Biztonsági tervezés a Configuration ManagerbenPlan for security in Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a cikk ismerteti, hogy a Configuration Manager-megvalósítás biztonság tervezése során megfontolandó tényezőkről fogalmakat.This article describes the concepts for you to consider when planning for security with your Configuration Manager implementation. Ez a következő szakaszokból áll:It includes the following sections:

Tanúsítványok tervezése (önaláírt és PKI)Plan for certificates (self-signed and PKI)

A Configuration Manager önaláírt tanúsítványokat és a nyilvános kulcsokra épülő infrastruktúrájú (PKI) tanúsítványokat használ.Configuration Manager uses a combination of self-signed certificates and public key infrastructure (PKI) certificates.

Használjon PKI-tanúsítványokat, amikor csak lehetséges.Use PKI certificates whenever possible. További információkért lásd: PKI-tanúsítványkövetelmények.For more information, see PKI certificate requirements. Ha a Configuration Manager PKI-tanúsítványokat a mobileszközök beléptetéskor kérelmez, Active Directory Domain Services és a egy vállalati hitelesítésszolgáltatót kell használnia.When Configuration Manager requests PKI certificates during enrollment for mobile devices, you must use Active Directory Domain Services and an enterprise certification authority. Az összes többi PKI-tanúsítvány központi telepítése, és egymástól függetlenül kezelheti őket a Configuration Manager.For all other PKI certificates, deploy and manage them independently from Configuration Manager.

PKI-tanúsítványokra szükség, amikor az ügyfélszámítógépek internetalapú helyrendszerekhez csatlakoznak.PKI certificates are required when client computers connect to internet-based site systems. Bizonyos esetekben a felhőfelügyeleti átjáró és a felhőalapú terjesztési pont PKI-tanúsítványok is szükségesek.Some scenarios with the cloud management gateway and cloud distribution point also require PKI certificates. További információkért lásd: az internetes ügyfelek kezelése.For more information, see Manage clients on the internet.

PKI használata esetén is használhatja az IPsec egy helyet, a helyek közötti, valamint a más számítógépek közti adatátvitel helyrendszerei közötti a kiszolgálók közötti kommunikáció biztonságossá tételéhez.When you use a PKI, you can also use IPsec to help secure the server-to-server communication between site systems in a site, between sites, and for other data transfer between computers. IPsec megvalósítása nem függ a Configuration Manager alkalmazásból.Implementation of IPsec is independent from Configuration Manager.

Ha PKI-tanúsítványok nem érhetők el, akkor a Configuration Manager automatikusan az önaláírt tanúsítványokat hoz létre.When PKI certificates aren't available, Configuration Manager automatically generates self-signed certificates. Néhány a Configuration Manager tanúsítványa mindig önaláírt.Some certificates in Configuration Manager are always self-signed. A legtöbb esetben a Configuration Manager automatikusan felügyeli az önaláírt tanúsítványokat, és nincs további teendője.In most cases, Configuration Manager automatically manages the self-signed certificates, and you don't have to take additional action. Egyik példája a helykiszolgáló aláíró tanúsítványát.One example is the site server signing certificate. Ez a tanúsítvány mindig önaláírt tanúsítvány.This certificate is always self-signed. Ellenőrzi, hogy, hogy a házirendekben, amelyek az ügyfelek a felügyeleti pontról töltse le a helykiszolgálóról tőlük, és nem módosították.It makes sure that the policies that clients download from the management point were sent from the site server and weren't tampered with.

Titkosítás: Következő generációs (CNG) tanúsítványokCryptography: Next Generation (CNG) certificates

A Configuration Manager támogatja a titkosítást: Következő generációs (CNG) tanúsítványok.Configuration Manager supports Cryptography: Next Generation (CNG) certificates. Configuration Manager-ügyfelek PKI ügyfél-hitelesítési tanúsítvány titkos kulcsát a CNG kulcstároló szolgáltató (KSP) használhatja.Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). Támogatása kulcstároló-Szolgáltatójába, a Configuration Manager-ügyfelek támogatják a személyes hardveralapú kulcs, például a TPM kulcstároló-Szolgáltatójába PKI ügyfél-hitelesítési tanúsítványok esetében.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates. További információkért lásd: CNG-tanúsítványok áttekintése.For more information, see CNG certificates overview.

Továbbfejlesztett HTTPEnhanced HTTP

HTTPS-kapcsolaton keresztüli kommunikáció használata ajánlott az összes Configuration Manager kommunikációs útvonalat, de is kihívást jelent a terhelést a PKI-tanúsítványok kezelése miatt egyes ügyfelek számára.Using HTTPS communication is recommended for all Configuration Manager communication paths, but is challenging for some customers due to the overhead of managing PKI certificates. A Bevezetés az Azure Active Directory (Azure AD) integrációjával néhány csökkenti, de nem az összes a tanúsítványokra vonatkozó követelményeket.The introduction of Azure Active Directory (Azure AD) integration reduces some but not all of the certificate requirements. A verzió 1806-től kezdődően engedélyezheti a hely fokozott HTTP.Starting in version 1806, you can enable the site to use Enhanced HTTP. Ez a konfiguráció támogatja a HTTPS-a helyrendszereken az önaláírt tanúsítványok és az Azure AD együttes használatával.This configuration supports HTTPS on site systems by using a combination of self-signed certificates and Azure AD. Nyilvános kulcsokra épülő infrastruktúra nincs szükség.It doesn't require PKI. További információkért lásd: fokozott HTTP.For more information, see Enhanced HTTP.

A CMG- és CDP-tanúsítványaiCertificates for CMG and CDP

Tanúsítványok használata a cloud management gateway (CMG) és a felhőalapú terjesztési pont (CDP) keresztül az internetes ügyfelek kezeléséhez szükséges.Managing clients on the internet via the cloud management gateway (CMG) and cloud distribution point (CDP) requires the use of certificates. Száma és a tanúsítványok típusa attól függ, az egyedi forgatókönyvekhez.The number and type of certificates varies depending upon your specific scenarios. További információkért tekintse meg a következő cikkeket:For more information, see the following articles:

A helykiszolgáló aláíró tanúsítványát (önaláírt) tervezésePlan for the site server signing certificate (self-signed)

Az ügyfelek biztonságosan kérheti le a helykiszolgáló aláíró tanúsítványa egy példányát az Active Directory Domain servicesből, és az ügyfélleküldéses telepítésből.Clients can securely get a copy of the site server signing certificate from Active Directory Domain Services and from client push installation. Ha az ügyfelek nem olvasható be a tanúsítvány másolatát, ezek a mechanizmusok egyikével, telepítse azt az ügyfél telepítésekor.If clients can't get a copy of this certificate by one of these mechanisms, install it when you install the client. Ez a folyamat akkor különösen fontos, ha az ügyfél első kommunikációja a hellyel az internet alapú felügyeleti ponttal.This process is especially important if the client's first communication with the site is with an internet-based management point. Ez a kiszolgáló nem megbízható hálózathoz csatlakozik, mert a támadásokkal szemben.Because this server is connected to an untrusted network, it's more vulnerable to attack. Ha nem ezzel a lépéssel további, az ügyfelek automatikusan a felügyeleti pontról töltse le egy a helykiszolgáló aláíró tanúsítványának példányát.If you don't take this additional step, clients automatically download a copy of the site server signing certificate from the management point.

