Biztonság és adatvédelem Configuration Manager ügyfelek számára

A következőre vonatkozik: Configuration Manager (aktuális ág)

Ez a cikk az Configuration Manager ügyfelekre vonatkozó biztonsági és adatvédelmi információkat ismerteti. A Exchange Server-összekötő által felügyelt mobileszközökre vonatkozó információkat is tartalmaz.

Biztonsági útmutató ügyfelek számára

A Configuration Manager hely adatokat fogad el az Configuration Manager-ügyfelet futtató eszközökről. Ez a viselkedés azzal a kockázattal jár, hogy az ügyfelek megtámadhatják a helyet. Küldhetnek például helytelen formátumú leltárt, vagy megpróbálhatják túlterhelni a helyrendszereket. Az Configuration Manager-ügyfelet csak megbízható eszközökre telepítse.

Az alábbi biztonsági útmutató segítségével megvédheti a webhelyet a rosszindulatú vagy feltört eszközöktől.

Nyilvános kulcsú infrastruktúra- (PKI-) tanúsítványok használata az IIS-t futtató helyrendszerekkel folytatott ügyfélkommunikációhoz

• Helytulajdonságként csak a HTTPS-hez konfigurálja a helyrendszer beállításait. További információ: A biztonság konfigurálása.

• Telepítse az ügyfeleket a UsePKICert CCMSetup tulajdonsággal.

• Használjon visszavont tanúsítványok listáját (CRL). Győződjön meg arról, hogy az ügyfelek és a kommunikáló kiszolgálók mindig hozzáférhetnek.

A mobileszköz-ügyfeleknek és néhány internetalapú ügyfélnek szüksége van ezekre a tanúsítványokra. A Microsoft ezeket a tanúsítványokat az intraneten található összes ügyfélkapcsolathoz javasolja.

A tanúsítványok Configuration Manager való használatával kapcsolatos további információkért lásd: Plan for certificates (Tanúsítványok tervezése).

Fontos

A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.

Ügyfélszámítógépek automatikus jóváhagyása megbízható tartományokból, valamint más számítógépek manuális ellenőrzése és jóváhagyása

Ha nem tudja használni a PKI-hitelesítést, a jóváhagyás azonosítja az Configuration Manager által felügyelt számítógépet. A hierarchiában az alábbi lehetőségek állnak rendelkezésre az ügyfél-jóváhagyás konfigurálásához:

• Kézi
• Automatikus a megbízható tartományokban lévő számítógépekhez
• Automatikus minden számítógéphez

A legbiztonságosabb jóváhagyási módszer az, ha automatikusan jóváhagyja a megbízható tartományokhoz tartozó ügyfeleket. Ez a lehetőség a csatlakoztatott Microsoft Entra bérlők felhőtartományhoz csatlakoztatott ügyfeleit is magában foglalja. Ezután manuálisan ellenőrizze és hagyja jóvá az összes többi számítógépet. Az összes ügyfél automatikus jóváhagyása nem ajánlott, hacsak nem rendelkezik más hozzáférés-vezérléssel, hogy megakadályozza a nem megbízható számítógépek hozzáférését a hálózathoz.

További információ a számítógépek manuális jóváhagyásáról: Ügyfelek kezelése az eszközök csomópontjáról.

Ne támaszkodjon a blokkolásra, hogy az ügyfelek ne férhessenek hozzá a Configuration Manager-hierarchiához

A blokkolt ügyfeleket a Configuration Manager infrastruktúra elutasítja. Ha az ügyfelek le vannak tiltva, nem tudnak kommunikálni a helyrendszerekkel a házirend letöltéséhez, a leltáradatok feltöltéséhez, illetve állapot- vagy állapotüzenetek küldéséhez.

A blokkolás a következő forgatókönyvekhez készült:

• Elveszett vagy feltört rendszerindító adathordozó blokkolása operációs rendszer ügyfelekre történő telepítésekor
• Amikor minden helyrendszer fogad HTTPS-ügyfélkapcsolatokat

Ha a helyrendszerek HTTP-ügyfélkapcsolatokat fogadnak el, ne támaszkodjon a blokkolásra, hogy megvédje a Configuration Manager-hierarchiát a nem megbízható számítógépektől. Ebben a forgatókönyvben egy blokkolt ügyfél újracsatlakozhat a helyhez egy új önaláírt tanúsítvánnyal és hardverazonosítóval.

A tanúsítvány-visszavonás a potenciálisan sérült tanúsítványok elleni elsődleges védelmi vonal. A visszavont tanúsítványok listája (CRL) csak támogatott nyilvános kulcsú infrastruktúrából (PKI) érhető el. A Configuration Manager-ügyfelek blokkolása egy második védelmi vonalat kínál a hierarchia védelméhez.

