Helyfelügyelet biztonsága és adatvédelme a System Center Configuration ManagerbenSecurity and privacy for site administration in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a témakör biztonsági és adatvédelmi információ a System Center Configuration Manager helyeinek és hierarchiájának.This topic contains security and privacy information for System Center Configuration Manager sites and the hierarchy.

A helyfelügyelet biztonsági védelmének bevált gyakorlataSecurity best practices for site administration

A következő ajánlott biztonsági eljárások használatával alakítsa ki biztonságos System Center Configuration Manager helyeinek és hierarchiájának.Use the following security best practices to help you secure System Center Configuration Manager sites and the hierarchy.

Futtassa a telepítőt csak megbízható forrásból származik, és a kommunikációs csatornát a telepítési adathordozót és a helykiszolgáló között.Run setup only from a trusted source and secure the communication channel between the setup media and the site server.

Valaki a a forrásfájlok illetéktelen módosításának megelőzése érdekében futtassa a telepítőt megbízható forrásból származik.To help prevent someone from tampering with the source files, run setup from a trusted source. Ha a fájlokat a hálózatban tárolja, lássa el védelemmel az adott hálózati helyet.If you store the files on the network, secure the network location.

Futtassa a telepítőt hálózati helyről, ha segítségével a hálózaton keresztül zajlik, a fájlok illetéktelen módosításának megakadályozására használja az IPsec vagy Server Message Block (SMB) aláírás a telepítőfájlok forráshelye és a helykiszolgáló között.If you do run setup from a network location, to help prevent an attacker from tampering with the files as they are transmitted over the network, use IPsec or Server Message Block (SMB) signing between the source location of the setup files and the site server.

Emellett ha a segédprogram használatával töltse le a telepítéshez szükséges fájlokat, győződjön meg arról is biztonságossá a helyet, ha ezek a fájlok tárolják, és ezen a helyen a kommunikációs csatorna biztonságáról, ha futtatja a telepítőt.In addition, if you use the Setup Downloader to download the files that are required by setup, make sure that you also secure the location where these files are stored and secure the communication channel for this location when you run setup.

Az Active Directory-séma kiterjesztése a System Center Configuration Manager, és tegye közzé a helyeket az Active Directory tartományi szolgáltatásokban.Extend the Active Directory schema for System Center Configuration Manager and publish sites to Active Directory Domain Services.

Sémakiterjesztések nem szükségesek a System Center Configuration Manager futtatásához, de a segítségükkel biztonságosabb környezet alakítható, mert a Configuration Manager-ügyfelek és helyrendszer-kiszolgálók tudják lekérni az adatokat egy megbízható forrásból.Schema extensions are not required to run System Center Configuration Manager, but they do create a more secure environment because Configuration Manager clients and site servers can retrieve information from a trusted source.

Ha az ügyfelek nem megbízható tartományban találhatók, központi telepítése a következő helyrendszerszerepköröket az ügyfelek tartományokban:If clients are in an untrusted domain, deploy the following site system roles in the clients' domains:

  • Felügyeleti pontManagement point

  • Terjesztési pontDistribution point

  • Alkalmazáskatalógus weboldal-elérési pontjaApplication Catalog website point

Megjegyzés

A Configuration Manager megbízható tartomány Kerberos-hitelesítést igényel.A trusted domain for Configuration Manager requires Kerberos authentication. Ez azt jelenti, ha ügyfelek egy másik erdőben, amely nem rendelkezik kétirányú erdőszintű megbízható kapcsolattal a helykiszolgáló erdőjével, ezek az ügyfelek nem megbízható tartományban lévőknek tekintendők.This means that if clients are in another forest that does not have a two-way forest trust with the site server's forest, these clients are considered to be in untrusted domain. Külső megbízhatósági kapcsolat nem elegendő erre a célra.An external trust is not sufficient for this purpose.

A helyrendszer-kiszolgálók és a helyek közötti kommunikáció biztonságossá tételéhez használja az IPsec protokollt.Use IPsec to secure communications between site system servers and sites.

Bár a Configuration Manager közötti kommunikáció biztonságossá a helykiszolgáló és az SQL Server rendszert futtató számítógépen, a Configuration Manager nem védik a helyrendszerszerepkörök és az SQL Server közötti kommunikáció.Although Configuration Manager does secure communication between the site server and the computer that runs SQL Server, Configuration Manager does not secure communications between site system roles and SQL Server. Csak néhány helyrendszer (a beléptetési pont és az alkalmazáskatalógus webszolgáltatási pontja) állítható be HTTPS használatára a helyen belüli kommunikáció esetében.Only some site systems (the enrollment point and the Application Catalog web service point) can be configured for HTTPS for intrasite communication.

Ha nem használ további megoldásokat a kiszolgálók közötti csatornák védelmére, a támadók különböző hamisítási és betolakodó illetéktelen személyek általi támadásokkal veszélyeztethetik a helyrendszereket.If you do not use additional controls to secure these server-to-server channels, attackers can use various spoofing and man-in-the-middle attacks against site systems. Ha nem tudja használni az IPsec protokollt, használja az SMB-aláírást.Use SMB signing when you cannot use IPsec.

Megjegyzés

A helykiszolgáló és a csomagok forrásaként működő kiszolgáló közötti kommunikációs csatorna védelme rendkívül fontos.It is particularly important to secure the communication channel between the site server and the package source server. Ez a kommunikáció az SMB protokollt használja.This communication uses SMB. Ha nem tudja az IPsec protokollt használni a kommunikáció védelméhez, az SMB-aláírás segítségével akadályozhatja meg a fájlok illetéktelen módosítását, mielőtt az ügyfelek letöltik és futtatják azokat.If you cannot use IPsec to secure this communication, use SMB signing to ensure that the files are not tampered with before clients download and run them.

Ne változtassa meg a biztonsági csoportokat, amelyek a Configuration Manager hoz létre és felügyel a helyrendszer kommunikációjának védelméhez.Do not change the security groups that Configuration Manager creates and manages for site system communication.

Biztonsági csoportok:Security groups:

  • SMS_SiteSystemToSiteServerConnection_MP_<Helykód>SMS_SiteSystemToSiteServerConnection_MP_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_SMSProv_<Helykód>SMS_SiteSystemToSiteServerConnection_SMSProv_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_Stat_<Helykód>SMS_SiteSystemToSiteServerConnection_Stat_<SiteCode>

A Configuration Manager automatikusan hoz létre és felügyeli ezeket a biztonsági csoportokat.Configuration Manager automatically creates and manages these security groups. Ebbe beletartozik a számítógépfiókok eltávolítása is a helyrendszerszerepkörök eltávolításakor.This includes removing computer accounts when a site system role is removed.

A szolgáltatás folytonosságának és a minimálisan szükséges jogosultságok biztosításához ne szerkessze kézzel ezeket a csoportokat.To ensure service continuity and least privileges, do not manually edit these groups.

Ha az ügyfelek nem tudják lekérdezni a globális katalógus kiszolgálójától a Configuration Manager információt, kezelheti a megbízható legfelső szintű kulcs létesítésének folyamatát kell használnia.If clients cannot query the Global Catalog server for Configuration Manager information, manage the trusted root key provisioning process.