Az ügyfelek biztonságosan a helykiszolgáló tanúsítványának másolatot nem kaphat a következő esetekben:Clients can't securely get a copy of the site server certificate in the following scenarios:

  • Telepítenie az ügyfelet nem ügyfélleküldéssel, és:You don't install the client by using client push, and:

    • A Configuration Manager még nem bővíteni az Active Directory-sémát.You haven't extended the Active Directory schema for Configuration Manager.

    • Az Active Directory Domain Servicesben az ügyfél helyén még nem tett közzé.You haven't published the client's site to Active Directory Domain Services.

    • Az ügyfél nem megbízható erdőhöz vagy munkacsoporthoz tartozik.The client is from an untrusted forest or a workgroup.

  • Az internet alapú ügyfélfelügyelethez használja, és az ügyfél telepítéséhez, ha azt az interneten.You're using internet-based client management and you install the client when it's on the internet.

Az ügyfelek telepítése a helykiszolgáló aláíró tanúsítványával együttTo install clients with a copy of the site server signing certificate

  1. Keresse meg a helykiszolgáló aláíró tanúsítványa az elsődleges hely kiszolgálóján.Locate the site server signing certificate on the primary site server. A tanúsítványt a SMS tanúsítvány a Windows áruházban.The certificate is stored in the SMS certificate store of Windows. A tulajdonos neve van helykiszolgáló és felhasználóbarát név helykiszolgáló aláíró tanúsítványa.It has the Subject name Site Server and the friendly name, Site Server Signing Certificate.

  2. Exportálja a tanúsítványt a titkos kulcs nélkül, biztonságosan tárolja a fájlt, és csak biztonságos csatornán keresztül férjen hozzá.Export the certificate without the private key, store the file securely, and access it only from a secured channel.

  3. A következő client.msi-tulajdonsággal telepítse az ügyfelet: SMSSIGNCERT=<full path and file name>Install the client by using the following client.msi property: SMSSIGNCERT=<full path and file name>

PKI-tanúsítványok visszavonásának tervezésePlan for PKI certificate revocation

Ha PKI-tanúsítványokat használ a Configuration Managerrel, tervezze meg a visszavont tanúsítványok listájának (CRL) használatát.When you use PKI certificates with Configuration Manager, plan for use of a certificate revocation list (CRL). Eszközök használatával, hogy a visszavont tanúsítványok Listáját a csatlakozó számítógépen lévő tanúsítvány ellenőrzéséhez.Devices use the CRL to verify the certificate on the connecting computer. A CRL-t egy olyan fájl, a hitelesítésszolgáltató (CA) hoz létre, és aláírja.The CRL is a file that a certificate authority (CA) creates and signs. Rendelkezik, amely a Hitelesítésszolgáltatón kibocsátott, de visszavont tanúsítványok listáját.It has a list of certificates that the CA has issued but revoked. A tanúsítvány felügyeleti tanúsítványok visszavonása, ha az ujjlenyomat bekerül a visszavont tanúsítványok Listáját.When a certificate administrator revokes certificates, its thumbprint is added to the CRL. Ha például egy kiállított tanúsítványról tudható vagy gyanús legyen feltörni.For example, if an issued certificate is known or suspected to be compromised.

Fontos

Mivel a visszavonási lista helyét adnak hozzá egy tanúsítványt, ha egy CA azt, tervezze meg, hogyan a visszavont tanúsítványok listájához minden Configuration Manager által használt PKI-tanúsítványok központi telepítése előtt.Because the location of the CRL is added to a certificate when a CA issues it, ensure that you plan for the CRL before you deploy any PKI certificates that Configuration Manager uses.

Az IIS mindig ellenőrzi az ügyféltanúsítványokat a CRL-t, és nem módosíthatja ezt a konfigurációt a Configuration Managerben.IIS always checks the CRL for client certificates, and you can't change this configuration in Configuration Manager. Configuration Manager-ügyfelek alapértelmezés szerint mindig ellenőrizze a visszavont tanúsítványok Listáját a helyrendszerekhez.By default, Configuration Manager clients always check the CRL for site systems. Tiltsa le ezt a beállítást, egy helytulajdonság és egy CCMSetup tulajdonság megadásával.Disable this setting by specifying a site property and by specifying a CCMSetup property.

Számítógépek, amelyek használják a tanúsítvány-visszavonási ellenőrzést, de nem találja a visszavont tanúsítványok Listájának viselkednek, mintha a tanúsítványláncban lévő összes tanúsítvány vissza lenne vonva.Computers that use certificate revocation checking but can't locate the CRL behave as if all certificates in the certification chain are revoked. Ez a viselkedés az oka, hogy azok nem ellenőrizhető, ha a tanúsítványok vannak-e a listában.This behavior is because they can't verify if the certificates are in the list. Az összes kapcsolat ebben a forgatókönyvben sikertelen lesz, amely tanúsítványt igényel, és a visszavont tanúsítványok Listáját használja.In this scenario, all connections fail that require certificates and use a CRL.

A visszavont tanúsítványok Listájának ellenőrzése minden alkalommal, hogy a tanúsítvány a visszavont tanúsítványokkal szemben nagyobb védelmet kínál.Checking the CRL every time that a certificate is used offers more security against using a certificate that's revoked. Bár azt mutatja be a csatlakozási késedelmet és további feldolgozás az ügyfélen.Although it introduces a connection delay and additional processing on the client. A szervezet az ügyfelek az interneten vagy nem megbízható hálózaton lehet szükség a további biztonsági ellenőrzést.Your organization may require this additional security check for clients on the internet or an untrusted network.

Tekintse meg a PKI-rendszergazdák, mielőtt az-e a Configuration Manager-ügyfelek kell ellenőrizze a visszavont tanúsítványok Listáját.Consult your PKI administrators before you decide whether Configuration Manager clients must check the CRL. Fontolja meg ezt a beállítást engedélyezve van a Configuration Managerben, mindkét alábbi feltétel teljesülése esetén:Then consider keeping this option enabled in Configuration Manager when both of the following conditions are true:

  • A PKI-infrastruktúra támogatja a visszavont tanúsítványok Listáját, és van közzétéve, ahol az összes Configuration Manager ügyfél meg tudja találni.Your PKI infrastructure supports a CRL, and it's published where all Configuration Manager clients can locate it. Ezek az ügyfelek eszközök az interneten, és nem megbízható erdőkben is tartalmazhatnak.These clients might include devices on the internet, and ones in untrusted forests.

