A System Center Configuration Manager tartalomkezelésének biztonsága és adatvédelmeSecurity and privacy for content management for System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a témakör a Tartalomkezelés a System Center Configuration Manager biztonsági és adatvédelmi tudnivalókat tartalmazza.This topic contains security and privacy information for content management in System Center Configuration Manager. Olvassa el ezeket a következő témakörökkel együtt:Read it in conjunction with the following topics:

Ajánlott biztonsági eljárások a tartalomkezeléshezSecurity best practices for content management

Használja a tartalomkezelés biztonsági védelmének következő bevált gyakorlatát:Use the following security best practices for content management:

A terjesztési pontokhoz az intraneten, fontolja meg a előnyeit és hátrányait, HTTPS és a HTTP: A legtöbb esetben HTTP- és csomag-hozzáférési fiókok használata a hitelesítéshez nagyobb biztonságot nyújt attól az esettől HTTPS titkosítással de hitelesítés nélküli.For distribution points on the intranet, consider the advantages and disadvantages of using HTTPS and HTTP: In most scenarios, using HTTP and package access accounts for authorization provides more security than using HTTPS with encryption but without authorization. Azonban, ha a tartalom olyan kényes adatokat tartalmaz, amelyeket az átvitelkor titkosítani kíván, használja a HTTPS protokollt.However, if you have sensitive data in your content that you want to encrypt during transfer, use HTTPS.

  • Ha a HTTPS PROTOKOLLT használja a terjesztési pont, a Configuration Manager nem használ csomag-hozzáférési fiókokat a tartalom elérésének hitelesítéséhez, de a tartalom titkosított a hálózaton keresztül átvitelekor.When you use HTTPS for a distribution point, Configuration Manager does not use package access accounts to authorize access to the content, but the content is encrypted when it's transferred over the network.

  • Ha a terjesztési ponton HTTP protokollt használ, csomaghozzáférési fiókokat is használhat a hitelesítéshez, a rendszer azonban titkosítás nélkül továbbítja a tartalmat a hálózatban.When you use HTTP for a distribution point, you can use package access accounts for authorization, but the content is not encrypted when it is transferred over the network.

Ha a terjesztési ponton nem önaláírt tanúsítványt, hanem nyilvános kulcsú (PKI) ügyfél-hitelesítési tanúsítványt használ, a tanúsítványfájlt (.pfx) erős jelszóval kell védeni. Ha a fájlt hálózaton tárolja, védeni a hálózati csatornát, amikor importálja a fájlt a Configuration Managerbe: Ha jelszó kell a terjesztési pont által használt kommunikálni a felügyeleti pontok ügyfél-hitelesítési tanúsítvány importálásához, ez segít megvédeni a tanúsítványt a támadóktól.If you use a PKI client authentication certificate rather than a self-signed certificate for the distribution point, protect the certificate file (.pfx) with a strong password. If you store the file on the network, secure the network channel when you import the file into Configuration Manager: When you require a password to import the client authentication certificate that the distribution point uses to communicate with management points, this helps to protect the certificate from an attacker. Megakadályozhatja, hogy a támadók illetéktelenül módosítsák a tanúsítványfájlt a a hálózati hely és a helykiszolgáló között használjon Server Message Block (SMB) aláírás vagy az IPsec.Use Server Message Block (SMB) signing or IPsec between the network location and the site server to prevent an attacker from tampering with the certificate file.

Távolítsa el a terjesztési pont szerepkört a helykiszolgálóról: Alapértelmezés szerint a terjesztési pont telepítve van a helyrendszer-kiszolgáló ugyanazon a kiszolgálón.Remove the distribution point role from the site server: By default, a distribution point is installed on the same server as the site server. Az ügyfélgépeknek nem kell közvetlenül a helykiszolgálóval kommunikálni, ezért a támadási felület csökkentése érdekében a terjesztési ponti szerepkört rendelje más helyrendszerekhez, és távolítsa el a terjesztési pontról.Clients do not have to communicate directly with the site server, so to reduce the attack surface, assign the distribution point role to other site systems and remove it from the site server.

A csomag-hozzáférési szint tartalmat biztonságos: A terjesztési pont megosztása lehetővé teszi, hogy az olvasási hozzáférést minden felhasználó számára.Secure content at the package access level: The distribution point share allows read access to all users. Az egyes felhasználók tartalomhozzáférésének korlátozásához a csomaghozzáférési fiókokat kell használni, ha a terjesztési pontra a HTTP lett konfigurálva.To restrict which users can access the content, use package access accounts when the distribution point is configured for HTTP. Ez nem vonatkozik a felhő alapú terjesztési pontokra, amelyek nem támogatják a csomag-hozzáférési fiókokat.This does not apply to cloud-based distribution points, which do not support package access accounts. További információ a csomag-hozzáférési fiókokról: tartalom eléréséhez fiókok kezelése.For more information about package access accounts, see Manage accounts to access content.