Ha az ügyfelek nem tudják lekérdezni a globális katalógusból a Configuration Manager-információt, alkalmazniuk a megbízható legfelső szintű kulcsát használják az érvényes felügyeleti pontok hitelesítéséhez.If clients cannot query the Global Catalog for Configuration Manager information, they must rely on the trusted root key to authenticate valid management points. A megbízható legfelső szintű kulcsot az ügyfél beállításjegyzéke tárolja, és csoportházirend használatával vagy kézi konfigurálással állítható be.The trusted root key is stored in the client registry and can be set by using Group Policy or manual configuration.

Ha az ügyfél nem rendelkezik a megbízható legfelső szintű kulcs példányával, mielőtt első alkalommal csatlakozik egy felügyeleti ponthoz, megbízhatónak fogja tekinteni az első felügyeleti pontot, amellyel kommunikál.If the client does not have a copy of the trusted root key before it contacts a management point for the first time, it trusts the first management point it communicates with. Ha csökkenteni kívánja annak kockázatát, hogy a támadók nem hitelesített felügyeleti pontra irányítják át az ügyfeleket, előzetesen elláthatja az ügyfeleket a megbízható legfelső szintű kulccsal.To reduce the risk of an attacker misdirecting clients to an unauthorized management point, you can pre-provision the clients with the trusted root key. További információkért lásd: a megbízható legfelső szintű kulcs tervezése.For more information, see Planning for the trusted root key.

Használjon nem alapértelmezett portszámokat.Use non-default port numbers.

Nem alapértelmezett portszámok használatával növelheti a biztonságot, mert azok nehezebben támadók számára a környezet felderítését a támadás előkészítésekor.Using non-default port numbers can provide additional security because they make it harder for attackers to explore the environment in preparation for an attack. Ha nem alapértelmezett portok használata mellett dönt, tervezze meg őket, előtt a Configuration Manager telepítése, és használja őket portokat következesen a hierarchiában található összes helyen.If you decide to use non-default ports, plan for them before you install Configuration Manager, and use them consistently across all sites in the hierarchy. Ügyfélkérelmekhez használt portokról és a hálózati ébresztés példák használhat nem alapértelmezett portszámokat.Client request ports and Wake On LAN are examples where you can use non-default port numbers.

Különítse el a szerepköröket a helyrendszereken.Use role separation on site systems.

Bár az összes helyrendszerszerepkört telepítheti ugyanarra a számítógépre, ezt a megoldást ritkán alkalmazzák a munkakörnyezeti hálózatokban, mivel ez hibalehetőséget teremt.Although you can install all the site system roles on a single computer, this practice is rarely used on production networks because it creates a single point of failure.

Csökkentse a támadható felületet.Reduce the attack profile.

Minden helyrendszerszerepkör más kiszolgálón elkülönítése csökkenti annak esélyét, hogy egy helyrendszeren biztonsági rések elleni támadásoknak lehet helyrendszer használja.Isolating each site system role on a different server reduces the chance that an attack against vulnerabilities on one site system can be used against a different site system. Több helyrendszerszerepkör szükséges a telepítés az Internet Information Services (IIS) szolgáltatást a helyrendszeren, és ez növeli a támadási felületet.Many site system roles require the installation of Internet Information Services (IIS) on the site system, and this increases the attack surface. Ha a hardverrel kapcsolatos költségek csökkentése érdekében kombináltan kell alkalmaznia a helyrendszerszerepköröket, az IIS helyrendszerszerepkört csak olyan más helyrendszerszerepkörökkel kombinálja, amelyek igénylik az IIS használatát.If you must combine site system roles to reduce hardware expenditure, combine IIS site system roles only with other site system roles that require IIS.

Fontos

A tartalék állapotkezelő pont szerepköre kivétel ez.The fallback status point role is an exception. Mivel a helyrendszerszerepkör elfogadja a nem hitelesített adatokat az ügyfelektől, azt javasoljuk, hogy nem minden eddiginél rendel a tartalék állapotkezelő pont szerepkörét bármely más Configuration Manager helyrendszer-szerepkör.Because this site system role accepts unauthenticated data from clients, we recommend that you don't ever assign the fallback status point role to any other Configuration Manager site system role.

Alkalmazza a Windows Server legjobb biztonsági megoldásait, és futtassa a Biztonság beállítása varázslót az összes helyrendszeren.Follow security best practices for Windows Server and run the Security Configuration Wizard on all site systems.

A Biztonság beállítása varázsló segítségével létrehozhat egy olyan biztonsági házirendet, amelyet a hálózatban lévő bármelyik kiszolgálón alkalmazhat.The Security Configuration Wizard (SCW) helps you to create a security policy that you can apply to any server on your network. Miután telepítette a System Center Configuration Manager-sablon, a biztonság beállítása varázsló felismeri a Configuration Manager helyrendszer-szerepkörök, szolgáltatások, portokat és alkalmazásokat.After you install the System Center Configuration Manager template, SCW recognizes Configuration Manager site system roles, services, ports, and applications. Ezután engedélyezi a kommunikációt, amelyre a Configuration Manager szükség, és letiltja a szükségtelen kommunikáció.It then permits the communication that is required for Configuration Manager and blocks communication that is not required.

A biztonság beállítása varázsló használata a System Center 2012 Configuration Manager, amely letölthető a Microsoft Download Center eszközkészlete tartalmazza: A System Center 2012 – Configuration Manager Component Add-ons and Extensions.The Security Configuration Wizard is included with the toolkit for System Center 2012 Configuration Manager, which you can download from the Microsoft Download Center: System Center 2012 — Configuration Manager Component Add-ons and Extensions.

Állítson be statikus IP-címeket a helyrendszerekhez.Configure static IP addresses for site systems.

A statikus IP-címeket könnyebb védeni a névfeloldásos támadások ellen.Static IP addresses are easier to protect from name resolution attacks.

Statikus IP-címeket is megkönnyítik az IPsec konfigurációját.Static IP addresses also make the configuration of IPsec easier. Az IPsec használata a biztonsági szempontból ajánlott a Configuration Manager helyrendszerei közötti kommunikáció biztonságossá tételéhez.Using IPsec is a security best practice for securing communication between site systems in Configuration Manager.

Ne telepítsen más alkalmazásokat a helyrendszer-kiszolgálókra.Do not install other applications on site system servers.

Ha más alkalmazásokat is telepít a helyrendszer-kiszolgálókon, a Configuration Manager és a kockázati kompatibilitási problémák növeli a támadási felületet.When you install other applications on site system servers, you increase the attack surface for Configuration Manager and risk incompatibility issues.

Írja elő helybeállításként az aláírást és engedélyezze a titkosítást.Require signing and enable encryption as a site option.

Engedélyezze az aláírási és a titkosítási beállításokat a helyre vonatkozóan.Enable the signing and encryption options for the site. Győződjön meg arról, hogy az összes ügyfél támogatja az SHA-256 kivonatoló algoritmust, majd engedélyezze a SHA-256 megkövetelése.Ensure that all clients can support the SHA-256 hash algorithm, and then enable the option Require SHA-256.

Korlátozza és figyelje a Configuration Manager rendszergazda felhasználókat, és a szerepköralapú felügyelet használatával adja meg a számukra szükséges minimális engedélyeket.Restrict and monitor Configuration Manager administrative users and use role-based administration to grant these users the minimum permissions that they require.

