Biztonság és adatvédelem a tartalomkezelésben a Configuration ManagerbenSecurity and privacy for content management in Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a cikk tartalmazza a biztonsági és adatvédelmi információ a tartalomkezeléshez a Configuration Managerben.This article contains security and privacy information for content management in Configuration Manager.

Ajánlott biztonsági eljárások a tartalomkezeléshezSecurity best practices for content management

Előnyeit és hátrányait HTTPS vagy HTTP intranetes terjesztési pontokhozAdvantages and disadvantages of HTTPS or HTTP for intranet distribution points

Az intraneten lévő terjesztési pontok fontolja meg az előnyeit és hátrányait HTTPS és HTTP használatával.For distribution points on the intranet, consider the advantages and disadvantages of using HTTPS and HTTP. A legtöbb esetben használ HTTP pedig csomaghozzáférési fiókokat használ a hitelesítéshez nagyobb biztonságot nyújt, mint a használatával a HTTPS titkosítással de hitelesítés nélküli.In most scenarios, using HTTP and package access accounts for authorization provides more security than using HTTPS with encryption but without authorization. Azonban, ha a tartalom olyan kényes adatokat tartalmaz, amelyeket az átvitelkor titkosítani kíván, használja a HTTPS protokollt.However, if you have sensitive data in your content that you want to encrypt during transfer, use HTTPS.

  • Ha a HTTPS PROTOKOLLT használja a terjesztési pont, a Configuration Manager nem használ csomaghozzáférési fiókokat a tartalom elérésének hitelesítéséhez, de a tartalom titkosított a hálózaton történő átvitelkor.When you use HTTPS for a distribution point, Configuration Manager doesn't use package access accounts to authorize access to the content, but the content is encrypted when it's transferred over the network.

  • Ha a HTTP Protokollt használja a terjesztési pont, engedélyezési csomaghozzáférési fiókokat is használhat, de a tartalom nem titkosított, a hálózaton történő átvitelkor.When you use HTTP for a distribution point, you can use package access accounts for authorization, but the content isn't encrypted when it's transferred over the network.

Kezdésig hátralevő verzió 1806, érdemes lehet engedélyezni az fokozott HTTP a helyhez.Starting in version 1806, consider enabling Enhanced HTTP for the site. Ez a funkció lehetővé teszi az ügyfelek az Azure Active Directory-hitelesítés használatával biztonságosan kommunikáljon egy HTTP-terjesztési pont.This feature allows clients to use Azure Active Directory authentication to securely communicate with an HTTP distribution point. További információkért lásd: fokozott HTTP.For more information, see Enhanced HTTP.

Az ügyfél-hitelesítési tanúsítvány fájl védelmeProtect the client authentication certificate file

Ha a terjesztési pont egy önaláírt tanúsítvány helyett PKI ügyfél-hitelesítési tanúsítványt használ, védelme a tanúsítványfájlt (.pfx) erős jelszóval.If you use a PKI client authentication certificate rather than a self-signed certificate for the distribution point, protect the certificate file (.pfx) with a strong password. Ha a fájlt hálózaton tárolja, a hálózati csatorna biztonságáról, amikor a Configuration Managerbe importálja a fájlt.If you store the file on the network, secure the network channel when you import the file into Configuration Manager.

A terjesztési pont által használt felügyeleti pontokkal kommunikáló ügyfél-hitelesítési tanúsítvány importálásához jelszó kérése, amikor ez a konfiguráció segít megvédeni a tanúsítványt a támadóktól.When you require a password to import the client authentication certificate that the distribution point uses to communicate with management points, this configuration helps to protect the certificate from an attacker. Server Message Block (SMB) aláírás vagy az IPsec használata a hálózati hely és a helykiszolgáló között, hogy megakadályozza a támadók általi illetéktelen módosítását a tanúsítványfájlt.Use Server Message Block (SMB) signing or IPsec between the network location and the site server to prevent an attacker from tampering with the certificate file.

