Biztonság és adatvédelem a Configuration Manager-ügyfelekSecurity and privacy for Configuration Manager clients

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a cikk azt ismerteti, biztonsági és adatvédelmi információkat a Configuration Manager-ügyfelek.This article describes security and privacy information for Configuration Manager clients. Által felügyelt mobileszközökre vonatkozó információkat is tartalmaz a Exchange Server-összekötő.It also includes information for mobile devices that are managed by the Exchange Server connector.

Ajánlott biztonsági eljárások az ügyfelek számáraSecurity best practices for clients

A Configuration Manager-ügyfelet futtató eszközök adatokat fogad a Configuration Manager-hely.The Configuration Manager site accepts data from devices that run the Configuration Manager client. Ezt a viselkedést azzal a kockázattal jár, hogy az ügyfelek megtámadhatják a helyet.This behavior introduces the risk that the clients could attack the site. például nem megfelelően formázott leltárat küldhetnek, vagy megkísérelhetik túlterhelni a helyrendszereket.For example, they could send malformed inventory, or attempt to overload the site systems. A Configuration Manager-ügyfelet csak megbízható eszközökre telepítse.Deploy the Configuration Manager client only to devices that you trust. Emellett az alábbi ajánlott biztonsági eljárásokkal erősítheti a hely védelmét a rosszindulatú vagy veszélyeztetett biztonságú eszközökkel szemben:In addition, use the following security best practices to help protect the site from rogue or compromised devices:

Nyilvános kulcsokra épülő infrastruktúrájú (PKI) tanúsítványokat használ az IIS-t futtató helyrendszerek ügyfél-kommunikációhozUse public key infrastructure (PKI) certificates for client communications with site systems that run IIS

  • A hely tulajdonságainál a Helyrendszer beállításai elemet állítsa Csak HTTPS értékre.As a site property, configure Site system settings for HTTPS only.

  • Telepítse az ügyfeleket a UsePKICert CCMSetup-tulajdonsággal.Install clients with the UsePKICert CCMSetup property.

  • Használja a visszavont tanúsítványok listáját (CRL), és ügyeljen arra, hogy a lista mindig elérhető legyen az ügyfelek és a kommunikáló kiszolgálók számára.Use a certificate revocation list (CRL) and make sure that clients and communicating servers can always access it.

Mobileszközök és az egyes internetes ügyfelek szükséges ezeket a tanúsítványokat.Mobile device clients and some internet-based clients require these certificates. A Microsoft ezeket a tanúsítványokat az intraneten lévő összes ügyfélkapcsolatok javasolja.Microsoft recommends these certificates for all client connections on the intranet.

További információ a PKI-tanúsítványának követelményeiről és használatuk a Configuration Manager védelme érdekében: PKI-tanúsítványkövetelmények.For more information about the PKI certificate requirements and how they're used to help protect Configuration Manager, see PKI certificate requirements.

Automatikusan hagyja jóvá a megbízható tartományból csatlakozó ügyfélszámítógépeket, és manuálisan ellenőrizze és hagyja jóvá a többi számítógépet.Automatically approve client computers from trusted domains and manually check and approve other computers

PKI-alapú hitelesítés nem használható, ha a jóváhagyási, amely megbízik a Configuration Manager által kezelt számítógépeket azonosítja.When you can't use PKI authentication, approval identifies a computer that you trust to be managed by Configuration Manager. A hierarchiában olyan ügyféljóváhagyás konfigurálásához a következő beállításokat:The hierarchy has the following options to configure client approval:

  • ManuálisManual
  • Automatikus megbízható tartományokban lévő számítógépek számáraAutomatic for computers in trusted domains
  • Az összes számítógép automatikusAutomatic for all computers

A legbiztonságosabb jóváhagyási módszer a megbízható tartományba tartozó ügyfelek automatikus jóváhagyása.The most secure approval method is to automatically approve clients that are members of trusted domains. Ezután manuálisan ellenőrizze, és hagyja jóvá az összes többi számítógép.Then manually check and approve all other computers. Összes ügyfél automatikus jóváhagyása nem ajánlott, kivéve, ha más hozzáférés-vezérlést megakadályozza, hogy a nem megbízható számítógépek hozzáférjenek a hálózathoz.Automatically approving all clients isn't recommended, unless you have other access controls to prevent untrustworthy computers from accessing your network.

További információ a számítógépek manuális jóváhagyásáról: ügyfelek kezelése az eszközök csomópontból.For more information about how to manually approve computers, see Manage clients from the devices node.

Megakadályozza, hogy az ügyfelek elérése a Configuration Manager-hierarchia ne blokkolássalDon't rely on blocking to prevent clients from accessing the Configuration Manager hierarchy

A Configuration Manager-infrastruktúra visszautasítja a blokkolt ügyfelek számára.Blocked clients are rejected by the Configuration Manager infrastructure. Ügyfelek le vannak tiltva, ha azok nem lehet kommunikálni a helyrendszerekkel házirend letöltése, tölthet fel leltári adatokat vagy állapot- és állapotüzeneteket küldeni.If clients are blocked, they can't communicate with site systems to download policy, upload inventory data, or send state or status messages.

A következő célokra tervezték, blokkolása:Blocking is designed for the following scenarios:

  • Elveszett vagy sérült biztonságú rendszerindító adathordozók letiltására, ha az operációs rendszer központi telepítését az ügyfelekreTo block lost or compromised boot media when you deploy an OS to clients
  • Ha összes helyrendszer fogadja a HTTPS-kapcsolatokWhen all site systems accept HTTPS client connections

Ha a helyrendszerekkel HTTP-ügyfélkapcsolatokat fogad, a nem blokkolja-e a Configuration Manager-hierarchia védelmére a nem megbízható számítógépekkel támaszkodnak.When site systems accept HTTP client connections, don't rely on blocking to protect the Configuration Manager hierarchy from untrusted computers. Ebben a forgatókönyvben a blokkolt ügyfelek újracsatlakozhatnak a helyhez, és a egy új önaláírt tanúsítvánnyal és hardver.In this scenario, a blocked client could rejoin the site with a new self-signed certificate and hardware ID.

Visszavont egy, elsődleges védelmi vonalként a potenciálisan veszélyeztetett tanúsítványokkal szemben.Certificate revocation is the primary line of defense against potentially compromised certificates. A visszavont tanúsítványok listáját (CRL) csak a támogatott nyilvános kulcsokra épülő infrastruktúrával (PKI) érhető el.A certificate revocation list (CRL) is only available from a supported public key infrastructure (PKI). A Configuration Managerben az ügyfelek blokkolása kínál a második sor védelmi vonalként-hierarchia védelmére.Blocking clients in Configuration Manager offers a second line of defense to protect your hierarchy.

További információkért lásd: ügyfélszoftverek letiltásának meghatározása.For more information, see Determine whether to block clients.

Ez a legbiztonságosabb lehetőség ügyfél-telepítési módszer, amelyek környezete számára gyakorlati használataUse the most secure client installation methods that are practical for your environment

  • Tartományi számítógépek esetén a csoportházirendre, illetve a szoftverfrissítésre alapuló ügyfél-telepítési módszerek biztonságosabb megoldást nyújtanak az ügyfélleküldéses telepítésnél.For domain computers, Group Policy client installation and software update-based client installation methods are more secure than client push installation.

  • Ha hozzáférés-szabályozási és változáskezelési intézkedések, lemezkép-készítési és manuális telepítési módokat kell használnia.If you apply access controls and change controls, use imaging and manual installation methods.

  • 1806 vagy újabb verziója, az ügyfélleküldéses telepítés kölcsönös Kerberos-hitelesítés használata.In version 1806 or later, use Kerberos mutual authentication with client push installation.