Hozzáférést felügyeleti a Configuration Manager csak azoknak a felhasználóknak, hogy megbízik, és adja meg számukra a minimálisan a beépített biztonsági szerepkörök használatával vagy a biztonsági szerepkörök testreszabásával.Grant administrative access to Configuration Manager only to users that you trust and then grant them minimum permissions by using the built-in security roles or by customizing the security roles. Rendszergazda felhasználók, akik létrehozása, módosítása, és telepíthetik az alkalmazásokat, a feladatütemezés, a szoftverfrissítések, a konfigurációs elemek és a referenciakonfigurációkat, a Configuration Manager hierarchiájában található eszközöket is vezérelhetik.Administrative users who can create, modify, and deploy applications, task sequence, software updates, configuration items, and configuration baselines, can potentially control devices in the Configuration Manager hierarchy.

Rendszeres időközönként ellenőrizze a rendszergazdai jogosultságok kiosztását és a jogosultsági szinteket, és vizsgálja meg, hogy nincs-e szükség változtatásokra.Periodically audit administrative user assignments and their authorization level to verify required changes.

További információ szerepköralapú adminisztráció konfigurálásáról: Szerepköralapú adminisztráció konfigurálása a System Center Configuration Managerben.For more information about configuring role-based administration, see Configure role-based administration for System Center Configuration Manager.

A Configuration Manager biztonsági mentések biztonságos, és a kommunikációs csatorna biztonságáról, amikor biztonsági mentése és visszaállítása.Secure Configuration Manager backups and secure the communication channel when you back up and restore.

A Configuration Manager biztonsági, ezen információk közé tartozik, tanúsítványokat és más bizalmas adatokat, a támadó a megszemélyesítéshez használható.When you back up Configuration Manager, this information includes certificates and other sensitive data that could be used by an attacker for impersonation.

Használjon SMB-aláírást vagy az IPsec protokollt, amikor a hálózaton keresztül küldi ezeket az adatokat, és lássa el megfelelő védelemmel a biztonsági mentést tároló helyet.Use SMB signing or IPsec when you transfer this data over the network, and secure the backup location.

Amikor Ön objektumokat exportál vagy importál a Configuration Manager-konzolon egy hálózati helyre, tegye biztonságossá a helyet, és a hálózati csatorna biztonságáról.Whenever you export or import objects from the Configuration Manager console to a network location, secure the location and secure the network channel.

Korlátozza a hálózati mappához hozzáférő felhasználók körét.Restrict who can access the network folder.

Használjon SMB-aláírást vagy az IPSec protokollt, valamint a hálózati hely és a helykiszolgáló között az server rendszert futtató számítógépen a Configuration Manager konzol és a hely, hogy az exportált adatok illetéktelen módosításának megakadályozására.Use SMB signing or IPsec between the network location and the site server, and between the computer that runs the Configuration Manager console and site server, to prevent an attacker from tampering with the exported data. Használja az IPsec protokollt az adatok titkosításához a hálózatban az információ felfedésének megakadályozására.Use IPsec to encrypt the data on the network to prevent information disclosure.

Ha egy helyrendszer nem megfelelően eltávolítani, vagy nem működik, és nem állítható vissza, manuálisan távolítsa el a Configuration Manager tanúsítványokat, a kiszolgáló más Configuration Manager-kiszolgálókat.If a site system isn't uninstalled properly or stops functioning and cannot be restored, manually remove the Configuration Manager certificates for this server from other Configuration Manager servers.

A helyrendszer és helyrendszer-szerepkörök eredetileg létrehozott Társkapcsolat eltávolításához kézzel törölje a Configuration Manager a meghibásodott kiszolgálóhoz tartozó tanúsítványait a megbízható személyek többi helyrendszer-kiszolgáló tanúsítványtárolójában.To remove the PeerTrust that was originally established with the site system and site system roles, manually remove the Configuration Manager certificates for the failed server in the Trusted People certificate store on other site system servers. Ez különösen fontos, ha újbóli formázás nélkül kívánja újból használni a kiszolgálót.This is particularly important if you repurpose the server without reformatting it.

További információ ezekről a tanúsítványokról című titkosítási funkciók kiszolgálói kommunikációhoz a a kriptográfiai szolgáltató szabályozza technikai útmutató a System Center Configuration Manager.For more information about these certificates, see the section Cryptographic controls for server communication in Cryptographic controls technical reference for System Center Configuration Manager.

Ne konfiguráljon internetes helyrendszereket hídként a szegélyhálózathoz és az intranethez.Do not configure Internet-based site systems to bridge the perimeter network and the intranet.

Ne konfiguráljon a helyrendszer-kiszolgálók kell lennie a többhelyű, hogy a peremhálózat és az intranethez való csatlakozáshoz.Do not configure site system servers to be multi-homed so that they connect to the perimeter network and the intranet. Bár ez a konfiguráció lehetővé teszi, hogy az internetes helyrendszerek fogadják az internetről és az intranetről érkező ügyfélkapcsolatokat, de kiiktatja a biztonsági határt a szegélyhálózat és az intranet között.Although this configuration allows Internet-based site systems to accept client connections from the Internet and the intranet, it eliminates a security boundary between the perimeter network and the intranet.

Ha a helyrendszer-kiszolgáló nem megbízható hálózatban található (például szegélyhálózatban), állítsa be a helykiszolgálót úgy, hogy kapcsolatokat kezdeményezzen a helyrendszerrel.If the site system server is on an untrusted network (such as a perimeter network), configure the site server to initiate connections to the site system.

Alapértelmezés szerint a helyrendszerek kezdeményeznek kapcsolatokat a helykiszolgálóhoz az adatok átvitele céljából, ami biztonsági kockázatot jelenthet, amikor a kezdeményezett kapcsolat nem megbízható hálózatból irányul a megbízható hálózatba.By default, site systems initiate connections to the site server to transfer data, which can be a security risk when the connection initiation is from an untrusted network to the trusted network. Amikor a helyrendszerek fogadják az internetről érkező kapcsolatokat vagy nem megbízható erdőben találhatók, adja meg a Kapcsolatok kezdeményezésének megkövetelése a helykiszolgálótól ehhez a helyrendszerhez helyrendszer-beállítást, hogy a helyrendszer és a helyrendszerszerepkörök telepítése után minden kapcsolat kezdeményezése a megbízható hálózatból történjen.When site systems accept connections from the Internet or reside in an untrusted forest, configure the site system option Require the site server to initiate connections to this site system so that after the installation of the site system and any site system roles, all connections are initiated from the trusted network.

Ha proxy-webkiszolgálót használ az internetes ügyfélfelügyelethez, használja az SSL-hídképzést az SSL-hez lezárásos hitelesítéssel.If you use a web proxy server for Internet-based client management, use SSL bridging to SSL, by using termination with authentication.

Amikor beállítja az SSL-lezárást a proxy-webkiszolgálón, a rendszer megvizsgálja az internetről érkező csomagokat, mielőtt továbbítja azokat a belső hálózatba.When you configure SSL termination at the proxy web server, packets from the Internet are subject to inspection before they are forwarded to the internal network. A proxy-webkiszolgáló hitelesíti az ügyféltől érkező kapcsolatot, lezárja azt, majd új hitelesített kapcsolatot nyit az internetes helyrendszerek felé.The proxy web server authenticates the connection from the client, terminates it, and then opens a new authenticated connection to the Internet-based site systems.

