A Configuration Manager biztonsági alapokFundamentals of security for Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a cikk összegzi a következő alapvető biztonsági összetevőinek semmilyen Configuration Manager-környezetben:This article summarizes the following fundamental security components of any Configuration Manager environment:

Biztonsági rétegekSecurity layers

A Configuration Manager biztonsági az alábbi rétegekkel áll:Security for Configuration Manager consists of the following layers:

Windows operációs rendszer és a hálózati biztonságWindows OS and network security

Az első réteget biztosít a Windows biztonsági funkciókat az operációs rendszer és a hálózathoz.The first layer is provided by Windows security features for both the OS and the network. Ez a réteg a következő összetevőket tartalmazza:This layer includes the following components:

  • A fájlmegosztás a Configuration Manager összetevői közötti átvitelhezFile sharing to transfer files between Configuration Manager components

  • Hozzáférés-vezérlési listák (ACL) a fájlok és beállításkulcsok biztonságáhozAccess Control Lists (ACLs) to help secure files and registry keys

  • Az Internet Protocol Security (IPsec) biztonságos kommunikáció érdekébenInternet Protocol Security (IPsec) to help secure communications

  • Csoportházirend a biztonsági szabályzat beállításaGroup Policy to set security policy

  • Elosztott Component Object Model (DCOM) engedélyek elosztott alkalmazásokhoz, mint a Configuration Manager konzolDistributed Component Object Model (DCOM) permissions for distributed applications, like the Configuration Manager console

  • Active Directory tartományszolgáltatások a rendszerbiztonsági tagok tárolásáhozActive Directory Domain Services to store security principals

  • Windows fiókvédelme, beleértve néhány olyan csoportot, amely a Configuration Manager telepítése során hoz létreWindows account security, including some groups that Configuration Manager creates during setup

Hálózati infrastruktúraNetwork infrastructure

További biztonsági összetevők, például a tűzfalak és a behatolás-észlelési, segítségével védelmet nyújt a teljes környezetet.Additional security components, like firewalls and intrusion detection, help provide defense for the whole environment. Szabványos nyilvános kulcsú infrastruktúra (PKI) megvalósításokhoz segítségével iparág által kiadott tanúsítványok adja meg a hitelesítési, aláírási és titkosítási.Certificates issued by industry standard public key infrastructure (PKI) implementations help provide authentication, signing, and encryption.

A Configuration Manager biztonsági vezérlőketConfiguration Manager security controls

Mellett a Windows server és a hálózati infrastruktúra által biztosított biztonság a Configuration Manager szabályozza a hozzáférést a konzol és az erőforrások számos módon.In addition to security provided by the Windows server and network infrastructure, Configuration Manager controls access to its console and resources in several ways. Alapértelmezés szerint csak a helyi rendszergazdák jogosult a fájlok és beállításkulcsok a Configuration Manager konzol igénylő számítógépeken, ahol telepítheti.By default, only local administrators have rights to the files and registry keys that the Configuration Manager console requires on computers where you install it.

SMS-szolgáltatóSMS Provider

A biztonság következő rétege a Windows Management Instrumentation (WMI) általi, konkrétan az SMS Provider általi hozzáférésen alapszik.The next layer of security is based on access through Windows Management Instrumentation (WMI), specifically the SMS Provider. Az SMS-szolgáltató része a Configuration Manager, amely hozzáférést biztosít egy felhasználói információ a Helyadatbázis lekérdezéséhez.The SMS Provider is a Configuration Manager component that grants a user access to query the site database for information. Alapértelmezés szerint a Providert a helyi SMS rendszergazdák csoport tagjai érik el.By default, access to the provider is restricted to members of the local SMS Admins group. Ebbe a csoportba először a Configuration Manager telepítő felhasználói tartalmazza.This group at first contains only the user who installed Configuration Manager. Az SMS rendszergazdák csoportjába más fiókokat is fel kell venni, hogy fiókengedélyeket lehessen adni az általános információmodell (CIM) adattárára és az SMS Provider szolgáltatásaira.To grant other accounts permission to the Common Information Model (CIM) repository and the SMS Provider, add the other accounts to the SMS Admins group.

A verzió 1810-től kezdődően megadhat a minimális hitelesítési szintet a rendszergazdák a Configuration Manager-helyek eléréséhez.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Ez a szolgáltatás megköveteli a rendszergazdák számára, hogy jelentkezzen be Windows-a szükséges szintet.This feature enforces administrators to sign in to Windows with the required level.

További információkért lásd: az SMS-szolgáltató tervezése.For more information, see Plan for the SMS Provider.

Hely adatbázis-engedélyekSite database permissions

A biztonság utolsó rétege a helyadatbázisban lévő objektumokra vonatkozó engedélyeken alapszik.The final layer of security is based on permissions to objects in the site database. Alapértelmezés szerint a helyi rendszerfiók és a Configuration Manager telepítéséhez használt felhasználói fiók felügyelheti a helyadatbázisban található összes objektumot.By default, the Local System account and the user account that you used to install Configuration Manager can administer all objects in the site database. Engedélyeket adni és korlátozni a Configuration Manager konzolon a további rendszergazda felhasználóknak szerepkör alapú felügyelet használatával.Grant and restrict permissions to additional administrative users in the Configuration Manager console by using role-based administration.

