A biztonság konfigurálása a System Center Configuration ManagerbenConfigure security in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ebben a cikkben az információk használatával alakítsa ki a biztonsági beállítások a System Center Configuration Manager beállítása.Use the information in this article to help you set up security-related options for System Center Configuration Manager.

Beállítások konfigurálása PKI-ügyféltanúsítványokhozConfigure settings for client PKI certificates

Ha nyilvános kulcsokra épülő infrastruktúrájú (PKI) tanúsítványokat kíván használni az Internet Information Services (IIS) rendszert használó helyrendszerek ügyfélkapcsolatainál, a következő eljárás segítségével konfigurálhat beállításokat ezekhez a tanúsítványokhoz.If you want to use public key infrastructure (PKI) certificates for client connections to site systems that use Internet Information Services (IIS), use the following procedure to configure settings for these certificates.

PKI-ügyféltanúsítvány beállításainak konfigurálásaTo configure client PKI certificate settings

  1. Kattintson a Configuration Manager konzol felügyeleti.In the Configuration Manager console, choose Administration.

  2. Az a felügyeleti munkaterületet, bontsa ki a Helykonfiguráció, válassza a helyek, és válassza ki a konfigurálni kívánt elsődleges helyre.In the Administration workspace, expand Site Configuration, choose Sites, and then choose the primary site to configure.

  3. A a Home lap a tulajdonságok csoportjában válassza tulajdonságok, majd válassza a ügyfélszámítógép-kommunikáció lapon.On the Home tab, in the Properties group, choose Properties, and then choose the Client Computer Communication tab.

    Ez a lap csak elsődleges helyeknél érhető el.This tab is available on a primary site only. Ha nem látja az Ügyfélszámítógép-kommunikáció fület, ellenőrizze, hogy nem központi felügyeleti helyhez vagy másodlagos helyhez csatlakozott-e.If you do not see the Client Computer Communication tab, check that you are not connected to a central administration site or a secondary site.

  4. Válasszon csak HTTPS Ha azt szeretné, hogy a helyhez hozzárendelt mindig PKI-ügyféltanúsítványt használni, amikor IIS-t használó helyrendszerekhez csatlakoznak.Choose HTTPS only when you want clients that are assigned to the site to always use a client PKI certificate when they connect to site systems that use IIS. Másik lehetőségként válasszon HTTPS vagy HTTP , ha nem írja elő az ügyfelek PKI-tanúsítványok számára.Or, choose HTTPS or HTTP when you do not require clients to use PKI certificates.

  5. Ha úgy döntött, hogy HTTPS vagy HTTP, válassza a nyilvános kulcsokra épülő infrastruktúra ügyféltanúsítvány használata (ügyfél-hitelesítési képesség) Ha van ilyen Ha azt szeretné, hogy PKI-ügyféltanúsítványt használni a HTTP-kapcsolatoknál.If you chose HTTPS or HTTP, choose Use client PKI certificate (client authentication capability) when available when you want to use a client PKI certificate for HTTP connections. Az ügyfélszámítógép ezt a tanúsítványt fogja használni önaláírt tanúsítvány helyett önmaga hitelesítéséhez a helyrendszereknél.The client uses this certificate instead of a self-signed certificate to authenticate itself to site systems. Ez a beállítás automatikusan van kiválasztva, ha úgy dönt, csak HTTPS.This option is automatically chosen if you choose HTTPS only.

    Amikor a rendszer észleli az ügyfélszámítógépeket az interneten, vagy ezek kizárólag internetes ügyfélfelügyeletre vannak beállítva, mindig PKI-ügyféltanúsítványt fognak használni.When clients are detected to be on the Internet, or they are configured for Internet-only client management, they always use a client PKI certificate.

  6. Válasszon módosítás beállításához a választott tanúsítványkijelölési módszerének amikor egynél több érvényes PKI-ügyféltanúsítvány érhető el egy ügyfélnél, és válassza a OK.Choose Modify to configure your chosen client selection method for when more than one valid PKI client certificate is available on a client, and then choose OK.

    Az ügyféltanúsítvány kijelöléséről kapcsolatban bővebben lásd: PKI-ügyféltanúsítvány kiválasztásának tervezése.For more about the client certificate selection method, see Planning for PKI client certificate selection.

