Biztonsági terv Configuration Manager

A következőre vonatkozik: Configuration Manager (aktuális ág)

Ez a cikk az alábbi fogalmakat ismerteti, amelyeket figyelembe kell vennie a Configuration Manager implementációjának biztonsági tervezésekor:

• Tanúsítványok (önaláírt és PKI)

• A megbízható legfelső szintű kulcs

• Aláírás és titkosítás

• Szerepköralapú felügyelet

• Microsoft Entra ID

• SMS-szolgáltató hitelesítése

Mielőtt hozzákezd, győződjön meg arról, hogy ismeri az Configuration Manager biztonságának alapjait.

Tanúsítványok

Configuration Manager önaláírt és nyilvános kulcsú infrastruktúra (PKI) digitális tanúsítványainak kombinációját használja. Amikor csak lehetséges, használjon PKI-tanúsítványokat. Egyes forgatókönyvek PKI-tanúsítványokat igényelnek. Ha a PKI-tanúsítványok nem érhetők el, a webhely automatikusan önaláírt tanúsítványokat hoz létre. Egyes forgatókönyvek mindig önaláírt tanúsítványokat használnak.

További információ: Plan for certificates (Tanúsítványok tervezése).

A megbízható legfelső szintű kulcs

A Configuration Manager megbízható legfelső szintű kulcs olyan mechanizmust biztosít, amellyel Configuration Manager ügyfelek ellenőrizhetik, hogy a helyrendszerek a hierarchiájukhoz tartoznak-e. Minden helykiszolgáló létrehoz egy helycserekulcsot, hogy más helyekkel kommunikáljon. A hierarchia legfelső szintű helyének helycserekulcsát megbízható legfelső szintű kulcsnak nevezzük.

A megbízható legfelső szintű kulcs függvénye a Configuration Manager egy nyilvánoskulcs-infrastruktúrában lévő főtanúsítványhoz hasonlít. A megbízható legfelső szintű kulcs titkos kulcsa által aláírt adatok a hierarchia további részeiben megbízhatók. Az ügyfelek a hely megbízható legfelső szintű kulcsának másolatát tárolják a root\ccm\locationservices WMI-névtérben.

A hely például egy tanúsítványt ad ki a felügyeleti pontnak, amelyet a megbízható legfelső szintű kulcs titkos kulcsával ír alá. A webhely megosztja az ügyfelekkel a megbízható legfelső szintű kulcs nyilvános kulcsát. Ezután az ügyfelek megkülönböztethetik a hierarchiájukban lévő felügyeleti pontokat és a nem a hierarchiájukban lévő felügyeleti pontokat.

Az ügyfelek két mechanizmus használatával automatikusan megkapják a megbízható legfelső szintű kulcs nyilvános másolatát:

• Kiterjesztheti Configuration Manager Active Directory-sémáját, és közzéteheti a webhelyet a Active Directory tartományi szolgáltatások. Ezután az ügyfelek lekérik ezt a helyadatokat egy globáliskatalógus-kiszolgálóról. További információ: Az Active Directory előkészítése a webhely közzétételére.

• Ha az ügyfeleket az ügyfél leküldéses telepítési módszerével telepíti. További információ: Ügyfél leküldéses telepítése.

Ha az ügyfelek nem tudják lekérni a megbízható legfelső szintű kulcsot ezen mechanizmusok egyikével, megbíznak az első felügyeleti pont által biztosított megbízható legfelső szintű kulcsban, amellyel kommunikálnak. Ebben a forgatókönyvben előfordulhat, hogy egy ügyfél nem a támadó felügyeleti pontjára van irányítva, ahol szabályzatot kap a rosszindulatú felügyeleti ponttól. Ehhez a művelethez kifinomult támadóra van szükség. Ez a támadás arra a rövid időre korlátozódik, amíg az ügyfél lekéri a megbízható legfelső szintű kulcsot egy érvényes felügyeleti pontról. Ha csökkenteni szeretné annak kockázatát, hogy egy támadó tévesen irányítsa az ügyfeleket egy rosszindulatú felügyeleti pontra, előzetesen építse ki az ügyfeleket a megbízható legfelső szintű kulccsal.

A megbízható legfelső szintű kulcs kezelésével kapcsolatos további információkért és eljárásokért lásd: A biztonság konfigurálása.

Aláírás és titkosítás

Ha minden ügyfélkommunikációhoz PKI-tanúsítványokat használ, nem kell megterveznie az aláírást és a titkosítást az ügyfél-adatkommunikáció biztonságossá tételéhez. Ha olyan helyrendszereket állít be, amelyek IIS-t futtatnak a HTTP-ügyfélkapcsolatok engedélyezéséhez, döntse el, hogyan segíti a hely ügyfél-kommunikációjának védelmét.

Fontos

A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.

Az ügyfelek által a felügyeleti pontokra küldött adatok védelme érdekében megkövetelheti az ügyfelektől az adatok aláírását. Az aláíráshoz szükség lehet az SHA-256 algoritmusra is. Ez a konfiguráció biztonságosabb, de csak akkor igényel SHA-256-ot, ha az összes ügyfél támogatja. Számos operációs rendszer natív módon támogatja ezt az algoritmust, de a régebbi operációs rendszerekhez frissítésre vagy gyorsjavításra lehet szükség.

Az aláírás segít megvédeni az adatokat az illetéktelen módosítástól, a titkosítás pedig segít megvédeni az adatokat az információfelfedéstől. Engedélyezheti a titkosítást a leltáradatokhoz és az állapotüzenetekhez, amelyeket az ügyfelek a hely felügyeleti pontjaira küldenek. A beállítás támogatásához nem kell frissítéseket telepítenie az ügyfelekre. Az ügyfelek és a felügyeleti pontok nagyobb processzorhasználatot igényelnek a titkosításhoz és a visszafejtéshez.

