Az ügyfelek biztonsága és adatvédelme a System Center Configuration ManagerbenSecurity and privacy for clients in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a cikk tartalmazza, biztonsági és adatvédelmi tudnivalók a System Center Configuration Manager-ügyfelek és az Exchange Server-összekötő által felügyelt mobileszközök esetén:This article contains security and privacy information for clients in System Center Configuration Manager and for mobile devices that are managed by the Exchange Server connector:

Ajánlott biztonsági eljárások ügyfelekhezSecurity best practices for clients

Amikor a Configuration Manager fogad adatokat a Configuration Manager-ügyfelet futtató eszközökről, ez azzal a kockázattal jár, hogy az ügyfelek megtámadhatják a helyet.When Configuration Manager accepts data from devices that run the Configuration Manager client, this introduces the risk that the clients could attack the site. például nem megfelelően formázott leltárat küldhetnek, vagy megkísérelhetik túlterhelni a helyrendszereket.For example, they could send malformed inventory, or attempt to overload the site systems. A Configuration Manager-ügyfelet csak megbízható eszközökre telepítse.Deploy the Configuration Manager client only to devices that you trust. Emellett az alábbi ajánlott biztonsági eljárásokkal erősítheti a hely védelmét a rosszindulatú vagy veszélyeztetett biztonságú eszközökkel szemben:In addition, use the following security best practices to help protect the site from rogue or compromised devices:

Használjon nyilvános kulcsokra épülő infrastruktúra (PKI) tanúsítványokat az IIS-t futtató helyrendszerek ügyfél-kommunikáció.Use public key infrastructure (PKI) certificates for client communications with site systems that run IIS.

  • A hely tulajdonságainál a Helyrendszer beállításai elemet állítsa Csak HTTPS értékre.As a site property, configure Site system settings for HTTPS only.

  • A /UsePKICert CCMSetup-tulajdonsággal telepítse az ügyfeleketInstall clients with the /UsePKICert CCMSetup property

  • Használja a visszavont tanúsítványok listáját (CRL), és ügyeljen arra, hogy a lista mindig elérhető legyen az ügyfelek és a kommunikáló kiszolgálók számára.Use a certificate revocation list (CRL) and make sure that clients and communicating servers can always access it.

    Ezek a tanúsítványok a mobileszközügyfelekhez és az interneten keresztül csatlakozó ügyfélszámítógépekhez szükségesek, és használatuk a terjesztési pontok kivételével az intraneten folytatott minden ügyfél-kommunikációhoz ajánlott.These certificates are required for mobile device clients and for client computer connections on the Internet, and, with the exception of distribution points, are recommended for all client connections on the intranet.

    További információ a PKI-tanúsítványának követelményeiről és azok használata a Configuration Manager védelme érdekében: PKI-tanúsítványkövetelmények a System Center Configuration Manager.For more information about the PKI certificate requirements and how they are used to help protect Configuration Manager, see PKI certificate requirements for System Center Configuration Manager.

    Automatikusan hagyja jóvá a megbízható tartományból csatlakozó ügyfélszámítógépeket és manuálisan ellenőrizze és hagyja jóvá a többi számítógépetAutomatically approve client computers from trusted domains and manually check and approve other computers

    A hierarchiában beállíthat manuális jóváhagyást, a megbízható tartományba tartozó számítógépek automatikus jóváhagyását, illetve az összes számítógép automatikus jóváhagyását.You can configure approval for the hierarchy as manual, automatic for computers in trusted domains, or automatic for all computers. A legbiztonságosabb jóváhagyási módszer a megbízható tartományba tartozó ügyfelek automatikus jóváhagyása, majd az összes többi számítógép manuális ellenőrzése és jóváhagyása.The most secure approval method is to automatically approve clients that are members of trusted domains, and then manually check and approve all other computers. Az összes ügyfél automatikus jóváhagyása csak abban az esetben ajánlott, ha más hozzáférés-szabályozási funkciókat használ annak megakadályozására, hogy a nem megbízható számítógépek hozzáférjenek a hálózathoz.Automatically approving all clients is not recommended unless you have other access controls to prevent untrustworthy computers from accessing your network.

    Jóváhagyással azonosíthatja azokat a felügyelendő a Configuration Manager PKI-alapú hitelesítés használatakor nem megbízható számítógép.Approval identifies a computer that you trust to be managed by Configuration Manager when you cannot use PKI authentication.

    További információ a számítógépek manuális jóváhagyásáról: Ügyfelek kezelése az Eszközök csomópontból.For more information about how to manually approve computers, see Manage Clients from the Devices Node.

    Ne használja a akadályozza az ügyfelek hozzáférését a Configuration Manager-hierarchiaDo not rely on blocking to prevent clients from accessing the Configuration Manager hierarchy

    Blokkolt ügyfeleket a Configuration Manager-infrastruktúra visszautasítja, hogy azok nem kommunikálhatnak helyrendszerek tölthetnek le házirendeket, tölthet fel leltári adatokat vagy küldhetnek állapotinformációkat vagy -üzeneteket.Blocked clients are rejected by the Configuration Manager infrastructure so that they cannot communicate with site systems to download policy, upload inventory data, or send state or status messages. Azonban ne használja a Configuration Manager-hierarchia védje a nem megbízható számítógépekkel, amikor a helyrendszerek fogadják a HTTP-ügyfélkapcsolatokat.However, do not rely on blocking to protect the Configuration Manager hierarchy from untrusted computers when site systems accept HTTP client connections. Ebben az esetben ugyanis a blokkolt ügyfelek egy új önaláírt tanúsítvánnyal és új hardverazonosítóval újracsatlakozhatnak a helyhez.In this scenario, a blocked client could re-join the site with a new self-signed certificate and hardware ID. A blokkolás az elveszett vagy sérült biztonságú rendszerindító adathordozók letiltására szolgál olyan esetekben, amikor központilag telepít operációs rendszert ügyfelekre, és az összes helyrendszer fogadja a HTTPS-ügyfélkapcsolatokat.Blocking is designed to be used to block lost or compromised boot media when you deploy an operating system to clients and when all site systems accept HTTPS client connections. Amennyiben olyan nyilvános kulcsú infrastruktúrát (PKI) használ, amely támogatja a visszavont tanúsítványok listáját (CRL), érdemes a tanúsítványok visszavonását használnia elsődleges védelmi vonalként a potenciálisan veszélyeztetett tanúsítványokkal szemben.If you use a public key infrastructure (PKI) and it supports a certificate revocation list (CRL), always consider certificate revocation to be the primary line of defense against potentially compromised certificates. A Configuration Manager ügyfelek blokkolása másodlagos védelmi vonalként szolgálhat-hierarchia védelmére.Blocking clients in Configuration Manager offers a second line of defense to protect your hierarchy.

    További információ: Annak meghatározása, hogy szükséges-e az ügyfelek blokkolása a System Center Configuration Managerben.For more information, see Determine whether to block clients in System Center Configuration Manager.

    Ez a legbiztonságosabb ügyfél-telepítési módszer, amelyek a környezetnek gyakorlati használata:Use the most secure client installation methods that are practical for your environment:

  • Tartományi számítógépek esetén a csoportházirendre, illetve a szoftverfrissítésre alapuló ügyfél-telepítési módszerek biztonságosabb megoldást nyújtanak az ügyfélleküldéses telepítésnél.For domain computers, Group Policy client installation and software update-based client installation methods are more secure than client push installation.

  • A lemezképkészítés és a manuális telepítés a megfelelő hozzáférés-szabályozási és változáskezelési intézkedések használata esetén rendkívül biztonságos megoldást nyújthat.Imaging and manual installation can be very secure if you apply access controls and change controls.