A helykiszolgálóról a terjesztési pont szerepkör eltávolításaRemove the distribution point role from the site server

Alapértelmezés szerint a Configuration Manager telepítő telepíti a terjesztési pont a helykiszolgálón.By default, Configuration Manager setup installs a distribution point on the site server. Az ügyfelek közvetlenül kommunikálni a helykiszolgáló nem rendelkezik.Clients don't have to communicate directly with the site server. A támadási felület csökkentése érdekében a terjesztési pont szerepkör hozzárendelése a többi helyrendszer felé, és távolítsa el a helykiszolgálóról.To reduce the attack surface, assign the distribution point role to other site systems and remove it from the site server.

Védje a tartalmat a csomag-hozzáférési szintjénSecure content at the package access level

A terjesztési pont megosztása lehetővé teszi, hogy minden felhasználó számára olvasási hozzáférést.The distribution point share allows read access to all users. Az egyes felhasználók tartalomhozzáférésének korlátozásához a csomaghozzáférési fiókokat kell használni, ha a terjesztési pontra a HTTP lett konfigurálva.To restrict which users can access the content, use package access accounts when the distribution point is configured for HTTP. Ez a konfiguráció nem vonatkozik a felhőalapú terjesztési pontokra, amelyek nem támogatják a csomaghozzáférési fiókokat.This configuration doesn't apply to cloud distribution points, which don't support package access accounts. További információkért lásd: csomag-hozzáférési fiókok.For more information, see Package access accounts.

Az IIS a terjesztési pont szerepkör konfigurálásaConfigure IIS on the distribution point role

Configuration Manager telepíti az IIS Terjesztési pont helyrendszerszerepkör hozzáadásakor, ha távolítsa el HTTP átirányítást vagy IIS-kezelés parancsfájljait és eszközeit amikor befejeződött a terjesztési pont telepítése.If Configuration Manager installs IIS when you add a distribution point site system role, remove HTTP redirection or IIS Management Scripts and Tools when the distribution point installation is complete. A terjesztési pont HTTP-átirányítás vagy IIS-kezelés parancsfájljai és eszközei nem igényel.The distribution point doesn't require HTTP redirection or IIS Management Scripts and Tools. A támadási felület csökkentése érdekében távolítsa el ezeket a szerepköri szolgáltatásokat a webkiszolgálói szerepkör számára.To reduce the attack surface, remove these role services for the web server role. A terjesztési pontokat webkiszolgálói szerepkör szerepkör-szolgáltatásairól kapcsolatos további információkért lásd: hely és helyrendszer előfeltételei.For more information about the role services for the web server role for distribution points, see Site and site system prerequisites.

A csomaghozzáférési engedélyek beállítása a csomag létrehozásakorSet package access permissions when you create the package

A csomagfájlok hozzáférési fiókok módosítása lépnek életbe, csak akkor, ha újraterjeszti azt a csomagot, mert a csomag hozzáférési engedélyek beállítása gondosan a csomag első létrehozásakor.Because changes to the access accounts on the package files become effective only when you redistribute the package, set the package access permissions carefully when you first create the package. Ez a konfiguráció fontos, ha a csomag nagy vagy elosztott több terjesztési pontra, és ha a hálózat tartalomterjesztéshez sávszélesség-kapacitást korlátozva.This configuration is important when the package is large or distributed to many distribution points, and when the network bandwidth capacity for content distribution is limited.

Alkalmazzon hozzáférés-vezérlést a manuálisan előkészített tartalmat tartalmazó adathordozók védelméhez.Implement access controls to protect media that contains prestaged content

A manuálisan előkészített tartalom tömörített, de nem titkosított.Prestaged content is compressed but not encrypted. Egy támadó elolvashatja és módosíthatja az eszközökre letöltött fájlokat.An attacker could read and modify the files that are downloaded to devices. Configuration Manager-ügyfelek a tartalom illetéktelenül elutasítása, de még letöltik.Configuration Manager clients reject content that's tampered with, but they still download it.