Az összes ügyfél-telepítési módszer ügyfélleküldéses telepítés a legkevésbé biztonságos beállítás miatt a számos függőségi.Of all the client installation methods, client push installation is the least secure because of the many dependencies it has. A függőségek közé tartozik a helyi rendszergazdai engedélyekkel, az Admin$ megosztás és a tűzfalkivételeket.These dependencies include local administrative permissions, the Admin$ share, and firewall exceptions. Száma és típusa, a függőségek növelik a támadási felületet.The number and type of these dependencies increase your attack surface.

Kezdésig hátralevő verzió 1806, amikor ügyfélleküldéses módszerrel, a hely is Kerberos kölcsönös hitelesítés szükséges azáltal, hogy nem az NTLM Protokollra tartalék kapcsolat kialakítása előtt.Starting in version 1806, when using client push, the site can require Kerberos mutual authentication by not allowing fallback to NTLM before establishing the connection. Az új funkció segíti a kiszolgáló és az ügyfél közötti kommunikáció biztonságossá tételéhez.This enhancement helps to secure the communication between the server and the client. További információkért lásd: ügyfelek telepítése ügyfélleküldéssel.For more information, see How to install clients with client push.

További információ a különböző ügyfél-telepítési módszer: ügyfél-telepítési módszerek.For more information about the different client installation methods, see Client installation methods.

Amikor csak lehetséges, válassza ki az ügyfél-telepítési módszer, amely megköveteli a legalacsonyabb biztonsági engedélyek a Configuration Managerben.Wherever possible, select a client installation method that requires the least security permissions in Configuration Manager. A rendszergazdák, akik az engedélyeket, amelyek nem használható a biztonsági szerepkörökhöz rendelt korlátozza.Restrict the administrative users that are assigned security roles with permissions that can be used for purposes other than client deployment. Például az automatikus ügyfélfrissítés konfigurálása szükséges a teljes körű rendszergazda biztonsági szerepkört, amely minden biztonsági engedélyt biztosít a rendszergazda felhasználó.For example, configuring automatic client upgrade requires the Full Administrator security role, which grants an administrative user all security permissions.

A függőségek és az egyes ügyféltelepítési módszerek szükséges biztonsági engedélyeiről kapcsolatos további információkért lásd: "A telepítési módszer függőségei" a számítógépre telepített ügyfelekre vonatkozó Előfeltételek.For more information about the dependencies and security permissions required for each client installation method, see "Installation method dependencies" in Prerequisites for computer clients.

Ha mindenképpen ügyfélleküldéses telepítést kell használnia, további lépésekkel gondoskodjon az ügyfélleküldéses telepítési fiók biztonságáról.If you must use client push installation, take additional steps to secure the Client Push Installation Account

Ennek a fióknak kell lennie a helyi tagja rendszergazdák csoport minden olyan számítógépen, telepíti a Configuration Manager-ügyfél.This account must be a member of the local Administrators group on each computer that installs the Configuration Manager client. Semmiképpen ne vegye fel az Ügyfélleküldéses telepítési fiókot a Tartománygazdák csoport.Never add the Client Push Installation Account to the Domain Admins group. Ehelyett hozzon létre egy globális csoportot, és adja hozzá a azt a helyi rendszergazdák csoportba az ügyfélszámítógépeken.Instead, create a global group, and then add that global group to the local Administrators group on your clients. Hozzon létre egy csoportházirend-objektumot egy korlátozott csoport beállítással hozzáadhatja az Ügyfélleküldéses telepítési fiókot a helyi rendszergazdák csoport.Create a group policy object to add a Restricted Group setting to add the Client Push Installation Account to the local Administrators group.

A fokozott biztonság érdekében több Ügyfélleküldéses telepítési fiókot, csak korlátozott számú számítógépre rendszergazdai hozzáféréssel létrehozása.For additional security, create multiple Client Push Installation Accounts, each with administrative access to a limited number of computers. Ha az egyik fiók biztonsága sérül, csak, amelyhez az adott fiók által elérhető ügyfélszámítógépek kerülnek veszélybe.If one account is compromised, only the client computers to which that account has access are compromised.

Az ügyfelek lemezképkészítés előtti tanúsítványok eltávolításaRemove certificates before imaging clients

Operációsrendszer-lemezképek használatával az ügyfelek központi telepítése esetén mindig távolítsa el a lemezkép rögzítése előtt.When you deploy clients by using OS images, always remove certificates before capturing the image. Ezeket a tanúsítványokat például a PKI-tanúsítványokat az ügyfél-hitelesítéshez és az önaláírt tanúsítványokat.These certificates include PKI certificates for client authentication, and self-signed certificates. Ha nem távolítja el ezeket a tanúsítványokat, az ügyfelek megszemélyesíthetik egymást.If you don't remove these certificates, clients might impersonate each other. Az adatok minden ügyfél számára nem ellenőrizhető.You can't verify the data for each client.

További információkért lásd: hozzon létre egy feladatütemezést az operációs rendszer rögzítéséhez.For more information, see Create a task sequence to capture an operating system.

Győződjön meg arról, hogy a Configuration Manager számítógépre telepített ügyfelekre első ügyfélszámítógépei hiteles példányt kapjanak ilyen tanúsítványokEnsure that the Configuration Manager computer clients get an authorized copy of these certificates

  • A Configuration Manager megbízható legfelső szintű tanúsítvánnyalThe Configuration Manager trusted root key certificate

    Ha az alábbi utasítások mindkét feltétel teljesül, az ügyfelek a Configuration Manager megbízható legfelső szintű kulcs érvényes felügyeleti pontok hitelesítéséhez támaszkodnak:When both of the following statements are true, clients rely on the Configuration Manager trusted root key to authenticate valid management points:

    • Még nem bővítette az Active Directory-sémát a Configuration ManagerbenYou haven't extended the Active Directory schema for Configuration Manager
    • Az ügyfelek nem PKI-tanúsítványokat használ, amikor a felügyeleti pontokkal való kommunikációClients don't use PKI certificates when they communicate with management points

    Ebben a forgatókönyvben az ügyfelek nem áll módjában győződjön meg arról, hogy a felügyeleti pont megbízható-e a hierarchia egyedül a megbízható legfelső szintű kulcs.In this scenario, clients have no way to verify that the management point is trusted for the hierarchy unless they use the trusted root key. A megbízható legfelső szintű kulcs nélkül a gyakorlott támadók rosszindulatú felügyeleti ponthoz irányíthatják az ügyfeleket.Without the trusted root key, a skilled attacker could direct clients to a rogue management point.

    Ha az ügyfelek nem tudják letölteni a Configuration Manager megbízható legfelső szintű kulcsot, a globális katalógusból vagy PKI-tanúsítványok használatával, az ügyfeleket előre ellátja a megbízható legfelső szintű kulccsal.When clients can't download the Configuration Manager trusted root key from the Global Catalog or by using PKI certificates, pre-provision the clients with the trusted root key. Ez a művelet gondoskodik arról, hogy azok nem kell irányítani egy engedélyezetlen felügyeleti pontra.This action makes sure that they can't be directed to a rogue management point. További információkért lásd: a megbízható legfelső szintű kulcs tervezése.For more information, see Planning for the trusted root key.

  • A helykiszolgáló aláíró tanúsítványábólThe site server signing certificate

    Az ügyfelek ezt a tanúsítványt használatával győződjön meg arról, hogy a helykiszolgáló aláírta-e a felügyeleti pontról letöltött házirendet.Clients use this certificate to verify that the site server signed the policy downloaded from a management point. A tanúsítványt a helykiszolgáló maga írja alá és teszi közzé az Active Directory Domain Servicesben.This certificate is self-signed by the site server and published to Active Directory Domain Services.