Configuration Manager ügyfélszámítógépeinek proxy-webkiszolgáló használatával csatlakoznak az internetalapú helyrendszerekhez, az ügyfél azonosítójának (GUID) tárolása biztonságosan történik csomagszinten, így a felügyeleti pont nem tekinti a proxy-webkiszolgálót az ügyfélnek.When Configuration Manager client computers use a proxy web server to connect to Internet-based site systems, the client identity (client GUID) is securely contained within the packet payload so that the management point does not consider the proxy web server to be the client. Ha a proxy-webkiszolgáló nem támogatja az SSL-hídképzés követelményeit, az SSL protokollbújtatás is használható.If your proxy web server cannot support the requirements for SSL bridging, SSL tunneling is also supported. Ez kevésbé biztonságos megoldás, mert a rendszer lezárás nélkül továbbítja az internetről érkező SSL-csomagokat a helyrendszerekbe, így nem vizsgálható meg, hogy nem tartalmaznak-e rosszindulatú tartalmat.This is a less secure option because the SSL packets from the Internet are forwarded to the site systems without termination, so they cannot be inspected for malicious content.

Ha a proxy-webkiszolgáló nem támogatja az SSL-hídképzés követelményeit, az SSL-protokollbújtatás is használható.If your proxy web server cannot support the requirements for SSL bridging, you can use SSL tunneling. Ez azonban kevésbé biztonságos megoldás, mert a rendszer lezárás nélkül továbbítja az internetről érkező SSL-csomagokat a helyrendszerekbe, így nem vizsgálható meg, hogy nem tartalmaznak-e rosszindulatú tartalmat.However, this is a less secure option because the SSL packets from the Internet are forwarded to the site systems without termination, so they cannot be inspected for malicious content.

Figyelmeztetés

A Configuration Manager által beléptetett mobileszközök nem használható SSL-hídképzés követelményeinek, és SSL-protokollbújtatást kell használniuk.Mobile devices that are enrolled by Configuration Manager cannot use SSL bridging and must use SSL tunneling only.

Használandó konfigurációk, ha a helyet úgy állítja be, hogy felébressze a számítógépeket a szoftvertelepítéshez.Configurations to use if you configure the site to wake up computers to install software.

  • Ha hagyományos ébresztési csomagok használata esetén használja az alhálózat által vezérelt szórás helyett egyedi.If you use traditional wake-up packets, use unicast rather than subnet-directed broadcasts.

  • Ha alhálózat által vezérelt szórást kell használnia, konfigurálja az útválasztókat, hogy az IP-vezérelt szórást csak a helykiszolgálóról és csak a nem alapértelmezett portszámot.If you must use subnet-directed broadcasts, configure routers to allow IP-directed broadcasts only from the site server and only on a non-default port number.

A különböző hálózati ébresztési technológiákkal kapcsolatos további információkért lásd: tervezése a System Center Configuration Manager ügyfelek felébresztése.For more information about the different Wake On LAN technologies, see Planning how to wake up clients in System Center Configuration Manager.

E-mail értesítés használata esetén hitelesített hozzáférést konfiguráljon az SMTP-levelezőkiszolgálóhoz.If you use email notification, configure authenticated access to the SMTP mail server.

Amikor csak lehetséges, hogy támogatja a hitelesített hozzáférést olyan levelezőkiszolgálót használjon, és a helykiszolgáló számítógépfiókját használják a hitelesítéshez.Whenever possible, use a mail server that supports authenticated access, and use the computer account of the site server for authentication. Ha felhasználói fiókot kell megadnia a hitelesítéshez, olyan fiókot használjon, amely a lehető legkevesebb jogosultsággal rendelkezik.If you must specify a user account for authentication, use an account that has the least privileges.

A helykiszolgáló biztonsági védelmének bevált gyakorlataSecurity best practices for the site server

Használja a következő ajánlott biztonsági eljárások segítségével a Configuration Manager-helykiszolgáló biztosíthatja.Use the following security best practices to help you secure the Configuration Manager site server.

Telepítse a Configuration Manager rendszert ne tartományvezérlőre, hanem tagkiszolgálóra.Install Configuration Manager on a member server instead of a domain controller.

A Configuration Manager hely kiszolgáló és a helyrendszerek nem kell tartományvezérlőre telepíteni.The Configuration Manager site server and site systems do not require installation on a domain controller. A tartományvezérlők a tartomány-adatbázison kívül nem rendelkeznek helyi biztonsági fiókkezelő (SAM) adatbázissal.Domain controllers do not have a local Security Accounts Management (SAM) database other than the domain database. Ha telepíti a Configuration Manager azon a tagkiszolgálón, akkor is fenntartható a Configuration Manager-fiókok a tartomány-adatbázis helyett a helyi SAM-adatbázisban.When you install Configuration Manager on a member server, you can maintain Configuration Manager accounts in the local SAM database rather than in the domain database.

Ez az eljárás a tartományvezérlők támadási felületét is csökkenti.This practice also lowers the attack surface on your domain controllers.

Másodlagos hely telepítésekor lehetőleg ne a hálózaton keresztül másolja a szükséges fájlokat a másodlagos hely kiszolgálójára.Install secondary sites by avoiding copying the files to the secondary site server over the network.

Futtassa a telepítőt, és hozzon létre egy másodlagos hely nem választja átmásolni a fájlokat a szülőhelyről a másodlagos helyre, és ne használjon hálózati forráshelyet.When you run setup and create a secondary site, do not select the option to copy the files from the parent site to the secondary site, and don't use a network source location. Ha a hálózaton keresztül másol fájlokat, egy gyakorlott támadó eltérítheti a másodlagos hely telepítési csomagját, és a telepítés előtt illetéktelenül módosíthatja a fájlokat – bár egy ilyen jellegű támadás igen nehezen időzíthető.When you copy files over the network, a skilled attacker could hijack the secondary site installation package and tamper with the files before they are installed, although timing this attack would be difficult. A támadás kivédhető, ha IPsec vagy SMB protokollt használ a fájlok átviteléhez.This attack can be mitigated by using IPsec or SMB when you transfer the files.

Helyett a fájlok másolása a hálózaton, a másodlagos helykiszolgálón, másolja a forrásfájlokat egy helyi mappába media mappájából.Instead of copying the files over the network, on the secondary site server, copy the source files from media folder to a local folder. Amikor a telepítő futtatásával egy másodlagos helyet hoz létre a a telepítési forrásfájlok lapon jelölje be a másodlagos hely számítógépén (Ez a legbiztonságosabb lehetőség) a következő helyen lévő forrásfájlok használata, majd adja meg a mappát.Then, when you run setup to create a secondary site, on the Installation Source Files page, select Use the source files at the following location on the secondary site computer (most secure), and specify this folder.

További információ: A telepítővarázsló használata helyek telepítéséhez című témakör Másodlagos hely telepítése című szakasza.For more information, see Install a secondary site in the Use the Setup Wizard to install sites topic.

Ajánlott biztonsági eljárások az SQL ServerSecurity best practices for SQL Server

A Configuration Manager az SQL Server a háttér-adatbázisként.Configuration Manager uses SQL Server as the back-end database. Ha az adatbázis biztonsága megsérül, a támadók képes megkerülése Configuration Manager, és közvetlenül a Configuration Manager használatával támadásokat indíthatnak SQL-kiszolgáló elérhető.If the database is compromised, attackers could bypass Configuration Manager and access SQL Server directly to launch attacks through Configuration Manager. Vegye figyelembe a támadások rendkívül nagy kockázatot és annak megfelelően SQL-kiszolgálón.Consider attacks against SQL Server to be very high risk and mitigate appropriately.

A következő ajánlott biztonsági eljárások segítségével biztosíthatja az SQL Server Configuration Manager segítségével.Use the following security best practices to help you secure SQL Server for Configuration Manager.