Ha a Configuration Manager telepíti az IIS a terjesztési pont helyrendszer-szerepkör hozzáadásakor, távolítsa el a HTTP-átirányítás vagy IIS-kezelés parancsfájljai és eszközei a terjesztési pont telepítésének befejezésekor: A terjesztési pont nem követeli meg a HTTP-átirányítás vagy IIS-kezelés parancsfájljai és eszközei.If Configuration Manager installs IIS when you add a distribution point site system role, remove HTTP redirection or IIS Management Scripts and Tools when the distribution point installation is complete: The distribution point does not require HTTP redirection or IIS Management Scripts and Tools. A támadási felület csökkentése érdekében távolítsa el ezeket a szerepköri szolgáltatásokat a webkiszolgálói (IIS) szerepkörből.To reduce the attack surface, remove these role services for the web server (IIS) role. A terjesztési pont a web server (IIS) szerepkörének szerepköri szolgáltatásairól kapcsolatos további információkért lásd: hely és hely rendszerkövetelmények.For more information about the role services for the web server (IIS) role for distribution points, see Site and site system prerequisites.

A csomaghozzáférési engedélyek beállítása a csomag létrehozásakor: A hozzáférési fiókok számára a csomag fájljaihoz a módosítások érvénybe, csak akkor, ha újraterjeszti azt a csomagot, mert a csomag hozzáférési engedélyek beállítása gondosan a csomag első létrehozásakor.Set package access permissions when you create the package: Because changes to the access accounts on the package files become effective only when you redistribute the package, set the package access permissions carefully when you first create the package. Ez különösen fontos, ha a csomag nagyméretű, ha több terjesztési pontra terjeszti, és ha a hálózat tartalomterjesztéshez igénybe vehető sávszélessége korlátozott.This is particularly important when the package is large or distributed to many distribution points, and when the network bandwidth capacity for content distribution is limited.

Alkalmazzon hozzáférés-vezérlést a manuálisan előkészített tartalmat tartalmazó média védelméhez: A manuálisan előkészített tartalom tömörített, de nincs titkosítva.Implement access controls to protect media that contains prestaged content: Prestaged content is compressed but not encrypted. Egy támadó elolvashatja és módosíthatja a fájlokat, amelyeket aztán az eszközök letöltenek.An attacker could read and modify the files that are then downloaded to devices. Configuration Manager-ügyfelek elutasítása illetéktelenül tartalmat, de még letöltik.Configuration Manager clients reject content that is tampered with, but they still download it.

Manuálisan előkészített tartalom importálását azzal a ExtractContent parancssori eszközzel (ExtractContent.exe), amely rendelkezik a Configuration Managerrel, és győződjön meg arról, hogy a Microsoft által aláírt: Illetéktelen módosítás és a jogok kiterjesztésének elkerülése érdekében csak a hitelesített parancssori eszközt használja, amely rendelkezik a Configuration Managerrel.Import prestaged content by using only the ExtractContent command-line tool (ExtractContent.exe) that is supplied with Configuration Manager, and make sure that is signed by Microsoft: To avoid tampering and elevation of privileges, use only the authorized command-line tool that is supplied with Configuration Manager.

A kommunikációs csatornát a helykiszolgáló és a csomag forráshelye közötti: Használja az IPsec vagy az SMB aláírásos a helykiszolgáló és a csomag forráshelye között alkalmazások és csomagok létrehozásakor.Secure the communication channel between the site server and the package source location: Use IPsec or SMB signing between the site server and the package source location when you create applications and packages. Ez segít megakadályozni a forrásfájlok támadó általi illetéktelen módosítását.This helps to prevent an attacker from tampering with the source files.

Ha módosítja a helykonfigurálási lehetőséget, hogy az alapértelmezett webhely helyett egyéni webhelyet használjon, valamelyik terjesztési ponti szerepkör telepítése után, távolítsa el az alapértelmezett virtuális könyvtárakat: Amikor az alapértelmezett webhelyről egyéni webhely, a Configuration Manager nem távolítja el a régi virtuális könyvtárakat.If you change the site configuration option to use a custom website rather than the default website after any distribution point roles are installed, remove the default virtual directories: When you switch from the default website to a custom website, Configuration Manager does not remove the old virtual directories. Távolítsa el a Configuration Manager az alapértelmezett webhelyen eredetileg létrehozott virtuális könyvtárakat:Remove the virtual directories that Configuration Manager originally created under the default website:

  • SMS_DP_SMSPKG$SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$NOCERT_SMS_DP_SMSSIG$

A felhő alapú terjesztési pontok védelme az előfizetési részleteket és tanúsítványokat: Felhőalapú terjesztési pontok használatakor védelme az értékes elemek, beleértve a felhasználónevet és jelszót az Azure-előfizetéssel, az Azure felügyeleti tanúsítványhoz és a felhőalapú terjesztési pont szolgáltatási tanúsítványa.For cloud-based distribution points, protect your subscription details and certificates: When you use cloud-based distribution points, protect high-value items including the user name and password for your Azure subscription, the Azure management certificate, and the cloud-based distribution point service certificate. A tanúsítványokat tárolja biztonságosan, és ha azokat a felhő alapú terjesztési ponton böngészi, a helyrendszer-kiszolgáló és a forráshely között használja az IPsec vagy az SMB aláírásos protokollt.Store the certificates securely and if you browse to them over the network when you configure the cloud-based distribution point, use IPsec or SMB signing between the site system server and the source location.

A felhő alapú terjesztési pontok: A szolgáltatás folyamatossága érdekében figyelje a tanúsítványok lejárati idejét: A Configuration Manager figyelmeztessen, ha az importált tanúsítványok kezelését a felhőalapú terjesztési pont szolgáltatások lejár.For cloud-based distribution points: For service continuity, monitor the expiry date of the certificates: Configuration Manager does not warn you when the imported certificates for management of the cloud-based distribution point services are about to expire. A lejárati dátumok egymástól függetlenül a Configuration Manager figyelni kell, és győződjön meg arról, hogy azt mindenképpen megújítani, majd a lejárat dátuma előtt importálni a az új tanúsítványok.You must monitor the expiry dates independently from Configuration Manager and make sure that you renew and then import the new certificates before the expiry date. Ez különösen fontos Ha megvásárolja a Configuration Manager felhő alapú terjesztési pont szolgáltatásának tanúsítványát külső hitelesítésszolgáltatótól (CA), mert szükség lehet további időt a megújított tanúsítvány megkapásához.This is particularly important if you purchase a Configuration Manager cloud-based distribution point service certificate from an external certification authority (CA), because you might need additional time to obtain a renewed certificate.

Ha a tanúsítványok valamelyike lejár, a felhőalapú szolgáltatások kezelője állít elő, az állapotüzenet azonosítója 9425 és a CloudMgr.log fájl tartalmaz egy, jelezve, hogy a tanúsítvány lejárt állapotban van, feltüntetve a lejárat dátumát is bejelentkezett UTC.If either certificate expires, Cloud Services Manager generates the status message ID 9425 and the CloudMgr.log file contains an entry to indicate that the certificate is in expired state, with the expiry date also logged in UTC.

Biztonsági megfontolások tartalomkezeléshezSecurity considerations for content management

A Tartalomkezelés tervezése során, vegye figyelembe a következőket:Consider the following when planning for content management:

  • Az ügyfelek nem ellenőrzik tartalmat, amíg nincs letöltve.Clients do not validate content until after it is downloaded.

    A Configuration Manager az ügyfelek ellenőrzik a tartalom kivonatát, csak azt követően, a rendszer letölti az ügyfél gyorsítótárában.Configuration Manager clients validate the hash on content only after it is downloaded to their client cache. Ha egy támadó illetéktelenül módosít a letöltendő fájlok listáját, vagy magán a tartalmon, a letöltési folyamat figyelemre méltóan nagy sávszélességet, csak hogy megsemmisítse a tartalmat, ha érvénytelen kivonatba ütközik az ügyfél is eltarthat.If an attacker tampers with the list of files to download or with the content itself, the download process can take up considerable network bandwidth, only for the client to then discard the content when it encounters the invalid hash.

  • Felhő alapú terjesztési pontok használatakor a tartalom hozzáférése automatikusan Önök vállalatára korlátozódik, és azt Ön nem tudja tovább korlátozni kiválasztott felhasználókra vagy csoportokra.When you use cloud-based distribution points, access to the content is automatically restricted to your enterprise, and you cannot restrict it further to selected users or groups.

  • Felhőalapú terjesztési pontok használata esetén az ügyfelek a felügyeleti pont hitelesíti, és használhatja a Configuration Manager jogkivonat felhő alapú terjesztési pontok eléréséhez.When you use cloud-based distribution points, clients are authenticated by the management point and then use a Configuration Manager token to access cloud-based distribution points. A lexikális elem érvényes nyolc óra.The token is valid for eight hours. Ez azt jelenti, hogy ha letilt egy ügyfelet, mert már nem megbízható, az továbbra is a tartalom letöltését a felhő alapú terjesztési pontok, amíg a token érvényességi időszaka lejárt.This means that if you block a client because it is no longer trusted, it can continue to download content from a cloud-based distribution point until the validity period of this token has expired. Ezen a ponton a felügyeleti pont nem ad ki másik tokent az ügyfélnek, mert az ügyfél blokkolva van.At this point, the management point won't issue another token for the client because the client is blocked.

    A blokkolt ügyfél letöltésének 8-órán belüli megakadályozásához elkerülése érdekében állítsa le a felhőszolgáltatást a a felhő csomópont, Hierarchiakonfiguráció, a a felügyeleti munkaterület a Configuration Manager konzolon.To avoid a blocked client from downloading content within this eight-hour window, you can stop the cloud service from the Cloud node, Hierarchy Configuration, in the Administration workspace in the Configuration Manager console.

Adatvédelmi információ a tartalomkezeléshezPrivacy information for content management

A Configuration Manager nem vonatkozik semmilyen felhasználói adatot a tartalomfájlokba, bár egy rendszergazda felhasználó ehhez.Configuration Manager does not include any user data in content files, although an administrative user might choose to do this.

A tartalomkezelés konfigurálása előtt gondolja át az adatvédelmi követelményeit.Before you configure content management, consider your privacy requirements.