    Az ügyfélleküldéses telepítés a számos függőségi viszony – például a helyi rendszergazdai engedélyek, az Admin$-megosztás és a számos tűzfalkivétel – miatt az összes ügyfél-telepítési módszer közül a legkevésbé biztonságos.Of all the client installation methods, client push installation is the least secure because of the many dependencies it has, which includes local administrative permissions, the Admin$ share, and many firewall exceptions. Ezek a függőségi viszonyok növelik a támadási felületet.These dependencies increase your attack surface.

    További információ a különböző ügyféltelepítési módszerekről: Ügyféltelepítési módszerek a Configuration Managerben.For more information about the different client installation methods, see Client installation methods in System Center Configuration Manager.

    Emellett ahol csak lehetséges, egy ügyfél telepítési módszert válasszon, amelyhez a legalacsonyabb biztonsági engedélyek szükségesek a Configuration Managerben, és korlátozza az olyan, amely tartalmazza az engedélyeket, hiszen olyan célokra is ügyféltelepítés használható biztonsági szerepkörökhöz rendelt rendszergazdai felhasználók számát.In addition, wherever possible, select a client installation method that requires the least security permissions in Configuration Manager, and restrict the administrative users that are assigned security roles that include permissions that can be used for purposes other than client deployment. Az automatikus ügyfélfrissítéshez például Teljes körű rendszergazda biztonsági szerepkör szükséges, amely minden biztonsági engedélyt megad a rendszergazdának.For example, automatic client upgrade requires the Full Administrator security role, which grants an administrative user all security permissions.

    A függőségek és az egyes ügyféltelepítési módszerek szükséges biztonsági engedélyekkel kapcsolatos további információkért lásd "A telepítési módszer függőségei" a a számítógépes ügyfelek előfeltételei.For more information about the dependencies and security permissions required for each client installation method, see "Installation Method Dependencies" in Prerequisites for Computer Clients.

    Ha ügyfélleküldéses telepítést kell használnia, további lépésekkel biztonságos az Ügyfélleküldéses telepítési fiókIf you must use client push installation, take additional steps to secure the Client Push Installation Account

    Bár ennek a fióknak a helyi tagjának kell lennie rendszergazdák csoportba az minden olyan számítógépen, a Configuration Manager ügyfélszoftvert, semmiképpen ne vegye fel az Ügyfélleküldéses telepítési fiókot a Tartománygazdák csoport.Although this account must be a member of the local Administrators group on each computer that will install the Configuration Manager client software, never add the Client Push Installation Account to the Domain Admins group. Ehelyett hozzon létre egy globális csoportot, és vegye fel azt a helyi Rendszergazdák csoportba az ügyfélszámítógépeken.Instead, create a global group and add that global group to the local Administrators group on your client computers. Ezen felül olyan csoportházirend-objektumot is létrehozhat, amellyel egy „Korlátozott csoport”-beállítással hozzáadhatja az ügyfélleküldéses telepítési fiókot a helyi Rendszergazdák csoporthoz.You can also create a Group Policy object to add a Restricted Group setting to add the Client Push Installation Account to the local Administrators group.

    A biztonság további erősítése érdekében több ügyfélleküldéses telepítési fiókot is létrehozhat, amelyek mind korlátozott számú számítógéphez rendelkezhetnek rendszergazdai hozzáféréssel, így ha az egyik fiók biztonsága sérül, csak az adott fiók által elérhető ügyfélszámítógépek kerülnek veszélybe.For additional security, create multiple Client Push Installation Accounts, each with administrative access to a limited number of computers so that if one account is compromised, only the client computers to which that account has access are compromised.

    Távolítsa el az ügyfélszámítógépekről lemezképet készítene előttRemove certificates prior to imaging client computer

    Ha lemezkép-készítési technológiával szeretne központi ügyféltelepítést végezni, a lemezkép rögzítése előtt mindig távolítsa el az ügyféloldali hitelesítő adatokat tartalmazó (például PKI-) és az önaláírt tanúsítványokat.If you plan to deploy clients by using imaging technology, always remove certificates such as PKI certificates that include client authentication and self-signed certificates prior to capturing the image. Ha nem távolítja el ezeket, az ügyfelek megszemélyesíthetik egymást, így az egyes ügyfelekhez tartozó adatok ellenőrzése lehetetlenné válik.If you do not remove these certificates, clients might impersonate each other and you would not be able to verify the data for each client.

    A Windows központi telepítési dokumentációjában részletesebb tájékoztatást olvashat a Sysprep eszköz használatáról a számítógépek előkészítésére lemezképkészítés előtt.For more information about using Sysprep to prepare a computer for imaging, see your Windows deployment documentation..

    Győződjön meg arról, hogy a a Configuration Manager ügyfélszámítógépei hiteles példányt kapjanak a tanúsítványok beolvasása:Ensure that the Configuration Manager computer clients get an authorized copy of these certificates:

  • A Configuration Manager megbízható legfelső szintű kulcsThe Configuration Manager trusted root key

    Ha nem lett kibővítve az Active Directory-sémát a Configuration Manager számára, és az ügyfelek nem használnak PKI-tanúsítványok felügyeleti pontokkal való kommunikáció során, az ügyfelek támaszkodjon a Configuration Manager megbízható legfelső szintű kulcsát használják az érvényes felügyeleti pontok hitelesítéséhez.If you have not extended the Active Directory schema for Configuration Manager, and clients do not use PKI certificates when they communicate with management points, clients rely on the Configuration Manager trusted root key to authenticate valid management points. Ebben a helyzetben az ügyfelek egyedül a megbízható legfelső szintű kulcs használatával ellenőrizhetik, hogy a felügyeleti pont megbízható-e a hierarchia számára.In this scenario, clients have no way to verify that the management point is a trusted management point for the hierarchy unless they use the trusted root key. A megbízható legfelső szintű kulcs nélkül a gyakorlott támadók rosszindulatú felügyeleti ponthoz irányíthatják az ügyfeleket.Without the trusted root key, a skilled attacker could direct clients to a rogue management point.

    Ha az ügyfelek nem tudják letölteni a Configuration Manager megbízható legfelső szintű kulcsot, a globális katalógusból vagy PKI-tanúsítványok használatával, előre adja meg az ügyfeleknek a megbízható legfelső szintű kulcsot, győződjön meg arról, hogy nem irányíthatják őket rosszindulatú felügyeleti ponthoz.When clients cannot download the Configuration Manager trusted root key from the Global Catalog or by using PKI certificates, pre-provision the clients with the trusted root key to make sure that they cannot be directed to a rogue management point. További információ: A megbízható legfelső szintű kulcs tervezése.For more information, see Planning for the Trusted Root Key.

  • A helykiszolgáló aláíró tanúsítványábólThe site server signing certificate

    Az ügyfelek a helykiszolgáló aláíró tanúsítványával ellenőrizhetik, hogy a helykiszolgáló aláírta-e a felügyeleti pontról letöltött ügyfélházirendet.Clients use the site server signing certificate to verify that the site server signed the client policy that they download from a management point. A tanúsítványt a helykiszolgáló maga írja alá és teszi közzé az Active Directory tartományi szolgáltatásokban.This certificate is self-signed by the site server and published to Active Directory Domain Services.

    Ha az ügyfelek nem tudják letölteni a helykiszolgáló aláíró tanúsítványát a globális katalógusból, alapértelmezés szerint a felügyeleti pontról fogják azt letölteni.When clients cannot download the site server signing certificate from the Global Catalog, by default they download it from the management point. Ha a felügyeleti pont nem megbízható hálózathoz kapcsolódik (például az internethez), manuálisan telepítse a helykiszolgáló aláíró tanúsítványát az ügyfeleken, így gondoskodhat arról, hogy az ügyfelek nem futtathatnak illetéktelenül módosított ügyfélházirendeket veszélyeztetett biztonságú felügyeleti pontokról.When the management point is exposed to an untrusted network (such as the Internet), manually install the site server signing certificate on clients to make sure that they cannot run client policies that have been tampered with from a compromised management point.