További információ: Annak meghatározása, hogy tiltsa-e le az ügyfeleket.

A környezet szempontjából legpraktikusabb ügyféltelepítési módszerek használata

• Tartományi számítógépek esetén a csoportházirend-ügyfél telepítése és a szoftverfrissítés-alapú ügyféltelepítési módszerek biztonságosabbak, mint az ügyfél leküldéses telepítése.

• Ha hozzáférés-vezérlést és módosítási vezérlőket alkalmaz, használjon képalkotó és manuális telepítési módszereket.

• Használja a Kerberos kölcsönös hitelesítést az ügyfél leküldéses telepítésével.

Az ügyféltelepítési módszerek közül az ügyfél leküldéses telepítése a legkevésbé biztonságos a számos függőség miatt. Ezek a függőségek közé tartoznak a helyi rendszergazdai engedélyek, a megosztás és a Admin$ tűzfalkivételeket. A függőségek száma és típusa növeli a támadási felületet.

Ügyfélleküldés használatakor a hely megkövetelheti a Kerberos kölcsönös hitelesítését, ha nem engedélyezi az NTLM-hez való visszatérést a kapcsolat létrehozása előtt. Ez a fejlesztés segít biztonságossá tenni a kiszolgáló és az ügyfél közötti kommunikációt. További információ: Ügyfelek telepítése ügyfélküldéssel.

A különböző ügyfél-telepítési módszerekkel kapcsolatos további információkért lásd: Ügyféltelepítési módszerek.

Ahol csak lehetséges, válassza ki azt az ügyféltelepítési módszert, amely a legkisebb biztonsági engedélyeket igényli a Configuration Manager. Korlátozza azokat a rendszergazdai felhasználókat, amelyekhez olyan biztonsági szerepkörök vannak hozzárendelve, amelyek az ügyféltelepítésen kívül más célokra is használhatók. Az automatikus ügyfélfrissítés konfigurálásához például a Teljes rendszergazda biztonsági szerepkör szükséges, amely minden biztonsági engedélyt megad a rendszergazda felhasználónak.

Az egyes ügyféltelepítési módszerekhez szükséges függőségekkel és biztonsági engedélyekkel kapcsolatos további információkért lásd: A számítógépügyfelek előfeltételei.

Ha ügyfél leküldéses telepítést kell használnia, biztonságossá kell tennie az ügyfél leküldéses telepítési fiókját

Az ügyfél leküldéses telepítési fiókjának a helyi Rendszergazdák csoport tagjának kell lennie minden olyan számítógépen, amely telepíti a Configuration Manager ügyfelet. Soha ne adja hozzá az ügyfél leküldéses telepítési fiókját a Tartománygazdák csoporthoz. Ehelyett hozzon létre egy globális csoportot, majd adja hozzá a globális csoportot az ügyfelek helyi Rendszergazdák csoportjához. Hozzon létre egy csoportházirend-objektumot egy Korlátozott csoport beállítás hozzáadásához az ügyfél leküldéses telepítési fiókjának a helyi Rendszergazdák csoporthoz való hozzáadásához.

A nagyobb biztonság érdekében hozzon létre több ügyfél leküldéses telepítési fiókot, mindegyikhez rendszergazdai hozzáféréssel korlátozott számú számítógéphez. Ha egy fiók biztonsága sérül, a rendszer csak azokat az ügyfélszámítógépeket feltöri, amelyekhez az adott fiók hozzáfér.

Tanúsítványok eltávolítása képalkotó ügyfelek előtt

Amikor operációsrendszer-rendszerképek használatával telepít ügyfeleket, a rendszerkép rögzítése előtt mindig távolítsa el a tanúsítványokat. Ezek a tanúsítványok tartalmazzák az ügyfél-hitelesítéshez szükséges PKI-tanúsítványokat és az önaláírt tanúsítványokat. Ha nem távolítja el ezeket a tanúsítványokat, előfordulhat, hogy az ügyfelek megszemélyesítik egymást. Nem ellenőrizheti az egyes ügyfelek adatait.

További információ: Feladatütemezés létrehozása operációs rendszer rögzítéséhez.