    Ha az ügyfelek nem tudják letölteni a helykiszolgáló aláíró tanúsítványát a globális katalógusból, alapértelmezés szerint letöltik a felügyeleti pontról.When clients can't download the site server signing certificate from the Global Catalog, by default they download it from the management point. Ha a felügyeleti pont egy nem megbízható hálózatban, mint például az interneten van kitéve, manuálisan telepítse a helykiszolgáló aláíró tanúsítványát az ügyfeleken.If the management point is exposed to an untrusted network like the internet, manually install the site server signing certificate on clients. Ez a művelet gondoskodik arról, hogy illetéktelenül ügyfélházirendek nem tudják letölteni a veszélyeztetett biztonságú felügyeleti pontokról.This action makes sure that they can't download tampered client policies from a compromised management point.

    A helykiszolgáló aláíró tanúsítványának manuális telepítéséhez használja a CCMSetup eszköz SMSSIGNCERT client.msi-tulajdonságát.To manually install the site server signing certificate, use the CCMSetup client.msi property SMSSIGNCERT. További információkért lásd: kapcsolatos ügyfél-telepítési tulajdonságok.For more information, see About client installation properties.

Ne használjon automatikus helyhozzárendelést, ha az ügyfél letölti a megbízható legfelső szintű kulcsot az első felügyeleti pontról, amelyhez csatlakozikDon't use automatic site assignment if the client downloads the trusted root key from the first management point it contacts

Elkerülése érdekében a kockázat egy új ügyfél, a megbízható legfelső szintű kulcs letölteni egy engedélyezetlen felügyeleti ponthoz, csak használatát automatikus helyhozzárendelés a következő esetekben:To avoid the risk of a new client downloading the trusted root key from a rogue management point, only use automatic site assignment in the following scenarios:

  • Az ügyfél hozzáférhet az Active Directory Domain Servicesben közzétett helyinformációkat Configuration Manager.The client can access Configuration Manager site information that's published to Active Directory Domain Services.

  • Ha előre ellátja az ügyfelet a megbízható legfelső szintű kulccsal.You pre-provision the client with the trusted root key.

  • Ha PKI-tanúsítványokat használ egy vállalati hitelesítésszolgáltatótól ahhoz, hogy megbízhatósági kapcsolatot létesítsen az ügyfél és a felügyeleti pont között.You use PKI certificates from an enterprise certification authority to establish trust between the client and the management point.

A megbízható legfelső szintű kulccsal kapcsolatos további információkért lásd: a megbízható legfelső szintű kulcs tervezése.For more information about the trusted root key, see Planning for the trusted root key.

Az ügyfélszámítógépek telepítéséhez használja a SMSDIRECTORYLOOKUP=NoWINS Client.msi-beállítást a CCMSetup eszközben.Install client computers with the CCMSetup Client.msi option SMSDIRECTORYLOOKUP=NoWINS

Az Active Directory Domain Services biztosítja az ügyfeleknek a legbiztonságosabb szolgáltatás-helymeghatározási módszert a helyek és felügyeleti pontok megtalálására.The most secure service location method for clients to find sites and management points is to use Active Directory Domain Services. Egyes esetekben ez a módszer nem lehetséges, az egyes környezetek.Sometimes this method isn't possible for some environments. Például mert nem kiterjeszti az Active Directory-sémát a Configuration Manager, illetve az ügyfelek nem megbízható erdőben vagy munkacsoportban találhatók.For example, because you can't extend the Active Directory schema for Configuration Manager, or because clients are in an untrusted forest or a workgroup. Ha ez a módszer nem lehetséges, használja a DNS-közzététel egy alternatív szolgáltatáskeresési módszer.If this method isn't possible, use DNS publishing as an alternative service location method. Ha mindkét módszer sem, és ha a felügyeleti pont nincs beállítva a HTTPS-ügyfélkapcsolatokat, ügyfelek visszatérhetnek WINS használatával.If both these methods fail, and when the management point isn't configured for HTTPS client connections, clients can fall back to using WINS.

WINS-közzététel a kevésbé biztonságos, mint a többi közzétételi módszer.Publishing to WINS is less secure than the other publishing methods. Ügyfélszámítógépek nem térhet vissza a WINS használatára megadásával SMSDIRECTORYLOOKUP = NoWINS.Configure client computers to not fall back to using WINS by specifying SMSDIRECTORYLOOKUP=NoWINS. Szolgáltatáskeresés WINS kell használnia, ha SMSDIRECTORYLOOKUP = winssecure konfigurációs BEÁLLÍTÁSSAL.If you must use WINS for service location, use SMSDIRECTORYLOOKUP=WINSSECURE. Ez a beállítás az alapértelmezett érték.This setting is the default. A Configuration Manager megbízható legfelső szintű kulcs ellenőrzése a felügyeleti pont önaláírt tanúsítványát használja.It uses the Configuration Manager trusted root key to validate the self-signed certificate of the management point.

Megjegyzés

-Ügyfél konfigurálása során SMSDIRECTORYLOOKUP = winssecure konfigurációs BEÁLLÍTÁSSAL és a egy felügyeleti pont WINS-, akkor az ügyfél ellenőrzi a WMI-ben a Configuration Manager megbízható legfelső szintű kulcs másolatát.When you configure the client for SMSDIRECTORYLOOKUP=WINSSECURE and it finds a management point from WINS, the client checks its copy of the Configuration Manager trusted root key that's in WMI.

Ha az aláírást a felügyeleti pont tanúsítvány megfelel a megbízható legfelső szintű kulcs példányának az ügyfélen, a rendszer érvényesíti a tanúsítványt.If the signature on the management point certificate matches the client's copy of the trusted root key, the certificate is validated. Miután ellenőrizte a tanúsítványt, az ügyfél elindul a WINS segítségével talált felügyeleti ponttal kommunikál.After validating the certificate, the client starts communicates with the management point that it found by using WINS.

A felügyeleti pont tanúsítványának aláírása nem felel meg a megbízható legfelső szintű kulcs példányának az ügyfélen, ha a tanúsítvány nem érvényes.If the signature on the management point certificate doesn't match the client's copy of the trusted root key, the certificate isn't valid. Ebben a forgatókönyvben az ügyfél nem a WINS segítségével talált felügyeleti ponttal kommunikálni.In this scenario, the client doesn't communicate with the management point that it found by using WINS.

Ügyeljen arra, hogy a karbantartási időszakok kellőképpen hosszúak legyenek a kritikus szoftverfrissítések telepítéséreMake sure that maintenance windows are large enough to deploy critical software updates

Karbantartási időszakok a eszközgyűjtemények korlátozza az időpontokat, hogy a Configuration Manager mikor telepíthet szoftvereket a ezeken az eszközökön.Maintenance windows for device collections restrict the times that Configuration Manager can install software on these devices. Konfigurálja a karbantartási időszak túl kicsi, ha az ügyfél lehet, hogy telepítse a kritikus szoftverfrissítéseket.If you configure the maintenance window to be too small, the client may not install critical software updates. Ez a viselkedés védtelen az ügyfél a támadás, amely csökkenti a szoftverfrissítés.This behavior leaves the client vulnerable to any attack that the software update mitigates.