    A helykiszolgáló aláíró tanúsítványának manuális telepítéséhez használja a CCMSetup eszköz SMSSIGNCERT client.msi-tulajdonságát.To manually install the site server signing certificate, use the CCMSetup client.msi property SMSSIGNCERT. További információ: Tudnivalók a System Center Configuration Manager ügyféltelepítési tulajdonságairól.For more information, see About client installation properties in System Center Configuration Manager.

    Ne használjon automatikus helyhozzárendelést, ha az ügyfél fogja letölteni a megbízható legfelső szintű kulcsot az első felügyeleti pontról, amelyhez csatlakozikDo not use automatic site assignment if the client will download the trusted root key from the first management point it contacts

    Ez az ajánlott biztonsági eljárás az előző bejegyzéshez kapcsolható.This security best practice is linked to the preceding entry. Annak elkerülése érdekében, hogy egy új ügyfél rosszindulatú felügyeleti pontról töltse le a megbízható legfelső szintű kulcsot, kizárólag a következő helyzetekben használjon automatikus helyhozzárendelést:To avoid the risk of a new client downloading the trusted root key from a rogue management point, use automatic site assignment in the following scenarios only:

  • Az ügyfél hozzáférhet az Active Directory tartományi szolgáltatásokban közzétett helyinformációkat Configuration Manager.The client can access Configuration Manager site information that is published to Active Directory Domain Services.

  • Ha előre ellátja az ügyfelet a megbízható legfelső szintű kulccsal.You pre-provision the client with the trusted root key.

  • Ha PKI-tanúsítványokat használ egy vállalati hitelesítésszolgáltatótól ahhoz, hogy megbízhatósági kapcsolatot létesítsen az ügyfél és a felügyeleti pont között.You use PKI certificates from an enterprise certification authority to establish trust between the client and the management point.

    További információ a megbízható legfelső szintű kulcsról: A megbízható legfelső szintű kulcs tervezése.For more information about the trusted root key, see Planning for the Trusted Root Key.

    Ügyfélszámítógépek telepítse a CCMSetup Client.msi beállítással SMSDIRECTORYLOOKUP = NoWINSInstall client computers with the CCMSetup Client.msi option SMSDIRECTORYLOOKUP=NoWINS

    Az Active Directory Domain Services biztosítja az ügyfeleknek a legbiztonságosabb szolgáltatás-helymeghatározási módszert a helyek és felügyeleti pontok megtalálására.The most secure service location method for clients to find sites and management points is to use Active Directory Domain Services. Ha ez nem lehetséges, például az Active Directory-sémája nem bővíthető a Configuration Manager, vagy mert az ügyfelek nem megbízható erdőben vagy munkacsoportban, akár is használhatja a DNS-közzététel egy alternatív szolgáltatás-helymeghatározó módszert.If this is not possible, for example, because you cannot extend the Active Directory schema for Configuration Manager, or because clients are in an untrusted forest or a workgroup, you can use DNS publishing as an alternative service location method. Ha a fentiek közül egyik módszer sem működik, az ügyfelek visszatérhetnek a WINS használatára, ha a felügyeleti pont nincs beállítva a HTTPS-ügyfélkapcsolatok kezelésére.If both these methods fail, clients can fall back to using WINS when the management point is not configured for HTTPS client connections.

    Mivel a WINS-közzététel a többi közzétételi módszernél kevésbé biztonságos, az „SMSDIRECTORYLOOKUP=NoWINS” beállítással gondoskodjon arról, hogy az ügyfélszámítógépek ne térjenek vissza a WINS használatára.Because publishing to WINS is less secure than the other publishing methods, configure client computers to not fall back to using WINS by specifying SMSDIRECTORYLOOKUP=NoWINS. Ha a WINS szolgáltatás helyének kell használnia, az SMSDIRECTORYLOOKUP = winssecure konfigurációs BEÁLLÍTÁSSAL (az alapértelmezett beállítás), amely a Configuration Manager megbízható legfelső szintű kulcs segítségével ellenőrzi a felügyeleti pont önaláírt tanúsítványát.If you must use WINS for service location, use SMSDIRECTORYLOOKUP=WINSSECURE (the default setting), which uses the Configuration Manager trusted root key to validate the self-signed certificate of the management point.

Megjegyzés

Ha az ügyfél az SMSDIRECTORYLOOKUP = winssecure konfigurációs BEÁLLÍTÁSSAL, és talál egy felügyeleti pontot a WINS SZOLGÁLTATÁSBÓL, az ügyfél ellenőrzi a Configuration Manager megbízható legfelső szintű kulcsát a WMI-ben példányát.When the client is configured for SMSDIRECTORYLOOKUP=WINSSECURE and finds a management point from WINS, the client checks its copy of the Configuration Manager trusted root key that is in WMI. Az a felügyeleti pont tanúsítványának aláírása megfelel a megbízható legfelső szintű kulcs példányának az ügyfélen, ha a rendszer érvényesíti a tanúsítványt, és az ügyfél a WINS segítségével talált felügyeleti ponttal kommunikál.If the signature on the management point certificate matches the client's copy of the trusted root key, the certificate is validated, and the client communicates with the management point that it found by using WINS. A felügyeleti pont tanúsítványának aláírása nem egyezik meg a megbízható legfelső szintű kulcs példányának az ügyfélen, ha a tanúsítvány érvénytelen, és az ügyfél nem fog kommunikálni a WINS segítségével talált felügyeleti ponttal.If the signature on the management point certificate does not match the client's copy of the trusted root key, the certificate is not valid and the client will not communicate with the management point that it found by using WINS.

Győződjön meg arról, hogy a karbantartási időszakok kellőképpen hosszúak legyenek a kritikus szoftverfrissítések telepítéséreMake sure that maintenance windows are large enough to deploy critical software updates

Eszközgyűjtemények, amelyekkel korlátozható az, hogy a Configuration Manager mikor telepíthet szoftvereket az ezeknek az eszközöknek karbantartási időszakokat állíthat be.You can configure maintenance windows for device collections to restrict the times that Configuration Manager can install software on these devices. Túl rövid karbantartási időszak konfigurálása esetén előfordulhat, hogy az ügyfél nem tudja telepíteni a kritikus szoftverfrissítéseket, így védtelen marad azokkal a támadásokkal szemben, amelyek elhárítására az érintett frissítések hivatottak.If you configure the maintenance window to be too small, the client might not be able to install critical software updates, which leaves the client vulnerable to the attack that is mitigated by the software update.

A Windows embedded-eszközökön, amelyeken írási szűrők, további biztonsági intézkedésekre van csökkenteni a támadási felületet, ha a Configuration Manager letiltja az írási szűrőket a szoftvertelepítések és-módosítások végrehajtásáhozFor Windows embedded devices that have write filters, take additional security precautions to reduce the attack surface if Configuration Manager disables the write filters to persist software installations and changes

Ha az írási szűrők engedélyezve vannak a Windows Embedded-eszközön, a szoftvertelepítések és -módosítások kizárólag az átmeneti területet fogják érinteni, és a készülék újraindításával elvesznek.When write filters are enabled on Windows Embedded devices, any software installations or changes are made to the overlay only and do not persist after the device restarts. Ha a Configuration Manager segítségével átmenetileg letiltja az írási szűrőket a szoftvertelepítések és -módosítások, ebben az időszakban, az embedded-eszköz téve az összes kötet, beleértve a megosztott mappákat is.If you use Configuration Manager to temporarily disable the write filters to persist software installations and changes, during this period, the embedded device is vulnerable to changes to all volumes, which includes shared folders.