Győződjön meg arról, hogy Configuration Manager ügyfél megkapja a tanúsítványok hitelesített másolatát

A Configuration Manager megbízható főkulcstanúsítvány

Ha az alábbi állítások mindegyike igaz, az ügyfelek a Configuration Manager megbízható legfelső szintű kulcsra támaszkodnak az érvényes felügyeleti pontok hitelesítéséhez:

• Nem bővítette ki az Active Directory-sémát Configuration Manager
• Az ügyfelek nem használnak PKI-tanúsítványokat, amikor a felügyeleti pontokkal kommunikálnak

Ebben a forgatókönyvben az ügyfelek nem tudják ellenőrizni, hogy a felügyeleti pont megbízható-e a hierarchiában, kivéve, ha a megbízható legfelső szintű kulcsot használják. A megbízható legfelső szintű kulcs nélkül a gyakorlott támadók átirányíthatják az ügyfeleket egy rosszindulatú felügyeleti ponthoz.

Ha az ügyfelek nem használnak PKI-tanúsítványokat, és nem tudják letölteni a megbízható legfelső szintű kulcsot az Active Directory globális katalógusából, előzetesen építse ki az ügyfeleket a megbízható legfelső szintű kulccsal. Ez a művelet gondoskodik arról, hogy ne lehessen átirányítani őket egy rosszindulatú felügyeleti pontra. További információ: Planning for the trusted root key (A megbízható legfelső szintű kulcs tervezése).

A helykiszolgáló aláíró tanúsítványa

Az ügyfelek a helykiszolgáló aláíró tanúsítványával ellenőrzik, hogy a helykiszolgáló aláírta-e a felügyeleti pontról letöltött házirendet. Ezt a tanúsítványt a helykiszolgáló önaláírta, és közzéteheti a Active Directory tartományi szolgáltatások.

Ha az ügyfelek nem tudják letölteni ezt a tanúsítványt az Active Directory globális katalógusából, alapértelmezés szerint a felügyeleti pontról töltik le. Ha a felügyeleti pont egy nem megbízható hálózatnak, például az internetnek van kitéve, telepítse manuálisan a helykiszolgáló aláíró tanúsítványát az ügyfelekre. Ez a művelet biztosítja, hogy nem tölthetik le az illetéktelen módosításokkal módosított ügyfélszabályzatokat egy feltört felügyeleti pontról.

A helykiszolgáló aláíró tanúsítványának manuális telepítéséhez használja az SMSSIGNCERT CCMSetup client.msi tulajdonságot.

Ha az ügyfél letölti a megbízható legfelső szintű kulcsot az első kapcsolattartó felügyeleti pontról, ne használja az automatikus helyhozzárendelést

Annak elkerülése érdekében, hogy egy új ügyfél letöltse a megbízható legfelső szintű kulcsot egy rosszindulatú felügyeleti pontról, csak az alábbi esetekben használja az automatikus helyhozzárendelést:

• Az ügyfél hozzáférhet Configuration Manager Active Directory tartományi szolgáltatások közzétett webhelyadatokhoz.

• Az ügyfelet előre kiépítheti a megbízható legfelső szintű kulccsal.

• Egy vállalati hitelesítésszolgáltató PKI-tanúsítványait használva megbízhatóságot hozhat létre az ügyfél és a felügyeleti pont között.

A megbízható legfelső szintű kulccsal kapcsolatos további információkért lásd : Planning for the trusted root key (A megbízható legfelső szintű kulcs tervezése).

Győződjön meg arról, hogy a karbantartási időszakok elég nagyok a kritikus szoftverfrissítések telepítéséhez

Az eszközgyűjtemények karbantartási időszakai korlátozzák azokat az időpontokat, amikor Configuration Manager telepíthetnek szoftvereket ezeken az eszközökön. Ha túl kicsire konfigurálja a karbantartási időszakot, előfordulhat, hogy az ügyfél nem telepíti a kritikus szoftverfrissítéseket. Ez a viselkedés sebezhetővé teszi az ügyfelet a szoftverfrissítés által elhárított támadásokkal szemben.

Az írási szűrőkkel rendelkező Windows Embedded-eszközök támadási felületének csökkentése érdekében tegyen biztonsági óvintézkedéseket

Ha engedélyezi az írási szűrőket a Windows Embedded-eszközökön, a szoftvertelepítések és -módosítások csak az átfedésen lesznek. Ezek a módosítások nem maradnak meg az eszköz újraindítása után. Ha Configuration Manager használatával tiltja le az írási szűrőket, ebben az időszakban a beágyazott eszköz sebezhető lesz az összes kötet módosításaival szemben. Ezek a kötetek megosztott mappákat tartalmaznak.

Configuration Manager zárolja a számítógépet ebben az időszakban, így csak a helyi rendszergazdák jelentkezhetnek be. Amikor csak lehetséges, tegyen más biztonsági óvintézkedéseket a számítógép védelme érdekében. Engedélyezze például a tűzfal korlátozásait.