További biztonsági intézkedésekre van az írási szűrőket tartalmazó Windows embedded-eszközökön a támadási felület csökkentése érdekébenTake additional security precautions to reduce the attack surface on Windows embedded devices with write filters

Ha engedélyezi az írási szűrőket a Windows Embedded-eszközökön, szoftvertelepítések és -módosítások csak végzett az átmeneti területre.When you enable write filters on Windows Embedded devices, any software installations or changes are only made to the overlay. Ezek a változások az eszköz újraindítása után nem maradnak.These changes don't persist after the device restarts. Ha a Configuration Manager segítségével az írási szűrők letiltása, ebben az időszakban az embedded-eszköz kitéve, az összes kötet.If you use Configuration Manager to disable the write filters, during this period the embedded device is vulnerable to changes to all volumes. Ezek a kötetek megosztott mappák közé tartozik.These volumes include shared folders.

A Configuration Manager lezárja a gépet ebben az időszakban, így csak a helyi rendszergazdák jelentkezhetnek be.Configuration Manager locks the computer during this period so that only local administrators can sign in. Amikor csak lehetséges, a számítógép védelmét további biztonsági intézkedésekre van.Whenever possible, take additional security precautions to help protect the computer. Például engedélyezzen további korlátozásokat a tűzfalon.For example, enable additional restrictions on the firewall.

Ha a karbantartási időszakok használata a változtatások megőrzéséhez, tervezze meg gondosan.If you use maintenance windows to persist changes, plan these windows carefully. Az időt, hogy az írási szűrők le vannak tiltva, de ezek elég hosszú, hogy a szoftvertelepítések és -újraindítások befejeződhessenek.Minimize the time that write filters are disabled, but make them long enough to allow software installations and restarts to complete.

Ügyfél legújabb verzióját használja a szoftverfrissítés-alapú ügyféltelepítésUse the latest client version with software update-based client installation

Ha a szoftverfrissítés-alapú ügyféltelepítés használatához, és az ügyfél egy későbbi verzióját telepíti a helyre, frissítse a közzétett szoftverfrissítést.If you use software update-based client installation, and install a later version of the client on the site, update the published software update. Ezután az ügyfelek a legújabb verzió jusson a szoftverfrissítési pontról.Then clients receive the latest version from the software update point.

Amikor frissíti a helyet, a szoftverfrissítés, az ügyfelek központi telepítéséhez, a szoftverfrissítési ponton közzétett automatikusan nem frissül.When you update the site, the software update for client deployment that's published to the software update point isn't automatically updated. Tegye közzé újra a Configuration Manager ügyfelet a szoftverfrissítési pont és a verziószám frissítéséhez.Republish the Configuration Manager client to the software update point and update the version number.

További információkért lásd: Configuration Manager-ügyfelek telepítéséről a szoftverfrissítéses telepítés használatával.For more information, see How to install Configuration Manager clients by using software update-based installation.

Csak a megbízható, korlátozott hozzáférésű eszközökön a BitLocker PIN-kód bevitelének felfüggesztéseOnly suspend BitLocker PIN entry on trusted and restricted-access devices

Csak konfigurálása az ügyfél-eszközbeállítást felfüggeszti a BitLocker PIN-kód bejegyzés újraindítás való mindig , hogy megbízható, korlátozott fizikai hozzáféréssel rendelkező számítógépeken.Only configure the client setting to Suspend BitLocker PIN entry on restart to Always for computers that you trust and that have restricted physical access.

Ezt az ügyfélbeállítást beállításakor mindig, Configuration Manager is fejezni a szoftvertelepítést.When you set this client setting to Always, Configuration Manager can complete the installation of software. Ez a viselkedés lehetővé teszi a kritikus szoftverfrissítések telepítése, és visszaállíthatja a szolgáltatásokat.This behavior helps install critical software updates and resume services. Ha egy támadó elfogja az újraindítási folyamatot, akkor átveheti a számítógép.If an attacker intercepts the restart process, they could take control of the computer. Használja ezt a beállítást csak akkor, ha megbízik a számítógépen, és ha a számítógép fizikai hozzáférését.Use this setting only when you trust the computer, and when physical access to the computer is restricted. Ez a beállítás például egy adatközpont-kiszolgálók megfelelő lehet.For example, this setting might be appropriate for servers in a data center.

Ezt az ügyfélbeállítást a további információkért lásd: ügyfélbeállítások.For more information on this client setting, see About client settings.

PowerShell végrehajtási házirend nem megkerüléseDon't bypass PowerShell execution policy

Ha adja meg a Configuration Manager ügyfél-eszközbeállítást az PowerShell végrehajtási házirend való Mellőzés, majd a Windows lehetővé teszi, hogy az aláíratlan PowerShell-parancsfájlok futtatását.If you configure the Configuration Manager client setting for PowerShell execution policy to Bypass, then Windows allows unsigned PowerShell scripts to run. Ez a viselkedés lehetővé teheti kártevő szoftverek futtatása az ügyfélszámítógépeken.This behavior could allow malware to run on client computers. A szervezet megköveteli ezt a beállítást, ha használja az egyéni ügyfélbeállításokat.When your organization requires this option, use a custom client setting. Rendelje hozzá az ügyfél számítógépeken, amelyeken aláíratlan PowerShell-szkripteket kell futtatnia.Assign it to only the client computers that must run unsigned PowerShell scripts.

Ezt az ügyfélbeállítást a további információkért lásd: ügyfélbeállítások.For more information on this client setting, see About client settings.

Ajánlott biztonsági eljárások mobileszközökhözSecurity best practices for mobile devices

Telepítse a beléptetési proxypontot egy peremhálózatra, a beléptetési pontot pedig az intranetreInstall the enrollment proxy point in a perimeter network and the enrollment point in the intranet

Internet-alapú mobileszközök regisztrálása a Configuration Managerrel telepítse a beléptetési proxypontot egy peremhálózatra, a beléptetési pontot pedig az intranetre.For internet-based mobile devices that you enroll with Configuration Manager, install the enrollment proxy point in a perimeter network and the enrollment point in the intranet. A szerepkörök ilyen elválasztása hozzájárul a beléptetési pont támadások elleni védelméhez.This role separation helps to protect the enrollment point from attack. Ha egy támadó károsan befolyásolja a beléptetési pontot, hogy sikerült megszerezhet hitelesítési tanúsítványokat.If an attacker compromises the enrollment point, they could obtain certificates for authentication. Akkor is lophatnak felhasználók, akik a saját mobileszközeiket léptetik be a hitelesítő adatokat.They can also steal the credentials of users who enroll their mobile devices.

Konfigurálja a jelszóbeállításokat a mobileszközök jogosulatlan hozzáférés elleni védelmének elősegítéséreConfigure the password settings to help protect mobile devices from unauthorized access

A Configuration Manager által beléptetett mobileszközökhöz: Egy mobileszköz-konfigurációs elem használatával konfigurálja a jelszó erősségét a PIN-kódot.For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the password complexity as the PIN. Adja meg legalább az alapértelmezett jelszó minimális hossza.Specify at least the default minimum password length.

A Configuration Manager-ügyfél nem rendelkezik, de az Exchange Server-összekötő által kezelt mobileszközök: Konfigurálja a jelszóbeállítások az Exchange Server-összekötő például úgy, hogy a jelszó erősségét a PIN-kódot.For mobile devices that don't have the Configuration Manager client installed but are managed by the Exchange Server connector: Configure the Password Settings for the Exchange Server connector such that the password complexity is the PIN. Adja meg legalább az alapértelmezett jelszó minimális hossza.Specify at least the default minimum password length.

Csak alkalmazások futtatásának engedélyezése, hogy a vállalat által aláírt, hogy megbízhatóOnly allow applications to run that are signed by companies that you trust

Azáltal, hogy csak akkor, ha azok jelentkezett cégek, hogy megbízható alkalmazásokat a és az állapotinformációk illetéktelen módosításának megelőzése érdekében.Help prevent tampering of inventory information and status information by allowing applications to run only when they're signed by companies that you trust. Aláíratlan fájlok telepítése eszközök nem teszik lehetővé.Don't allow devices to install unsigned files.