ExtractContent a manuálisan előkészített tartalom importálásátImport prestaged content with ExtractContent

Importálás csak az ExtractContent.exe parancssori eszköz használatával előkészített tartalmakat.Only import prestaged content by using the ExtractContent.exe command-line tool. Illetéktelen módosítást és a jogok kiterjesztésének elkerülése érdekében csak a hitelesített parancssori eszközt, amely a Configuration Managerrel használja.To avoid tampering and elevation of privileges, use only the authorized command-line tool that comes with Configuration Manager.

A kommunikációs csatornát a helykiszolgáló és a csomag forráshelye közöttSecure the communication channel between the site server and the package source location

Használja az IPSec protokollt vagy SMB aláírásos protokollt a helykiszolgáló és a csomag forráshelye között alkalmazások és csomagok létrehozásakor.Use IPsec or SMB signing between the site server and the package source location when you create applications and packages. Ez a konfiguráció segít a forrásfájlok illetéktelen módosításának megakadályozására.This configuration helps to prevent an attacker from tampering with the source files.

Távolítsa el az alapértelmezett virtuális könyvtárakat a terjesztési pont szerepkört az egyéni webhelyhezRemove default virtual directories for custom website with the distribution point role

Ha módosítja a helykonfigurálási lehetőséget egy terjesztési pont szerepkör telepítése után az alapértelmezett webhely helyett egyéni webhely használatára, távolítsa el az alapértelmezett virtuális könyvtárakat.If you change the site configuration option to use a custom website rather than the default website after installing a distribution point role, remove the default virtual directories. Váltson az alapértelmezett webhelyről egyéni webhelyre, ha a Configuration Manager nem távolítja el a régi virtuális könyvtárakat.When you switch from the default website to a custom website, Configuration Manager doesn't remove the old virtual directories. Távolítsa el az alábbi virtuális könyvtárakat, amelyet a Configuration Manager eredetileg az alapértelmezett webhely alatt hozott létre:Remove the following virtual directories that Configuration Manager originally created under the default website:

  • SMS_DP_SMSPKG$SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$NOCERT_SMS_DP_SMSSIG$

Felhőalapú terjesztési pontok Azure-előfizetés adatainak és tanúsítványok védelmérőlFor cloud distribution points, protect your Azure subscription details and certificates

Felhőalapú terjesztési pontok használatakor védelem a következő nagy értékű elemeket:When you use cloud distribution points, protect the following high-value items:

  • A felhasználónév és jelszó az Azure-előfizetésThe user name and password for your Azure subscription
  • Az Azure felügyeleti tanúsítványtThe Azure management certificate
  • A felhőalapú terjesztési pont szolgáltatási tanúsítványaThe cloud distribution point service certificate

A tanúsítványok biztonságos Store.Store the certificates securely. Ha tallózással azokat a hálózaton keresztül a felhőalapú terjesztési pont konfigurálásakor, használja az IPSec protokollt vagy SMB-aláírás a helyrendszer-kiszolgáló és a forráshely között.If you browse to them over the network when you configure the cloud distribution point, use IPsec or SMB signing between the site system server and the source location.

A szolgáltatás folyamatossága érdekében figyelje a felhőalapú terjesztési pont tanúsítványok lejárati idejétFor service continuity, monitor the expiry date of the cloud distribution point certificates

A Configuration Manager nem figyelmeztet arra, hogy az importált tanúsítványok, a felhőalapú terjesztési pont, hamarosan lejár.Configuration Manager doesn't warn you when the imported certificates for the cloud distribution point are about to expire. Ez a figyelő a lejárati dátumok egymástól függetlenül a Configuration Manager alkalmazásból.Monitor the expiry dates independently from Configuration Manager. Győződjön meg arról, hogy újítsa meg, és a lejárata előtt importálja az új tanúsítványok.Make sure that you renew and then import the new certificates before the expiry date. Ez a művelet azért fontos, ha egy külső, nyilvános szolgáltató, a kiszolgálói hitelesítési tanúsítvány szerez be, mert előfordulhat, hogy egy megújított tanúsítvány beszerzéséhez további időre van szüksége.This action is important if you acquire a server authentication certificate from an external, public provider, because you might need additional time to acquire a renewed certificate.

