování (AES) s délkou klíče 256 bitů. Obsah je znovu zašifrován kdykoliv ho aktualizujete. Pokud klient stáhne obsah, je zašifrován a chráněn pomocí připojení HTTPS.
Podepisování softwarových aktualizací
Veškeré softwarové aktualizace musí být podepsány důvěryhodným vydavatelem jako ochrana proti manipulaci. V klientských počítačích agent Windows Update (WUA) skenuje aktualizace z katalogu, ale neinstaluje je, pokud nemůže najít digitální certifikát v úložišti důvěryhodných vydavatelů v místním počítači. Pokud byl certifikát podepsaný držitelem použit pro publikaci katalogu aktualizací, například certifikát WSUS vydavatelů podepsaný držitelem, musí se také nacházet v úložišti certifikátů úřadu pro vydávání důvěryhodných kořenových certifikátů. WUA také kontroluje, zda je nastavení Povolit podepsaný obsah ze skupiny zásad služby Microsoft Update intranetu povoleno v místním počítači. Toto nastavení zásady musí být povoleno, aby mohl nástroj WUA skenovat aktualizace, které byly vytvořeny a publikovány pomocí nástroje Updates Publisher.
Jsou-li softwarové aktualizace publikovány v nástroji System Center Updates Publisher, digitální certifikát podepisuje softwarové aktualizace, když jsou publikovány na server aktualizací. Můžete buď určit certifikát PKI nebo provést konfiguraci nástroje Updates Publisher a vygenerovat certifikát podepsaný držitelem pro podepisování softwarových aktualizací.
Podepsaná data konfigurace pro nastavení dodržování předpisů
Pokud importujete data konfigurace, nástroj Configuration Manager ověřuje digitální podpis souboru. Pokud nebyly soubory podepsány, nebo pokud digitální podpis ověření selže, budete varováni vyzváni, zda chcete pokračovat v importu. V importu konfiguračních dat pokračuje pouze v případě, že výhradně důvěřujete vydavateli a integritě souborů.
Šifrování a hashování pro oznámení klienta
Pokud použijete oznámení klienta, bude veškerá komunikace používat TLS a nejlepší šifrování, jaké dokáže server a operační systémy klienta vyjednat. Například klientský počítač obsahující systém Windows 7 a bod správy obsahující systém Windows Server 2008 R2 mohou podporovat 128bitové šifrování AES, zatímco klientský počítač používající systém Vista se stejným bodem správy bude komunikovat pomocí šifrování 3DES. Ke stejnému vyjednávání dochází při hashování balíčků, které jsou přenášeny během oznámení klienta, které používá SHA-1 nebo SHA-2.
Certifikáty používané nástrojem Configuration Manager
Seznam certifikátů infrastruktury veřejných klíčů (PKI), které lze použít v nástroji Configuration Manager, jakékoliv speciální požadavky nebo omezení a způsob, jakým se certifikáty používají, naleznete v části Požadavky na certifikát PKI pro nástroj Configuration Manager. Tento seznam obsahuje podporované algoritmy hash a délky klíčů. Většina certifikátů podporuje klíče SHA-256 a délku klíče 2 048 bitů.
Poznámka
Všechny certifikáty, které nástroj Configuration Manager používá, musí v názvu předmětu obsahovat pouze znaky o délce jednoho bajtu nebo alternativní název předmětu.
Certifikáty PKI jsou nezbytné pro následující scénáře:
Při správě klientů nástroje Configuration Manager v síti Internet.
Při správě klientů nástroje Configuration Manager v mobilních zařízeních.
Při správě počítačů se systémem Mac.
Pokud používáte cloudové distribuční body.
Pokud spravujete počítače s technologií Intel AMT pro vzdálenou správu.
U většiny ostatních komunikací Configuration Manager, které vyžadují certifikáty pro ověřování, podepisování nebo šifrování, nástroj Configuration Manager automaticky používá certifikáty PKI, pokud jsou k dispozici. Pokud nejsou k dispozici, nástroj Configuration Manager generuje certifikáty podepsané držitelem.