  • A CRL-t minden olyan helyrendszer, amely PKI-tanúsítvány használatára van konfigurálva kapcsolat ellenőrzéséhez követelmény értéke nagyobb, mint az alábbi követelményeknek:The requirement to check the CRL for each connection to a site system that's configured to use a PKI certificate is greater than the following requirements:

    • Gyorsabb kapcsolatokFaster connections
    • A hatékony feldolgozás az ügyfélenEfficient processing on the client
    • A kiszolgálók kapcsolódni, ha nem találják a CRL ügyfelek kockázataThe risk of clients failing to connect to servers if they can't locate the CRL

Tervezze meg a nyilvános kulcsokra épülő infrastruktúra megbízható legfelső szintű tanúsítványok és a tanúsítványkibocsátók listájánakPlan for the PKI trusted root certificates and the certificate issuers list

Ha az IIS-helyrendszerei PKI-ügyféltanúsítványokat használ, az ügyfél-hitelesítéshez HTTP-n keresztül, vagy az ügyfél-hitelesítés és a titkosításhoz a HTTPS-kapcsolaton keresztül, akkor előfordulhat, hogy legfelső szintű Hitelesítésszolgáltatói tanúsítvány importálása a hely tulajdonságainál.If your IIS site systems use PKI client certificates for client authentication over HTTP, or for client authentication and encryption over HTTPS, you might have to import root CA certificates as a site property. Az alábbiakban a két esetben:Here are the two scenarios:

  • Operációs rendszerek központi telepítéséhez a Configuration Manager használatával, és a felügyeleti pontok csak HTTPS-kapcsolatok fogadására.You deploy operating systems by using Configuration Manager, and the management points only accept HTTPS client connections.

  • Egy adott a felügyeleti pont megbízható legfelső szintű tanúsítvány nincs hozzákapcsolva PKI-ügyféltanúsítványokat használ.You use PKI client certificates that don't chain to a root certificate that the management points trust.

    Megjegyzés

    Ki a azonos CA-hierarchiában, amely a felügyeleti pontokhoz használt kiszolgálói tanúsítványokat a PKI-tanúsítványokat, amikor nem kell a legfelső szintű hitelesítésszolgáltató tanúsítványának megadása.When you issue client PKI certificates from the same CA hierarchy that issues the server certificates that you use for management points, you don't have to specify this root CA certificate. Azonban ha több Hitelesítésszolgáltatói hierarchiát használ, és nem tudja, hogy ezek megbízhatónak, egymást, importálja a legfelső szintű Hitelesítésszolgáltatót az ügyfelek Hitelesítésszolgáltatói hierarchiájába.However, if you use multiple CA hierarchies and you aren't sure whether they trust each other, import the root CA for the clients' CA hierarchy.

Ha a legfelső szintű Hitelesítésszolgáltatói tanúsítványokat a Configuration Manager kell importálnia, exportálhatja őket a kiállító hitelesítésszolgáltatóról vagy az ügyfélszámítógépről.If you must import root CA certificates for Configuration Manager, export them from the issuing CA or from the client computer. Ha exportálja a tanúsítványt a kiállító hitelesítésszolgáltatóról, amely egyúttal a legfelső szintű hitelesítésszolgáltató, ellenőrizze, hogy a titkos kulcsot ne exportálja.If you export the certificate from the issuing CA that's also the root CA, make sure you don't export the private key. Store az exportált tanúsítványfájlt biztonságos helyen az illetéktelen.Store the exported certificate file in a secure location to prevent tampering. A hely telepítésekor a fájlt hozzá kell férniük.You need access to the file when you set up the site. Ha a hálózaton keresztül éri el a fájlt, ellenőrizze, hogy a kommunikáció védett az illetéktelen módosítást az IPsec használatával.If you access the file over the network, make sure the communication is protected from tampering by using IPsec.

Ha minden olyan legfelső szintű Hitelesítésszolgáltatói tanúsítványt importált megújulásakor, importálnia kell a megújított tanúsítvány.If any root CA certificate that you import is renewed, you must import the renewed certificate.

Ezek importált főtanúsítványok és a legfelső szintű Hitelesítésszolgáltatói tanúsítványt minden olyan felügyeleti pont, hozza létre a tanúsítványkibocsátók listájának, hogy a Configuration Manager használatával a számítógépek a következő módon:These imported root CA certificates and the root CA certificate of each management point create the certificate issuers list that Configuration Manager computers use in the following ways:

  • Ha az ügyfelek csatlakoznak a felügyeleti pontokhoz, a a felügyeleti pont ellenőrzi, hogy az ügyféltanúsítványt a hely tanúsítványkibocsátói listával a megbízható főtanúsítványhoz legyen láncolva.When clients connect to management points, the management point verifies that the client certificate is chained to a trusted root certificate in the site's certificate issuers list. Ha nem, a tanúsítvány nem fogadja el, és a PKI-kapcsolatot.If it doesn't, the certificate is rejected, and the PKI connection fails.

  • Amikor az ügyfelek PKI-tanúsítványt választanak, és a tanúsítványkibocsátók listájának rendelkezik, akkor válasszon egy tanúsítványt a megbízható főtanúsítványhoz kapcsolódik a tanúsítványkibocsátók listájában.When clients select a PKI certificate and have a certificate issuers list, they select a certificate that chains to a trusted root certificate in the certificate issuers list. Ha nem szerepel, az ügyfél nem választanak PKI-tanúsítványt.If there's no match, the client doesn't select a PKI certificate. További információkért lásd: PKI-ügyféltanúsítvány kiválasztásának tervezése.For more information, see Plan for PKI client certificate selection.

PKI-ügyféltanúsítvány kiválasztásának tervezésePlan for PKI client certificate selection

Ha az IIS-helyrendszerei PKI-ügyféltanúsítványokat hitelesítéshez használandó ügyfél HTTP protokollon keresztül vagy az ügyfél-hitelesítéshez és titkosításhoz HTTPS-kapcsolaton keresztül, tervezze meg a hogyan válassza ki a Windows ügyfelek a Configuration Manager használni kívánt tanúsítványt.If your IIS site systems use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, plan for how Windows clients select the certificate to use for Configuration Manager.

Megjegyzés

Egyes eszközök nem támogatják a tanúsítványválasztás módszerét.Some devices don't support a certificate selection method. Ehelyett automatikusan kiválasztják az első tanúsítványt választják a tanúsítványokra vonatkozó követelményeket.Instead, they automatically select the first certificate that fulfills the certificate requirements. Például az ügyfelek Mac számítógépek és mobileszközök nem támogatják a tanúsítványválasztás módszerét.For example, clients on Mac computers and mobile devices don't support a certificate selection method.

Sok esetben az alapértelmezett konfiguráció és működés is használhatók.In many cases, the default configuration and behavior is sufficient. A Configuration Manager-ügyfél a Windows-számítógépeken szűri ki a tanúsítványokat az itt látható sorrendben ezek a feltételek használatával:The Configuration Manager client on Windows computers filters multiple certificates by using these criteria in this order:

  1. A tanúsítványkibocsátók listája: A legfelső szintű hitelesítésszolgáltató a felügyeleti pont által megbízhatónak tartott kapcsolódik.The certificate issuers list: The certificate chains to a root CA that's trusted by the management point.