Ha karbantartási időszakokat használ a módosítások megőrzéséhez, gondosan tervezze meg ezeket az ablakokat. Minimalizálja az írási szűrők letiltásának idejét, de elég hosszúra, hogy a szoftvertelepítések és -újraindítások befejeződjenek.

A legújabb ügyfélverzió használata szoftverfrissítés-alapú ügyféltelepítéssel

Ha szoftverfrissítés-alapú ügyféltelepítést használ, és az ügyfél egy újabb verzióját telepíti a helyre, frissítse a közzétett szoftverfrissítést. Ezután az ügyfelek a szoftverfrissítési ponttól kapják meg a legújabb verziót.

A hely frissítésekor a szoftverfrissítési ponton közzétett ügyféltelepítés szoftverfrissítése nem frissül automatikusan. Tegye közzé újra a Configuration Manager-ügyfelet a szoftverfrissítési ponton, és frissítse a verziószámot.

További információ: Configuration Manager-ügyfelek telepítése szoftverfrissítés-alapú telepítéssel.

A BitLocker PIN-kód bejegyzésének felfüggesztése csak megbízható és korlátozott hozzáférésű eszközökön

Az ügyfélbeállítást csak a BitLocker PIN-kódjának felfüggesztése újraindításkoralways értékre konfigurálja a megbízható és korlátozott fizikai hozzáféréssel rendelkező számítógépeken.

Ha ezt az ügyfélbeállítást Mindig értékre állítja, Configuration Manager befejezheti a szoftver telepítését. Ez a viselkedés segít a kritikus szoftverfrissítések telepítésében és a szolgáltatások folytatásában. Ha egy támadó elfogja az újraindítási folyamatot, átveheti a számítógép irányítását. Ezt a beállítást csak akkor használja, ha megbízik a számítógépen, és ha a számítógéphez való fizikai hozzáférés korlátozott. Ez a beállítás például megfelelő lehet egy adatközpont kiszolgálói számára.

További információ erről az ügyfélbeállításról: Tudnivalók az ügyfélbeállításokról.

A PowerShell végrehajtási szabályzatának megkerülése

Ha a PowerShell végrehajtási házirendjének Configuration Manager ügyfélbeállítását a Bypass (Megkerülés) értékre állítja, akkor a Windows engedélyezi az aláíratlan PowerShell-szkriptek futtatását. Ez a viselkedés lehetővé teheti a kártevők futtatását az ügyfélszámítógépeken. Ha a szervezetnek szüksége van erre a beállításra, használjon egyéni ügyfélbeállítást. Csak azokhoz az ügyfélszámítógépekhez rendelje hozzá, amelyeknek aláíratlan PowerShell-szkripteket kell futtatniuk.

További információ erről az ügyfélbeállításról: Tudnivalók az ügyfélbeállításokról.

Biztonsági útmutató mobileszközökhöz

Telepítse a beléptetési proxypontot egy szegélyhálózaton és a regisztrációs pontot az intraneten

Az Configuration Manager-ben regisztrált internetalapú mobileszközök esetén telepítse a beléptetési proxypontot egy szegélyhálózaton, valamint a regisztrációs pontot az intraneten. Ez a szerepkör-elkülönítés segít megvédeni a regisztrációs pontot a támadástól. Ha egy támadó feltöri a regisztrációs pontot, tanúsítványokat szerezhet be a hitelesítéshez. Ellophatják a mobileszközeiket regisztráló felhasználók hitelesítő adatait is.

A jelszóbeállítások konfigurálása a mobileszközök jogosulatlan hozzáférés elleni védelméhez

A Configuration Manager által regisztrált mobileszközök esetén: A jelszó összetettségét pin-kódként mobileszköz-konfigurációs elem használatával konfigurálhatja. Adja meg legalább az alapértelmezett minimális jelszóhosszt.

Olyan mobileszközök esetén, amelyeken nincs telepítve a Configuration Manager-ügyfél, de a Exchange Server-összekötő felügyeli: Konfigurálja a jelszóbeállításokat az Exchange Server összekötőhöz úgy, hogy a jelszó összetettsége a PIN-kód legyen. Adja meg legalább az alapértelmezett minimális jelszóhosszt.

Csak megbízható vállalatok által aláírt alkalmazások futtatásának engedélyezése

A leltáradatok és az állapotinformációk illetéktelen megváltoztatásának megakadályozása azáltal, hogy lehetővé teszi az alkalmazások számára, hogy csak akkor fussanak, ha megbízható vállalatok aláírták őket. Ne engedélyezze az eszközök számára az aláíratlan fájlok telepítését.

A Configuration Manager által regisztrált mobileszközök esetén: Használjon mobileszköz-konfigurációs elemet az Aláíratlan alkalmazások biztonsági beállítás tiltottként való konfigurálásához. Konfigurálja az aláíratlan fájltelepítéseket megbízható forrásként.