Nástroj Configuration Manager nepoužívá certifikáty PKI, pokud spravuje mobilní zařízení pomocí konektoru systému Exchange Server.
Správa mobilních zařízení a certifikátů PKI
Pokud mobilní zařízení není uzamčené mobilním operátorem, můžete k vyžádání a instalaci klientského certifikátu použít Configuration Manager nebo Microsoft Intune. Tento certifikát zajišťuje vzájemné ověření mezi klientem v mobilním zařízení a systémy lokality Configuration Manager nebo službami Microsoft Intune. Pokud je mobilní zařízení uzamčené, nemůžete k nasazení certifikátů použít Configuration Manager ani Intune. Další informace naleznete v části Instalace klientů do mobilních zařízení a jejich registrace pomocí nástroje Configuration Manager.
Pokud u mobilních zařízení povolíte inventář hardwaru, udělá Configuration Manager nebo Intune taky inventarizaci certifikátů, které jsou instalované v mobilním zařízení.
Vzdálená správa a certifikáty PKI
Vzdálená správa pro počítače s technologií Intel AMT používá alespoň dva typy certifikátů PKI: certifikát poskytovaný AMT a certifikát webového serveru.
Bod vzdálené služby používá certifikát poskytovaný AMT k přípravě počítačů na vzdálenou správu. Počítače s technologií AMT, které budou zajištěny, musí důvěřovat certifikátu uváděnému bodem vzdálené správy. Ve výchozím nastavení jsou počítače s technologií AMT konfigurovány výrobcem počítače, aby používaly externí certifikační autority (CA) jako VeriSign, Go Daddy, Comodo a Starfield. Pokud si zakoupíte zajišťovací certifikát od jednoho z externích CA a provedete konfiguraci nástroje Configuration Manager, aby používal tento zajišťovací certifikát, tak budou počítače s technologií AMT důvěřovat CA zajišťovacího certifikátu a zajištění může uspět. Nejlepším postupem zabezpečení je však používat vlastní interní CA pro vydávání zajišťovacího certifikátu AMT. Další informace naleznete v části Doporučené postupy zabezpečení pro Správa mimo síť.
Počítače s technologií AMT provozují ve svém firmwaru webový server a komponenta tohoto webového serveru šifruje komunikační kanál s bodem vzdálené správy pomocí protokolu TLS (Transport Layer Security). V systému AMT BIOS neexistuje žádné uživatelské rozhraní pro ruční konfiguraci certifikátu, takže musíte mít k dispozici certifikační autoritu rozlehlé sítě od společnosti Microsoft, která automaticky schvaluje žádosti o certifikáty od žádajících počítačů s technologií AMT. Požadavky využívají formát PKCS#10, který pak dále používá formát PKCS#7 pro přenos informací certifikátu do počítače s technologií AMT.
I když je počítač s technologií AMT ověřen pomocí počítače, který ho spravuje, neexistuje na počítači pro správu odpovídající klientský certifikát PKI. Místo toho používají tyto komunikace ověřování typu Kerberos nebo HTTP Digest. Pokud je použit typ HTTP Digest, dochází k šifrování pomocí protokolu TLS.
Další typ certifikátu může být nezbytný pro vzdálenou správu počítačů s technologií AMT: volitelný klientský certifikát pro ověřované kabelové sítě 802.1X a bezdrátové sítě. Certifikát klienta může být vyžadován počítači s technologií AMT pro ověřování se serverem RADIUS. Pokud je server RADIUS konfigurován pro ověřování EAP-TLS, bude vždy požadován certifikát klienta. Pokud je server RADIUS konfigurován pro EAP-TTLS/MSCHAPv2 nebo PEAPv0/EAP-MSCHAPv2, konfigurace RADIUS určí, zda je certifikát klienta požadován, nebo ne. Tento certifikát je požadován počítačem s technologií AMT pomocí stejných procesů jako požadavek na certifikát webového serveru.