A Configuration Manager által beléptetett mobileszközökhöz: Egy mobileszköz-konfigurációs elem használatával adja meg a biztonsági beállításokat aláíratlan alkalmazások , tiltott.For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the security setting Unsigned applications as Prohibited. Konfigurálása aláíratlan fájlok telepítése beállítást pedig egy megbízható forrásra.Configure Unsigned file installations to be a trusted source.

A Configuration Manager-ügyfél nem rendelkezik, de az Exchange Server-összekötő által kezelt mobileszközök: Konfigurálja a nastavení Aplikace az Exchange Server-összekötőhöz, hogy aláíratlan fájlok telepítése és aláíratlan alkalmazások vannak Tiltott.For mobile devices that don't have the Configuration Manager client installed but are managed by the Exchange Server connector: Configure the Application Settings for the Exchange Server connector such that Unsigned file installation and Unsigned applications are Prohibited.

Zárolhatja a mobileszközöket, amikor nincs használatbanLock mobile devices when not in use

A mobil eszköz zárolását, amikor nincs használatban a jogok kiterjesztését felhasználó támadások megelőzése érdekében.Help prevent elevation of privilege attacks by locking the mobile device when it isn't used.

A Configuration Manager által beléptetett mobileszközökhöz: Adja meg a jelszó-beállításokat egy mobileszköz-konfigurációs elem használatával tétlenség a mobil eszköz zárolása előtt percek.For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the password setting Idle time in minutes before mobile device is locked.

A Configuration Manager-ügyfél nem rendelkezik, de az Exchange Server-összekötő által kezelt mobileszközök: Konfigurálja a jelszóbeállítások az Exchange Server-összekötő beállítása a tétlenség a mobil eszköz zárolása előtt percek.For mobile devices that don't have the Configuration Manager client installed but are managed by the Exchange Server connector: Configure the Password Settings for the Exchange Server connector to set the Idle time in minutes before mobile device is locked.

A felhasználók, akik a mobileszközök regisztrációja korlátozásaRestrict the users who can enroll their mobile devices

A felhasználók, akik a mobileszközök regisztrációja korlátozásával jogok kiterjesztésének megelőzése érdekében.Help prevent elevation of privileges by restricting the users who can enroll their mobile devices. Az alapértelmezettek helyett használjon egyéni ügyfélbeállításokat, amelyek csak a hitelesített felhasználóknak engedélyezik a mobileszközük beléptetését.Use a custom client setting rather than default client settings to allow only authorized users to enroll their mobile devices.

Felhasználói affinitás útmutató eszközök mobileszközökhözUser device affinity guidance for mobile devices

Ne telepítsen alkalmazásokat olyan felhasználók, akik rendelkeznek a következő esetekben a Configuration Manager vagy a Microsoft Intune által beléptetett mobileszközök:Don't deploy applications to users who have mobile devices enrolled by Configuration Manager or Microsoft Intune in the following scenarios:

  • A mobileszközt több személy is használja.The mobile device is used by more than one person.

  • Az eszközregisztráció egy rendszergazda felhasználó nevében.The device is enrolled by an administrator on behalf of a user.

  • Az eszköz kivonása és átruházzák nélkül kerül át egy másik személynek.The device is transferred to another person without retiring and then re-enrolling the device.

Eszközök regisztrálása a felhasználó-eszköz kapcsolat hoz létre.Device enrollment creates a user device affinity relationship. Ez a kapcsolat a mobil eszköz beléptetést végző felhasználót hozzárendeli.This relationship maps the user who performs enrollment to the mobile device. Ha egy másik felhasználó használja a mobileszközt, a jogok kiterjesztésével azt eredményezheti, hogy az eredeti felhasználó számára központilag telepített alkalmazások is működhetnek.If another user uses the mobile device, they can run the applications deployed to the original user, which might result in an elevation of privileges. Hasonlóképpen ha egy rendszergazda felhasználó számára a mobil eszköz regisztrálja, a felhasználó számára központilag telepített alkalmazások nincsenek telepítve a mobileszközön.Similarly, if an administrator enrolls the mobile device for a user, applications deployed to the user aren't installed on the mobile device. Ehelyett a rendszergazda számára központilag telepített alkalmazások telepítve lehetnek.Instead, applications deployed to the administrator might be installed.

Eltérően a Windows-számítógépek felhasználó-eszköz kapcsolat nem lehet manuálisan definiálni a felhasználó-eszköz kapcsolat információkat a Microsoft Intune által beléptetett mobileszközök esetében.Unlike user device affinity for Windows computers, you can't manually define the user device affinity information for mobile devices enrolled by Microsoft Intune.

Ha egy Intune által beléptetett mobileszköz tulajdonjogát, először a mobileszköz kivonása az Intune-ból.If you transfer ownership of a mobile device that's enrolled by Intune, first retire the mobile device from Intune. Ez a művelet eltávolítja a felhasználó-eszköz kapcsolat.This action removes the user device affinity relationship. Majd kérje meg az új felhasználót, hogy léptesse be újra az eszközt.Then ask the current user to enroll the device again.

Győződjön meg arról, hogy a felhasználók saját mobileszközüket léptetik regisztrálni a Microsoft IntuneMake sure that users enroll their own mobile devices for Microsoft Intune

A felhasználó-eszköz kapcsolat beléptetéskor jön létre.A user device affinity relationship is created during enrollment. Ez a művelet a mobileszköz-beléptetést végző felhasználót hozzárendeli.This action maps the user who performs enrollment to the mobile device. Ha egy rendszergazda felhasználó számára a mobil eszköz regisztrálja, a felhasználó számára központilag telepített alkalmazások nincsenek telepítve, a mobileszközön.If an administrator enrolls the mobile device for a user, applications deployed to the user aren't installed on the mobile device. Ehelyett a rendszergazda számára központilag telepített alkalmazások telepítve lehetnek.Instead, applications deployed to the administrator might be installed.

A Configuration Manager-helykiszolgáló és az Exchange Server közötti kapcsolat védelmétProtect the connection between the Configuration Manager site server and the Exchange Server

Ha az Exchange Server helyszíni, használja az IPSec protokollt.If the Exchange Server is on-premise, use IPsec. Szolgáltatott Exchange automatikusan SSL használatával biztonságossá teszi a kapcsolatot.Hosted Exchange automatically secures the connection by using SSL.

Használja a legalacsonyabb jogosultságok elvét az összekötőhözUse the principle of least privileges for the connector

Az Exchange Server-összekötő számára szükséges minimális parancsmagok listáját lásd: mobileszközök kezelése a Configuration Manager és az Exchange.For a list of the minimum cmdlets that the Exchange Server connector requires, see Manage mobile devices with Configuration Manager and Exchange.

Ajánlott biztonsági eljárások Mac számítógépekenSecurity best practices for Macs

Store és az ügyfél forrásfájljait eléréséhez használja biztonságos helyrőlStore and access the client source files from a secured location

Mielőtt telepíti vagy belépteti az ügyfelet a Mac számítógépen, a Configuration Manager nem ellenőrzi, hogy ezek az ügyfél forrásfájljait módosították.Before installing or enrolling the client on Mac computer, Configuration Manager doesn't verify whether these client source files have been tampered with. Töltse le ezeket a fájlokat megbízható forrásból származik.Download these files from a trustworthy source. Biztonságosan tárolhatja és érheti el őket.Securely store and access them.