  7. Az ügyfeleknél jelölje be négyzetüket vagy törölje a négyzet jelölését a visszavont tanúsítványok listájának (CRL) ellenőrzéséhez.Select or clear the check box for clients to check the Certificate Revocation list (CRL).

    További információ a CRL ügyfelek-ellenőrzésének engedélyezéséről: PKI-tanúsítványok visszavonásának tervezése.For more about CRL checking for clients, see Planning for PKI certificate revocation.

  8. Ha az ügyfelek kell adnia a megbízható legfelső szintű hitelesítésszolgáltató (CA) tanúsítványait, válassza ki a beállítása, importálja a legfelső szintű CA tanúsítványfájlokat, és válassza a OK.If you must specify trusted root certification authority (CA) certificates for clients, choose Set, import the root CA certificate files, and then choose OK.

    Ezzel a beállítással kapcsolatban bővebben lásd: a nyilvános kulcsokra épülő infrastruktúra megbízható főtanúsítványok és a Tanúsítványkibocsátók listájának tervezése.For more about this setting, see Planning for the PKI Trusted Root certificates and the Certificate Issuers List.

  9. Válasszon OK az a hely tulajdonságai párbeszédpanel bezárásához.Choose OK to close the properties dialog box for the site.

Ismételje meg ezt az eljárást a hierarchiában található összes elsődleges helyre vonatkozóan.Repeat this procedure for all primary sites in the hierarchy.

Aláírás és titkosítás konfigurálásaConfigure signing and encryption

Adja meg a legbiztonságosabb aláírási és titkosítási beállításokat a helyrendszerekhez, amelyeket a hely összes ügyfélszámítógépe támogat.Configure the most secure signing and encryption settings for site systems that all clients in the site can support. Ezek a beállítások különösen akkor fontosak, ha lehetővé teszi az ügyfelek számára önaláírt tanúsítványok használatát a helyrendszerekkel való HTTP alapú kommunikációnál.These settings are especially important when you let clients communicate with site systems by using self-signed certificates over HTTP.

Aláírás és titkosítás konfigurálása adott helyhezTo configure signing and encryption for a site

  1. Kattintson a Configuration Manager konzol felügyeleti.In the Configuration Manager console, choose Administration.

  2. Az a felügyeleti munkaterületet, bontsa ki a Helykonfiguráció, válassza a helyek, és válassza ki a konfigurálni kívánt elsődleges helyre.In the Administration workspace, expand Site Configuration, choose Sites, and then choose the primary site to configure.

  3. A a Home lap a tulajdonságok csoportjában válassza tulajdonságok, majd válassza a aláírás és titkosítás lapon.On the Home tab, in the Properties group, choose Properties, and then choose the Signing and Encryption tab.

    Ez a lap csak elsődleges helyeknél érhető el.This tab is available on a primary site only. Ha nem látja az Aláírás és titkosítás fület, ellenőrizze, hogy nem központi felügyeleti helyhez vagy másodlagos helyhez csatlakozott-e.If you do not see the Signing and Encryption tab, check that you are not connected to a central administration site or a secondary site.

  4. Adja meg az aláírási és titkosítási beállításait, és válassza OK.Configure the signing and encryption options that you want, and then choose OK.

    Figyelmeztetés

    Ne adja meg SHA-256 megkövetelése nélkül első ellenőrzését, amely hozzárendelhető a hely összes ügyfélszámítógép támogatja ezt a kivonatoló algoritmust, vagy rendelkeznek érvényes PKI ügyfél-hitelesítési tanúsítványt.Do not choose Require SHA-256 without first checking that all clients that might be assigned to the site can support this hash algorithm or they have a valid PKI client authentication certificate. Előfordulhat, hogy frissítéseket vagy gyorsjavításokat kell telepíteni az ügyfeleken az SHA-256 támogatásához.You might have to install updates or hotfixes on clients to support SHA-256. A Windows Server 2003 SP2 rendszert futtató számítógépeken például a 938397-es számú tudásbáziscikkáltal ismertetett gyorsjavítást kell telepíteni.For example, computers that run Windows Server 2003 SP2 must install a hotfix that is referenced in the KB article 938397.

    Ha ezt a beállítást, és az ügyfelek nem támogatják az SHA-256, és önaláírt tanúsítványokat használ, a Configuration Manager elutasítja ezeket.If you choose this option and clients cannot support SHA-256 and use self-signed certificates, Configuration Manager rejects them. Ebben az esetben az SMS_MP_CONTROL_MANAGER összetevő az 5443 azonosítójú üzenetet naplózza.In this scenario, the SMS_MP_CONTROL_MANAGER component logs the message ID 5443.