Nasazení operačního systému a certifikáty PKI
Při použití nástroje Configuration Manager k nasazení operačních systémů s bod správy vyžaduje klientská připojení HTTPS, musí klientský počítač také obsahovat certifikát pro komunikaci s bodem správy, i když je počítač v přechodové fázi, například spouštění média z pořadí úloh nebo distribučního bodu s podporou PXE. Pro podporu tohoto scénáře musíte vytvořit certifikát ověřování klienta PKI a exportovat ho pomocí soukromého klíče a pak ho importovat do vlastností serveru lokality a také přidat důvěryhodný kořenový certifikát CA do bodu správy.
Pokud vytváříte spustitelné médium, importujete certifikát ověřování klienta, když vytvoříte spustitelné médium. Proveďte konfiguraci hesla spustitelného média jako pomoc při ochraně soukromého klíče a dalších citlivých dat konfigurovaných v pořadí úloh. Každý počítač, který se spouští ze spustitelného média poskytne bodu správy stejný certifikát, což je požadavek pro funkce klienta, například požadavek na zásady klienta.
Pokud použijete spouštění PXE, provedete import certifikátu ověřování klienta do distribučního bodu s povoleným PXE a ten použije stejný certifikát na všechny klienty, kteří se spouští z tohoto distribučního bodu s povoleným PXE. Nejlepším postupem zabezpečení je vyžadovat od uživatelů, kteří připojují své počítače ke službě PXE, aby zadali heslo, které pomáhá chránit soukromý klíč a další citlivá data v pořadí úloh.
Pokud dojde k narušení kteréhokoliv z těchto certifikátů ověřování klienta, zablokujte je v uzlu Certifikáty v pracovním prostoru Správa v uzlu Zabezpečení. Chcete-li spravovat tyto certifikáty, musíte mít oprávnění Správa certifikátu nasazení operačního systému.
Po nasazení operačního systému a instalaci nástroje Configuration Manager bude klient vyžadovat vlastní certifikát ověřování klienta PKI pro komunikaci klienta pomocí protokolu HTTPS.
Řešení ISV Proxy a certifikáty PKI
Nezávislí dodavatelé softwaru (ISV) mohou vytvářet aplikace, které rozšiřují nástroj Configuration Manager. Například může ISV vytvořit rozšíření, které podporují klientské platformy nevyužívající systém Windows, například počítače se systémem Macintosh nebo UNIX. Pokud ale systémy lokality vyžadují připojení ke klientům přes HTTPS, musí tito klienti používat ke komunikaci s lokalitou taky certifikáty PKI.Configuration Manager dokáže přiřadit certifikát k proxy nezávislého dodavatele softwaru, který umožňuje komunikaci mezi klienty tohoto proxy a bodem správy. Pokud použijete rozšíření, které vyžaduje certifikáty ISV proxy, obraťte se na dokumentaci daného produktu. Další informace o tvorbě certifikátů ISV proxy naleznete v části sada SDK (Software Developer Kit) nástroje Configuration Manager.
Pokud dojde k ohrožení bezpečnosti certifikátu ISV, zablokujte certifikát v uzlu Certifikáty v pracovním prostoru Správa, uzel Zabezpečení.
Funkce Asset Intelligence a certifikáty
Nástroj Configuration Manager se instaluje společně s certifikátem X.509, který bod synchronizace služby Asset Intelligence používá k připojování ke společnosti Microsoft. Nástroj Configuration Manager používá tento certifikát k vyžádání certifikátu ověřování klienta z certifikační služby společnosti Microsoft. Certifikát ověřování klienta je nainstalován v bodě synchronizace služby Asset Intelligence serveru systému lokality a používá se k ověřování serveru ve společnosti Microsoft. Nástroj Configuration Manager používání certifikát ověřování klienta ke stahování katalogu služby Asset Intelligence a k nahrávání názvů softwaru.
Tento certifikát obsahuje klíč o délce 1 024 bitů.