Olyan mobileszközök esetén, amelyeken nincs telepítve a Configuration Manager-ügyfél, de az Exchange Server-összekötő felügyeli: Konfigurálja az Exchange Server-összekötő alkalmazásbeállítását úgy, hogy az Aláíratlan fájlok telepítése és az Aláíratlan alkalmazásoktiltottak legyenek.

Mobileszközök zárolása használaton belüli állapotban

A jogosultságszint-emelési támadások megelőzése érdekében zárolja a mobileszközt, ha nincs használatban.

A Configuration Manager által regisztrált mobileszközök esetén: A mobileszköz-konfigurációs elem használatával percek alatt konfigurálhatja a tétlen jelszóbeállítást, mielőtt a mobileszköz zárolva lett.

Olyan mobileszközök esetén, amelyeken nincs telepítve a Configuration Manager-ügyfél, de a Exchange Server-összekötő felügyeli: Konfigurálja az Exchange Server-összekötő jelszóbeállítását úgy, hogy a mobileszköz zárolása előtt percek alatt állítsa be az üresjárati időt.

A mobileszközeik regisztrálható felhasználóinak korlátozása

A jogosultságok kiterjesztésének megakadályozásához korlátozza a mobileszközeiket regisztráló felhasználókat. Az alapértelmezett ügyfélbeállítások helyett használjon egyéni ügyfélbeállítást, hogy csak a jogosult felhasználók regisztrálhassák mobileszközeiket.

Felhasználói eszköz affinitási útmutató mobileszközökhöz

Ne telepítsen alkalmazásokat azoknak a felhasználóknak, akik Configuration Manager által regisztrált mobileszközökkel rendelkeznek az alábbi esetekben:

• A mobileszközt egynél több személy használja.

• Az eszközt egy rendszergazda regisztrálja egy felhasználó nevében.

• Az eszköz átadása egy másik személynek a kivonása, majd az eszköz újbóli regisztrálása nélkül történik.

Az eszközregisztráció létrehoz egy felhasználó-eszköz kapcsolati kapcsolatot. Ez a kapcsolat a regisztrációt végző felhasználót a mobileszközre képezi le. Ha egy másik felhasználó használja a mobileszközt, futtathatja az eredeti felhasználó számára üzembe helyezett alkalmazásokat, ami jogosultságok megemeléséhez vezethet. Hasonlóképpen, ha egy rendszergazda regisztrálja a mobileszközt egy felhasználó számára, a felhasználó számára telepített alkalmazások nem lesznek telepítve a mobileszközön. Ehelyett előfordulhat, hogy a rendszergazda számára telepített alkalmazások települnek.

A Configuration Manager helykiszolgáló és a Exchange Server közötti kapcsolat védelme

Ha a Exchange Server helyszíni, használja az IPsec-et. Az üzemeltetett Exchange automatikusan biztosítja a kapcsolatot HTTPS-kapcsolattal.

Használja az Exchange-összekötőhöz tartozó minimális jogosultságok elvét

A Exchange Server-összekötő által igényelt minimális parancsmagok listáját lásd: Mobileszközök kezelése Configuration Manager és Exchange használatával.

Biztonsági útmutató macOS-eszközökhöz

Az ügyfél forrásfájljainak tárolása és elérése biztonságos helyről

Mielőtt telepítené vagy regisztrálja az ügyfelet egy macOS-számítógépen, Configuration Manager nem ellenőrzi, hogy az ügyfél forrásfájljait illetéktelenek módosították-e. Töltse le ezeket a fájlokat megbízható forrásból. Biztonságosan tárolhatja és érheti el őket.

A tanúsítvány érvényességi idejének monitorozása és nyomon követése

A macOS rendszerű számítógépekhez használt tanúsítványok érvényességi idejének figyelése és nyomon követése. Configuration Manager nem támogatja a tanúsítvány automatikus megújítását, vagy figyelmezteti, hogy a tanúsítvány hamarosan lejár. A tipikus érvényességi időtartam egy év.

A tanúsítvány megújításával kapcsolatos további információkért lásd : A macOS-ügyféltanúsítvány manuális megújítása.

A megbízható főtanúsítvány konfigurálása csak SSL-hez

A jogosultságok emelése elleni védelem érdekében úgy konfigurálja a megbízható főtanúsítvány-szolgáltató tanúsítványát, hogy az csak az SSL-protokollhoz legyen megbízható.