Szerepkör alapú felügyeletRole-based administration

A Configuration Manager szerepköralapú Adminisztráció használatával objektumok védelméhez, például gyűjtemények, központi telepítések és helyek.Configuration Manager uses role-based administration to help secure objects like collections, deployments, and sites. Ez a felügyeleti modell központilag határozza meg, és a teljes hierarchiára kiterjedően kezeli a biztonsági hozzáférési beállításokat minden hely és helybeállítás részére.This administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings.

A rendszergazda hozzárendeli biztonsági szerepkörök rendszergazda felhasználók és a biztonságicsoport-engedélyeit.An administrator assigns security roles to administrative users and group permissions. Az engedélyek kapcsolódnak a Configuration Manager különböző objektumtípusokhoz például létrehozása ügyfélbeállítások megadását vagy módosítását.The permissions are connected to different Configuration Manager object types, for example, to create or change client settings.

Biztonsági hatókörök csoportja, amelyek egy rendszergazda felhasználó felelős kezelésére, mint egy alkalmazás, amely telepíti a Microsoft Office-objektumok olyan specifikus példányai.Security scopes group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft Office.

Biztonsági szerepkörök, biztonsági hatókörök és gyűjtemények kombinációja határozza meg az objektumokat, a rendszergazda megtekintheti és kezelheti.The combination of security roles, security scopes, and collections define the objects that an administrative user can view and manage. A Configuration Manager telepít néhány alapértelmezett biztonsági szerepkört a tipikus felügyeleti feladatokhoz.Configuration Manager installs some default security roles for typical management tasks. Hozzon létre saját biztonsági szerepköröket saját speciális üzleti igényeinek támogatásához.Create your own security roles to support your specific business requirements.

További információkért lásd: szerepköralapú Adminisztráció konfigurálása.For more information, see Configure role-based administration.

Ügyfél-végpontok védelmeSecuring client endpoints

A Configuration Manager ügyfél-kommunikációt a helyrendszer-szerepkörök védi akár önaláírt vagy PKI-tanúsítványokat, vagy Azure Active Directory (Azure AD-) token.Configuration Manager secures client communication to site system roles by using either self-signed or PKI certificates, or Azure Active Directory (Azure AD) tokens. Bizonyos helyzetekben PKI-tanúsítványok használatának megkövetelése.Some scenarios require the use of PKI certificates. Ha például internet alapú ügyfélfelügyelethez, és a mobileszközügyfelek.For example, internet-based client management, and for mobile device clients.

Beállíthatja, hogy a helyrendszer-szerepkörök, amelyhez az ügyfelek csatlakoznak az ügyfél-kommunikációhoz HTTPS vagy HTTP.You can configure the site system roles to which clients connect for either HTTPS or HTTP client communication. Ügyfélszámítógépek mindig a rendelkezésre álló legbiztonságosabb mód használatával kommunikálnak.Client computers always communicate by using the most secure method that's available. Ügyfélszámítógépek csak visszatér a kevésbé biztonságos kommunikációs módszer Ha helyrendszerszerepkörök, amelyek lehetővé teszik a HTTP-kommunikációt.Client computers only fall back to using the less secure communication method if you have site systems roles that allow HTTP communication.

További információkért lásd: biztonsági.For more information, see Plan for security.

Configuration Manager fiókjai és csoportjaiConfiguration Manager accounts and groups

Configuration Manager a legtöbb helyművelethez a helyi rendszerfiókot használja.Configuration Manager uses the Local System account for most site operations. Egyes felügyeleti feladatok megkövetelheti további fiókok létrehozásához és kezeléséhez.Some management tasks might require you to create and maintain additional accounts. A Configuration Manager telepítése során hoz létre több alapértelmezett csoport és az SQL Server-szerepköröket.Configuration Manager creates several default groups and SQL Server roles during setup. Előfordulhat, hogy manuálisan számítógépi vagy felhasználói fiókok hozzáadása az alapértelmezett csoportokat és az SQL Server-szerepkört.You might have to manually add computer or user accounts to the default groups and SQL Server roles.

További információkért lásd: a Configuration Managerben használt fiókok.For more information, see Accounts used in Configuration Manager.

AdatvédelemPrivacy

A Configuration Manager megvalósítása, előtt vegye figyelembe az adatvédelmi követelményeit.Before you implement Configuration Manager, consider your privacy requirements. Bár a vállalati felügyeleti termékekkel sok előnyt kínálnak, mivel azok tömegeit kezelhetik hatékonyan az ügyfelek, a szoftver hatással lehet a felhasználók a szervezet adatvédelmi.Although enterprise management products offer many advantages because they can effectively manage lots of clients, this software might affect the privacy of users in your organization. A Configuration Manager számos eszközt az adatok gyűjtéséhez és eszközök figyelését is tartalmaz.Configuration Manager includes many tools to collect data and monitor devices. Egyes eszközök a szervezet adatvédelmi aggályokat hozhatnak létre.Some tools might raise privacy concerns in your organization.

Ha például a Configuration Manager-ügyfél telepítésekor lehetővé teszi számos felügyeleti beállítás alapértelmezés szerint.For example, when you install the Configuration Manager client, it enables many management settings by default. E konfiguráció hatására a kliens szoftver az adatok küldése a Configuration Manager-hely.This configuration causes the client software to send information to the Configuration Manager site. A hely ügyfél-információ a helyadatbázisban tárolja.The site stores client information in the site database. Az ügyfél-információ nem közvetlenül a Microsoftnak.The client information isn't directly sent to Microsoft. További információkért lásd: diagnosztikai és használati adatok.For more information, see Diagnostics and usage data.

További információSee also