Cloudové distribuční body a certifikáty
Počínaje nástrojem System Center 2012 Configuration Manager SP1 cloudové distribuční body v nástroji vyžadují certifikát pro správu (podepsaný držitelem nebo PKI), který nahrajete do služby Microsoft Azure. Certifikát pro správu vyžaduje schopnost ověřování serveru a délku klíče certifikátu o hodnotě 2 048 bitů. Navíc je nutné provést konfiguraci certifikátu služby pro každý cloudový distribuční bod, který nemůže být podepsaný držitelem, ale také obsahuje schopnost ověřování serveru a má minimální dílku klíče certifikátu o hodnotě 2 048 bitů.
Poznámka
Certifikát pro správu podepsaný držitelem je určen pouze pro testovací účely a není určen pro použití ve výrobních sítích.
Klienti nevyžadují, aby certifikát klienta PKI používal cloudové distribuční body. Klienti provádí ověřování oproti správě pomocí certifikátu podepsaného držitelem nebo certifikátu PKI klienta. Bod správy poté vydá přístupový token nástroje Configuration Manager klientovi, který klient poskytne cloudovému distribučnímu bodu. Token platí po dobu 8 hodin.
Konektor služby Microsoft Intune a certifikáty
Když jsou mobilní zařízení registrovaná v Microsoft Intune, můžete tato mobilní zařízení spravovat přes Configuration Manager vytvořením konektoru Microsoft Intune. Tento konektor využívá certifikát PKI se schopností ověřování klienta k tomu, aby Configuration Manager ověřil vůči Microsoft Intune a k přenosu všech informací mezi nimi přes protokol SSL. Délka klíče certifikátu činí 2048 bitů a využívá algoritmus hash SHA-1.
Po instalaci konektoru dojde k vytvoření a uložení podepisovacího certifikátu na serveru lokality pro klíče zkušebního načtení a vytvoření a uložení šifrovacího certifikátu v bodě registrace certifikátu pro zašifrování výzvy protokolu SCEP (Simple Certificate Enrollment Protocol). Tyto certifikáty také mají velikost klíče o hodnotě 2 048 bitů a využívají algoritmus hash SHA-1.
Když Intune registruje mobilní zařízení, nainstaluje do mobilního zařízení certifikát PKI. Tento certifikát má schopnost ověřování klienta, používá klíč o délce 2 048 bitů a využívá algoritmus hash SHA-1.
Tyto certifikáty PKI automaticky vyžaduje, generuje a instaluje Microsoft Intune.
Kontrola CRL pro certifikáty PKI
Seznam odvolaných certifikátů PKI (CRL) zvyšuje režii správy a zpracování, ale je bezpečnější. Pokud je však kontrola CRL povolena, ale CRL je nedostupné, připojení PKI selže. Další informace najdete v části Plánování odvolání certifikátu PKI v tématu Plánování zabezpečení v nástroji Configuration Manager.
Kontrola seznamu odvolání certifikátů (CRL) je ve výchozím nastavení povolena ve službě IIS, takže pokud používáte CRL s nasazením PKI, není nutné u většiny systémů lokality Configuration Manager, který spouští službu IIS, konfigurovat žádné další nastavení. Výjimkou jsou softwarové aktualizace, které vyžadují ruční krok k povolení kontroly CRL pro ověření podpisů v souborech softwarových aktualizací.
Kontrola CRL je ve výchozím nastavení povolena pro klientské počítače, pokud používají připojení klientů protokolu HTTPS. Kontrola CRL není ve výchozím nastavení povolena, pokud spouštíte konzolu vzdálené správy pro připojení k počítačům s technologií AMT a můžete tuto možnost povolit. Kontrolu CRL nemůžete zakázat u klientů v počítačích se systémem Mac a nástrojem Configuration Manager SP1 nebo novějším.
Kontrola CRL není podporována u následujících připojení v nástroji Configuration Manager:
Vzájemné připojení serverů.