Bár a Configuration Manager a a számítógép erre az időre zárolja, így csak a helyi rendszergazdák jelentkezhetnek, ha lehetséges, további biztonsági intézkedésekkel erősítse a számítógép védelmét.Although Configuration Manager locks the computer during this period so that only local administrators can log on, whenever possible, take additional security precautions to help protect the computer. például engedélyezzen további korlátozásokat a tűzfalon, vagy válassza le az eszközt a hálózatról.For example, enable additional restrictions on the firewall and disconnect the device from the network.

Ha karbantartási időszakokat használ a tartós módosítások végrehajtására, körültekintően tervezze meg az ütemezést úgy, hogy az írási szűrők minél rövidebb ideig legyenek letiltva, de elegendő ideig ahhoz, hogy a szoftvertelepítések és -újraindítások befejeződhessenek.If you use maintenance windows to persist changes, plan these windows carefully to minimize the time that write filters might be disabled but long enough to allow software installations and restarts to complete.

Ha szoftverfrissítés-alapú ügyféltelepítést használ, és az ügyfél egy későbbi verzióját telepíti a helyen, frissítse az, hogy az ügyfélre a legújabb verzió jusson a szoftverfrissítési ponton közzétett szoftverfrissítéstIf you use software update-based client installation and install a later version of the client on the site, update the software update that is published on the software update point so that clients receive the latest version

Ha az ügyfél egy későbbi verziót telepíti a helyre – például a hely frissítése esetén –, a rendszer nem frissíti automatikusan a szoftverfrissítési ponton közzétett szoftverfrissítést, amely az ügyfél központi telepítésére szolgál.If you install a later version of the client on the site, for example, you upgrade the site, the software update for client deployment that is published to the software update point is not automatically updated. Újra tegye közzé a szoftverfrissítési pontot, majd kattintson a Configuration Manager-ügyfél Igen gombra a verziószám frissítéséhez.You must republish the Configuration Manager client to the software update point and click Yes to update the version number.

További információkért lásd: a Configuration Manager-ügyfél közzététele a szoftverfrissítési ponton"" eljárás a Configuration Manager-ügyfelek telepítése által alapú telepítés.For more information, see the procedure "To publish the Configuration Manager client to the software update point" in How to Install Configuration Manager Clients by Using Software Update-Based Installation.

A számítógép ügynök ügyféleszköz-beállítást felfüggeszteni a BitLocker PIN-kód bevitelének újraindítás közben csak a megbízható számítógépek esetében mindig értékre konfigurálja, és, korlátozott fizikai hozzáféréssel rendelkezőConfigure the Computer Agent client device setting Suspend BitLocker PIN entry on restart to be Always only for computers that you trust and that have restricted physical access

Ezt az ügyfélbeállítást beállításakor mindig, a Configuration Manager tudja fejezni a szoftvertelepítést, így biztosítható, hogy a kritikus szoftverfrissítések telepítve vannak-e, és a szolgáltatások folytatódnak.When you set this client setting to Always, Configuration Manager can complete the installation of software to help to ensure that critical software updates are installed and that services are resumed. Ha azonban egy támadó elfogja az újraindítási folyamatot, akkor átveheti a számítógép irányítását.However, if an attacker intercepts the restart process, she could take control of the computer. Csak akkor használja ezt a beállítást, ha megbízik a számítógépben, és ha a számítógéphez való fizikai hozzáférés korlátozott.Use this setting only when you trust the computer and when physical access to the computer is restricted. Ez a beállítás megfelelő lehet például egy adatközpont kiszolgálói számára.As an example, this setting might be appropriate for servers in a data center.

Ne konfigurálja a Számítógépügynök ügyfél Eszközbeállítás PowerShell végrehajtási házirend áteresztő értékre.Do not configure the Computer Agent client device setting PowerShell execution policy to be Bypass.

Ez az ügyfélbeállítás engedélyezi a Configuration Manager-ügyfél számára aláíratlan PowerShell-parancsfájlok futtathatók, ami lehetővé teheti kártevő szoftverek futtatását az ügyfélszámítógépeken.This client setting allows the Configuration Manager client to run unsigned PowerShell scripts, which could allow malware to run on client computers. Ha mindenképp ezt a beállítást kell megadnia, használjon egyéni ügyfélbeállítást, és csak azokhoz az ügyfélszámítógépekhez rendelje hozzá, amelyeken szükséges az aláíratlan PowerShell-parancsfájlok futtatása.If you must select this option, use a custom client setting and assign it to only the client computers that must run unsigned PowerShell scripts.

Ajánlott biztonsági eljárások mobileszközökhözSecurity best practices for mobile devices

Mobileszközök regisztrálása a Configuration Managerrel, és az interneten támogatja: Telepítse a beléptetési proxypontot egy peremhálózatra, a beléptetési pontot pedig az intranetreFor mobile devices that you enroll with Configuration Manager and will supported on the Internet: Install the enrollment proxy point in a perimeter network and the enrollment point in the intranet

A szerepkörök ilyen elválasztása hozzájárul a beléptetési pont támadások elleni védelméhez.This role separation helps to protect the enrollment point from attack. Ha a beléptetési pont biztonsága sérül, a támadó megszerezhet hitelesítési tanúsítványokat és ellophatja azon felhasználók hitelesítési adatait, akik beléptetik mobileszközeiket.If the enrollment point is compromised, an attacker could obtain certificates for authentication and steal the credentials of users who enroll their mobile devices.

Mobileszközök esetén: Konfigurálja a jelszóbeállításokat a mobileszközök illetéktelen hozzáférés elleni segítségévelFor mobile devices: Configure the password settings to help protect mobile devices from unauthorized access

A Configuration Manager által beléptetett mobileszközök: A mobileszköz konfigurációelemének segítségével konfigurálja a jelszó erősségét a PIN-kódot, és legalább az alapértelmezett hosszt a minimális jelszóhosszhoz.For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the password complexity to be the PIN and at least the default length for the minimum password length.

Mobil eszközök, amelyeken nincs telepítve a Configuration Manager-ügyfél, azonban a Exchange Server-összekötő által kezelt: Konfigurálja a jelszóbeállítások az Exchange Server-összekötőhöz, hogy a jelszó erősségét a PIN-kód, és adjon meg legalább az alapértelmezett hosszt a minimális jelszóhosszhoz.For mobile devices that do not have the Configuration Manager client installed but that are managed by the Exchange Server connector: Configure the Password Settings for the Exchange Server connector such that the password complexity is the PIN and specify at least the default length for the minimum password length.

Mobileszközök esetén: Így az alkalmazások futását csak akkor, ha azok cégek írták alá, hogy megbízik, és nem teszik lehetővé aláíratlan fájlok telepítését és az állapotinformációk illetéktelen módosításának megelőzése érdekébenFor mobile devices: Help prevent tampering of inventory information and status information by allowing applications to run only when they are signed by companies that you trust and do not allow unsigned files to be installed

A Configuration Manager által beléptetett további mobileszközök kezeléséhez: A biztonsági beállítások konfigurálása a mobileszköz konfigurációelemének segítségével aláíratlan alkalmazások , tiltott és konfigurálása aláíratlan fájlok telepítése beállítást pedig egy megbízható forrásra.For more mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the security setting Unsigned applications as Prohibited and configure Unsigned file installations to be a trusted source.