  2. A tanúsítvány az alapértelmezett Személyestanúsítványtárolóban található.The certificate is in the default certificate store of Personal.

  3. A tanúsítvány érvényes, nincs visszavonva és nem járt le.The certificate is valid, not revoked, and not expired. Az érvényesség-ellenőrzés is ellenőrzi, hogy a titkos kulcs elérhető-e.The validity check also verifies that the private key is accessible.

  4. A tanúsítvány rendelkezik ügyfél-hitelesítési funkcióval, vagy a számítógép nevére van kiállítva.The certificate has client authentication capability, or it's issued to the computer name.

  5. A tanúsítvány a leghosszabb érvényességi idővel rendelkezik.The certificate has the longest validity period.

Adja meg az ügyfelek a tanúsítványkibocsátók listájának használatára az alábbi mechanizmusok segítségével:Configure clients to use the certificate issuers list by using the following mechanisms:

  • Tegye közzé az Active Directory Domain Servicesben a Configuration Manager hely adatokkal.Publish it with Configuration Manager site information to Active Directory Domain Services.

  • Ügyfelek telepítése ügyfélleküldés használatával.Install clients by using client push.

  • Az ügyfelek töltse le a felügyeleti pont sikeresen helyük van rendelve.Clients download it from the management point after they're successfully assigned to their site.

  • Adja meg a CCMSetup client.msi CCMCERTISSUERS tulajdonsága mint ügyfél telepítése során.Specify it during client installation as a CCMSetup client.msi property of CCMCERTISSUERS.

Ügyfelek, amelyek nem rendelkeznek tanúsítványkibocsátói listával, amikor először telepítve, és a helyhez hozzárendelt még nem hagyja ki ezt az ellenőrzést.Clients that don't have the certificate issuers list when they're first installed and aren't yet assigned to the site skip this check. Ha az ügyfelek rendelkeznek tanúsítványkibocsátói listával, és nem rendelkezik nyilvános KULCSÚ tanúsítvány, hogy kapcsolódik a tanúsítványkibocsátók listájának a megbízható főtanúsítvány, tanúsítványválasztás sikertelen lesz.When clients do have the certificate issuers list and don't have a PKI certificate that chains to a trusted root certificate in the certificate issuers list, certificate selection fails. Az ügyfelek ne folytassa a többi tanúsítványválasztási feltétellel.Clients don't continue with the other certificate selection criteria.

A legtöbb esetben a Configuration Manager-ügyfél helyesen ismeri egyedi és megfelelő PKI-tanúsítványt.In most cases, the Configuration Manager client correctly identifies a unique and appropriate PKI certificate. Azonban ha ezt a viselkedést nem ez a helyzet, az ügyfél-hitelesítési funkción alapuló kiválasztása helyett állíthat be két alternatív kiválasztási módszer:However, when this behavior isn't the case, instead of selecting the certificate based on the client authentication capability, you can set up two alternative selection methods:

  • Az ügyfél-tanúsítvány tulajdonosának nevét a részleges karakterlánc-egyeztetés.A partial string match on the client certificate subject name. Ez a módszer a kis-és egyezést.This method is a case-insensitive match. Ez akkor alkalmazható, ha a mezőben egy számítógép teljes tartománynevét (FQDN) használja, és szeretné használni a tanúsítványválasztáshoz a tartományutótagot, például contoso.com.It's appropriate if you're using the fully qualified domain name (FQDN) of a computer in the subject field and want the certificate selection to be based on the domain suffix, for example contoso.com. Azonban az ezzel a választási módszerrel segítségével azonosíthatja a tanúsítvány tulajdonos neve, amely különbözteti meg a tanúsítvány az ügyfél tanúsítványtárolóban lévő többi azonosíthat bármely karakterlánccal.However, you can use this selection method to identify any string of sequential characters in the certificate subject name that differentiates the certificate from others in the client certificate store.

    Megjegyzés

    A részleges karakterlánc-egyeztetés nem használható együtt a tulajdonos alternatív neve (SAN) helybeállítással.You can't use the partial string match with the subject alternative name (SAN) as a site setting. Bár a CCMSetup használatával egy részleges karakterlánc-egyeztetés egyeztetést is megadhat, fog felülírja a hely tulajdonságai a következő esetekben:Although you can specify a partial string match for the SAN by using CCMSetup, it'll be overwritten by the site properties in the following scenarios:

    • Az ügyfelek az Active Directory Domain Servicesben közzétett helyinformációkat kérnek le.Clients retrieve site information that's published to Active Directory Domain Services.

      • Ha az ügyfelek telepítése ügyfélleküldéssel történik.Clients are installed by using client push installation.

      A tulajdonos alternatív nevének egy részleges karakterlánc-egyeztetés használja, csak akkor, amikor az ügyfelek manuális telepítése, és ha azok nem kérhetnek le helyinformációkat az Active Directory Domain Servicesben.Use a partial string match in the SAN only when you install clients manually and when they don't retrieve site information from Active Directory Domain Services. Például csak internetes ügyfelek ezek a feltételek vonatkoznak.For example, these conditions apply to internet-only clients.

  • Az ügyfél tanúsítvány tulajdonos nevének attribútumértékei vagy a tulajdonos alternatív nevére (SAN) attribútum értékeket egyezést.A match on the client certificate subject name attribute values or the subject alternative name (SAN) attribute values. Ez a módszer a nagybetűk megkülönböztetésével.This method is a case-sensitive match. Célszerű, ha használ egy X500 megkülönböztető nevét vagy az egyenértékű objektum ddentifiers (OID rendelkeznek) RFC 3280 megfelelnek-e, és azt szeretné, hogy a tanúsítványkiválasztás az attribútumértékek alapján lehet.It's appropriate if you're using an X500 distinguished name or equivalent object ddentifiers (OIDs) in compliance with RFC 3280, and you want the certificate selection to be based on the attribute values. Csak azokat az attribútumokat és -értékeket kell megadnia, amelyek szükségesek a tanúsítvány egyedi azonosításához vagy érvényesítéséhez, illetve a tanúsítvány megkülönböztetéséhez a tanúsítványtár többi tagjától.You can specify only the attributes and their values that you require to uniquely identify or validate the certificate and differentiate the certificate from others in the certificate store.

Az alábbi táblázat a Configuration Manager támogatja az ügyfél-tanúsítvány kiválasztási feltételeinek attribútumértékek.The following table shows the attribute values that Configuration Manager supports for the client certificate selection criteria.