Mac számítógépek regisztrálásakor a rendszer automatikusan telepíti a Configuration Manager-ügyfél kezelésére szolgáló felhasználói tanúsítványt. Ez a felhasználói tanúsítvány tartalmazza a megbízható főtanúsítványokat a megbízhatósági láncában. Ha a főtanúsítvány megbízhatóságát csak az SSL protokollra szeretné korlátozni, kövesse az alábbi eljárást:

1. Nyisson meg egy terminálablakot a Mac számítógépen.

2. Adja meg a következő parancsot: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

3. A Kulcskarika-hozzáférés párbeszédpanel Kulcskarikák szakaszában válassza a Rendszer lehetőséget. Ezután a Kategória szakaszban válassza a Tanúsítványok lehetőséget.

4. Keresse meg és nyissa meg a Mac ügyféltanúsítvány legfelső szintű hitelesítésszolgáltatói tanúsítványát.

5. A legfelső szintű hitelesítésszolgáltatói tanúsítvány párbeszédpanelén bontsa ki a Megbízhatóság szakaszt, majd hajtsa végre a következő módosításokat:

   1. Ha ezt a tanúsítványt használja: Módosítsa a Mindig megbízható beállítást a Rendszer alapértelmezett beállításainak használata értékre.

   2. Secure Sockets Layer (SSL): Ne módosítsa az Always Trust (Mindig megbízható) értékre megadva értéket.

6. Zárja be a párbeszédpanelt. Amikor a rendszer kéri, adja meg a rendszergazda jelszavát, majd válassza a Beállítások frissítése lehetőséget.

Az eljárás elvégzése után a főtanúsítvány csak az SSL-protokoll érvényesítéséhez lesz megbízható. A főtanúsítvánnyal már nem megbízható egyéb protokollok közé tartozik a Secure Mail (S/MIME), az Extensible Authentication (EAP) vagy a kódaláírás.

Megjegyzés:

Akkor is használja ezt az eljárást, ha az ügyféltanúsítványt a Configuration Manager függetlenül telepítette.

Ügyfelekkel kapcsolatos biztonsági problémák

A következő biztonsági problémák nem hárítják el a problémát:

Az állapotüzenetek nincsenek hitelesítve

A felügyeleti pont nem hitelesíti az állapotüzeneteket. Ha egy felügyeleti pont HTTP-ügyfélkapcsolatokat fogad, bármely eszköz állapotüzeneteket küldhet a felügyeleti pontnak. Ha a felügyeleti pont csak HTTPS-ügyfélkapcsolatokat fogad el, az eszköznek érvényes ügyfél-hitelesítési tanúsítvánnyal kell rendelkeznie, de bármilyen állapotüzenetet is küldhet. A felügyeleti pont elveti az ügyféltől kapott érvénytelen állapotüzeneteket.

Van néhány lehetséges támadás a biztonsági rés ellen:

• A támadó hamis állapotüzenetet küldhet, hogy tagságot szerezzen egy olyan gyűjteményben, amely az állapotüzenet-lekérdezéseken alapul.
• Bármely ügyfél elindíthat szolgáltatásmegtagadást a felügyeleti ponttal szemben, ha állapotüzenetekkel elárasztja azt.
• Ha az állapotüzenetek műveleteket aktiválnak az állapotüzenet-szűrési szabályokban, egy támadó aktiválhatja az állapotüzenetszűrő szabályt.
• A támadó olyan állapotüzenetet küldhet, amely pontatlanná teszi a jelentéskészítési információkat.

A szabályzatok újracélzhatók nem célzott ügyfelekre

A támadók számos módszert használhatnak arra, hogy egy ügyfélre irányuló szabályzatot egy teljesen más ügyfélre alkalmazzanak. Egy megbízható ügyfél támadója például hamis leltár- vagy felderítési adatokat küldhet, hogy a számítógép hozzá legyen adva egy gyűjteményhez, amelyhez nem kellene tartoznia. Az ügyfél ezután megkapja a gyűjtemény összes üzemelő példányát.

A vezérlők segítenek megakadályozni, hogy a támadók közvetlenül módosítsák a szabályzatot. A támadók azonban átírhatnak és újra üzembe helyezhetnek egy operációs rendszert, és elküldhetik azt egy másik számítógépre. Ez az átirányított szabályzat szolgáltatásmegtagadást okozhat. Az ilyen típusú támadások pontos időzítést és a Configuration Manager infrastruktúra alapos ismeretét igénylik.

