A Configuration Manager biztonságának alapjai
A következőre vonatkozik: Configuration Manager (aktuális ág)
Ez a cikk az Configuration Manager környezet alábbi alapvető biztonsági összetevőit foglalja össze:
- Biztonsági rétegek
- Szerepköralapú felügyelet
- Ügyfélvégpontok biztonságossá tétele
- fiókok és csoportok Configuration Manager
- Adatvédelem
Biztonsági rétegek
A Configuration Manager biztonsága a következő rétegekből áll:
- Windows operációs rendszer és hálózati biztonság
- Hálózati infrastruktúra: tűzfalak, behatolásészlelés, nyilvános kulcsú infrastruktúra (PKI)
- Configuration Manager biztonsági vezérlők
- SMS-szolgáltató
- Helyadatbázis engedélyei
Windows operációs rendszer és hálózati biztonság
Az első réteget a Windows biztonsági funkciói biztosítják mind az operációs rendszerhez, mind a hálózathoz. Ez a réteg a következő összetevőket tartalmazza:
Fájlmegosztás a fájlok Configuration Manager összetevők közötti átviteléhez.
Access Control listákat (ACL-eket) a fájlok és beállításkulcsok biztonságossá tételéhez.
Internet Protocol Security (IPsec) a kommunikáció biztonságossá tételéhez.
Csoportházirend a biztonsági szabályzat beállításához.
Elosztott összetevő-objektummodell (DCOM) engedélyek elosztott alkalmazásokhoz, például a Configuration Manager konzolhoz.
Active Directory tartományi szolgáltatások a rendszerbiztonsági tagok tárolására.
A Windows-fiók biztonsága, beleértve néhány csoportot, amelyeket Configuration Manager a telepítés során.
Hálózati infrastruktúra
A hálózati biztonsági összetevők, például a tűzfalak és a behatolásészlelés segítenek védelmet nyújtani a teljes környezet számára. Az iparági szabványnak megfelelő nyilvános kulcsú infrastruktúra (PKI) implementációi által kibocsátott tanúsítványok segítenek a hitelesítésben, az aláírásban és a titkosításban.
Configuration Manager biztonsági vezérlők
Alapértelmezés szerint csak a helyi rendszergazdák rendelkeznek jogosultságokkal az Configuration Manager-konzol által igényelt fájlokhoz és beállításkulcsokhoz azon számítógépeken, amelyeken telepíti azt.
SMS-szolgáltató
A következő biztonsági réteg az SMS-szolgáltatóhoz való hozzáférésen alapul. Az SMS-szolgáltató egy Configuration Manager összetevő, amely hozzáférést biztosít a felhasználónak a helyadatbázis adatainak lekérdezéséhez. Az SMS-szolgáltató elsősorban a Windows Management Instrumentation (WMI) segítségével teszi elérhetővé a hozzáférést, de egy REST API-t is, amelyet felügyeleti szolgáltatásnak hívnak.
Alapértelmezés szerint a szolgáltatóhoz való hozzáférés a helyi SMS-rendszergazdák csoport tagjaira korlátozódik . Ez a csoport először csak az Configuration Manager telepített felhasználót tartalmazza. Ha más fiókok számára szeretne engedélyt adni a Common Information Model (CIM) adattárhoz és az SMS-szolgáltatóhoz, adja hozzá a többi fiókot az SMS-rendszergazdák csoporthoz.
Megadhatja, hogy a rendszergazdák milyen minimális hitelesítési szintet férjenek hozzá Configuration Manager webhelyekhez. Ez a funkció arra kényszeríti a rendszergazdákat, hogy a szükséges szinttel jelentkezzenek be a Windowsba. További információ: Plan for the SMS Provider (Az SMS-szolgáltató megtervezése).
Helyadatbázis engedélyei
Az utolsó biztonsági réteg a helyadatbázis objektumaira vonatkozó engedélyeken alapul. Alapértelmezés szerint a helyi rendszerfiók és az Configuration Manager telepítéséhez használt felhasználói fiók felügyelheti a helyadatbázis összes objektumát. Engedélyek megadása és korlátozása a Configuration Manager konzolon lévő többi rendszergazda felhasználó számára szerepköralapú felügyelet használatával.