Mobilní zařízení zapsaná nástrojem Configuration Manager
Mobilní zařízení zapsaná nástrojem Microsoft Intune
Ovládání kryptografie pro komunikaci serveru
Nástroj Configuration Manager používá následující kryptografické ovládání komunikace serveru.
Komunikace serveru v rámci lokality
Každý server systému lokality používá certifikát k přenosu dat do dalších systémů lokality ve stejné lokalitě Configuration Manager. Některé role systému lokality také používají certifikáty pro ověřování. Pokud například nainstalujete zprostředkující bod registrace na jeden server a bod registrace na druhý server, mohou se ověřit navzájem pomocí tohoto certifikátu identity. Pokud nástroj Configuration Manager používá certifikát pro tuto komunikaci, pokud je dostupný certifikát PKI, který obsahuje schopnost ověření serveru, nástroj Configuration Manager ho automaticky použije. Pokud ne, nástroj Configuration Manager vygeneruje certifikát podepsaný držitelem. Tento certifikát podepsaný držitelem obsahuje schopnost ověřování serveru, využívá algoritmus SHA-256 a má délku klíče 2048 bitů. Nástroj Configuration Manager zkopíruje certifikát do úložiště důvěryhodných osob na servery dalších systémů lokalit, které mohou vyžadovat ověření systému lokality. Systémy lokality si následně mohou důvěřovat navzájem pomocí těchto certifikátů a služby PeerTrust.
Navíc k tomuto certifikátu nástroj Configuration Manager vygeneruje pro každý server systému lokality certifikát podepsaný držitelem určený pro většinu rolí systému lokality. Pokud se v jedné lokalitě nachází více než jedna instance role systému lokality, pak sdílí stejný certifikát. Například můžete mít více bodů správy nebo více bodů zápisu ve stejné lokalitě. Tento certifikát podepsaný držitelem také používá algoritmus SHA-256 a obsahuje klíč o délce 2048 bitů. Je také zkopírován do úložiště důvěryhodných osob na serverech systému lokality, u kterých je nutné, aby mu důvěřovaly Tento certifikát generují následující role systému lokality:
Bod služeb webu Katalog aplikací
Bod lokality Application Catalog
Bod synchronizace katalogu Asset Intelligence
Bod registrace certifikátu
Bod ochrany koncového bodu Endpoint Protection
Bod registrace
Bod záložního stavu
Bod správy
Distribuční bod s povoleným vícesměrovým vysíláním
Bod obsluhy vzdálené správy
Bod služby Reporting services
Bod aktualizace softwaru
Bod migrace stavu
Bod validátoru stavu systému
Konektor služby Microsoft Intune
Tyto certifikáty jsou spravovány automaticky nástrojem Configuration Manager a v případě potřeby jsou automaticky generovány.
Nástroj Configuration Manager také používá certifikát ověřování klienta k odesílání stavových zpráv z distribučního bodu do bodu správy. Pokud je konfigurace bodu správy pro samotná připojení klienta provedena pouze pomocí protokolu HTTPS, je nutné použít certifikát PKI. Pokud bod správy přijme připojení protokolu HTTP, můžete certifikát PKI použít nebo vyberte možnost k použití certifikátu podepsaného držitelem, který má schopnosti ověřování klienta, používá algoritmus SHA-256 a má délku klíče 2 048 bitů.
Komunikace serveru mezi lokalitami
Nástroj Configuration Manager přenáší data mezi lokalitami pomocí replikace databáze a replikace na základě souborů. Další informace naleznete v části Technické informace o komunikaci lokalit v nástroji Configuration Manager.