Mobil eszközök, amelyeken nincs telepítve a Configuration Manager-ügyfél, azonban a Exchange Server-összekötő által kezelt: Konfigurálja a Alkalmazásbeállítások az Exchange Server-összekötőhöz, hogy aláíratlan fájlok telepítése és aláíratlan alkalmazások értéke, mert tiltott.For mobile devices that do not have the Configuration Manager client installed but that are managed by the Exchange Server connector: Configure the Application Settings for the Exchange Server connector such that Unsigned file installation and Unsigned applications are configured as Prohibited.

Mobileszközök esetén: A mobil eszköz zárolását, amikor a rendszer nem használja jogok kiterjesztéséből adódó támadások megelőzése érdekébenFor mobile devices: Help prevent elevation of privilege attacks by locking the mobile device when it is not used

A Configuration Manager által beléptetett további mobileszközök kezeléséhez: A mobileszköz konfigurációelemének használja a jelszó beállításának konfigurálásához üresjárati idő (percben) mobil eszköz zárolása előtt.For more mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the password setting Idle time in minutes before mobile device is locked.

Mobil eszközök, amelyeken nincs telepítve a Configuration Manager-ügyfél, azonban a Exchange Server-összekötő által kezelt: Konfigurálja a jelszóbeállítások az Exchange Server-összekötő konfigurálása üresjárati idő (percben) mobil eszköz zárolása előtt.For mobile devices that do not have the Configuration Manager client installed but that are managed by the Exchange Server connector: Configure the Password Settings for the Exchange Server connector to configure Idle time in minutes before mobile device is locked.

Mobileszközök esetén: Korlátozza, hogy a felhasználók, akik beléptethetik a mobileszközeiket jogok kiterjesztésének megelőzése érdekében.For mobile devices: Help prevent elevation of privileges by restricting the users who can enroll their mobile devices.

Az alapértelmezettek helyett használjon egyéni ügyfélbeállításokat, amelyek csak a hitelesített felhasználóknak engedélyezik a mobileszközük beléptetését.Use a custom client setting rather than default client settings to allow only authorized users to enroll their mobile devices.

Mobileszközök esetén: Ne telepítsen alkalmazásokat az alábbi esetekben a Configuration Manager vagy a Microsoft Intune által beléptetett mobileszközökkel rendelkező felhasználók számára:For mobile devices: Do not deploy applications to users who have mobile devices enrolled by Configuration Manager or Microsoft Intune in the following scenarios:

  • Ha a mobileszközt többen használják.When the mobile device is used by more than one person.

  • Ha az eszközt egy rendszergazda léptette be egy felhasználó nevében.When the device is enrolled by an administrator on behalf of a user.

  • Ha az eszközt átruházzák egy másik személyre kiléptetés és újbóli beléptetés nélkül.When the device is transferred to another person without retiring and then re-enrolling the device.

    Beléptetés közben létrejön egy felhasználó-eszköz kapcsolat, amely a beléptetést végző felhasználót hozzárendeli a mobileszközhöz.A user device affinity relationship is created during enrollment, which maps the user who performs enrollment to the mobile device. Ha egy másik felhasználó használja a mobileszközt, tudja futtatni az eredeti felhasználó számára központilag telepített alkalmazásokat, ami a jogok kiterjesztésével járhat.If another user uses the mobile device, they will be able to run the applications that you deploy to the original user, which might result in an elevation of privileges. Hasonlóképpen, ha egy rendszergazda belépteti a mobileszközt egy felhasználó számára, akkor a felhasználónak központilag telepített alkalmazások nem települnek a mobileszközre, hanem előfordulhat, hogy helyettük a rendszergazda számára központilag telepített alkalmazások kerülnek rá.Similarly, if an administrator enrolls the mobile device for a user, applications deployed to the user will not be installed on the mobile device and instead, applications that are deployed to the administrator might be installed.

    Ellentétben a Windows rendszerű számítógépek felhasználó-eszköz kapcsolatot, akkor nem lehet manuálisan definiálni a felhasználó-eszköz kapcsolatára vonatkozó Microsoft Intune által beléptetett mobileszközök információkat.Unlike user device affinity for Windows computers, you cannot manually define the user device affinity information for mobile devices that are enrolled by Microsoft Intune.

    Ha az Intune által beléptetett mobileszköz tulajdonjogát, a mobileszköz kivonása az Intune a felhasználó-eszköz kapcsolat eltávolítása, és majd kérje meg az új felhasználót, hogy léptesse be újra az eszközt.If you transfer ownership of a mobile device that is enrolled by Intune, retire the mobile device from Intune to remove the user device affinity, and then ask the current user to enroll the device again.

    Mobileszközök esetén: Győződjön meg arról, hogy a felhasználók a saját mobileszközök regisztrálása a Microsoft IntuneFor mobile devices: Make sure that users enroll their own mobile devices for Microsoft Intune

    Mivel a beléptetést végző felhasználót a mobileszközhöz rendelő felhasználó-eszköz kapcsolat beléptetéskor jön létre, ha egy rendszergazda végzi el a mobileszköz beléptetését a felhasználó helyett, akkor a felhasználó számára központilag telepített alkalmazások nem települnek a mobileszközre, hanem előfordulhat, hogy helyettük a rendszergazda számára központilag telepített alkalmazások kerülnek rá.Because a user device affinity relationship is created during enrollment, which maps the user who performs enrollment to the mobile device, if an administrator enrolls the mobile device for a user, applications deployed to the user will not be installed on the mobile device and instead, applications that are deployed to the administrator might be installed.

    Az Exchange Server-összekötőhöz: Győződjön meg arról, hogy a Configuration Manager helykiszolgálón és az Exchange-kiszolgáló közötti kapcsolat védettFor the Exchange Server connector: Make sure that the connection between the Configuration Manager site server and the Exchange Server computer is protected

    Használjon IPsec-et, ha az Exchange Server helyszíni; a szolgáltatott Exchange automatikusan SSL-t használ a kapcsolat biztonságossá tételére.Use IPsec if the Exchange Server is on-premise; hosted Exchange automatically secures the connection by using SSL.

    Az Exchange Server-összekötőhöz: Használja a legalacsonyabb jogosultságok elvét az összekötőhözFor the Exchange Server connector: Use the principle of least privileges for the connector

    Az Exchange Server-összekötő számára szükséges minimális parancsmagok listáját itt találja: Mobileszközök kezelése a System Center Configuration Manager és az Exchange segítségével.For a list of the minimum cmdlets that the Exchange Server connector requires, see Manage mobile devices with System Center Configuration Manager and Exchange.

Ajánlott biztonsági eljárások Mac számítógépekhezSecurity best practices for Macs

Mac számítógépek esetén: Tárolja, és az ügyfél forrásfájljait hozzáférni a biztonságos helyről.For Mac computers: Store and access the client source files from a secured location.

A Configuration Manager nem ellenőrzi, hogy az ügyfél forrásfájljait módosították mielőtt telepíti vagy belépteti az ügyfelet a Mac számítógépen.Configuration Manager does not verify whether these client source files have been tampered with before installing or enrolling the client on Mac computer. A fájlokat megbízható forrásból töltse le, és a tárolásukat és a hozzáférésüket biztonságosan végezze.Download these files from a trustworthy source and store and access them securely.

Mac számítógépek esetén: Függetlenül a Configuration Manager alkalmazásból, figyeléséhez, és nyomon követéséhez beléptető tanúsítvány érvényességi időszaka a felhasználók számára.For Mac computers: Independently from Configuration Manager, monitor and track the validity period of the certificate that enrolled to users.