Figyelje és kövesse a tanúsítvány érvényességi idejeMonitor and track the validity period of the certificate

Az üzletmenet folytonosságának biztosításához figyelje és kövesse a Mac számítógépekhez használt tanúsítvány érvényességi időtartamát.To ensure business continuity, monitor and track the validity period of the certificates that you use for Mac computers. A Configuration Manager nem támogatja az automatikus megújítását, ezt a tanúsítványt, vagy figyelmezteti, hogy a tanúsítvány hamarosan lejár.Configuration Manager doesn't support automatic renewal of this certificate, or warn you that the certificate is about to expire. Az érvényesség egy év.A typical validity period is one year.

A tanúsítvány megújításáról kapcsolatos további információkért lásd: a Mac-ügyfél tanúsítványának manuális megújítása.For more information about how to renew the certificate, see Renewing the Mac client certificate manually.

A megbízható legfelső szintű tanúsítvány csak az SSL konfigurálásaConfigure the trusted root certificate for SSL only

Jogok kiterjesztése elleni védelme érdekében konfigurálja a megbízható legfelső szintű hitelesítésszolgáltató tanúsítványa, így azt csak megbízható az SSL protokoll számára.To help protect against elevation of privileges, configure the certificate for the trusted root certificate authority so that it's only trusted for the SSL protocol.

Ha Mac számítógépeket léptet be, kezelheti a Configuration Manager-ügyfél felhasználói tanúsítvány automatikusan települ.When you enroll Mac computers, a user certificate to manage the Configuration Manager client is automatically installed. A felhasználói tanúsítvány megbízhatósági láncában a megbízható legfelső szintű tanúsítványokat tartalmazza.This user certificate includes the trusted root certificates in its trust chain. Az SSL protokoll csak a legfelső szintű tanúsítvány megbízhatóságát korlátozni, használja az alábbi eljárást:To restrict the trust of this root certificate to the SSL protocol only, use the following procedure:

  1. A Mac számítógépen nyisson meg egy terminálablakot.On the Mac computer, open a terminal window.

  2. Adja meg a következő parancsot: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ AccessEnter the following command: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. Az a Keychain Access párbeszédpanel a Keychains területén kattintson rendszer.In the Keychain Access dialog box, in the Keychains section, click System. Ezt a a kategória területén kattintson tanúsítványok.Then in the Category section, click Certificates.

  4. Keresse meg és kattintson duplán a legfelső szintű Hitelesítésszolgáltatói tanúsítványt a Mac-ügyféltanúsítványa.Locate and double-click the root CA certificate for the Mac client certificate.

  5. A legfelső szintű hitelesítésszolgáltatói tanúsítvány párbeszédpanelén bontsa ki a Trust (Megbízhatóság) szakaszt, és hajtsa végre a következő módosításokat:In the dialog box for the root CA certificate, expand the Trust section, and then make the following changes:

    1. Ez a tanúsítvány használatakor: Módosítsa a mindig legyen megbízható beállítást használja a rendszer alapértelmezés szerint.When using this certificate: Change the Always Trust setting to Use System Defaults.

    2. Secure Sockets Layer (SSL): Változás nincs megadva érték való mindig legyen megbízható.Secure Sockets Layer (SSL): Change no value specified to Always Trust.

  6. A párbeszédpanel bezárásához.Close the dialog box. Amikor a rendszer kéri, adja meg a rendszergazdai jelszót, és kattintson beállítások.When prompted, enter the administrator's password, and then click Update Settings.

Miután végzett ezzel az eljárással, a legfelső szintű tanúsítvány csak megbízható az SSL protokoll ellenőrzése.After you complete this procedure, the root certificate is only trusted to validate the SSL protocol. Egyéb protokollok, amelyek a rendszer most már a nem megbízható a legfelső szintű tanúsítvány például biztonságos levelezés (S/MIME), a bővíthető hitelesítési (EAP) vagy a kód aláírása.Other protocols that are now untrusted with this root certificate include Secure Mail (S/MIME), Extensible Authentication (EAP), or code signing.

Megjegyzés

Ez az eljárás is használható, ha telepítette az ügyféltanúsítvány egymástól függetlenül a Configuration Manager alkalmazásból.Also use this procedure if you installed the client certificate independently from Configuration Manager.

A Configuration Manager-ügyfelek biztonsági problémáiSecurity issues for Configuration Manager clients

A következő biztonsági problémákra nincs megoldás:The following security issues have no mitigation:

Állapotüzenetek nincsenek hitelesítveStatus messages aren't authenticated

Az állapotüzeneteken nem történik hitelesítés.No authentication is performed on status messages. Ha egy felügyeleti pont elfogadja a HTTP-ügyfélkapcsolatokat, bármely eszköz küldhet állapotüzeneteket a felügyeleti pontra.When a management point accepts HTTP client connections, any device can send status messages to the management point. Ha a felügyeleti pont HTTPS-ügyfélkapcsolatokat fogad el csak, egy eszközt egy érvényes ügyfél-hitelesítési tanúsítvánnyal kell rendelkeznie, de bármilyen állapotüzenetet is küldhet.If the management point accepts HTTPS client connections only, a device must have a valid client authentication certificate, but could also send any status message. A felügyeleti pont bármely ügyféltől érkezett érvénytelen állapotüzenetet elveti.The management point discards any invalid status message received from a client.

Van néhány lehetséges támadás ezen biztonsági rés ellen:There are a few potential attacks against this vulnerability:

  • A támadó küldhet hamis állapotüzenetet tagságot egy gyűjteményt, amely állapotüzenet-lekérdezések alapján.An attacker could send a bogus status message to gain membership in a collection that's based on status message queries.
  • Bármely ügyfél elindíthat egy szolgáltatásmegtagadási támadást a felügyeleti pont ellen úgy, hogy elárasztja állapotüzenetekkel.Any client could launch a denial of service against the management point by flooding it with status messages.
  • Ha az állapotüzenetek műveleteket váltanak ki állapotüzenet-szűrő szabályokban, akkor a támadó elindíthatja az állapotüzenet-szűrő szabályt.If status messages are triggering actions in status message filter rules, an attacker could trigger the status message filter rule.
  • A támadó lenne információjelentést pontatlanná állapotüzenetet küldhet.An attacker could send status message that would render reporting information inaccurate.

A házirendek átirányíthatók általuk nem érintett ügyfelekrePolicies can be retargeted to non-targeted clients

A támadók többféleképpen irányíthatják át az egyik ügyfélnek szánt házirendet egy másik ügyfélre.There are several methods that attackers could use to make a policy targeted to one client apply to an entirely different client. Ha például egy megbízható ügyfélen a támadó küldhet hamis leltár vagy felderítés adatokat, akkor a számítógép egy gyűjteményt, amelyhez tartozik nem szabad hozzáadni.For example, an attacker at a trusted client could send false inventory or discovery information to have the computer added to a collection to which it shouldn't belong. Az ügyfél által majd megkapja a gyűjteményhez rendelt összes központi telepítést.That client then receives all the deployments to that collection.

Vezérlők léteznek, hogy a támadók közvetlenül módosítsák a házirendet.Controls exist to help prevent attackers from directly modifying policy. Azonban a támadók egy meglévő szabályzatot, amely újraformázza és ismételt üzembe helyezése az operációs rendszer, és küldje el egy másik számítógépre is beletelhet.However, attackers could take an existing policy that reformats and redeploys an OS and send it to a different computer. Ez a szabályzat átirányított szolgáltatásmegtagadást hozható létre.This redirected policy could create a denial of service. Az ilyen típusú támadások pontos időzítés és a Configuration Manager infrastruktúrájának alapos ismerete szükséges.These types of attacks would require precise timing and extensive knowledge of the Configuration Manager infrastructure.

