Plánování zabezpečení v Configuration Manager

Článek
11/18/2023

Platí pro: Configuration Manager (Current Branch)

Tento článek popisuje následující koncepty, které byste měli zvážit při plánování zabezpečení s implementací Configuration Manager:

Certifikáty (podepsané svým držitelem a PKI)
Důvěryhodný kořenový klíč
Podepisování a šifrování
Správa založená na rolích
Microsoft Entra ID
Ověřování poskytovatele serveru SMS

Než začnete, ujistěte se, že znáte základy zabezpečení v Configuration Manager.

Certifikáty

Configuration Manager používá kombinaci digitálních certifikátů infrastruktury veřejných klíčů podepsaných svým držitelem (PKI). Používejte certifikáty PKI, kdykoli je to možné. Některé scénáře vyžadují certifikáty PKI. Pokud certifikáty PKI nejsou k dispozici, lokalita automaticky vygeneruje certifikáty podepsané svým držitelem. V některých scénářích se vždy používají certifikáty podepsané svým držitelem.

Další informace najdete v tématu Plánování certifikátů.

Důvěryhodný kořenový klíč

Configuration Manager důvěryhodný kořenový klíč poskytuje mechanismus pro Configuration Manager klientů k ověření, že systémy lokality patří do jejich hierarchie. Každý server lokality generuje klíč výměny lokality pro komunikaci s jinými lokalitami. Klíč výměny lokality z lokality nejvyšší úrovně v hierarchii se nazývá důvěryhodný kořenový klíč.

Funkce důvěryhodného kořenového klíče v Configuration Manager se podobá kořenovému certifikátu v infrastruktuře veřejných klíčů. Cokoli podepsané privátním klíčem důvěryhodného kořenového klíče je důvěryhodné dále v hierarchii. Klienti ukládají kopii důvěryhodného kořenového klíče lokality v root\ccm\locationservices oboru názvů rozhraní WMI.

Lokalita například vydá certifikát bodu správy, který podepíše privátním klíčem důvěryhodného kořenového klíče. Lokalita sdílí s klienty veřejný klíč svého důvěryhodného kořenového klíče. Klienti pak můžou rozlišovat mezi body správy, které jsou v jejich hierarchii, a body správy, které nejsou v jejich hierarchii.

Klienti automaticky získají veřejnou kopii důvěryhodného kořenového klíče pomocí dvou mechanismů:

Rozšíříte schéma služby Active Directory pro Configuration Manager a publikujete lokalitu do Active Directory Domain Services. Klienti pak načtou informace o této lokalitě ze serveru globálního katalogu. Další informace najdete v tématu Příprava služby Active Directory pro publikování webů.
Při instalaci klientů pomocí metody nabízené instalace klienta. Další informace najdete v tématu Klientská nabízená instalace.

Pokud klienti nemůžou získat důvěryhodný kořenový klíč pomocí některého z těchto mechanismů, důvěřují důvěryhodnému kořenovému klíči poskytovanému prvním bodem správy, se kterým komunikují. V tomto scénáři může být klient nesprávně přesměrován na bod správy útočníka, kde by obdržel zásady z podvodného bodu správy. Tato akce vyžaduje sofistikovaného útočníka. Tento útok je omezen na krátkou dobu, než klient načte důvěryhodný kořenový klíč z platného bodu správy. Pokud chcete snížit riziko, že útočník chybně nasměruje klienty do podvodného bodu správy, předem zřiďte klienty s důvěryhodným kořenovým klíčem.

Další informace a postupy pro správu důvěryhodného kořenového klíče najdete v tématu Konfigurace zabezpečení.

Podepisování a šifrování

Pokud používáte certifikáty PKI pro veškerou komunikaci klientů, nemusíte plánovat podepisování a šifrování, které pomáhá zabezpečit datovou komunikaci klientů. Pokud nastavíte jakékoli systémy lokality se službou IIS tak, aby umožňovaly připojení klientů HTTP, rozhodněte se, jak pomoct zabezpečit komunikaci klienta pro lokalitu.

Důležité

Od Configuration Manager verze 2103 jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.

Pokud chcete lépe chránit data, která klienti odesílají do bodů správy, můžete vyžadovat, aby klienti data podepsali. K podepisování můžete také vyžadovat algoritmus SHA-256. Tato konfigurace je bezpečnější, ale nevyžaduje SHA-256, pokud ji nepodporují všichni klienti. Mnoho operačních systémů nativně podporuje tento algoritmus, ale starší operační systémy můžou vyžadovat aktualizaci nebo opravu hotfix.