Szerepköralapú felügyelet
Configuration Manager szerepköralapú felügyeletet használ az objektumok, például gyűjtemények, üzemelő példányok és helyek biztonságossá tételéhez. Ez a felügyeleti modell központilag határozza meg és kezeli az összes hely és helybeállítás hierarchiaszintű biztonsági hozzáférési beállításait.
A rendszergazda biztonsági szerepköröket rendel a rendszergazdai felhasználókhoz és csoportengedélyekhez. Az engedélyek különböző Configuration Manager objektumtípusokhoz kapcsolódnak, például az ügyfélbeállítások létrehozásához vagy módosításához.
A biztonsági hatókörök olyan objektumok adott példányait foglalják magukban, amelyeket a rendszergazda felhasználó felügyel. Például egy olyan alkalmazás, amely telepíti a Configuration Manager-konzolt.
A biztonsági szerepkörök, a biztonsági hatókörök és a gyűjtemények kombinációja határozza meg azokat az objektumokat, amelyeket a rendszergazda felhasználó megtekinthet és kezelhet. Configuration Manager telepít néhány alapértelmezett biztonsági szerepkört a tipikus felügyeleti feladatokhoz. Saját biztonsági szerepkörök létrehozása az adott üzleti követelmények támogatásához.
További információ: A szerepköralapú felügyelet alapjai.
Ügyfélvégpontok biztonságossá tétele
Configuration Manager önaláírt vagy PKI-tanúsítványok vagy Microsoft Entra jogkivonatok használatával biztosítja az ügyfelek és a helyrendszerszerepkörök közötti kommunikációt. Egyes esetekben PKI-tanúsítványok használatára van szükség. Ilyen például az internetalapú ügyfélfelügyelet és a mobileszköz-ügyfelek esetében.
Konfigurálhatja azokat a helyrendszerszerepköröket, amelyekhez az ügyfelek HTTPS- vagy HTTP-ügyfélkommunikációhoz csatlakoznak. Az ügyfélszámítógépek mindig az elérhető legbiztonságosabb módszerrel kommunikálnak. Az ügyfélszámítógépek csak akkor kerülnek vissza a kevésbé biztonságos kommunikációs módszer használatára, ha olyan helyrendszerszerepkörökkel rendelkezik, amelyek lehetővé teszik a HTTP-kommunikációt.
Fontos
A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.
További információ: Plan for security (Biztonsági terv).
fiókok és csoportok Configuration Manager
Configuration Manager a helyi rendszerfiókot használja a legtöbb helyművelethez. Egyes helyműveletek lehetővé teszik egy szolgáltatásfiók használatát a helykiszolgáló tartományi számítógépfiókjának használata helyett. Egyes felügyeleti feladatokhoz szükség lehet más fiókok létrehozására és karbantartására. Például a tartományhoz való csatlakozáshoz az operációs rendszer központi telepítésének feladatütemezése során.
Configuration Manager több alapértelmezett csoportot és SQL Server szerepkört hoz létre a telepítés során. Előfordulhat, hogy manuálisan kell hozzáadnia a számítógép- vagy felhasználói fiókokat az alapértelmezett csoportokhoz és SQL Server szerepkörökhöz.
További információ: A Configuration Manager használt fiókok.
Adatvédelem
A Configuration Manager megvalósítása előtt vegye figyelembe az adatvédelmi követelményeit. Bár a nagyvállalati felügyeleti termékek számos előnnyel járnak, mivel sok ügyfelet képesek hatékonyan kezelni, ez a szoftver hatással lehet a szervezet felhasználóinak adatvédelmére. Configuration Manager számos eszközt tartalmaz az adatok gyűjtésére és az eszközök figyelésére. Egyes eszközök adatvédelmi aggályokat vethetnek fel a szervezetben.
Az Configuration Manager-ügyfél telepítésekor például alapértelmezés szerint számos felügyeleti beállítást engedélyez. Ez a konfiguráció azt eredményezi, hogy az ügyfélszoftver adatokat küld a Configuration Manager helyre. A hely az ügyféladatokat a helyadatbázisban tárolja. Az ügyféladatokat a rendszer nem küldi el közvetlenül a Microsoftnak. További információ: Diagnosztikai és használati adatok.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: