Biztonság és adatvédelem a tartalomkezeléshez a Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
Ez a cikk a Configuration Manager tartalomkezelésével kapcsolatos biztonsági és adatvédelmi információkat tartalmazza.
Biztonsági útmutató
A HTTPS vagy a HTTP előnyei és hátrányai az intranetes terjesztési pontok esetében
Az intraneten lévő terjesztési pontok esetében vegye figyelembe a HTTPS vagy a HTTP használatának előnyeit és hátrányait. A legtöbb esetben a HTTP- és csomaghozzáférési fiókok engedélyezése nagyobb biztonságot nyújt, mint a HTTPS titkosítással, de engedélyezés nélkül. Ha azonban bizalmas adatokkal rendelkezik a tartalomban, amelyeket az átvitel során titkosítani szeretne, használjon HTTPS-t.
Ha HTTPS-t használ egy terjesztési ponthoz: Configuration Manager nem használ csomaghozzáférési fiókokat a tartalomhoz való hozzáférés engedélyezéséhez. A tartalom titkosítva lesz a hálózaton keresztüli átvitelkor.
Ha HTTP-t használ egy terjesztési ponthoz: Az engedélyezéshez csomaghozzáférési fiókokat használhat. A tartalom nincs titkosítva a hálózaton keresztüli átvitelkor.
Fontolja meg a bővített HTTP engedélyezését a webhelyhez. Ez a funkció lehetővé teszi, hogy az ügyfelek Microsoft Entra hitelesítést használjanak a HTTP-terjesztési ponttal való biztonságos kommunikációhoz. További információ: Bővített HTTP.
Fontos
A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.
Az ügyfél-hitelesítési tanúsítványfájl védelme
Ha a terjesztési ponthoz önaláírt tanúsítvány helyett PKI ügyfél-hitelesítési tanúsítványt használ, erős jelszóval védje a tanúsítványfájlt (.pfx). Ha a fájlt a hálózaton tárolja, biztonságossá teheti a hálózati csatornát, amikor importálja a fájlt a Configuration Manager.
Ha jelszóra van szüksége az ügyfél-hitelesítési tanúsítvány importálásához, amelyet a terjesztési pont a felügyeleti ponttal való kommunikációhoz használ, ez a konfiguráció segít megvédeni a tanúsítványt a támadóktól. Ha meg szeretné akadályozni, hogy egy támadó illetéktelenül módosítsa a tanúsítványfájlt, használjon SMB-aláírást vagy IPsec-et a hálózati hely és a helykiszolgáló között.
A terjesztési pont szerepkör eltávolítása a helykiszolgálóról
Alapértelmezés szerint Configuration Manager telepítő egy terjesztési pontot telepít a helykiszolgálóra. Az ügyfeleknek nem kell közvetlenül kommunikálniuk a helykiszolgálóval. A támadási felület csökkentése érdekében rendelje hozzá a terjesztésipont-szerepkört más helyrendszerekhez, és távolítsa el a helykiszolgálóról.
A tartalom biztonságossá tételének biztosítása a csomaghozzáférés szintjén
A terjesztésipont-megosztás minden felhasználó számára engedélyezi az olvasási hozzáférést. Ha korlátozni szeretné, hogy mely felhasználók férhetnek hozzá a tartalomhoz, használjon csomaghozzáférési fiókokat, ha a terjesztési pont a HTTP-hez van konfigurálva. Ez a konfiguráció nem vonatkozik a tartalomalapú felhőfelügyeleti átjárókra, amelyek nem támogatják a csomaghozzáférési fiókokat.
További információ: Csomaghozzáférés-fiókok.
Az IIS konfigurálása a terjesztési pont szerepkörén
Ha Configuration Manager terjesztési pont helyrendszerszerepkör hozzáadásakor telepíti az IIS-t, távolítsa el a HTTP-átirányítást és az IIS felügyeleti szkripteket és eszközöket a terjesztési pont telepítésének befejezésekor. A terjesztési ponthoz nincs szükség ezekre az összetevőkre. A támadási felület csökkentéséhez távolítsa el ezeket a szerepkör-szolgáltatásokat a webkiszolgálói szerepkörhöz.
A terjesztési pontok webkiszolgálói szerepkörének szerepkör-szolgáltatásaival kapcsolatos további információkért lásd: Hely- és helyrendszer előfeltételei.
Csomaghozzáférés-engedélyek beállítása a csomag létrehozásakor
Mivel a csomagfájlokban lévő hozzáférési fiókok módosításai csak a csomag újraterjesztésekor lépnek érvénybe, a csomag első létrehozásakor körültekintően állítsa be a csomag hozzáférési engedélyeit. Ez a konfiguráció akkor fontos, ha a csomag nagy méretű, vagy több terjesztési pontra van elosztva, és ha a tartalomterjesztés hálózati sávszélesség-kapacitása korlátozott.
Hozzáférés-vezérlés implementálása az előkészített tartalmat tartalmazó adathordozók védelméhez
Az előkészített tartalom tömörítve van, de nincs titkosítva. A támadók elolvashatják és módosíthatják az eszközökre letöltött fájlokat. Configuration Manager ügyfelek elutasítják az illetéktelen módosításokat, de továbbra is letöltik.