Az üzletmenet folytonosságának biztosításához figyelje és kövesse a Mac számítógépekhez használt tanúsítvány érvényességi időtartamát.To ensure business continuity, monitor and track the validity period of the certificates that you use for Mac computers. A Configuration Manager nem támogatja a tanúsítvány automatikus megújítását, és figyelmezteti, hogy a tanúsítvány érvényessége hamarosan lejár.Configuration Manager does not support automatic renewal of this certificate or warn you that the certificate is about to expire. Az érvényesség általában 1 év.A typical validity period is 1 year.

Tudnivalók a tanúsítvány megújításáról: A Mac-ügyfél tanúsítványának manuális megújítása.For information about how to renew the certificate, see Renewing the Mac Client Certificate Manually.

Mac számítógépek esetén: Fontolja meg, hogy a megbízható legfelső szintű Hitelesítésszolgáltatói tanúsítványt úgy, hogy a megbízható az SSL protokollra, a jogok kiterjesztése elleni védelemhez.For Mac computers: Consider configuring the trusted root CA certificate such that it is trusted for the SSL protocol only, to help protect against elevation of privileges.

Ha Mac számítógépeket léptet kezelése a Configuration Manager-ügyfél felhasználói tanúsítvány automatikusan települ, azzal a megbízható legfelső szintű tanúsítvánnyal, amely a felhasználói tanúsítvány láncot alkot, hogy együtt.When you enroll Mac computers, a user certificate to manage the Configuration Manager client is automatically installed, together with the trusted root certificate that the user certificate chains to. Ha a legfelső szintű tanúsítvány megbízhatóságát korlátozni szeretné csak az SSL protokollra, azt az alábbi módon teheti meg.If you want to restrict the trust of this root certificate to the SSL protocol only, you can use the following procedure.

Ez az eljárás befejezése után a legfelső szintű tanúsítvány nem lesz megbízható az SSL - például biztonságos levelezés (S/MIME), bővíthető hitelesítési (EAP) vagy kódaláírás eltérő protokollok érvényesítésére.After you complete this procedure, the root certificate would not be trusted to validate protocols other than SSL - for example, Secure Mail (S/MIME), Extensible Authentication (EAP), or code signing.

Megjegyzés

Is használhatja ezt az eljárást, ha telepítette az ügyféltanúsítvány egymástól függetlenül a Configuration Manager alkalmazásból.You can also use this procedure if you installed the client certificate independently from Configuration Manager.

A legfelső szintű tanúsítvány korlátozása az SSL protokollra:To restrict the root CA certificate to the SSL protocol only:

  1. A Mac számítógépen nyisson meg egy terminálablakot.On the Mac computer, open a terminal window.

  2. Írja be a következő parancsot: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ AccessEnter the command sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. A Keychain Access (Kulcscsomó-hozzáférés) párbeszédpanelen a Keychains (Kulcscsomók) szakaszban kattintson a System (Rendszer) elemre, majd a Category (Kategória) szakaszban a Certificates (Tanúsítványok) lehetőségre.In the Keychain Access dialog box, in the Keychains section, click System, and then, in the Category section, click Certificates.

  4. Keresse meg a legfelső szintű hitelesítésszolgáltatói tanúsítványt a Mac ügyféltanúsítványhoz, és kattintson rá duplán.Locate and then double-click the root CA certificate for the Mac client certificate.

  5. A legfelső szintű hitelesítésszolgáltatói tanúsítvány párbeszédpanelén bontsa ki a Trust (Megbízhatóság) szakaszt, és hajtsa végre a következő módosításokat:In the dialog box for the root CA certificate, expand the Trust section, and then make the following changes:

    1. A When using this certificate (A tanúsítvány használatakor) beállításban módosítsa az Always Trust (Mindig megbízható) alapértelmezett értéket Use System Defaults (A rendszer alapértelmezéseinek használata) értékre.For the When using this certificate setting, change the Always Trust default setting to Use System Defaults.

    2. A Secure Sockets Layer (SSL) beállítást módosítsa a no value specified (nincs megadva érték) értékről Always Trust (Mindig megbízható) értékre.For the Secure Sockets Layer (SSL) setting, change the no value specified to Always Trust.

  6. Zárja be a párbeszédpanelt, és amikor a rendszer kéri, adja meg a rendszergazdai jelszót, és kattintson frissítési beállítások.Close the dialog box, and when prompted, enter the administrator's password, and then click Update Settings.

A Configuration Manager-ügyfelek biztonsági problémáiSecurity issues for Configuration Manager clients

A következő biztonsági problémákra nincs megoldás:The following security issues have no mitigation:

  • Az állapotüzenetek nincsenek hitelesítveStatus messages are not authenticated

    Az állapotüzeneteken nem történik hitelesítés.No authentication is performed on status messages. Ha egy felügyeleti pont elfogadja a HTTP-ügyfélkapcsolatokat, bármely eszköz küldhet állapotüzeneteket a felügyeleti pontra.When a management point accepts HTTP client connections, any device can send status messages to the management point. Ha a felügyeleti pont csak a HTTPS-ügyfélkapcsolatokat fogadja el, az eszköznek érvényes ügyfél-hitelesítési tanúsítványt kell beszereznie egy megbízható legfelső szintű hitelesítésszolgáltatótól, de ezután bármilyen állapotüzenetet küldhet.If the management point accepts HTTPS client connections only, a device must obtain a valid client authentication certificate from a trusted root certification authority, but could also then send any status message. Ha egy ügyfél érvénytelen állapotüzenetet küld, azt a rendszer elveti.If a client sends an invalid status message it will be discarded.

    Létezik néhány lehetséges támadás ezen biztonsági rés ellen.There are a few potential attacks against this vulnerability. A támadó küldhet hamis állapotüzenetet, hogy tagságot szerezzen egy olyan gyűjteményben, amely állapotüzenet-lekérdezéseken alapul.An attacker could send a bogus status message to gain membership in a collection that is based on status message queries. Bármely ügyfél elindíthat egy szolgáltatásmegtagadási támadást a felügyeleti pont ellen úgy, hogy elárasztja állapotüzenetekkel.Any client could launch a denial of service against the management point by flooding it with status messages. Ha az állapotüzenetek műveleteket váltanak ki állapotüzenet-szűrő szabályokban, akkor a támadó elindíthatja az állapotüzenet-szűrő szabályt.If status messages are triggering actions in status message filter rules, an attacker could trigger the status message filter rule. A támadó küldhet olyan állapotüzenetet is, amely az információjelentést pontatlanná teszi.An attacker could also send status message that would render reporting information inaccurate.

  • A házirendek átirányíthatók általuk nem érintett ügyfelekrePolicies can be retargeted to non-targeted clients

    A támadók többféleképpen irányíthatják át az egyik ügyfélnek szánt házirendet egy másik ügyfélre.There are several methods that attackers could use to make a policy targeted to one client apply to an entirely different client. Egy megbízható ügyfélről induló támadás például hamis leltár- vagy felderítési információt küldhet, hogy a számítógép bekerüljön egy olyan gyűjteménybe, amelyben nem szabadna benne lennie, majd megkapja a gyűjteményhez rendelt összes központi telepítést.For example, an attacker at a trusted client could send false inventory or discovery information to have the computer added to a collection it should not belong to, and then receive all the deployments to that collection. Léteznek vezérlők, amelyekkel csökkenthető annak az esélye, hogy a támadók közvetlenül módosítsák a házirendet, azonban a támadók egy meglévő házirenddel is újraformázást végezhetnek és újratelepíthetik az operációs rendszert, majd elküldhetik azt egy másik számítógépre, szolgáltatásmegtagadást idézve elő.While controls exist to help prevent attackers from modifying policy directly, attackers could take an existing policy to reformat and redeploy an operating system and send it to a different computer, creating a denial of service. Ilyen típusú támadásokat pontos időzítés és a Configuration Manager infrastruktúrájának alapos ismerete szükséges.These types of attacks would require precise timing and extensive knowledge of the Configuration Manager infrastructure.