  5. Válasszon OK bezárásához a tulajdonságok párbeszédpanel a helyhez.Choose OK to close the Properties dialog box for the site.

Ismételje meg ezt az eljárást a hierarchiában található összes elsődleges helyre vonatkozóan.Repeat this procedure for all primary sites in the hierarchy.

Szerepköralapú felügyelet konfigurálásaConfigure role-based administration

A szerepkör alapú felügyelet biztonsági szerepköröket, biztonsági hatóköröket és hozzárendelt gyűjteményeket használ vegyesen felügyeleti hatókör definiálásához az egyes rendszergazda felhasználók számára.Role-based administration combines security roles, security scopes, and assigned collections to define the administrative scope for each administrative user. Egy felügyeleti hatóköre kiterjed azokra a objektumokat, amelyeket a rendszergazda felhasználók megtekinthetnek a Configuration Manager konzolon, és azokat az objektumokat, amelyek a rendszergazda felhasználó rendelkezik jogosultsággal kapcsolatos feladatokat.An administrative scope includes the objects that an administrative user can view in the Configuration Manager console, and the tasks related to those objects that the administrative user has permission to do. A szerepkör alapú felügyeleti beállítások az adott hierarchia minden helyére érvényesek.Role-based administration configurations are applied at each site in a hierarchy.

Az alábbi hivatkozások vonatkozó szakaszaihoz vezetnek elő a szerepkör alapú felügyelet a System Center Configuration Manager konfigurálása cikk:The following links are to the relevant sections from the Configure role-based administration for System Center Configuration Manager article:

Fontos

Saját felügyeleti hatóköre határozza meg azokat az objektumokat és beállításokat, amelyeket hozzárendelhet, amikor szerepkör alapú felügyeletet konfigurál másik rendszergazda felhasználó számára.Your own administrative scope defines the objects and settings that you can assign when you configure role-based administration for another administrative user. További információ a szerepköralapú felügyelet tervezéséről: szerepkör alapú felügyelet a System Center Configuration Manager – alapok.For information about planning for role-based administration, see Fundamentals of role-based administration for System Center Configuration Manager.

A Configuration Manager által használt fiókok kezeléseManage accounts that are used by Configuration Manager

A Configuration Manager Windows-fiókkal számos különböző feladat és felhasználás esetén támogatja.Configuration Manager supports Windows accounts for many different tasks and uses.

Az alábbi eljárással nézet fiókok vannak konfigurálva a különböző feladatokhoz, és kezelheti a jelszavát, amelyet a Configuration Manager használ az egyes fiókok számára.Use the following procedure to view accounts that are configured for different tasks and to manage the password that Configuration Manager uses for each account.

A Configuration Manager által használt fiókok kezeléseTo manage accounts that are used by Configuration Manager

  1. Kattintson a Configuration Manager konzol felügyeleti.In the Configuration Manager console, choose Administration.

  2. Az a felügyeleti munkaterületet, bontsa ki a biztonsági, és válassza a fiókok a Configuration Manager konfigurált fiókok megtekintéséhez.In the Administration workspace, expand Security, and then choose Accounts to view the accounts that are configured for Configuration Manager.

  3. Egy Configuration Manager alkalmazáshoz konfigurált fiók jelszavának módosításához válassza ki a fiókot.To change the password for an account that is configured for Configuration Manager, choose the account.

  4. Az a Home lap a tulajdonságok csoportjában válassza tulajdonságok.On the Home tab, in the Properties group, choose Properties.

  5. Válasszon beállítása megnyitásához a Windows felhasználói fiók párbeszédpanel mezőbe, majd adja meg a Configuration Manager által a fiókhoz használandó új jelszót.Choose Set to open the Windows User Account dialog box and specify the new password for Configuration Manager to use for the account.

    Megjegyzés

    A megadott jelszónak egyeznie kell az Active Directory - felhasználók és számítógépek felügyeleti eszközben a fiókhoz megadott jelszóval.The password that you specify must match the password that is specified for the account in Active Directory Users and Computers.

  6. Válasszon OK a művelet elvégzéséhez.Choose OK to complete the procedure.