Zatímco podepisování pomáhá chránit data před manipulací, šifrování pomáhá chránit data před zpřístupněním informací. Můžete povolit šifrování pro data inventáře a stavové zprávy, které klienti odesílají do bodů správy v lokalitě. Pokud chcete tuto možnost podporovat, nemusíte na klienty instalovat žádné aktualizace. Klienti a body správy vyžadují větší využití procesoru pro šifrování a dešifrování.

Poznámka

K šifrování dat klient používá veřejný klíč šifrovacího certifikátu bodu správy. Odpovídající privátní klíč má jenom bod správy, takže data může dešifrovat jenom bod správy.

Klient tento certifikát spustí pomocí podpisového certifikátu bodu správy, který se spustí pomocí důvěryhodného kořenového klíče lokality. Ujistěte se, že jste na klientech bezpečně zřídili důvěryhodný kořenový klíč. Další informace najdete v tématu Důvěryhodný kořenový klíč.

Další informace o konfiguraci nastavení pro podepisování a šifrování najdete v tématu Konfigurace podepisování a šifrování.

Další informace o kryptografických algoritmech používaných k podepisování a šifrování najdete v tématu Technické reference k kryptografickým ovládacím prvkům.

Správa založená na rolích

S Configuration Manager používáte správu na základě rolí k zabezpečení přístupu, který správci potřebují používat Configuration Manager. Zabezpečíte také přístup k objektům, které spravujete, jako jsou kolekce, nasazení a weby.

Kombinací rolí zabezpečení, rozsahů zabezpečení a kolekcí oddělujete přiřazení správy, která splňují požadavky vaší organizace. Společně definují obor správy uživatele. Tento obor správy řídí objekty, které správce zobrazí v konzole Configuration Manager, a řídí oprávnění, která má uživatel k těmto objektům.

Další informace najdete v tématu Základy správy na základě rolí.

Microsoft Entra ID

Configuration Manager se integruje s ID Microsoft Entra, aby lokalita a klienti mohli používat moderní ověřování.

Další informace o ID Microsoft Entra najdete v dokumentaci k Microsoft Entra.

Onboarding webu pomocí ID Microsoft Entra podporuje následující Configuration Manager scénáře:

Klientské scénáře

Serverové scénáře

Ověřování poskytovatele serveru SMS

Můžete zadat minimální úroveň ověřování pro přístup správců k Configuration Manager webům. Tato funkce vynucuje, aby se správci přihlásili k Windows s požadovanou úrovní, než získají přístup k Configuration Manager. Vztahuje se na všechny komponenty, které přistupuje k poskytovateli serveru SMS. Například konzola Configuration Manager, metody sady SDK a rutiny Windows PowerShell.

Configuration Manager podporuje následující úrovně ověřování:

Ověřování Systému Windows: Vyžaduje ověření pomocí přihlašovacích údajů domény služby Active Directory. Toto nastavení představuje předchozí chování a aktuální výchozí nastavení.
Ověřování certifikátu: Vyžaduje ověření pomocí platného certifikátu vydaného důvěryhodnou certifikační autoritou PKI. Tento certifikát nenakonfigurujete v Configuration Manager. Configuration Manager vyžaduje, aby byl správce přihlášený k Windows pomocí infrastruktury veřejných klíčů.
Windows Hello pro firmy ověřování: Vyžaduje ověření pomocí silného dvojúrovňového ověřování, které je svázané se zařízením a používá biometriku nebo PIN kód. Další informace najdete v tématu Windows Hello pro firmy.

Důležité

Když vyberete toto nastavení, poskytovatel serveru SMS a služba pro správu vyžadují, aby ověřovací token uživatele obsahoval deklaraci vícefaktorového ověřování (MFA) z Windows Hello pro firmy. Jinými slovy, uživatel konzoly, sady SDK, PowerShellu nebo služby pro správu se musí ověřit ve Windows pomocí Windows Hello pro firmy PIN nebo biometriky. V opačném případě web odmítne akci uživatele.

Toto chování je pro Windows Hello pro firmy, ne pro Windows Hello.

Další informace o konfiguraci tohoto nastavení najdete v tématu Konfigurace ověřování poskytovatele serveru SMS.