Az ügyfél naplóihoz hozzáférnek a felhasználókClient logs allow user access

Az ügyfelek naplófájljai engedélyezése a felhasználók a csoport olvasási hozzáférés és a speciális interaktív rendelkező felhasználó írási hozzáférés.All the client log files allow the Users group with Read access, and the special Interactive user with Write access. Ha engedélyezi a részletes naplózást, a támadók olvashatják a naplófájlokat, és azokban megkereshetik a megfelelőséggel vagy a rendszer biztonsági réseivel kapcsolatos információkat.If you enable verbose logging, attackers might read the log files to look for information about compliance or system vulnerabilities. Folyamatok például a szoftver, amely az ügyfél telepítése a felhasználói környezetben naplók egy alacsony jogosultságszintű felhasználói fiókkal kell írni.Processes such as software that the client installs in a user's context must write to logs with a low-rights user account. Ez a viselkedés azt jelenti, hogy egy támadó is alacsony jogosultságszintű fiókkal a naplókba sikerült írni.This behavior means an attacker could also write to the logs with a low-rights account.

A legnagyobb veszély az, hogy egy támadó törölhet olyan adatokat a rendszernapló fájljaiban.The most serious risk is that an attacker could remove information in the log files. A rendszergazda a naplózás és a behatolás-észlelési előfordulhat, hogy kell ezt az információt.An administrator might need this information for auditing and intrusion detection.

Egy számítógép felhasználható készült, mobileszköz-beléptetési tanúsítvány beszerzéseA computer could be used to obtain a certificate that's designed for mobile device enrollment

A Configuration Manager feldolgozza a regisztrációs kérelmet, ha a kérés mobileszközről, nem pedig egy olyan számítógépről nem tudja ellenőrizni.When Configuration Manager processes an enrollment request, it can't verify the request originated from a mobile device rather than from a computer. Ha a kérés egy olyan számítógépről, azt telepítheti, amely lehetővé teszi, hogy regisztrálja a Configuration Manager PKI-tanúsítványt.If the request is from a computer, it can install a PKI certificate that then allows it to register with Configuration Manager.

A jogok kiterjesztését felhasználó támadások ebben a forgatókönyvben megelőzése érdekében csak a megbízható felhasználóknak engedélyezze a saját mobileszközeiket léptetik be.To help prevent an elevation of privilege attack in this scenario, only allow trusted users to enroll their mobile devices. Gondosan figyelje a eszköz beléptetési aktivitást a helyen.Carefully monitor device enrollment activities in the site.

A letiltott ügyfél továbbra is küldhet üzeneteket a felügyeleti pontA blocked client can still send messages to the management point

Ha letilt egy ügyfelet, amely már nem bízik, de azt ügyfélfrissítéshez használt hálózati kapcsolat létrejött, a Configuration Manager nem a munkamenet leválasztásához.When you block a client that you no longer trust, but it established a network connection for client notification, Configuration Manager doesn't disconnect the session. A letiltott ügyfél továbbra is küldhet csomagokat a felügyeleti pontjára, amíg az ügyfél le nem kapcsolódik a hálózatról.The blocked client can continue to send packets to its management point until the client disconnects from the network. Ezek a csomagok csak kicsi, életben tartási csomagok, amelyek.These packets are only small, keep-alive packets. Ez az ügyfél nem kezelhető a Configuration Manager által mindaddig, amíg azt van feloldva.This client can't be managed by Configuration Manager until it's unblocked.

Az automatikus ügyfélfrissítés nem ellenőrzi a felügyeleti pontAutomatic client upgrade doesn't verify the management point

Ha automatikus ügyfélfrissítést használ, az ügyfél irányítható a felügyeleti pont az ügyfél-forrásfájlok letöltéséhez.When you use automatic client upgrade, the client can be directed to a management point to download the client source files. Ebben a forgatókönyvben az ügyfél nem ellenőrzi a a felügyeleti pont megbízható forrásból származik.In this scenario, the client doesn't verify the management point as a trusted source.

Amikor a felhasználók először léptetnek be Mac számítógépet, fennáll a címlopás veszélye zajlikWhen users first enroll Mac computers, they're at risk from DNS spoofing

Ha a Mac számítógép kapcsolódik a beléptetési proxypontra beléptetéskor, nem valószínű, hogy a Mac számítógép már rendelkezik-e a megbízható legfelső szintű Hitelesítésszolgáltatói tanúsítvány.When the Mac computer connects to the enrollment proxy point during enrollment, it's unlikely that the Mac computer already has the trusted root CA certificate. Ezen a ponton a Mac számítógép nem bízik az a kiszolgáló, és felszólítja a felhasználót a folytatáshoz.At this point, the Mac computer doesn't trust the server, and prompts the user to continue. Ha egy engedélyezetlen DNS-kiszolgáló teljes tartománynevét (FQDN) a beléptetési proxypont, azt a Mac számítógépet egy engedélyezetlen beléptetési proxypont nem megbízható forrásból származó tanúsítványok telepítése sikerült közvetlen.If a rogue DNS server resolves the fully qualified domain name (FQDN) of the enrollment proxy point, it could direct the Mac computer to a rogue enrollment proxy point to install certificates from an untrusted source. A kockázat csökkentése érdekében kövesse a bevált gyakorlatokat, amelyekkel elkerülheti a címlopást a környezetében.To help reduce this risk, follow best practices to avoid DNS spoofing in your environment.

A Mac beléptetése nem korlátozza a tanúsítványkéréseketMac enrollment doesn't limit certificate requests

A felhasználók mindig újból beléptethetik a Mac gépüket, amikor új ügyféltanúsítványt kérnek.Users can re-enroll their Mac computers, each time requesting a new client certificate. A Configuration Manager nem ellenőrzi a többszörös kéréseket, vagy korlátozza az egyetlen számítógépről kért tanúsítványok számát.Configuration Manager doesn't check for multiple requests or limit the number of certificates requested from a single computer. Egy rosszindulatú felhasználó futtathat olyan parancsfájlt, amely megismétli a parancssori beléptetési kérést.A rogue user could run a script that repeats the command-line enrollment request. A támadás szolgáltatásmegtagadást okozhat, a hálózaton, vagy a kiállító hitelesítésszolgáltató (CA).This attack could cause a denial of service on the network or on the issuing certificate authority (CA). Hogy ennek a veszélyét csökkentse, körültekintően figyelje a kibocsátó hitelesítésszolgáltató esetleges ilyen típusú gyanús viselkedését.To help reduce this risk, carefully monitor the issuing CA for this type of suspicious behavior. Minden olyan számítógép működés ilyen viselkedésmintát azonnali letiltása a Configuration Manager hierarchiából.Immediately block from the Configuration Manager hierarchy any computer that shows this pattern of behavior.

A törlési visszaigazolás nem ellenőrzi, hogy az eszköz törlése sikeresen megtörténtA wipe acknowledgment doesn't verify that the device has been successfully wiped

Ha egy mobileszköz-törlési művelet kezdeményez, és a Configuration Manager nyugtázza az összes adat törlésére vonatkozó, az ellenőrzés sikeresen-e a Configuration Manager küldött az üzenetet.When you initiate a wipe action for a mobile device, and Configuration Manager acknowledges the wipe, the verification is that Configuration Manager successfully sent the message. Ez nem ellenőrizze, hogy az eszköz megtudjuk a kérésre.It doesn't verify that the device acted on the request.

Az Exchange Server-összekötő által felügyelt mobileszközök esetén a tartalomtörlési visszaigazolás ellenőrzi, hogy a parancs kapott Exchange-hez, az eszköz által nem.For mobile devices managed by the Exchange Server connector, a wipe acknowledgment verifies that the command was received by Exchange, not by the device.