Nástroj Configuration Manager automaticky konfiguruje replikaci databáze mezi lokalitami a používá certifikáty PKI, které obsahují schopnost ověřování serverů, pokud jsou dostupné. Pokud nejsou dostupné, nástroj Configuration Manager vytvoří certifikáty podepsané držitelem pro ověřování serveru. V obou případech bude ověřování mezi lokalitami zahájeno pomocí certifikátů v úložišti důvěryhodných osob, které používají službu PeerTrust. Toto úložiště certifikátů se používá k zajištění, že se vzájemné replikace lokalit zúčastní pouze počítače systému SQL Server, které jsou používány hierarchií Configuration Manager. Zatímco primární lokality a centrální lokality pro správu mohou replikovat změny konfigurace pro všechny lokality v hierarchii, sekundární lokality mohou replikovat změny konfigurace pouze v podřízené lokalitě.
Servery lokality zahajují vzájemnou komunikace lokalit pomocí zabezpečené výměny klíčů, ke které dochází automaticky. Zasílající server lokality generuje součet hash a podepíše ho pomocí soukromého klíče. Přijímající server lokality zkontroluje podpis pomocí veřejného klíče a porovná součet hash s místně vygenerovanou hodnotou. Pokud se shodují, přijímající lokalita přijme replikovaná data. Pokud se hodnoty neshodují, nástroj Configuration Manager odmítne replikovaná data.
Replikace databáze v nástroji Configuration Manager využívá službu SQL Server Service Broker k přenosu dat mezi lokalitami pomocí následujících mechanismů:
Připojení mezi systémy SQL Server: Tento mechanismus využívá přihlašovací údaje systému Windows k ověření serveru a certifikátů podepsaných držitelem s 1 024 bity k podepisování a šifrování dat pomocí rozšířeného standardu šifrování (AES). Pokud jsou dostupné certifikáty PKI se schopností ověřování serveru, budou použity. Certifikát se musí nacházet v osobním úložišti úložiště certifikátů počítače.
Služba SQL Service Broker: Tato služba využívá certifikáty podepsané držitelem s 2 048 bity k ověřování a k podepisování a šifrování dat pomocí rozšířeného standardu šifrování (AES). Certifikát se musí nacházet v hlavní databázi systému SQL Server.
Replikace na základě souborů využívá protokol SMB (Server Message Block) a využívá algoritmus SHA-256 k podepisování dat, která nejsou šifrována, ale neobsahují citlivé údaje. Chcete-li tato data zašifrovat, můžete použít službu IPsec a musíte tuto funkci implementovat nezávisle na nástroji Configuration Manager.
Ovládání kryptografie pro klienty, kteří používají komunikaci pomocí protokolu HTTPS se systémy lokality
Pokud role systému lokality přijme připojení klienta, můžete je konfigurovat k přijímání připojení protokolů HTTPS a HTTP nebo pouze připojení HTTPS. Role systému lokality, které přijímají připojení z Internetu přijímají pouze připojení klienta přes protokol HTTPS.
Připojení klienta přes protokol HTTPS nabízí vyšší úroveň zabezpečení integrací s infrastrukturou veřejných klíčů (PKI) a pomáhají chránit komunikace mezi klientem a serverem. Konfigurace připojení klientů HTTPS bez pečlivého pochopení plánování, nasazení a činností PKI vás přesto může zanechat zranitelné. Pokud například nezabezpečíte kořenové CA, útočníci mohou narušit důvěru celé infrastruktury PKI. Pokud nenasadíte a nespravujete certifikáty PKI pomocí kontrolovaných a zabezpečených procesů, může dojít k situaci, že nespravovaní klienti nebudou moci přijímat klíčové softwarové aktualizace nebo balíčky.
| Důležité |
|---|
Certifikáty PKI, které se používají ke komunikaci klientů, chrání komunikaci pouze mezi klientem a některými systémy lokality. Nechrání komunikační kanál mezi serverem lokality a systémy lokality nebo mezi servery lokalit. |
Nešifrovaná komunikace, pokud klienti používají komunikaci pomocí protokolu HTTPS
Pokud klienti komunikují se systémy lokalit pomocí protokolu HTTPS, bude komunikace obvykle šifrována pomocí SSL. V následujících situacích však klienti komunikují se systémy lokalit bez použití šifrování:
Klientovi se nepodaří vytvořit připojení pomocí protokolu HTTPS na intranetu a vrátí se zpět k použití protokolu HTTP, pokud systémy lokality tuto konfiguraci umožňují.