  • Az ügyfél naplóihoz hozzáférnek a felhasználókClient logs allow user access

    Az ügyfél összes naplófájljához olvasási hozzáférése van a felhasználóknak és írási hozzáférése az interaktív felhasználóknak.All the client log files allow users Read access and Interactive Users Write access. Ha engedélyezi a részletes naplózást, a támadók olvashatják a naplófájlokat, és azokban megkereshetik a megfelelőséggel vagy a rendszer biztonsági réseivel kapcsolatos információkat.If you enable verbose logging, attackers might read the log files to look for information about compliance or system vulnerabilities. A felhasználó környezetében futó folyamatoknak, mint például a szoftvertelepítés, alacsony jogosultságszintű felhasználói fiókkal kell írási hozzáférést kapniuk a naplófájlokhoz.Processes such as software installation that are performed in a user's context must be able to write to logs with a low-rights user account. Ez azt jelenti, hogy a támadó is alacsony jogosultságszintű fiókkal tud a naplókba írni.This means an attacker could also write to the logs with a low rights account.

    A legnagyobb veszély az, hogy a támadó törölhet olyan adatokat a naplófájlból, amelyekre a rendszergazdának szüksége lehet a rendszer vizsgálatához és a behatolások észleléséhez.The most serious risk is that an attacker could remove information in the log files that an administrator might need for auditing and intruder detection.

  • Egy számítógép felhasználható olyan tanúsítvány beszerzésére, amely a mobileszközök beléptetésére szolgálA computer could be used to obtain a certificate that is designed for mobile device enrollment

    Ha a Configuration Manager feldolgoz egy beléptetési kérést, nem tudja ellenőrizni, hogy a kérés mobileszközről, nem pedig egy olyan számítógépről származik-e.When Configuration Manager process an enrollment request, it cannot verify that the request originated from a mobile device rather than from a computer. Ha a kérés egy olyan számítógépről, telepíthet egy PKI-tanúsítvánnyal, amely lehetővé teszi a Configuration Manager regisztrálni.If the request is from a computer, it can install a PKI certificate that then allows it to register with Configuration Manager. Ilyen esetben a jogok kiterjesztését felhasználó támadások megelőzése érdekében csak a megbízható felhasználóknak engedélyezze a mobileszközeik beléptetését, és körültekintően figyelje a beléptetési aktivitást.To help prevent an elevation of privilege attack in this scenario, only allow trusted users to enroll their mobile devices and carefully monitor enrollment activities.

  • A kapcsolat egy ügyfél és a felügyeleti pont között nem szakad meg, ha letilt egy ügyfelet, és a letiltott ügyfél továbbra is küldhet ügyfél-értesítési csomagokat a felügyeleti pontra életben tartási üzenetekkéntThe connection from a client to the management point is not dropped if you block a client and the blocked client could continue to send client notification packets to the management point, as keep-alive messages

    Ha letilt egy ügyfelet, amely már nem bízik, és az létesített ügyfél-értesítési kommunikációt, a Configuration Manager nem választja le a munkamenetet.When you block a client that you no longer trust, and it has established a client notification communication, Configuration Manager does not disconnect the session. A letiltott ügyfél továbbra is küldhet csomagokat a felügyeleti pontjára, amíg az ügyfél le nem kapcsolódik a hálózatról.The blocked client can continue to send packets to its management point until the client disconnects from the network. Ezek a csomagok csak kicsi, életben tartási csomagok, és ezeket az ügyfeleket nem tudja felügyelni a Configuration Manager által mindaddig, amíg a tiltásukat fel nem oldják.These packets are only small, keep-alive packets and these clients cannot be managed by Configuration Manager until they are unblocked.

  • Amikor automatikus ügyfélfrissítést használ, és az ügyfél egy felügyeleti pontra van irányítva az ügyfél-forrásfájlok letöltéséhez, a felügyeleti pont mint forrás megbízhatóságát nem ellenőrzi a rendszerWhen you use automatic client upgrade and the client is directed to a management point to download the client source files, the management point is not verified as a trusted source

  • Amikor a felhasználók először léptetnek be Mac számítógépet, fennáll a címlopás veszélyeWhen users first enroll Mac computers, they are at risk from DNS spoofing

    Amikor a Mac számítógép kapcsolódik a beléptetési proxypontra beléptetéskor, nem valószínű, hogy a Mac számítógép már rendelkezik a legfelső szintű hitelesítésszolgáltatói tanúsítvánnyal.When the Mac computer connects to the enrollment proxy point during enrollment, it is unlikely that the Mac computer will already have the root CA certificate. Ekkor a Mac számítógép nem bízik meg a kiszolgálóban, és megkérdezi a felhasználót, hogy folytatja-e a műveletet.At this point, the server is untrusted by the Mac computer and prompts the user to continue. Ha a beléptetési proxypont teljes nevét feloldja egy engedélyezetlen DNS-kiszolgáló, az a Mac számítógépet egy engedélyezetlen beléptetési proxypontra irányíthatja, és tanúsítványokat telepíthet egy nem megbízható forrásból.If the fully qualified name of the enrollment proxy point is resolved by a rogue DNS server, it could direct the Mac computer to a rogue enrollment proxy point, and install certificates from an untrusted source. A kockázat csökkentése érdekében kövesse a bevált gyakorlatokat, amelyekkel elkerülheti a címlopást a környezetében.To help reduce this risk, follow best practices to avoid DNS spoofing in your environment.

  • A Mac beléptetése nem korlátozza a tanúsítványkéréseketMac enrollment does not limit certificate requests

    A felhasználók mindig újból beléptethetik a Mac gépüket, amikor új ügyféltanúsítványt kérnek.Users can re-enroll their Mac computers, each time requesting a new client certificate. A Configuration Manager nem ellenőrzi a többszörös kéréseket, és korlátozza az egyetlen számítógépről kért tanúsítványok számát.Configuration Manager does not check for multiple requests or limit the number of certificates requested from a single computer. Egy rosszindulatú felhasználó futtathat olyan parancsfájlt, amely megismétli a parancssori beléptetési kérést, ezzel szolgáltatásmegtagadást okozva a hálózaton vagy a kibocsátó hitelesítésszolgáltatónál.A rogue user could run a script that repeats the command-line enrollment request, causing a denial of service on the network or on the issuing certification authority (CA). Hogy ennek a veszélyét csökkentse, körültekintően figyelje a kibocsátó hitelesítésszolgáltató esetleges ilyen típusú gyanús viselkedését.To help reduce this risk, carefully monitor the issuing CA for this type of suspicious behavior. Olyan számítógépre, amelyen a viselkedésmintát azonnal blokkolni kell a Configuration Manager hierarchiából.A computer that shows this pattern of behavior should be immediately blocked from the Configuration Manager hierarchy.

  • A törlési visszaigazolás nem ellenőrzi, hogy az eszköz tartalmának törlése sikeres volt-eA wipe acknowledgment does not verify that the device has been successfully wiped

    Egy törlési művelet kezdeményezésekor a mobileszköz és a Configuration Manager jeleníti meg a tartalomtörlési állapotot kell, az ellenőrzés arra vonatkozik, hogy a Configuration Manager sikeresen elküldte az üzenetet, és nem, akkor az eszköz intézkedni rajta.When you initiate a wipe action for a mobile device and Configuration Manager displays the wipe status to be acknowledged, the verification is that Configuration Manager successfully sent the message and not that the device acted on it. Az Exchange Server-összekötő által felügyelt mobileszközök esetén a tartalomtörlési visszaigazolás azt ellenőrzi, hogy az Exchange (nem az eszköz) fogadta-e a parancsot.In addition, for mobile devices that are managed by the Exchange Server connector, a wipe acknowledgment verifies that the command was received by Exchange, not by the device.