Objektumazonosító attribútumaOID Attribute Megkülönböztető név attribútumaDistinguished name attribute AttribútumdefinícióAttribute definition
0.9.2342.19200300.100.1.250.9.2342.19200300.100.1.25 DCDC Tartomány-összetevőDomain component
1.2.840.113549.1.9.11.2.840.113549.1.9.1 E vagy E-mailE or E-mail E-mail címEmail address
2.5.4.32.5.4.3 CNCN Köznapi névCommon name
2.5.4.42.5.4.4 SNSN Tulajdonos neveSubject name
2.5.4.52.5.4.5 SERIALNUMBERSERIALNUMBER SorozatszámSerial number
2.5.4.62.5.4.6 CC OrszágkódCountry code
2.5.4.72.5.4.7 LL HelységLocality
2.5.4.82.5.4.8 S vagy STS or ST Állam vagy megye neveState or province name
2.5.4.92.5.4.9 STREETSTREET Utca, házszámStreet address
2.5.4.102.5.4.10 OO Szervezet neveOrganization name
2.5.4.112.5.4.11 OUOU Szervezeti egységOrganizational unit
2.5.4.122.5.4.12 T vagy TitleT or Title CímTitle
2.5.4.422.5.4.42 G vagy GN vagy GivenNameG or GN or GivenName UtónévGiven name
2.5.4.432.5.4.43 I vagy InitialsI or Initials MonogramInitials
2.5.29.172.5.29.17 (nincs érték)(no value) Tulajdonos alternatív neveSubject Alternative Name

Ha egynél több megfelelő tanúsítvány található a kiválasztási feltétel alkalmazása után, felülbírálhatja az alapértelmezett konfiguráció, válassza ki a leghosszabb érvényességi idejű tanúsítványt, és Ehelyett adja meg, hogy nincs tanúsítvány van kiválasztva.If more than one appropriate certificate is located after the selection criteria are applied, you can override the default configuration to select the certificate that has the longest validity period and instead, specify that no certificate is selected. Ebben a forgatókönyvben az ügyfél nem fog tudni kommunikálni IIS-helyrendszerei PKI-tanúsítvánnyal.In this scenario, the client won't be able to communicate with IIS site systems with a PKI certificate. Az ügyfél a hozzárendelt tartalék állapotkezelő pont használatával figyelmeztet a tanúsítványkiválasztás hibájáról, így módosíthatja vagy pontosíthatja a tanúsítványválasztási feltételeket hibaüzenetet küld.The client sends an error message to its assigned fallback status point to alert you to the certificate selection failure so that you can change or refine your certificate selection criteria. Ebben az esetben az ügyfél viselkedése attól függ, hogy a sikertelen kapcsolódás HTTPS- vagy HTTP-kapcsolaton keresztül történt-e:The client behavior then depends on whether the failed connection was over HTTPS or HTTP:

  • Ha a sikertelen kapcsolódás HTTPS protokollal történt: Az ügyfél megpróbál HTTP-n keresztül kapcsolódni, és az ügyfél önaláírt tanúsítványát használja.If the failed connection was over HTTPS: The client tries to connect over HTTP and uses the client self-signed certificate.

  • Ha a sikertelen kapcsolódás HTTP protokollal történt: Az ügyfél megpróbál összekapcsolási HTTP-n keresztül az önaláírt ügyféltanúsítvány használatával.If the failed connection was over HTTP: The client tries to connect again over HTTP by using the self-signed client certificate.

Egyedi PKI-ügyféltanúsítvány azonosításának érdekében adjon meg egy egyéni tároló az alapbeállítás szerinti személyes a a számítógép tárolásához.To help identify a unique PKI client certificate, you can also specify a custom store other than the default of Personal in the Computer store. Azonban létre kell hoznia a tároló egymástól függetlenül a Configuration Manager alkalmazásból.However, you must create this store independently from Configuration Manager. Tanúsítványok központi telepítésére az egyéni tárolóba, majd megújítani őket az érvényességi időtartam lejárta előtt képesnek kell lennie.You must be able to deploy certificates to this custom store and renew them before the validity period expires.

További információkért lásd: PKI-ügyféltanúsítványokhoz beállításainak konfigurálása.For more information, see Configure settings for client PKI certificates.

A PKI-tanúsítványokhoz és az internet alapú ügyfélfelügyelethez áttérési stratégia megtervezésePlan a transition strategy for PKI certificates and internet-based client management

A rugalmas konfigurációs beállításai a Configuration Managerben lehetővé teszik a fokozatos átmeneti ügyfél és a hely a PKI-tanúsítványokat használ az ügyfélvégpontok biztonságának érdekében.The flexible configuration options in Configuration Manager let you gradually transition clients and the site to use PKI certificates to help secure client endpoints. PKI-tanúsítványok nagyobb biztonságot, és lehetővé teszi az internetes ügyfelek kezelése.PKI certificates provide better security and enable you to manage internet clients.

Konfigurációs beállításai és lehetőségei a Configuration Manager száma miatt nem áttérés egy helyet, hogy az összes ügyfél HTTPS-kapcsolat használata nélkül egyetlen módja.Because of the number of configuration options and choices in Configuration Manager, there's no single way to transition a site so that all clients use HTTPS connections. Az alábbi lépések ugyanakkor iránymutatásként szolgálhatnak ehhez:However, you can follow these steps as guidance:

  1. A Configuration Manager-hely telepítése és beállítása úgy, hogy a helyrendszerek HTTPS és HTTP-kapcsolatok fogadására.Install the Configuration Manager site and configure it so that site systems accept client connections over HTTPS and HTTP.

  2. Konfigurálja a ügyfélszámítógép-kommunikáció lapot a hely tulajdonságai úgy, hogy a helyrendszer beállításai van HTTP vagy HTTPS, és válassza ki használható PKI ügyféltanúsítvány (ügyfél-hitelesítési képesség) Ha elérhető.Configure the Client Computer Communication tab in the site properties so that the Site System Settings is HTTP or HTTPS, and select Use PKI client certificate (client authentication capability) when available. További információkért lásd: PKI-ügyféltanúsítványokhoz beállításainak konfigurálása.For more information, see Configure settings for client PKI certificates.

  3. Próbaüzemben vezesse be a PKI-ügyféltanúsítványok használatát.Pilot a PKI rollout for client certificates. Telepítését bemutató példát lásd: Windows-számítógépek az ügyféltanúsítvány központi telepítése.For an example deployment, see Deploy the client certificate for Windows computers.

  4. Ügyfélleküldéses módszerrel telepítse az ügyfeleket.Install clients by using the client push installation method. További információkért lásd: a Configuration Manager-ügyfelek telepítése ügyfélleküldés használatával.For more information, see the How to install Configuration Manager clients by using client push.

  5. A jelentések és a Configuration Manager konzol segítségével figyelheti az ügyféltelepítés és állapotát.Monitor client deployment and status by using the reports and information in the Configuration Manager console.

  6. Az Eszközök csomópont Eszközök és megfelelőség munkaterületén az Ügyféltanúsítvány oszlopban kísérje figyelemmel, hogy hány ügyfél használ PKI-tanúsítványt.Track how many clients are using a client PKI certificate by viewing the Client Certificate column in the Assets and Compliance workspace, Devices node.

    Ezenkívül telepítheti a Configuration Manager HTTPS Readiness Assessment eszközt (cmHttpsReadiness.exe) a számítógépekre.You can also deploy the Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe) to computers. A jelentések segítségével megtekintheti, hogy hány számítógép használható PKI-tanúsítványt a Configuration Managerrel.Then use the reports to view how many computers can use a client PKI certificate with Configuration Manager.