Az ügyfélnaplók engedélyezik a felhasználói hozzáférést

Az összes ügyfél-naplófájl olvasási hozzáféréssel rendelkező Felhasználók csoportot és az adatok írásához hozzáféréssel rendelkező speciális interaktív felhasználót engedélyez. Ha engedélyezi a részletes naplózást, a támadók elolvashatják a naplófájlokat, hogy információkat keressenek a megfelelőségről vagy a rendszer biztonsági réseiről. Az olyan folyamatoknak, mint a szoftverek, amelyeket az ügyfél a felhasználó környezetében telepít, alacsony jogosultságú felhasználói fiókkal kell írniuk a naplókba. Ez a viselkedés azt jelenti, hogy a támadó alacsony jogosultságú fiókkal is írhat a naplókba.

A legkomolyabb kockázat az, hogy a támadó eltávolíthatja a naplófájlokban lévő információkat. A rendszergazdáknak szüksége lehet ezekre az információkra a naplózáshoz és a behatolás észleléséhez.

A számítógép használható a mobileszköz-regisztrációhoz tervezett tanúsítvány beszerzéséhez

Amikor Configuration Manager feldolgoz egy regisztrációs kérést, nem tudja ellenőrizni, hogy a kérés mobileszközről származik-e, nem pedig számítógépről. Ha a kérés egy számítógépről származik, telepíthet egy PKI-tanúsítványt, amely lehetővé teszi, hogy regisztráljon Configuration Manager.

Ebben a forgatókönyvben a jogosultságszint-emelési támadások megelőzése érdekében csak a megbízható felhasználók regisztrálhatják mobileszközeiket. Gondosan monitorozza az eszközregisztrációs tevékenységeket a webhelyen.

A letiltott ügyfél továbbra is küldhet üzeneteket a felügyeleti pontnak

Ha letilt egy olyan ügyfelet, amely már nem megbízható, de hálózati kapcsolatot létesített az ügyfélértesítéshez, Configuration Manager nem bontja a munkamenetet. A letiltott ügyfél továbbra is küldhet csomagokat a felügyeleti pontjára, amíg az ügyfél le nem bontja a kapcsolatot a hálózattal. Ezek a csomagok csak kis méretű, életben tartási csomagok. Ezt az ügyfelet a Configuration Manager nem tudja felügyelni, amíg fel nem oldja a tiltást.

Az automatikus ügyfélfrissítés nem ellenőrzi a felügyeleti pontot

Ha automatikus ügyfélfrissítést használ, az ügyfél átirányítható egy felügyeleti pontra az ügyfél forrásfájljainak letöltéséhez. Ebben a forgatókönyvben az ügyfél nem megbízható forrásként ellenőrzi a felügyeleti pontot.

Amikor a felhasználók először regisztrálják a macOS rendszerű számítógépeket, ki vannak téve a DNS-hamisítás kockázatának

Amikor a macOS-számítógép a regisztráció során csatlakozik a beléptetési proxyponthoz, nem valószínű, hogy a macOS-számítógép már rendelkezik a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvánnyal. Ezen a ponton a macOS-számítógép nem bízik meg a kiszolgálón, és kéri a felhasználót a folytatásra. Ha egy rosszindulatú DNS-kiszolgáló feloldja a beléptetési proxypont teljes tartománynevét (FQDN), átirányíthatja a macOS-számítógépet egy rosszindulatú beléptetési proxypontra, hogy nem megbízható forrásból telepítse a tanúsítványokat. A kockázat csökkentése érdekében kövesse a DNS-útmutatót, hogy elkerülje a hamisítást a környezetben.

A macOS-regisztráció nem korlátozza a tanúsítványkérelmeket

A felhasználók minden alkalommal újra regisztrálhatják macOS rendszerű számítógépeiket, amikor új ügyféltanúsítványt igényelnek. Configuration Manager nem keres több kérést, és nem korlátozza az egyetlen számítógépről kért tanúsítványok számát. Egy rosszindulatú felhasználó futtathat egy szkriptet, amely megismétli a parancssori regisztrációs kérést. Ez a támadás szolgáltatásmegtagadást okozhat a hálózaton vagy a kiállító hitelesítésszolgáltatón (CA). A kockázat csökkentése érdekében gondosan ellenőrizze a kibocsátó hitelesítésszolgáltatót az ilyen típusú gyanús viselkedések esetén. Azonnal tiltsa le a Configuration Manager-hierarchiából azokat a számítógépeket, amelyek ezt a viselkedésmintát mutatják.

A törlés nyugtázása nem ellenőrzi, hogy az eszköz törlése sikeresen megtörtént-e

Amikor elindít egy törlési műveletet egy mobileszközre vonatkozóan, és Configuration Manager nyugtázza a törlést, az ellenőrzés azt jelzi, hogy Configuration Manager sikeresen elküldte az üzenetet. Nem ellenőrzi, hogy az eszköz reagált-e a kérelemre.