  • Ha a változtatások véglegesítésének beállításait használja a Windows Embedded-eszközökön, a fiókok zárolása a vártnál hamarabb történhet meg.If you use the options to commit changes on Windows Embedded devices , accounts might be locked out sooner than expected

    Ha a Windows Embedded-eszközön fut, amely a Windows 7 rendszernél korábbi operációs rendszert, és a felhasználó megpróbál bejelentkezni, amíg az írási szűrők le vannak tiltva, a Configuration Manager által végrehajtott változtatások véglegesítéséhez, engedélyezettek, mielőtt a fiók zárolva van, sikertelen bejelentkezési kísérletek száma megfeleződik.If the Windows Embedded device is running an operating system that is prior to Windows 7 and a user attempts to log on while the write filters are disabled to commit changes made by Configuration Manager, the number of incorrect logon attempts that are allowed before the account is locked out is effectively halved. Ha például a Fiókzárolás küszöbértéke beállítás értéke 6, és a felhasználó 3 alkalommal helytelenül írja be a jelszavát, a rendszer zárolja a fiókot, és szolgáltatásmegtagadási helyzet jön létre.For example, if the Account Lockout Threshhold is configured as 6 and a user mistypes their password 3 times, the account is locked out, effectively creating a denial of service situation. Ha a felhasználóknak ebben a helyzetben kell bejelentkezniük a beágyazott eszközökre, figyelmeztesse őket arra, hogy valószínűleg kevesebb bejelentkezési próbálkozásra van lehetőségük.If users must log on to embedded devices in this scenario, caution them about the potential for a reduced lockout threshold.

A Configuration Manager-ügyfelekre vonatkozó adatvédelmi információPrivacy information for Configuration Manager clients

A Configuration Manager-ügyfél telepítésekor kell adnia az ügyfélbeállításokat, a Configuration Manager felügyeleti funkciói.When you deploy the Configuration Manager client, you enable client settings so you can use Configuration Manager management features. A funkciók konfigurálására használt beállítások a Configuration Manager-hierarchiában, függetlenül attól, hogy közvetlenül a vállalati hálózathoz, távoli kapcsolaton keresztül csatlakoznak vagy csatlakozik az internethez, de a Configuration Manager által támogatott összes ügyfélre érvényesek lehetnek.The settings that you use to configure the features can apply to all clients in the Configuration Manager hierarchy, regardless of whether they are directly connected to the corporate network, connected through a remote session, or connected to the Internet but supported by Configuration Manager.

Ügyfél-információ a Configuration Manager-adatbázis tárolja, és a Microsoftnak nem küldi el.Client information is stored in the Configuration Manager database and is not sent to Microsoft. Ezek az adatok addig maradnak az adatbázisban, amíg a 90 naponta végrehajtott Elavult eszközfelderítési adatok törlése helykarbantartási feladat nem törli azokat.Information is retained in the database until it is deleted by the site maintenance tasks Delete Aged Discovery Data every 90 days. Beállíthatja a törlési időközt.You can configure the deletion interval.

A Configuration Manager-ügyfél konfigurálása előtt gondolja át az adatvédelmi követelményeit.Before you configure the Configuration Manager client, consider your privacy requirements.

A mobileszközre telepített és a Configuration Manager által beléptetett ügyfelekre vonatkozó adatvédelmi információPrivacy information for mobile devices that are enrolled by Configuration Manager

Adatvédelmi információ a mobileszköz a Configuration Manager által beléptetett: System Center Configuration Manager adatvédelmi nyilatkozata – mobileszközökre vonatkozó kiegészítése.For privacy information for when you enroll a mobile device by Configuration Manager, see System Center Configuration Manager privacy statement - Mobile device addendum.

ÜgyfélállapotClient status

A Configuration Manager figyeli az ügyfelek tevékenységét, és rendszeresen kiértékeli, és javítani tudja a Configuration Manager-ügyfelet és annak függőségeit.Configuration Manager monitors the activity of clients and periodically evaluates and can remediate the Configuration Manager client and its dependencies. Az ügyfélállapot alapértelmezés szerint engedélyezve van, és kiszolgálóoldali metrikákat használ az ügyféltevékenység ellenőrzéséhez, illetve a ügyféloldali műveleteket az önellenőrzéshez, a szervizeléshez, valamint az ügyfélállapot információkat a Configuration Manager-hely.Client status is enabled by default, and it uses server-side metrics for the client activity checks, and client-side actions for self-checks, remediation, and for sending client status information to the Configuration Manager site. Az ügyfél az Ön által konfigurált ütemezés szerint futtatja az önellenőrzéseket.The client runs the self-checks according to a schedule that you can configure. Az ügyfél elküldi az ellenőrzések eredményeit a Configuration Manager-hely.The client sends the results of the checks to the Configuration Manager site. Az adatok átvitele titkosított formában történik.This information is encrypted during transfer.

Ügyfélállapot-adatokat a Configuration Manager-adatbázis tárolja, és a Microsoftnak nem küldi el.Client status information is stored in the Configuration Manager database and is not sent to Microsoft. A helyadatbázis titkosítás nélkül tárolja az információt.The information is not stored in encrypted format in the site database. Ez az információ mindaddig az adatbázisban marad, amíg le nem telik Az ügyfélállapot előzményeinek megőrzése a következő számú napra ügyfélállapot-beállításnak megfelelő időtartam.This information is retained in the database until it is deleted according to the value that is configured for the Retain client status history for the following number of days client status setting. A beállítás alapértelmezett értéke 31 nap.The default value for this setting is every 31 days.

Ügyfél telepítése előtt a Configuration Manager az ügyfél állapotának ellenőrzését, gondolja át az adatvédelmi követelményeit.Before you install the Configuration Manager client with client status checking, consider your privacy requirements.

Az Exchange Server-összekötő használatával felügyelt mobileszközökre vonatkozó adatvédelmi információPrivacy information for mobile devices that are managed with the Exchange Server Connector

Az Exchange Server-összekötő megkeresi és felügyeli azokat az eszközöket, amelyek az ActiveSync protokoll használatával kapcsolódnak a helyszíni vagy szolgáltatott Exchange Server-kiszolgálóhoz.The Exchange Server Connector finds and manages devices that connect to Exchange Server (on-premise or hosted) by using the ActiveSync protocol. Az Exchange Server-összekötő által talált rekordokat a Configuration Manager adatbázisában tárolódnak.The records found by the Exchange Server Connector are stored in the Configuration Manager database. Az adatok összegyűjtése az Exchange Server-kiszolgálóról történik.The information is collected from Exchange Server. A kiszolgáló csak azokat az adatokat tartalmazza, amelyeket a mobileszközök küldenek az Exchange Server-kiszolgálónak.It does not contain any additional information from what the mobile devices send to Exchange Server.

A program nem küld a mobileszközökre vonatkozó adatokat a Microsoftnak.The mobile device information is not sent to Microsoft. A mobileszközökre vonatkozó adatokat a Configuration Manager adatbázisban tárolódik.The mobile device information is stored in the Configuration Manager database. Ezek az adatok addig maradnak az adatbázisban, amíg a 90 naponta végrehajtott Elavult eszközfelderítési adatok törlése helykarbantartási feladat nem törli azokat.Information is retained in the database until it is deleted by the site maintenance tasks Delete Aged Discovery Data every 90 days. Beállíthatja a törlési időközt.You can configure the deletion interval.

Az Exchange Server-összekötő telepítése és konfigurálása előtt gondolja át az adatvédelmi követelményeit.Before you install and configure the Exchange Server connector, consider your privacy requirements.