    Megjegyzés

    A Configuration Manager-ügyfél telepítésekor telepíti a CMHttpsReadiness.exe eszközének a %windir%\CCM mappát.When you install the Configuration Manager client, it installs the CMHttpsReadiness.exe tool in the %windir%\CCM folder. Az alábbi parancssori kapcsolók állnak rendelkezésre, az eszköz futtatásakor:The following command-line options are available when you run this tool:

    • /Store:<name>: Ez a beállítás megegyezik a CCMCERTSTORE client.msi-tulajdonság/Store:<name>: This option is the same as the CCMCERTSTORE client.msi property
    • /Issuers:<list>: Ez a beállítás megegyezik a CCMCERTISSUERS client.msi-tulajdonság/Issuers:<list>: This option is the same as the CCMCERTISSUERS client.msi property
    • /Criteria:<criteria>: Ez a beállítás megegyezik a CCMCERTSEL client.msi-tulajdonság/Criteria:<criteria>: This option is the same as the CCMCERTSEL client.msi property
    • /SelectFirstCert: Ez a beállítás megegyezik a CCMFIRSTCERT client.msi-tulajdonság/SelectFirstCert: This option is the same as the CCMFIRSTCERT client.msi property

      További információkért lásd: kapcsolatos ügyfél-telepítési tulajdonságok.For more information, see About client installation properties.

  7. Amikor biztos abban, hogy elegendő sikeresen használ a PKI-ügyféltanúsítvány a hitelesítéshez HTTP-n keresztül, kövesse az alábbi lépéseket:When you're confident that enough clients are successfully using their client PKI certificate for authentication over HTTP, follow these steps:

    1. Nyilvános kulcsokra épülő infrastruktúra webkiszolgáló-tanúsítvány telepítése a hely kiegészítő felügyeleti pontot futtató kiszolgáló, és konfigurálja a tanúsítványt az IIS-ben.Deploy a PKI web server certificate to a member server that runs an additional management point for the site, and configure that certificate in IIS. További információkért lásd: üzembe helyezése a webkiszolgáló-tanúsítvány IIS-t futtató helyrendszereken.For more information, see Deploy the web server certificate for site systems that run IIS.

    2. Telepítse a felügyeleti pont szerepkört ezen a kiszolgálón, majd a felügyeleti pont tulajdonságai között állítsa az Ügyfélkapcsolatok beállítást HTTPSértékre.Install the management point role on this server and configure the Client connections option in the management point properties for HTTPS.

  8. Győződjön meg arról, hogy a PKI-tanúsítvánnyal rendelkező ügyfelek az új felügyeleti pontot használják HTTPS-kapcsolaton keresztül.Monitor and verify that clients that have a PKI certificate use the new management point by using HTTPS. IIS naplóit vagy teljesítményszámlálóit segítségével ellenőrizze-e.You can use IIS logging or performance counters to verify.

  9. Konfigurálja újra a többi helyrendszerszerepkört HTTPS-alapú ügyfélkapcsolatok használatára.Reconfigure other site system roles to use HTTPS client connections. Ha azt szeretné, az internetes ügyfelek kezeléséhez, győződjön meg róla, hogy helyrendszerek internetes teljes Tartományneve.If you want to manage clients on the internet, make sure that site systems have an internet FQDN. Konfigurálja az egyes felügyeleti pontok és terjesztési pontok az internetről érkező ügyfélkapcsolatok fogadására.Configure individual management points and distribution points to accept client connections from the internet.

    Fontos

    Helyrendszer-szerepkörök beállítása az internetről érkező kapcsolatok fogadására, előtt tekintse át a tervezési információkat és előfeltételeket az internetalapú ügyfélfelügyelethez.Before you set up site system roles to accept connections from the internet, review the planning information and prerequisites for internet-based client management. További információkért lásd: végpontok közötti kommunikáció.For more information, see Communications between endpoints.

  10. A PKI-tanúsítványok bevezetését az ügyfeleken és az IIS-t futtató helyrendszerek kiterjesztéseExtend the PKI certificate rollout for clients and for site systems that run IIS. Állítsa be a helyrendszerszerepköröket HTTPS-ügyfélkapcsolatokra és internetes kapcsolatok, szükség szerint.Set up the site system roles for HTTPS client connections and internet connections, as required.

  11. A maximális biztonság érdekében: Amikor biztos abban, hogy minden olyan ügyfél PKI-tanúsítványt használ hitelesítésre és titkosításra, módosítsa a hely tulajdonságait csak HTTPS PROTOKOLLT használja.For the highest security: When you're confident that all clients are using a client PKI certificate for authentication and encryption, change the site properties to use HTTPS only.

    Ez a csomag első vezet be a PKI-tanúsítványokat a hitelesítéshez csak HTTP protokollon keresztül, majd a hitelesítéshez és titkosításhoz a HTTPS.This plan first introduces PKI certificates for authentication only over HTTP, and then for authentication and encryption over HTTPS. Ha ezek a tanúsítványok fokozatos bevezetése a csomag követéséhez, hogy az ügyfelek lesznek kockázatának csökkentése érdekében.When you follow this plan to gradually introduce these certificates, you reduce the risk that clients become unmanaged. A maximális biztonság érdekében, hogy a Configuration Manager támogatja az is előnynek.You'll also benefit from the highest security that Configuration Manager supports.

A megbízható legfelső szintű kulcs tervezésePlan for the trusted root key

A Configuration Manager megbízható legfelső szintű kulcs lehetővé teszi a Configuration Manager-ügyfelek rendszerek saját hierarchiájukhoz tartoznak hely ellenőrzéséhez.The Configuration Manager trusted root key provides a mechanism for Configuration Manager clients to verify site systems belong to their hierarchy. Minden helykiszolgáló generál egy helycserekulcsot a többi hellyel való kommunikációhoz.Every site server generates a site exchange key to communicate with other sites. A megbízható legfelső szintű kulcs a hierarchia legfelső szintű helyétől származó helycserekulcs.The site exchange key from the top-level site in the hierarchy is called the trusted root key.

A függvény a megbízható legfelső szintű kulcs a Configuration Managerben a nyilvános kulcsú infrastruktúra főtanúsítványára.The function of the trusted root key in Configuration Manager resembles a root certificate in a public key infrastructure. A megbízható legfelső szintű kulcs titkos kulcsával aláírt további megbízható lefelé a hierarchiában.Anything signed by the private key of the trusted root key is trusted further down the hierarchy. Ügyfelek tárolják az a hely megbízható legfelső szintű kulcs másolatát a root\ccm\locationservices WMI-névteret.Clients store a copy of the site's trusted root key in the root\ccm\locationservices WMI namespace.