Ne használja a Configuration Manager Helyadatbázis-kiszolgálón más SQL Server-alkalmazások futtatására.Do not use the Configuration Manager site database server to run other SQL Server applications.

Ha növeli a Configuration Manager Helyadatbázis-kiszolgáló eléréséhez, ez növeli a Configuration Manager adatait fenyegető veszélyek kockázata.When you increase the access to the Configuration Manager site database server, this increases the risk to your Configuration Manager data. Ha a Configuration Manager-Helyadatbázis biztonsága sérül, ugyanazon SQL Server-számítógépen más alkalmazásokra majd szintén veszélynek van.If the Configuration Manager site database is compromised, other applications on the same SQL Server computer are then also put at risk.

Az SQL Servert Windows-hitelesítés használatára konfigurálja.Configure SQL Server to use Windows authentication.

Bár a Configuration Manager Windows-fiókkal és Windows-hitelesítés használatával fér hozzá a helyadatbázishoz, is továbbra is lehet konfigurálni az SQL Server által használandó SQL Server vegyes üzemmód.Although Configuration Manager accesses the site database by using a Windows account and Windows authentication, it is still possible to configure SQL Server to use SQL Server mixed mode. SQL Server vegyes üzemmód lehetővé teszi, hogy további SQL bejelentkezések elérni az adatbázist, amely nincs szükség, és növeli a támadási felületet.SQL Server mixed mode allows additional SQL sign-ins to access the database, which is not required and increases the attack surface.

Fokozottan ügyeljen arra, hogy az SQL Server Expresst használó másodlagos helyeken telepítve legyenek a legújabb szoftverfrissítések.Take additional steps to ensure that secondary sites that use SQL Server Express have the latest software updates.

Egy elsődleges hely telepítésekor a Configuration Manager letölti az SQL Server Express programot a Microsoft Download Center, és az elsődleges hely kiszolgálójára másolja a fájlokat.When you install a primary site, Configuration Manager downloads SQL Server Express from the Microsoft Download Center and copies the files to the primary site server. Ha másodlagos helyet telepít, és válassza ki az SQL Server Express telepítésére vonatkozó beállítást, a Configuration Manager a korábban letöltött verziót telepíti, és nem ellenőrzi, hogy elérhetők-e új verziók.When you install a secondary site and select the option that installs SQL Server Express, Configuration Manager installs the previously downloaded version and does not check whether new versions are available. Győződjön meg arról, hogy a másodlagos helykiszolgáló rendelkezik-e a legújabb verziójú, hajtsa végre az alábbi műveletek közül:To ensure that the secondary site has the latest versions, do one of the following tasks:

  • A másodlagos hely telepítése után futtassa a Windows Update a másodlagos helykiszolgálón.After the secondary site has been installed, run Windows Update on the secondary site server.

  • A másodlagos hely telepítése előtt manuális módszerrel telepítse az SQL Server Expresst azon a számítógépen, amely a másodlagos hely kiszolgálóját fogja futtatni, és mindenképpen a legújabb verziót telepítse, az összes szoftverfrissítéssel együtt.Before you install the secondary site, manually install SQL Server Express on the computer that will run the secondary site server and ensure that you install the latest version and any software updates. Ezután a másodlagos hely telepítése, és válassza a meglévő SQL Server-példány lehetőséget.Then install the secondary site, and select the option to use an existing SQL Server instance.

Rendszeresen futtassa a Windows Update szolgáltatást a helyek és az SQL Server valamennyi telepített verziójának frissítéséhez annak érdekében, hogy mindig a legújabb szoftverfrissítésekkel rendelkezzenek.Periodically run Windows Update for these sites and all installed versions of SQL Server to make sure that they have the latest software updates.

Kövesse az SQL Serverhez ajánlott eljárásokat.Follow best practices for SQL Server.

Ismerje meg és kövesse az adott SQL Server-verzióra vonatkozó ajánlott eljárásokat.Identify and follow the best practices for your version of SQL Server. Ezzel együtt vegye figyelembe az alábbi követelmények a Configuration Manager:However, take into consideration the following requirements for Configuration Manager:

  • A helykiszolgáló számítógépfiókjának a Rendszergazdák csoport tagjának kell lennie az SQL Servert futtató számítógépen.The computer account of the site server must be a member of the Administrators group on the computer that runs SQL Server. Ha az SQL Server ajánlását követi "konfigurálta a rendszergazda rendszerbiztonsági tagok explicit módon", a futtatásához használt fióknak a helykiszolgálón a telepítő az SQL-felhasználók csoport tagjának kell lennie.If you follow the SQL Server recommendation of "provision administrator principals explicitly", the account that you use to run setup on the site server must be a member of the SQL Users group.

  • Ha tartományi felhasználói fiókkal telepíti az SQL Servert, ügyeljen arra, hogy a helykiszolgáló számítógépfiókja az Active Directory tartományi szolgáltatásokban közzétett egyszerű szolgáltatásnévvel legyen konfigurálva.If you install SQL Server by using a domain user account, make sure that the site server computer account is configured for a Service Principal Name (SPN) that is published to Active Directory Domain Services. Az egyszerű szolgáltatásnév hiányában a Kerberos-hitelesítés nem sikerül, és a Configuration Manager telepítése sikertelen.Without the SPN, Kerberos authentication fails and Configuration Manager setup fails.

Ajánlott biztonsági eljárások az IIS-t futtató helyrendszerekhezSecurity best practices for site systems that run IIS

Több helyrendszer-szerepkörök a Configuration Manager az IIS-t igényelnek.Several site system roles in Configuration Manager require IIS. A folyamat az IIS védelme lehetővé teszi, hogy a Configuration Manager számára a megfelelő működést, és csökkenti a biztonsági támadások kockázatát.The process of securing IIS enables Configuration Manager to operate correctly and reduces the risk of security attacks. Gyakorlati, amikor az IIS szolgáltatást igénylő kiszolgálók számának minimalizálása érdekében.When practical, minimize the number of servers that require IIS. például csak annyi felügyeleti pontot futtasson, amennyire feltétlenül szükség van az ügyfelek támogatásához, figyelembe véve az internetalapú ügyfélfelügyelet magas rendelkezésre állási és hálózati elkülönítési követelményeit.For example, run only the number of management points that you require to support your client base, taking into consideration high availability and network isolation for Internet-based client management.

Az IIS-t futtató helykiszolgáló biztonságáról az alábbi ajánlott eljárásokkal gondoskodhat.Use the following security best practices to help you secure the site systems that run IIS.

Tiltsa le az IIS-funkciókat, amelyek nem igényelnek.Disable IIS functions that you don't require.

Csak a telepített helyrendszerszerepkörhöz minimálisan szükséges IIS-funkciókat telepítse.Install only the minimum IIS features for the site system role that you install. További információk: Hely és helyrendszer előfeltételei.For more information, see Site and site system prerequisites.

Konfigurálja a helyrendszerszerepköröket úgy, hogy HTTPS-kapcsolatot tegyenek kötelezővé.Configure the site system roles to require HTTPS.

A helyrendszerhez HTTPS- helyett HTTP-kapcsolaton keresztül csatlakozó ügyfelek Windows-hitelesítést használnak, amely adott esetben NTLM-hitelesítésre állhat vissza Kerberos-hitelesítés helyett.When clients connect to a site system by using HTTP rather than by using HTTPS, they use Windows authentication, which might fall back to using NTLM authentication rather than Kerberos authentication. NTLM-alapú hitelesítés esetén fennáll a veszélye, hogy az ügyfél engedélyezetlen kiszolgálóhoz csatlakozik.When NTLM authentication is used, clients might connect to a rogue server.