Ha a Windows Embedded-eszközökön a változtatások véglegesítésének beállításait használja, a fiókok zárolása ki a vártnál hamarabb történhetIf you use the options to commit changes on Windows Embedded devices, accounts might be locked out sooner than expected

Ha a Windows Embedded-eszközön fut egy Windows 7 operációs rendszer verziója, és a egy felhasználó megpróbál bejelentkezni, amikor az írási szűrők le van tiltva a Configuration Manager által, Windows lehetővé teszi, hogy csak a hibás kísérletek beállított száma fele a fiók zárolása előtti ki.If the Windows Embedded device is running an OS version prior to Windows 7, and a user attempts to sign in while the write filters are disabled by Configuration Manager, Windows allows only half of the configured number of incorrect attempts before the account is locked out.

Például konfigurál a tartományi házirend a számítógépfiókok zárolási küszöbértéke való próbálkozások hat.For example, you configure the domain policy for Account lockout threshold to six attempts. A felhasználó jelszavát mistypes három alkalommal, és a fiók zárolva van. Ez a viselkedés üzenetszűrés hozza létre a szolgáltatásmegtagadást idézve elő.A user mistypes their password three times, and the account is locked out. This behavior effectively creates a denial of service. Ebben a forgatókönyvben az embedded-eszközök felhasználói be kell jelentkeznie, ha figyelmeztetés azokat a lehetséges próbálkozásra van lehetőségük kapcsolatban.If users must sign in to embedded devices in this scenario, caution them about the potential for a reduced lockout threshold.

A Configuration Manager-ügyfelekre vonatkozó adatvédelmi információPrivacy information for Configuration Manager clients

A Configuration Manager-ügyfél telepítésekor engedélyezte ügyfélbeállítások a Configuration Manager-szolgáltatásokat.When you deploy the Configuration Manager client, you enable client settings for Configuration Manager features. Az a funkciók konfigurálására használt beállítások a Configuration Manager-hierarchiában található összes ügyfélre alkalmazhat.The settings that you use to configure the features can apply to all clients in the Configuration Manager hierarchy. Ez a viselkedés megegyezik-e azokat közvetlenül a belső hálózathoz csatlakozik, távoli kapcsolaton keresztül kapcsolódik, vagy csatlakozik az internethez.This behavior is the same whether they're directly connected to the internal network, connected through a remote session, or connected to the internet.

Ügyfél-információ az SQL Server Configuration Manager-adatbázisban tárolja, és nem küld a Microsoftnak.Client information is stored in the Configuration Manager database in your SQL server, and isn't sent to Microsoft. Információk az adatbázisban marad, amíg nem törli azokat a helykarbantartási feladatokról elavult eszközfelderítési adatok törlése 90 naponta.Information is retained in the database until it's deleted by the site maintenance tasks Delete Aged Discovery Data every 90 days. Beállíthatja a törlési időközt.You can configure the deletion interval.

Néhány összesített vagy összesítő diagnosztikai és használati adatokat a Microsofthoz érkezik.Some summarized or aggregate diagnostics and usage data is sent to Microsoft. További információkért lásd: diagnosztikai és használati adatok.For more information, see Diagnostics and usage data.

Mielőtt konfigurálná a Configuration Manager-ügyfél, vegye figyelembe az adatvédelmi követelményeit.Before you configure the Configuration Manager client, consider your privacy requirements.

A mobileszközre telepített és a Configuration Manager által beléptetett ügyfelekre vonatkozó adatvédelmi információPrivacy information for mobile devices that are enrolled by Configuration Manager

Adatvédelmi információk a Configuration Manager által mobileszköz regisztrálásakor: System Center Configuration Manager adatvédelmi nyilatkozata – mobileszközökre vonatkozó kiegészítése.For privacy information when you enroll a mobile device by Configuration Manager, see System Center Configuration Manager privacy statement - Mobile device addendum.

ÜgyfélállapotClient status

A Configuration Manager az ügyfelek tevékenységét figyeli.Configuration Manager monitors the activity of clients. Rendszeres időközönként kiértékeli a Configuration Manager-ügyfél, és javíthatja a problémákat, az ügyfél és annak függőségeit.It periodically evaluates the Configuration Manager client and can remediate issues with the client and its dependencies. Az ügyfélállapot alapértelmezés szerint engedélyezve van.Client status is enabled by default. Kiszolgálóoldali metrikákat használ az ügyféltevékenység ellenőrzéséhez.It uses server-side metrics for the client activity checks. Ügyfél állapota használ ügyféloldali műveleteket az önellenőrzéshez, a szervizeléshez, és ügyfélállapot küld adatokat a helynek.Client status uses client-side actions for self-checks, remediation, and for sending client status information to the site. Az ügyfél futtatja az önellenőrzéseket Ön által konfigurált ütemezés szerint.The client runs the self-checks according to a schedule that you configure. Az ügyfél küld az ellenőrzések eredményeit a Configuration Manager-hely.The client sends the results of the checks to the Configuration Manager site. Az adatok átvitele titkosított formában történik.This information is encrypted during transfer.

Ügyfél állapotának adatait az SQL Server Configuration Manager-adatbázisban tárolja, és nem küld a Microsoftnak.Client status information is stored in the Configuration Manager database in your SQL server, and isn't sent to Microsoft. Az információk nem titkosítás nélkül tárolja a helyadatbázisban.The information isn't stored in encrypted format in the site database. Ezeket az adatokat az adatbázisban marad, amíg nem törli a konfigurált érték alapján az ügyfélállapot előzményeinek lekérése a következő számú napra vonatkozó ügyfélállapot-beállításnál.This information is retained in the database until it's deleted according to the value configured for the Retain client status history for the following number of days client status setting. A beállítás alapértelmezett értéke 31 nap.The default value for this setting is every 31 days.

Mielőtt telepíti a Configuration Manager-ügyfél az ügyfél állapotának ellenőrzését, vegye figyelembe az adatvédelmi követelményeit.Before you install the Configuration Manager client with client status checking, consider your privacy requirements.

Az Exchange Server-összekötő használatával felügyelt mobileszközökre vonatkozó adatvédelmi információPrivacy information for mobile devices that are managed with the Exchange Server Connector

Az Exchange Server-összekötő megkeresi és kezeli az eszközöket, amely csatlakozik egy helyszíni vagy szolgáltatott Exchange Server, az ActiveSync protokoll használatával.The Exchange Server Connector finds and manages devices that connect to an on-premises or hosted Exchange Server by using the ActiveSync protocol. Az Exchange Server-összekötő által talált rekordokat a Configuration Manager-adatbázis az SQL server tárolódnak.The records found by the Exchange Server Connector are stored in the Configuration Manager database in your SQL server. Az adatgyűjtés az Exchange Serverrel.The information is collected from the Exchange Server. Mi a mobileszközöket az Exchange Server küldése a további adatok nem tartalmaz.It doesn't contain any additional information from what the mobile devices send to Exchange Server.

A mobileszköz-információk nem küld a Microsoftnak.The mobile device information isn't sent to Microsoft. A mobileszközökre vonatkozó adatokat a Configuration Manager-adatbázis az SQL server van tárolva.The mobile device information is stored in the Configuration Manager database in your SQL server. Információk az adatbázisban marad, amíg nem törli azokat a helykarbantartási feladat elavult eszközfelderítési adatok törlése 90 naponta.Information is retained in the database until it's deleted by the site maintenance task Delete Aged Discovery Data every 90 days. A törlés időintervalluma konfigurálható.You configure the deletion interval.

Az Exchange Server-összekötő telepítése és konfigurálása előtt gondolja át az adatvédelmi követelményeit.Before you install and configure the Exchange Server connector, consider your privacy requirements.