A hely például kiállít egy tanúsítványt a felügyeleti pont, amely akkor jelentkezik, a megbízható legfelső szintű kulcs titkos kulccsal.For example, the site issues a certificate to the management point, which it signs with the private key of the trusted root key. A hely nyilvános kulcsát a megbízható legfelső szintű kulcs a fájlmegosztások az ügyfelekkel.The site shares with clients the public key of its trusted root key. Ezután az ügyfelek képesek megkülönböztetni a saját felügyeleti pontok és felügyeleti pontok, amelyek nem a saját hierarchiájukhoz.Then clients can differentiate between management points that are in their hierarchy and management points that aren't in their hierarchy.

Az ügyfelek automatikusan lekérni a megbízható legfelső szintű kulcs nyilvános példányát kétféle módon:Clients automatically retrieve the public copy of the trusted root key by using two mechanisms:

  • Az Active Directory-séma kiterjesztése a Configuration Managerhez, és a hely közzététele az Active Directory Domain Servicesben.You extend the Active Directory schema for Configuration Manager, and publish the site to Active Directory Domain Services. Majd ügyfelek egy globáliskatalógus-kiszolgálóról kérhetnek le a helyinformációkat.Then clients retrieve this site information from a global catalog server. További információkért lásd: hely közzététele az Active Directory előkészítése.For more information, see Prepare Active Directory for site publishing.

  • Ha telepíti az ügyfeleket az ügyfélleküldéses telepítési módszer használatával.When you install clients using the client push installation method. További információkért lásd: ügyfélleküldéses telepítés.For more information, see Client push installation.

    Ha az ügyfelek nem tudják lekérni a megbízható legfelső szintű kulcsot, ezek a mechanizmusok egyikével, a megbízható legfelső szintű kulcsot az első felügyeleti pontot által biztosított, kommunikálhatnak megbíznak.If clients can't retrieve the trusted root key by using one of these mechanisms, they trust the trusted root key that's provided by the first management point that they communicate with. Ebben a forgatókönyvben egy ügyfél házirendét egy támadó egy felügyeleti ponthoz, ahol kapja a rosszindulatú felügyeleti pontról.In this scenario, a client might be misdirected to an attacker's management point where it would receive policy from the rogue management point. Ez a művelet egy ugyanakkor igen kifinomult támadás szükséges.This action requires a sophisticated attacker. A támadás korlátozódik a rövid idő előtt az ügyfél lekéri a megbízható legfelső szintű kulcs érvényes felügyeleti pontról.This attack is limited to the short time before the client retrieves the trusted root key from a valid management point. Egy támadó irányítsa át az ügyfeleket egy engedélyezetlen felügyeleti pontra a kockázat csökkentése érdekében az ügyfeleket előre ellátja a megbízható legfelső szintű kulccsal.To reduce this risk of an attacker misdirecting clients to a rogue management point, pre-provision the clients with the trusted root key.

    Az alábbi eljárásokkal történő előzetes kiépítésére és a egy Configuration Manager-ügyfél ellenőrzi, hogy a megbízható legfelső szintű kulcs:Use the following procedures to pre-provision and verify the trusted root key for a Configuration Manager client:

  • Kiépítés előtti ügyfelet a megbízható legfelső szintű kulccsal fájl használatávalPre-provision a client with the trusted root key by using a file

  • Kiépítés előtti ügyfelet a megbízható legfelső szintű kulccsal fájl nélkülPre-provision a client with the trusted root key without using a file

  • A megbízható legfelső szintű kulcs ellenőrzése az ügyfélenVerify the trusted root key on a client

  • Távolítsa el, vagy a megbízható legfelső szintű kulcsRemove or replace the trusted root key

    Megjegyzés

    Ha az ügyfelek az Active Directory Domain Services vagy a leküldéses ügyféltelepítés kérheti le a megbízható legfelső szintű kulcsot, nem kell előzetes kiépítésére.If clients can get the trusted root key from Active Directory Domain Services or client push, you don't have to pre-provision it.

    Ha az ügyfelek HTTPS-kommunikációt a felügyeleti pontokhoz, nem kell előre ellátja a megbízható legfelső szintű kulcs.When clients use HTTPS communication to management points, you don't have to pre-provision the trusted root key. Megbízhatósági kapcsolat által a PKI-tanúsítványok létrehozása azokat.They establish trust by the PKI certificates.

Kiépítés előtti ügyfelet a megbízható legfelső szintű kulccsal fájl használatávalPre-provision a client with the trusted root key by using a file

  1. A helykiszolgáló egy szövegszerkesztőben nyissa meg a következő fájlt: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Keresse meg a bejegyzést SMSPublicRootKey =.Locate the entry, SMSPublicRootKey=. Másolja a kulcsot a sorból, és zárja be a fájlt módosítás nélkül.Copy the key from that line, and close the file without any changes.

  3. Hozzon létre egy új szövegfájlt, és illessze be a kulccsal kapcsolatos adatokat a mobileclient.tcf fájlból másolt.Create a new text file, and paste the key information that you copied from the mobileclient.tcf file.

  4. Mentse a fájlt egy olyan helyre, ahol minden számítógép hozzáférhet, de ha a fájl biztonságos általi illetéktelen módosítását.Save the file in a location where all computers can access it, but where the file is safe from tampering.

  5. Telepítse az ügyfelet bármely olyan telepítési módszerrel, amely a client.msi-tulajdonságokat.Install the client by using any installation method that accepts client.msi properties. Adja meg a következő tulajdonság: SMSROOTKEYPATH=<full path and file name>Specify the following property: SMSROOTKEYPATH=<full path and file name>

    Fontos

    Az ügyfél telepítésekor a megbízható legfelső szintű kulcs megadása esetén is adja meg a hely kódját.When you specify the trusted root key during client installation, also specify the site code. Használja a következő client.msi-tulajdonság: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Kiépítés előtti ügyfelet a megbízható legfelső szintű kulccsal fájl nélkülPre-provision a client with the trusted root key without using a file

  1. A helykiszolgáló egy szövegszerkesztőben nyissa meg a következő fájlt: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Keresse meg a bejegyzést SMSPublicRootKey =.Locate the entry, SMSPublicRootKey=. Másolja a kulcsot a sorból, és zárja be a fájlt módosítás nélkül.Copy the key from that line, and close the file without any changes.

  3. Telepítse az ügyfelet bármely olyan telepítési módszerrel, amely a client.msi-tulajdonságokat.Install the client by using any installation method that accepts client.msi properties. Adja meg a következő client.msi-tulajdonság: SMSPublicRootKey=<key> ahol <key> a mobileclient.tcf fájlból másolt karakterláncot jelenti.Specify the following client.msi property: SMSPublicRootKey=<key> where <key> is the string that you copied from mobileclient.tcf.

    Fontos

    Az ügyfél telepítésekor a megbízható legfelső szintű kulcs megadása esetén is adja meg a hely kódját.When you specify the trusted root key during client installation, also specify the site code. Használja a következő client.msi-tulajdonság: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

A megbízható legfelső szintű kulcs ellenőrzése az ügyfélenVerify the trusted root key on a client

  1. Nyissa meg a Windows PowerShell-konzolt rendszergazdaként.Open a Windows PowerShell console as an administrator.

  2. Futtassa a következő parancsot:Run the following command:

 (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey

A visszaadott karakterláncban az a megbízható legfelső szintű kulcs.The returned string is the trusted root key. Győződjön meg arról, hogy megegyezik a SMSPublicRootKey értéket a mobileclient.tcf fájlra a helykiszolgálón.Verify that it matches the SMSPublicRootKey value in the mobileclient.tcf file on the site server.