Az ajánlott biztonsági eljárás alól kivételt jelenthetnek a terjesztési pontok, ugyanis a csomag-hozzáférési fiókok nem működnek, ha a terjesztési pont HTTPS-kapcsolatra van konfigurálva.The exception to this security best practice might be distribution points because package access accounts do not work when the distribution point is configured for HTTPS. A csomag-hozzáférési fiókok lehetővé teszik az engedélyeztetést, amivel korlátozható, hogy mely felhasználók férhetnek hozzá a tartalomhoz.Package access accounts provide authorization to the content, so that you can restrict which users can access the content. További információkért lásd: a Tartalomkezelés biztonsági védelmének bevált gyakorlata.For more information, see Security best practices for content management.

Az IIS szolgáltatásban állítsa be a megbízható tanúsítványok listáját a helyrendszerszerepkörökhöz.Configure a certificate trust list (CTL) in IIS for site system roles.

Helyrendszerszerepkörök:Site system roles:

  • A HTTPS-hez konfigurált terjesztési pontA distribution point that is configured for HTTPS

  • A felügyeleti pont a HTTPS használatára konfigurált és engedélyezett a mobileszközök támogatásáhozA management point that is configured for HTTPS and enabled to support mobile devices

A megbízható tanúsítványok listája (CTL) a megbízható legfelső szintű hitelesítésszolgáltatók előre definiált listája.A certificate trust list (CTL) is a defined list of trusted root certification authorities. CTL-listát, csoportházirendet és a nyilvános kulcsokra épülő infrastruktúra (PKI) központi telepítés használatakor CTL-listát lehetővé teszi, hogy kiegészíti a meglévő megbízható legfelső szintű hitelesítésszolgáltató a hálózaton, például azokkal, amelyek automatikusan telepített Microsoft Windows vagy a Windows vállalati legfelső szintű hitelesítésszolgáltatók hozzáadva konfigurált.When you use a CTL with Group Policy and a public key infrastructure (PKI) deployment, a CTL enables you to supplement the existing trusted root certification authorities that are configured on your network, such as those that are automatically installed with Microsoft Windows or added through Windows enterprise root certification authorities. Azonban ha CTL-listát az IIS-ben van konfigurálva, akkor egy részhalmazt határoz meg azokat a megbízható legfelső szintű hitelesítésszolgáltatók.However, when a CTL is configured in IIS, it defines a subset of those trusted root certification authorities.

Ez erősebb biztonságot tesz lehetővé, hiszen a CTL-lista a benne szereplő hitelesítésszolgáltatók által kibocsátott tanúsítványokra korlátozza az elfogadható ügyfél-tanúsítványok körét.This subset provides you with more control over security because the CTL restricts the client certificates that are accepted to only those that are issued from the list of certification authorities in the CTL. A Windows például jól ismert, a külső hitelesítésszolgáltatók, például VeriSign, Thawte számos tartalmaz.For example, Windows comes with a number of well-known, third-party certification authority certificates, such as VeriSign and Thawte.

Alapértelmezés szerint az IIS-t futtató számítógép megbízhatónak tartja azokat a tanúsítványokat, amelyek ezektől az ismert hitelesítésszolgáltatóktól származnak.By default, the computer that runs IIS trusts certificates that chain to these well-known certification authorities. Ha az IIS nem konfigurál CTL-listát a felsorolt helyrendszerszerepkörökhöz, mint érvényes Configuration Manager ügyfél elfogadható minden olyan eszköz, amely az említett hitelesítésszolgáltatóktól származó ügyféltanúsítvánnyal rendelkezik.When you do not configure IIS with a CTL for the listed site system roles, any device that has a client certificate issued from these certification authorities is accepted as a valid Configuration Manager client. Ha az IIS-ben konfigurált CTL-listán nem szerepelnek ezek a hitelesítésszolgáltatók, a csatlakozni kívánó ügyfél tanúsítványa azonban ezek valamelyikétől származik, a rendszer elutasítja az ügyfélkapcsolatot.If you configure IIS with a CTL that did not include these certification authorities, client connections are refused if the certificate chained to these certification authorities. Azonban a Configuration Manager-ügyfelek el kell fogadni a felsorolt helyrendszerszerepkörökhöz, konfigurálnia kell az IIS CTL-listát, amely a Configuration Manager-ügyfelek által használt hitelesítésszolgáltatóknak.However, for Configuration Manager clients to be accepted for the listed site system roles, you must configure IIS with a CTL that specifies the certification authorities that are used by Configuration Manager clients.

Megjegyzés

Csak a felsorolt helyrendszerszerepkörökhöz kell CTL-listát konfigurálni az IIS-ben.Only the listed site system roles require you to configure a CTL in IIS. A tanúsítványkibocsátók listáját, amelyek a Configuration Manager használ a felügyeleti pontok HTTPS-alapú felügyeleti pontokhoz csatlakozó ügyfélszámítógépek biztosít ugyanezeket a funkciókat.The certificate issuers list that Configuration Manager uses for management points provides the same functionality for client computers when they connect to HTTPS management points.

Az IIS dokumentációja további információval szolgál arról, miként konfigurálható a megbízható hitelesítésszolgáltatók listája az IIS szolgáltatásban.For more information about how to configure a list of trusted certification authorities in IIS, refer to your IIS documentation.

A helykiszolgálót ne telepítse IIS-t futtató számítógépre.Do not put the site server on a computer with IIS.

A szerepkörök elkülönítése csökkenti a támadási felületet és javítja a helyreállíthatóságot.Role separation helps to reduce the attack profile and improve recoverability. Emellett a helykiszolgáló számítógépfiókja jellemzően rendszergazdai jogosultságokkal rendelkezik az összes helyrendszerszerepkör (és valószínűleg a Configuration Manager-ügyfelek, ha ügyfélleküldéses telepítést használ).In addition, the computer account of the site server typically has administrative privileges on all site system roles (and possibly on Configuration Manager clients, if you use client push installation).

Használjon dedikált IIS-kiszolgálókat a Configuration Manager.Use dedicated IIS servers for Configuration Manager.

Bár az IIS-kiszolgálókkal, a Configuration Manager által is használt több webalapú alkalmazásokhoz, ez az eljárás jelentősen csökkenti a támadási felületet.Although you can host multiple web-based applications on the IIS servers that are also used by Configuration Manager, this practice can significantly increase your attack surface. Egy nem megfelelően konfigurált alkalmazás egy támadó ahhoz, hogy a vezérlő egy Configuration Manager helyrendszer, amely egy támadó a hierarchia irányítását.A poorly configured application could allow an attacker to gain control of a Configuration Manager site system, which could allow an attacker to gain control of the hierarchy.

A Configuration Manager helyrendszerei más webes alkalmazásokat is kell futtatnia, ha a Configuration Manager helyrendszerei egyéni webhely létrehozása.If you must run other web-based applications on Configuration Manager site systems, create a custom web site for Configuration Manager site systems.

Egyéni webhely használatára.Use a custom website.