Komunikace s následujícími rolemi systému lokality:
Klient odešle stavové zprávy do bodu stavu pro použití náhradní lokality
Klient odešle požadavky PXE do distribučního bodu s povoleným PXE
Klient odešle data oznámení do bodu správy
Body služeb generování sestav jsou konfigurovány k použití protokolu HTTP nebo HTTPS nezávisle na režimu komunikace klienta.
Ovládání kryptografie pro klienty, kteří používají komunikaci pomocí protokolu HTTP se systémy lokality
Pokud klient používá komunikaci pomocí protokolu HTTP s rolemi systému lokality, mohou používat certifikáty PKI pro ověřování klienta nebo certifikáty podepsané držitelem, které generuje nástroj Configuration Manager. Když nástroj Configuration Manager generuje certifikáty podepsané držitelem, tyto certifikáty obsahují vlastní identifikátor objektů pro podepisování a šifrování a tyto certifikáty se používají k jedinečné identifikaci klienta. Pro všechny podporované operační systémy kromě systému Windows Server 2003 tyto certifikáty podepsané držitelem používají technologii SHA-256 a délku klíče 2 048 bitů. Pro systém Windows Server 2003 se používá technologie SHA1 s délkou klíče 1 024 bitů.
Nasazení operačního systému a certifikáty podepsané držitelem
Při použití nástroje Configuration Manager k nasazení operačních systémů s certifikáty podepsanými držitelem musí mít klientský počítač také certifikát pro komunikaci s bodem správy, i když je počítač v přechodové fázi, například spouštění média z pořadí úloh nebo distribučního bodu s podporou PXE. Aby bylo možné podpořit tento scénář pro připojení klienta pomocí protokolu HTTP, nástroj Configuration Manager vygeneruje certifikáty podepsané držitelem, které mají vlastní identifikátor objektů pro podepisování a šifrování. Tyto certifikáty se používají k jedinečné identifikaci klienta. Pro všechny podporované operační systémy kromě systému Windows Server 2003 tyto certifikáty podepsané držitelem používají technologii SHA-256 a délku klíče 2 048 bitů. Pro systém Windows Server 2003 se používá technologie SHA1 s délkou klíče 1 024 bitů. Pokud dojde k ohrožení těchto certifikátů podepsaných držitelem a chcete-li útočníkům zabránit v jejich používání za účelem vydávání se za důvěryhodné klienty, je třeba zablokovat certifikáty v uzlu Certifikáty v pracovním prostoru Správa v uzlu Zabezpečení.
Ověření klienta a serveru
Pokud se klienti připojují pomocí protokolu HTTP, ověřují body správy pomocí služby AD DS (Active Directory Domain Services) nebo pomocí důvěryhodného kořenového klíče nástroje Configuration Manager. Klienti neověřují jiné role systému lokality, například body migrace stavu nebo body aktualizace softwaru.
Když bod správy poprvé ověří klienta pomocí certifikátu klienta podepsaného držitelem, tento mechanismus nabízí minimální zabezpečení, protože certifikát podepsaný držitelem může vygenerovat kterýkoli počítač. V tomto scénáři musí být proces identity klienta rozšířen o schválení. Schváleny musí být pouze důvěryhodné počítače, a to automaticky pomocí nástroje Configuration Manager nebo ručně správcem. Další informace najdete v části Komunikace iniciované klienty.
Slabá místa zabezpečení SSL
Pro zvýšení zabezpečení vašich serverů Configuration Manageru doporučujeme zakázání SSL 3.0, povolení TLS 1.1 a 1.2 a reorganizaci sad šifer souvisejících s TLS. Informace o provedení těchto akcí v najdete v tomto článku. Tato akce neovlivní funkčnost Configuration Manageru.
Viz také
Technické informace o správě lokalit v nástroji Configuration Manager