Távolítsa el, vagy a megbízható legfelső szintű kulcsRemove or replace the trusted root key

A client.msi-tulajdonsággal, távolítsa el a megbízható legfelső szintű kulcs egy ügyfél RESETKEYINFORMATION = TRUE.Remove the trusted root key from a client by using the client.msi property, RESETKEYINFORMATION = TRUE.

A megbízható legfelső szintű kulcs cseréjéhez telepítse újra az új megbízható legfelső szintű kulcsot az ügyfelet.To replace the trusted root key, reinstall the client together with the new trusted root key. Például a leküldéses ügyféltelepítés használatához, vagy adja meg a client.msi-tulajdonságot SMSPublicRootKey.For example, use client push, or specify the client.msi property SMSPublicRootKey.

Ezeket a telepítési tulajdonságokat a további információkért lásd: ügyfél telepítési paramétereit, és a Tulajdonságok.For more information on these installation properties, see About client installation parameters and properties.

Aláírás és titkosítás tervezésePlan for signing and encryption

Ha az összes ügyfél-kommunikációhoz PKI-tanúsítványokat használ, nem kell aláírás és titkosítás segítségével biztonságos ügyfél kommunikáció tervezése.When you use PKI certificates for all client communications, you don't have to plan for signing and encryption to help secure client data communication. Bármilyen HTTP-ügyfélkapcsolatok engedélyezéséhez az IIS-t futtató helyrendszerek állít be, ha annak eldöntése, hogyan biztonságossá tétele a hely ügyfél-kommunikációt.If you set up any site systems that run IIS to allow HTTP client connections, decide how to help secure the client communication for the site.

Az ügyfelek felügyeleti pontokra küldött adatok védelme érdekében megkövetelheti az ügyfelek számára, hogy az adatok aláírására.To help protect the data that clients send to management points, you can require clients to sign the data. Az SHA-256 algoritmust is megkövetelheti az aláíráshoz.You can also require the SHA-256 algorithm for signing. Ez a konfiguráció több biztonságos, azonban nem igénylik SHA-256, kivéve, ha az összes ügyfél támogatja azt.This configuration is more secure, but don't require SHA-256 unless all clients support it. Számos operációs rendszer natív módon támogatja ezt az algoritmust, de előfordulhat, hogy a régebbi operációs rendszerek frissítés vagy gyorsjavítás.Many operating systems natively support this algorithm, but older operating systems might require an update or hotfix.

Aláíró védelmet nyújt a általi illetéktelen módosítását, amíg titkosítás megvédi az adatokat a adatokhoz való illetéktelen hozzáférést.While signing helps protect the data from tampering, encryption helps protect the data from information disclosure. Lehetősége van a 3DES titkosítás engedélyezésére a leltáradatok és az ügyfelek által a hely felügyeleti pontjainak küldött állapotüzenetek esetén.You can enable 3DES encryption for the inventory data and state messages that clients send to management points in the site. Telepítse a frissítéseket az ügyfelek támogatják ezt a beállítást nem kell.You don't have to install any updates on clients to support this option. Az ügyfelek és a felügyeleti pontokhoz szükséges további CPU-használat titkosításra és visszafejtésre.Clients and management points require additional CPU usage for encryption and decryption.

Az aláíráshoz és titkosításhoz a beállítások konfigurálásával kapcsolatos további információkért lásd: aláírás és titkosítás konfigurálása.For more information about how to configure the settings for signing and encryption, see Configure signing and encryption.

Szerepkör alapú felügyelet tervezésePlan for role-based administration

További információkért lásd: szerepköralapú Adminisztráció alapjai.For more information, see Fundamentals of role-based administration.

Az Azure Active Directory tervezésePlan for Azure Active Directory

A Configuration Manager integrálható az Azure Active Directory (Azure AD) ahhoz, hogy a hely és a modern hitelesítést használó ügyfelek.Configuration Manager integrates with Azure Active Directory (Azure AD) to enable the site and clients to use modern authentication. Bevezetési webhelyét az Azure ad-ben a következő Configuration Manager-forgatókönyveket teszi lehetővé:Onboarding your site with Azure AD supports the following Configuration Manager scenarios:

ÜgyfélClient

ServerServer

A webhely Azure ad-ben való csatlakozásról további információkért lásd: konfigurálása Azure-szolgáltatások.For more information on connecting your site to Azure AD, see Configure Azure services.

Az Azure AD kapcsolatos további információkért lásd: Azure Active Directory dokumentációjának.For more information about Azure AD, see Azure Active Directory documentation.

SMS-szolgáltató hitelesítés tervezésePlan for SMS Provider authentication

A verzió 1810-től kezdődően megadhat a minimális hitelesítési szintet a rendszergazdák a Configuration Manager-helyek eléréséhez.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Ez a szolgáltatás megköveteli a rendszergazdák számára, hogy jelentkezzen be Windows-a szükséges szintet.This feature enforces administrators to sign in to Windows with the required level. Minden olyan összetevő, amely az SMS-szolgáltató elérésére vonatkozik.It applies to all components that access the SMS Provider. Például a Configuration Manager-konzolon, az SDK metódusainak és Windows PowerShell-parancsmagokat.For example, the Configuration Manager console, SDK methods, and Windows PowerShell cmdlets.

Ez a konfiguráció a hierarchiára vonatkozó beállítást.This configuration is a hierarchy-wide setting. Mielőtt módosítja ezt a beállítást, ellenőrizze, hogy az összes Configuration Manager-rendszergazdák jelentkezhetnek be Windows a szükséges hitelesítési szint.Before you change this setting, make sure that all Configuration Manager administrators can sign in to Windows with the required authentication level.

A következő szinteken érhetők el:The following levels are available:

  • Windows-hitelesítés: Az Active Directory tartományi hitelesítő adatokkal hitelesítésre van szükség.Windows authentication: Require authentication with Active Directory domain credentials.

  • Tanúsítványalapú hitelesítés: A nyilvános kulcsokra épülő infrastruktúra megbízható hitelesítésszolgáltató által kiadott érvényes tanúsítvánnyal rendelkező hitelesítésre van szükség.Certificate authentication: Require authentication with a valid certificate that's issued by a trusted PKI certificate authority.

  • Windows Hello for Business hitelesítési: Erős kétfaktoros hitelesítéssel, amelyek egy eszközhöz kötődik, és a biometria vagy egy PIN-kódot használ hitelesítésre van szükség.Windows Hello for Business authentication: Require authentication with strong two-factor authentication that's tied to a device and uses biometrics or a PIN.

További információkért lásd: az SMS-szolgáltató tervezése.For more information, see Plan for the SMS Provider.

További információSee also