Az Exchange Server-összekötő által felügyelt mobileszközök esetén a törlési visszaigazolás ellenőrzi, hogy a parancsot az Exchange kapta-e, nem pedig az eszköz.

Ha a beállítások segítségével véglegesíti a módosításokat a Windows Embedded-eszközökön, előfordulhat, hogy a fiókok a vártnál hamarabb lesznek zárolva

Ha a Windows Embedded eszköz a Windows 7-nél korábbi operációsrendszer-verziót futtat, és egy felhasználó megpróbál bejelentkezni, miközben a Configuration Manager letiltja az írási szűrőket, a Windows a fiók zárolása előtt csak a helytelen kísérletek konfigurált számának felét engedélyezi.

A fiókzárolási küszöbértéket például hat kísérletre konfigurálja. A felhasználó háromszor hibásan írja be a jelszavát, és a fiók zárolva van. Ez a viselkedés gyakorlatilag szolgáltatásmegtagadást okoz. Ha ebben a forgatókönyvben a felhasználóknak be kell jelentkezniük a beágyazott eszközökre, figyelmeztetni kell őket a zárolási küszöbérték csökkentésének lehetőségére.

Adatvédelmi információk ügyfelek számára

A Configuration Manager-ügyfél telepítésekor engedélyezi Configuration Manager szolgáltatások ügyfélbeállításait. A szolgáltatások konfigurálásához használt beállítások a Configuration Manager hierarchiában lévő összes ügyfélre vonatkozhatnak. Ez a viselkedés ugyanaz, mintha közvetlenül csatlakoznának a belső hálózathoz, távoli munkameneten keresztül csatlakoznának, vagy az internethez csatlakoznának.

Az ügyféladatokat a rendszer a SQL Server Configuration Manager helyadatbázisában tárolja, és nem küldi el a Microsoftnak. Az adatok az adatbázisban maradnak, amíg a helykarbantartási feladat 90 naponta nem törli az elavult felderítési adatokat . Konfigurálhatja a törlési időközt.

A rendszer néhány összesített vagy összesített diagnosztikai és használati adatot küld a Microsoftnak. További információ: Diagnosztikai és használati adatok.

A Microsoft adatgyűjtéséről és használatáról a Microsoft adatvédelmi nyilatkozatában olvashat bővebben.

Ügyfél állapota

Configuration Manager figyeli az ügyfelek tevékenységét. Rendszeres időközönként kiértékeli az Configuration Manager-ügyfelet, és elháríthatja az ügyféllel és annak függőségeivel kapcsolatos problémákat. Az ügyfél állapota alapértelmezés szerint engedélyezve van. Kiszolgálóoldali metrikákat használ az ügyféltevékenység-ellenőrzésekhez. Az ügyfélállapot ügyféloldali műveleteket használ az önellenőrzésekhez, a szervizeléshez és az ügyfélállapot-információknak a webhelyre való küldéséhez. Az ügyfél a konfigurált ütemezésnek megfelelően futtatja az önellenőrzéseket. Az ügyfél elküldi az ellenőrzések eredményeit a Configuration Manager webhelyre. Ezek az adatok átvitel közben titkosítva lesznek.

Az ügyfél állapotinformációi a SQL Server Configuration Manager adatbázisában lesznek tárolva, és nem lesznek elküldve a Microsoftnak. Az információ nem titkosított formátumban van tárolva a helyadatbázisban. Ezek az adatok mindaddig megmaradnak az adatbázisban, amíg azok nem törlődnek az ügyfél állapotelőzményeinek megőrzése a következő napok ügyfélállapot-beállításához konfigurált érték szerint. A beállítás alapértelmezett értéke 31 naponta.

Az Exchange Server-összekötő adatvédelmi információi

A Exchange Server-összekötő megkeresi és kezeli azokat az eszközöket, amelyek az ActiveSync protokollal csatlakoznak egy helyszíni vagy üzemeltetett Exchange Server. A Exchange Server Connector által talált rekordok a SQL Server Configuration Manager adatbázisában vannak tárolva. Az adatokat a Exchange Server gyűjti a rendszer. Nem tartalmaz semmilyen további információt arról, hogy mit küldenek a mobileszközök a Exchange Server.

A mobileszköz-adatokat a rendszer nem küldi el a Microsoftnak. A mobileszköz-adatokat a rendszer a SQL Server Configuration Manager adatbázisában tárolja. Az adatok az adatbázisban maradnak, amíg a helykarbantartási feladat 90 naponta nem törli az elavult felderítési adatokat . Konfigurálja a törlési időközt.

A Microsoft adatgyűjtéséről és használatáról a Microsoft adatvédelmi nyilatkozatában olvashat bővebben.