IIS-t futtató helyrendszerek beállíthatja az alapértelmezett webhely helyett egyéni webhelyet használjon az IIS a Configuration Manager.For site systems that run IIS, you can configure Configuration Manager to use a custom website instead of the default website for IIS. Ha más webalkalmazásokat futtat a helyrendszeren, egyedi webhelyet kell használnia.If you have to run other web applications on the site system, you must use a custom website. A beállítás nem egy helyre kiterjedő beállítás helyett egy konkrét helyrendszerre beállítást.This setting is a site-wide setting rather than a setting for a specific site system.

Az egyéb biztonsági lépések mellett mindenképpen egyedi webhelyet kell használnia, ha más webalkalmazásokat is futtat a helyrendszeren.In addition to providing additional security, you must use a custom website if you run other web applications on the site system.

Ha úgy vált alapértelmezett webhelyről egyéni webhelyre, hogy előtte már terjesztési pontot is telepített, távolítsa el az alapértelmezett virtuális könyvtárakat.If you switch from the default website to a custom website after any distribution point roles are installed, remove the default virtual directories.

Amikor az alapértelmezett webhelyről egyéni webhely használatára vált, a Configuration Manager nem távolítja el a régi virtuális könyvtárakat.When you change from using the default website to using a custom website, Configuration Manager does not remove the old virtual directories. Távolítsa el a Configuration Manager az alapértelmezett webhelyen eredetileg létrehozott virtuális könyvtárakat.Remove the virtual directories that Configuration Manager originally created under the default website.

Terjesztési pont esetében például az alábbi virtuális könyvtárakat kell törölnie:For example, the virtual directories to remove for a distribution point are the following:

  • SMS_DP_SMSPKG$SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$NOCERT_SMS_DP_SMSSIG$

Kövesse az IIS Serverhez ajánlott eljárásokat.Follow best practices for IIS Server.

Ismerje meg és kövesse az adott IIS Server-verzió ajánlott eljárásait.Identify and follow the best practices for your version of IIS Server. Azonban vegye figyelembe a követelményeket, amely a Configuration Manager rendelkezik az adott helyrendszer-szerepköröket.However, take into consideration any requirements that Configuration Manager has for specific site system roles. További információk: Hely és helyrendszer előfeltételei.For more information, see Site and site system prerequisites.

Ajánlott biztonsági eljárások a felügyeleti pontSecurity best practices for the management point

Felügyeleti pontok jelentik az elsődleges kapcsolódási felületet az eszközök és a Configuration Manager között.Management points are the primary interface between devices and Configuration Manager. Fontolja meg a felügyeleti pont és az azt futtató kiszolgálóra a rendkívül nagy kockázatot, és megfelelően elleni támadásokat.Consider attacks against the management point and the server that it runs on to be very high risk, and mitigate appropriately. Kövesse az összes releváns ajánlott biztonsági eljárást, és figyelje az esetleges szokatlan tevékenységeket.Apply all appropriate security best practices and monitor for unusual activity.

A következő ajánlott biztonsági eljárások segítségével biztonságossá tétele a felügyeleti pontot a Configuration Manager alkalmazásban.Use the following security best practices to help secure a management point in Configuration Manager.

Amikor telepíti a Configuration Manager-ügyfél a felügyeleti pont, rendelje hozzá a felügyeleti pont helyéhez.When you install a Configuration Manager client on the management point, assign it to that management point's site.

Kerülje a forgatókönyvet, ahol a Configuration Manager-ügyfél, amely a felügyeleti pont helyrendszeren eltérő a felügyeleti pont helyéhez egy helyhez van rendelve.Avoid the scenario where a Configuration Manager client that is on a management point site system is assigned to a site other than the management point's site.

Ha telepít át, egy korábbi System Center Configuration Manager telepítse át a felügyeleti ponton lévő ügyfélszoftvert a System Center Configuration Manager amint lehetséges.If you migrate from an earlier version to System Center Configuration Manager, migrate the client software on the management point to System Center Configuration Manager as soon as possible.

Ajánlott biztonsági eljárások a tartalék állapotkezelő pontSecurity best practices for the fallback status point

Használja a következő ajánlott biztonsági eljárások a tartalék állapotkezelő pont a Configuration Manager telepíti.Use the following security best practices if you install a fallback status point in Configuration Manager.

A tartalék állapotkezelő pontok telepítésekor megfontolandó biztonsági szempontokról további információért lásd: Tartalék állapotkezelő pont szükségességének megállapítása.For more information about the security considerations when you install a fallback status point, see Determine Whether You Require a Fallback Status Point.

Ne futtassa más helyrendszerszerepköröket a helyrendszeren, és ne telepítse a tartalék állapotkezelő pontot tartományvezérlőn.Do not run other site system roles on the site system, and do not install the status fallback point on a domain controller.

Mivel a tartalék állapotkezelő pont kialakításából eredően hitelesítés nélküli kommunikációt is fogad bármilyen számítógépről, a más helyrendszerszerepkörökkel vagy tartományvezérlőn való futtatás igen nagy kockázattal jár az adott kiszolgáló számára.Because the fallback status point is designed to accept unauthenticated communication from any computer, running this site system role with other site system roles or on a domain controller greatly increases the risk to that server.

A Configuration Manager ügyfél-kommunikációhoz PKI-tanúsítványokat használ, a telepítést, ha a tartalék állapotkezelő pont az ügyfelek telepítése előtt.When you use PKI certificates for client communication in Configuration Manager, install the fallback status point before you install the clients.

Ha a Configuration Manager helyrendszerei nem fogadja el a HTTP ügyfél-kommunikációt, esetleg nem tudja, hogy az ügyfelek PKI-tanúsítvánnyal kapcsolatos problémák miatt nem felügyelt.If Configuration Manager site systems do not accept HTTP client communication, you might not know that clients are unmanaged because of PKI-related certificate issues. Azonban ha az ügyfelek egy tartalék állapotkezelő ponthoz legyenek rendelve, a tanúsítvány problémák által jelentett a tartalék állapotkezelő pont.However, if clients are assigned to a fallback status point, these certificate issues are reported by the fallback status point.

Biztonsági okokból nem rendelhet tartalék állapotkezelő pont az ügyfelek telepítés után.For security reasons, you cannot assign a fallback status point to clients after they are installed. Ehelyett rendelhet hozzá ezt a szerepkört csak az ügyfél telepítése során.Instead, you can assign this role only during client installation.

Kerülje a tartalék állapotkezelő pont használatát szegélyhálózatban.Avoid using the fallback status point in the perimeter network.

A kiépítése szerint a tartalék állapotkezelő pont bármely ügyféltől fogad adatokat.By design, the fallback status point accepts data from any client. Bár a szegélyhálózatban a tartalék állapotkezelő pont segítheti az internet alapú ügyfelek hibaelhárítását, egyensúlyozni kell a hibaelhárítás előnyei és annak kockázata között, ha olyan a helyrendszer, hogy elfogadja a nyilvánosan elérhető hálózat hitelesítés nélküli adatait.Although a fallback status point in the perimeter network could help you to troubleshoot Internet-based clients, you must balance the troubleshooting benefits with the risk of a site system that accepts unauthenticated data in a publicly accessible network.

Ha telepíti a tartalék állapotkezelő pontot szegélyhálózatra vagy megbízható hálózatra, konfigurálja a helykiszolgálót adatátvitelek kezdeményezése helyett az alapértelmezett beállítás, amely lehetővé teszi, hogy a tartalék állapotkezelő pont használatával kezdeményeznek kapcsolatot a helykiszolgálóval.If you do install the fallback status point in the perimeter network or any untrusted network, configure the site server to initiate data transfers rather than using the default setting that allows the fallback status point to initiate a connection to the site server.