Ha a tanúsítványok valamelyike lejár, a felhőalapú szolgáltatások kezelője hoz létre az állapotüzenet azonosítója 9425.If either certificate expires, Cloud Services Manager generates the status message ID 9425. A CloudMgr.log fájl egyik bejegyzése pedig jelzi, hogy a tanúsítvány lejárt állapotban van, feltüntetve a lejárat dátumát is UTC szerint naplózva.The CloudMgr.log file contains an entry to indicate that the certificate is in expired state, with the expiry date also logged in UTC.

Biztonsági megfontolások tartalomkezeléshezSecurity considerations for content management

A Tartalomkezelés tervezésekor, vegye figyelembe a következőket:Consider the following points when planning for content management:

  • Az ügyfelek nem ellenőrzik a tartalmat, amíg nincs letöltve.Clients don't validate content until after it's downloaded.

    A Configuration Manager az ügyfelek ellenőrzik a tartalom kivonata, csak azt követően le lettek töltve az ügyfél gyorsítótárába.Configuration Manager clients validate the hash on content only after it's downloaded to their client cache. Ha egy támadó módosítja a fájlok letöltéséhez listájában vagy magán a tartalmon, a letöltési folyamat akár is igénybe vehet sávszélességet, csak az ügyfél számára, hogy megsemmisítse a tartalmat, ha érvénytelen.If an attacker tampers with the list of files to download or with the content itself, the download process can take up considerable network bandwidth, only for the client to then discard the content when it encounters the invalid hash.

  • Felhőalapú terjesztési pontok használatakor a tartalomhoz való hozzáférését az automatikusan a vállalatra korlátozódik.When you use cloud distribution points, access to the content is automatically restricted to your enterprise. Ön nem korlátozható tovább kiválasztott felhasználókra vagy csoportokra.You can't restrict it further to selected users or groups.

  • Felhőalapú terjesztési pontok használatakor az ügyfelek a felügyeleti pont hitelesíti, és egy Configuration Manager-token használatával felhőalapú terjesztési pontok eléréséhez.When you use cloud distribution points, clients are authenticated by the management point and then use a Configuration Manager token to access cloud distribution points. A jogkivonat a érvényes nyolc óra.The token is valid for eight hours. Ez a viselkedés, az azt jelenti, hogy ha letilt egy ügyfelet, mert azt már nem megbízható, az továbbra is letölteni a tartalmat a felhőalapú terjesztési pontokról, amíg ez a token érvényességi ideje lejárt.This behavior means that if you block a client because it's no longer trusted, it can continue to download content from a cloud distribution point until the validity period of this token has expired. Ezen a ponton a felügyeleti pont nem ad ki másik tokent az ügyfélnek, mert az ügyfél le van tiltva.At this point, the management point won't issue another token for the client because the client is blocked.

    A blokkolt ügyfél e 8 órás időtartamon belül tartalmat töltsön elkerülése érdekében állítsa le a felhőszolgáltatást.To avoid a blocked client from downloading content within this eight-hour window, stop the cloud service. A Configuration Manager-konzolon nyissa meg a felügyeleti munkaterületen bontsa ki a Cloud Services, és válassza ki a felhőalapú terjesztési pontok csomópont.In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select the Cloud Distribution Points node.

Adatvédelmi információ a tartalomkezeléshezPrivacy information for content management

A Configuration Manager nem tartalmaz semmilyen felhasználói adatot a tartalomfájlokba, bár ezt egy rendszergazda felhasználó a művelet végrehajtására.Configuration Manager doesn't include any user data in content files, although an administrative user might choose to do this action.

További információSee also