Megjegyzés:

Az adatok titkosításához az ügyfél a felügyeleti pont titkosítási tanúsítványának nyilvános kulcsát használja. Csak a felügyeleti pont rendelkezik a megfelelő titkos kulccsal, így csak az adatok visszafejtésére képes.

Az ügyfél ezt a tanúsítványt a felügyeleti pont aláíró tanúsítványával indítja el, amelyet a hely megbízható legfelső szintű kulcsával indít el. Győződjön meg arról, hogy biztonságosan kiépítette a megbízható legfelső szintű kulcsot az ügyfeleken. További információ: A megbízható legfelső szintű kulcs.

További információ az aláírási és titkosítási beállítások konfigurálásáról: Aláírás és titkosítás konfigurálása.

Az aláíráshoz és titkosításhoz használt titkosítási algoritmusokkal kapcsolatos további információkért lásd a titkosítási vezérlők műszaki útmutatóját.

Szerepköralapú felügyelet

A Configuration Manager szerepköralapú felügyelettel biztosíthatja a hozzáférést, amelyet a rendszergazdáknak Configuration Manager kell használniuk. Emellett biztonságos hozzáférést biztosít a felügyelt objektumokhoz, például gyűjteményekhez, üzemelő példányokhoz és helyekhez.

A biztonsági szerepkörök, a biztonsági hatókörök és a gyűjtemények kombinációjával elkülönítheti a szervezet igényeinek megfelelő felügyeleti hozzárendeléseket. Együtt definiálják a felhasználók felügyeleti hatókörét . Ez a felügyeleti hatókör szabályozza azokat az objektumokat, amelyeket a rendszergazda felhasználó megtekint a Configuration Manager-konzolon, és szabályozza azokat az engedélyeket, amelyekkel a felhasználó rendelkezik az adott objektumokon.

További információ: A szerepköralapú felügyelet alapjai.

Microsoft Entra ID

Configuration Manager integrálható Microsoft Entra id azonosítóval, hogy a hely és az ügyfelek modern hitelesítést használhassanak.

További információ Microsoft Entra azonosítóról: Microsoft Entra dokumentáció.

A webhely Microsoft Entra-azonosítóval való előkészítése a következő Configuration Manager forgatókönyveket támogatja:

Ügyfélforgatókönyvek

• Ügyfelek kezelése az interneten felhőfelügyeleti átjárón keresztül

• Felhőbeli tartományhoz csatlakoztatott eszközök kezelése

• Közös felügyelet

• Felhasználó által elérhető alkalmazások üzembe helyezése

• online alkalmazások Microsoft Store Vállalatoknak

• Nagyvállalati Microsoft 365-alkalmazások kezelése

Kiszolgálói forgatókönyvek

• Asztali elemzés

• Bérlői csatolás

• Végpontelemzés

• Azure Log Analytics

• Közösségi központ

• Felhasználófelderítés

SMS-szolgáltató hitelesítése

Megadhatja, hogy a rendszergazdák milyen minimális hitelesítési szintet férjenek hozzá Configuration Manager webhelyekhez. Ez a funkció arra kényszeríti a rendszergazdákat, hogy a szükséges szinttel jelentkezzenek be a Windowsba, mielőtt hozzáférhetnének Configuration Manager. Az SMS-szolgáltatóhoz hozzáférő összes összetevőre vonatkozik. Például a Configuration Manager konzol, az SDK-metódusok és a Windows PowerShell parancsmagok.

Configuration Manager a következő hitelesítési szinteket támogatja:

• Windows-hitelesítés: Hitelesítés megkövetelése Active Directory-tartományi hitelesítő adatokkal. Ez a beállítás az előző és az aktuális alapértelmezett beállítás.

• Tanúsítványhitelesítés: Hitelesítés megkövetelése egy megbízható PKI-hitelesítésszolgáltató által kiállított érvényes tanúsítvánnyal. Ezt a tanúsítványt nem a Configuration Manager konfigurálja. Configuration Manager megköveteli, hogy a rendszergazda PKI használatával legyen bejelentkezve a Windowsba.

• Vállalati Windows Hello hitelesítés: Olyan erős kétfaktoros hitelesítés megkövetelése, amely egy eszközhöz van kötve, és biometrikus adatokat vagy PIN-kódot használ. További információ: Vállalati Windows Hello.

  Fontos

  Ha ezt a beállítást választja, az SMS-szolgáltató és a felügyeleti szolgáltatás megköveteli, hogy a felhasználó hitelesítési jogkivonata tartalmazzon egy többtényezős hitelesítési (MFA) jogcímet Vállalati Windows Hello. Más szóval a konzol, az SDK, a PowerShell vagy a felügyeleti szolgáltatás felhasználójának hitelesítenie kell magát a Windowsban a Vállalati Windows Hello PIN-kódjával vagy biometrikus azonosítójával. Ellenkező esetben a webhely elutasítja a felhasználó műveletét.

  Ez a viselkedés Vállalati Windows Hello, nem Windows Hello.

A beállítás konfigurálásával kapcsolatos további információkért lásd: Az SMS-szolgáltató hitelesítésének konfigurálása.

Következő lépések

• Tanúsítványok a Configuration Manager-ben

• PKI-tanúsítványok tervezése

• Biztonság konfigurálása

• A kriptográfiai vezérlők technikai referenciája