A helyfelügyelet biztonsági problémáiSecurity issues for site administration

Tekintse át a következő biztonsági problémákra a Configuration Manager:Review the following security issues for Configuration Manager:

  • A Configuration Manager nem rendelkezik védelemmel az meghatalmazott rendszergazda felhasználók számára a Configuration Manager használ a hálózati támadásokkal szemben.Configuration Manager has no defense against an authorized administrative user who uses Configuration Manager to attack the network. A jogosulatlan rendszergazda felhasználók nagy biztonsági kockázatot jelentenek, és többek között a következő stratégiák számos támadást indíthatnak:Unauthorized administrative users are a high security risk and could launch numerous attacks, which include the following strategies:

    • Használhatnak központi szoftvertelepítést, hogy automatikusan telepítsenek és futtassanak kártevő szoftvert minden Configuration Manager ügyfélszámítógépeken a vállalaton belül.Use software deployment to automatically install and run malicious software on every Configuration Manager client computer in the enterprise.

    • A Configuration Manager-ügyfél ügyféli engedély nélkül távvezéreljék a távvezérlés használatával.Use remote control to take remote control of a Configuration Manager client without client permission.

    • Konfigurálhatnak hirtelen lekérdezési időközöket és rengeteg leltári adatot, hogy szolgáltatásmegtagadási támadást intézzenek az ügyfelek és kiszolgálók ellen.Configure rapid polling intervals and extreme amounts of inventory to create denial of service attacks against the clients and servers.

    • Használhatják az egyik hely hierarchiáját, hogy adatokat írjanak a másik hely Active Directory adataihoz.Use one site in the hierarchy to write data to another site's Active Directory data.

    A hely hierarchiája biztonsági határ.The site hierarchy is the security boundary. Fontolja meg a helyek csak felügyeleti határok legyenek.Consider sites to be management boundaries only.

    Naplózzon minden rendszergazda felhasználói tevékenységet, rendszeresen kövesse nyomon a bejegyzéseket.Audit all administrative user activity and routinely review the audit logs. A felhasználóknak minden Configuration Manager felügyeleti kell ahhoz, hogy menjenek és az ellenőrzések rendszeres megkövetelése az alkalmazás feltételeként is a háttér-ellenőrzéssel változni.Require all Configuration Manager administrative users to undergo a background check before they are hired and require periodic rechecks as a condition of employment.

  • Ha a beléptetési pont biztonsága sérül, a támadó megszerezhet hitelesítési tanúsítványokat és ellophatja azon felhasználók hitelesítési adatait, akik beléptetik mobileszközeiket.If the enrollment point is compromised, an attacker could obtain certificates for authentication and steal the credentials of users who enroll their mobile devices.

    A beléptetési pont kommunikál a tanúsítványszolgáltatóval, és létrehozhat, módosíthat és törölhet Active Directory objektumokat.The enrollment point communicates with a certification authority and can create, modify, and delete Active Directory objects. Soha ne telepítse a beléptetési pont a szegélyhálózatban, és mindig figyelje a szokatlan tevékenységeket.Never install the enrollment point in the perimeter network, and always monitor for unusual activity.

  • Ha a felhasználói profilok használatát megengedi az internet alapú ügyfélfelügyelethez vagy konfigurálja az alkalmazáskatalógus weboldal-elérési pontját a felhasználók részére, amikor azok az interneten vannak, növeli a profil elleni támadás kockázatát.If you allow user policies for Internet-based client management or configure the Application Catalog website point for users when they are on the Internet, you increase your attack profile.

    Azon kívül, hogy PKI-tanúsítványokat használ az ügyfélről kiszolgálóhoz való csatlakozásokhoz, ezek a konfigurációk Windows hitelesítést igényelnek, ami esetleg tartaléka lehet a Kerberos helyetti NTLM hitelesítésnek.In addition to using PKI certificates for client-to-server connections, these configurations require Windows authentication, which might fall back to using NTLM authentication rather than Kerberos. Az NTLM sebezhető a megszemélyesítés és támadás-indítás vonatkozásában.NTLM authentication is vulnerable to impersonation and replay attacks. Az interneten lévő felhasználó sikeres hitelesítéséhez lehetővé kell tenni az internet alapú helyrendszer-kiszolgálóról a tartományvezérlőre csatlakozást.To successfully authenticate a user on the Internet, you must allow a connection from the Internet-based site system server to a domain controller.

  • Az Admin$ megosztás szükséges a helyrendszer-kiszolgálókon.The Admin$ share is required on site system servers.

    A Configuration Manager helykiszolgáló az Admin$ megosztást használja, és a helyrendszerek szolgáltatási műveleteket hajtson végre.The Configuration Manager site server uses the Admin$ share to connect to and perform service operations on site systems. Ne tiltsa le és ne távolítsa el az Admin$ megosztást.Do not disable or remove the Admin$ share.

  • Configuration Manager csatlakozni más számítógépekhez névfeloldási szolgáltatást használ, és ezek a Szolgáltatások erősen biztonságosak az olyan biztonsági támadások ellen, például az IP-hamisítás, illetéktelen módosítás, letagadhatóság, információfelfedés, szolgáltatásmegtagadás és jogok kiterjesztése.Configuration Manager uses name resolution services to connect to other computers, and these services are hard to secure against security attacks such as spoofing, tampering, repudiation, information disclosure, denial of service, and elevation of privilege.

    Fel és meg kell ismernie a névfeloldáshoz használt DNS és WINS verziójának megfelelő biztonság bevált gyakorlatát, és annak megfelelően kell eljárnia.Identify and follow any security best practices for the version of DNS and WINS that you use for name resolution.

Adatvédelmi tájékoztatás a felderítéshezPrivacy information for Discovery

Felderítés a hálózati erőforrásokról rekordokat hoz létre, és a System Center Configuration Manager-adatbázisban tárolja.Discovery creates records for network resources and stores them in the System Center Configuration Manager database. Adatfelderítési rekordok tartalmazza a számítógép információit – például az IP-címek, a operációs rendszerek és a számítógép nevét.Discovery data records contain computer information such as IP addresses, operating systems, and computer names. Az Active Directory felderítési módszerei konfigurálhatók úgy is, hogy felderítsék az Active Directory tartományi szolgáltatásokban tárolt információt is.Active Directory discovery methods can also be configured to discover any information that is stored in Active Directory Domain Services.

Az egyetlen felderítési módszer, amely alapértelmezés szerint engedélyezve van a Szívveréses felderítés, de ez a módszer csak felderíti a számítógépek, amelyek már telepítve van a System Center Configuration Manager ügyfél szoftver.The only discovery method that is enabled by default is Heartbeat Discovery, but that method only discovers computers that are already have the System Center Configuration Manager client software installed.

A program nem küld felderítési adatokat a Microsoftnak.Discovery information is not sent to Microsoft. Ehelyett tárolódik a Configuration Manager adatbázisába.Instead, it's stored in the Configuration Manager database. Adatok addig maradnak az adatbázisban, amíg a 90 naponta nem törli azokat a helykarbantartási feladat elavult eszközfelderítési adatok törlése.Information is retained in the database until it is deleted every 90 days by the site maintenance task Delete Aged Discovery Data.

Mielőtt további felderítési módszereket konfigurálna, vagy kiterjesztené az Active Directory felderítését, vegye számításba az adatvédelmi követelményeket.Before you configure additional discovery methods or extend Active Directory discovery, consider your privacy requirements.