Előkészített tartalom importálása az ExtractContent használatával
Csak az előkészített tartalmat importálja a ExtractContent.exe parancssori eszközzel. Az illetéktelen módosítás és a jogosultságok emelésének elkerülése érdekében csak a Configuration Manager kapott engedélyezett parancssori eszközt használja.
További információ: Tartalom üzembe helyezése és kezelése.
Biztonságossá teheti a kommunikációs csatornát a helykiszolgáló és a csomag forráshelye között
A tartalommal rendelkező alkalmazások, csomagok és egyéb objektumok létrehozásakor használjon IPsec- vagy SMB-aláírást a helykiszolgáló és a csomag forráshelye között. Ezzel a konfigurációval megakadályozhatja, hogy egy támadó illetéktelen módon módosítsa a forrásfájlokat.
A terjesztési pont szerepkörrel rendelkező egyéni webhely alapértelmezett virtuális könyvtárainak eltávolítása
Ha a terjesztési pont szerepkör telepítése után úgy módosítja a helykonfigurációs beállítást, hogy az alapértelmezett webhely helyett egyéni webhelyet használjon, távolítsa el az alapértelmezett virtuális könyvtárakat. Amikor az alapértelmezett webhelyről egyéni webhelyre vált, Configuration Manager nem távolítja el a régi virtuális könyvtárakat. Távolítsa el az alábbi virtuális könyvtárakat, amelyek eredetileg az alapértelmezett webhelyen Configuration Manager létre:
SMS_DP_SMSPKG$SMS_DP_SMSSIG$NOCERT_SMS_DP_SMSPKG$NOCERT_SMS_DP_SMSSIG$
További információ az egyéni webhelyek használatáról: Webhelyek helyrendszer-kiszolgálókhoz.
Tartalomalapú felhőfelügyeleti átjárók esetén az Azure-előfizetés adatainak és tanúsítványainak védelme
Ha tartalomalapú felhőfelügyeleti átjárókat (CMG-ket) használ, a következő nagy értékű elemeket védje:
- Az Azure-előfizetés felhasználóneve és jelszava
- Az Azure-alkalmazásregisztrációk titkos kulcsai
- A kiszolgálói hitelesítési tanúsítvány
Biztonságosan tárolja a tanúsítványokat. Ha a CMG konfigurálásakor a hálózaton keresztül böngészi őket, használjon IPsec- vagy SMB-aláírást a helyrendszer-kiszolgáló és a forráshely között.
A szolgáltatás folytonossága érdekében monitorozza a CMG-tanúsítványok lejárati dátumát
Configuration Manager nem figyelmezteti, ha a CMG importált tanúsítványai hamarosan lejárnak. A lejárati dátumokat a Configuration Manager függetlenül monitorozza. Győződjön meg arról, hogy megújította, majd importálja az új tanúsítványokat a lejárati dátum előtt. Ez a művelet akkor fontos, ha külső, nyilvános szolgáltatótól szerez be kiszolgálóhitelesítő tanúsítványt, mert előfordulhat, hogy több időre van szüksége a megújított tanúsítvány beszerzéséhez.
Ha egy tanúsítvány lejár, a Configuration Manager Cloud Services-kezelő 9425-ös azonosítójú állapotüzenetet hoz létre. A CloudMgr.log fájl tartalmaz egy bejegyzést, amely jelzi, hogy a tanúsítvány lejárt állapotban van, és a lejárati dátum is UTC-ben van naplózva.
Biztonsági szempontok
Az ügyfelek csak a letöltés után ellenőrzik a tartalmat. Configuration Manager ügyfelek csak azután ellenőrzik a tartalom kivonatát, hogy az le lett töltve az ügyfélgyorsítótárba. Ha egy támadó módosítja a letölteni kívánt fájlok listáját vagy magát a tartalmat, a letöltési folyamat jelentős hálózati sávszélességet vehet igénybe. Ezután az ügyfél elveti a tartalmat, amikor megtalálja az érvénytelen kivonatot.
Tartalomalapú felhőfelügyeleti átjárók használata esetén:
Automatikusan korlátozza a tartalomhoz való hozzáférést a szervezet számára. Nem korlátozhatja tovább a kijelölt felhasználókra vagy csoportokra.
A felügyeleti pont először hitelesíti az ügyfelet. Ezután az ügyfél egy Configuration Manager tokent használ a felhőbeli tároló eléréséhez. A jogkivonat nyolc órán át érvényes. Ez a viselkedés azt jelenti, hogy ha letilt egy ügyfelet, mert az már nem megbízható, a jogkivonat lejáratáig továbbra is letölthet tartalmakat a felhőtárhelyről. A felügyeleti pont nem ad ki újabb jogkivonatot az ügyfélnek, mert az le van tiltva.
Ha el szeretné kerülni, hogy egy blokkolt ügyfél letöltse a tartalmat ebben a nyolc órás időszakban, állítsa le a felhőszolgáltatást. A Configuration Manager-konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Cloud Services csomópontot, és válassza a Cloud Management Gateway csomópontot.
Adatvédelmi információk
Configuration Manager nem tartalmaz felhasználói adatokat a tartalomfájlokban, bár a rendszergazda dönthet úgy, hogy végrehajtja ezt a műveletet.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: