A System Center Configuration Manager biztonsági elemei – AlapokFundamentals of security for System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A System Center Configuration Manager Security több rétegből tevődik.Security for System Center Configuration Manager consists of several layers. Az első réteg Windows biztonsági funkciókat biztosítja az operációs rendszer és a hálózathoz, és tartalmazza:The first layer is provided by Windows security features for both the operating system and the network and includes:

  • A Configuration Manager összetevői közötti átvitelhez fájlmegosztás.File sharing to transfer files between Configuration Manager components.

  • Hozzáférés-vezérlési listái (ACL) segítségével biztonságos fájlokhoz és beállításokhoz.Access Control Lists (ACLs) to help secure files and registry keys.

  • Az Internet Protocol Security (IPsec) biztonságos kommunikáció érdekében.Internet Protocol Security (IPsec) to help secure communications.

  • Csoportházirend a biztonsági házirend beállítása.Group Policy to set security policy.

  • Elosztott Component Object Model (DCOM) engedélyek elosztott alkalmazásokhoz, például a Configuration Manager konzolon.Distributed Component Object Model (DCOM) permissions for distributed applications, like the Configuration Manager console.

  • Active Directory tartományszolgáltatások a rendszerbiztonsági tagok tárolásához.Active Directory Domain Services to store security principals.

  • A Windows fiókvédelme, beleértve néhány olyan csoportot, a Configuration Manager telepítő futásakor lettek létrehozva.Windows account security, including some groups that are created during Configuration Manager setup.

Ezt követően további biztonsági összetevők, például a tűzfalak és a behatolás-észlelés biztosítható szolgálhat a teljes működési környezetére.Then, additional security components, like firewalls and intrusion detection, help provide defense for the whole environment. Iparági által kiadott tanúsítványok szabványos nyilvános kulcsú infrastruktúra (PKI) megvalósítások segítségével adja meg a hitelesítési, aláírási és titkosítási.Certificates issued by industry standard public key infrastructure (PKI) implementations help provide authentication, signing, and encryption.

A Windows server és a hálózati infrastruktúra által nyújtott biztonsági elemek, mellett a Configuration Manager szabályozza a hozzáférést a Configuration Manager konzoljához és erőforrásaihoz többféle módon.In addition to security provided by the Windows server and network infrastructure, Configuration Manager controls access to the Configuration Manager console and its resources in several ways. Alapértelmezés szerint csak a helyi rendszergazdák jogosult a fájlokat és beállításkulcsokat, amelyen telepítve van a számítógépeken a Configuration Manager konzol futtatásához szükséges.By default, only local administrators have rights to the files and registry keys that are required to run the Configuration Manager console on computers where it is installed.

A biztonság következő rétege a Windows Management Instrumentation (WMI) általi, konkrétan az SMS Provider általi hozzáférésen alapszik.The next layer of security is based on access through Windows Management Instrumentation (WMI), specifically the SMS Provider. Az SMS-szolgáltató a Configuration Manager összetevő egy felhasználó hozzáférést biztosít a információ a Helyadatbázis lekérdezéséhez.The SMS Provider is a Configuration Manager component that grants a user access to query the site database for information. Alapértelmezés szerint a szolgáltató elérése történik a helyi SMS rendszergazdák csoport tagjai számára.By default, access to the provider is restricted to members of the local SMS Admins group. Ez a csoport elsőként csak a felhasználó, aki telepítette a Configuration Manager tartalmazza.This group at first contains only the user who installed Configuration Manager. Az SMS rendszergazdák csoportjába más fiókokat is fel kell venni, hogy fiókengedélyeket lehessen adni az általános információmodell (CIM) adattárára és az SMS Provider szolgáltatásaira.To grant other accounts permission to the Common Information Model (CIM) repository and the SMS Provider, add the other accounts to the SMS Admins group.

A biztonság utolsó rétege a helyadatbázisban lévő objektumokra vonatkozó engedélyeken alapszik.The final layer of security is based on permissions to objects in the site database. Alapértelmezés szerint a helyi rendszerfiók és a Configuration Manager telepítéséhez használt felhasználói fiókot felügyelhető minden objektumot a helyadatbázisban.By default, the Local System account and the user account that you used to install Configuration Manager can administer all objects in the site database. Adja meg, és a Configuration Manager konzolon a további rendszergazda felhasználóknak engedélyeket korlátozhatja a szerepköralapú felügyelet használatával.You can grant and restrict permissions to additional administrative users in the Configuration Manager console by using role-based administration.

Szerepköralapú adminisztrációRole-based administration

A Configuration Manager szerepkör alapú felügyelet használatával például gyűjtemények, központi telepítések és helyek biztonsági objektumok védelméhez.Configuration Manager uses role-based administration to help secure objects like collections, deployments, and sites. Ez a felügyeleti modell központilag határozza meg, és a teljes hierarchiára kiterjedően kezeli a biztonsági hozzáférési beállításokat minden hely és helybeállítás részére.This administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings. Biztonsági szerepkörök rendszergazda felhasználók és a csoporthoz rendelt.Security roles are assigned to administrative users and group permissions. Az engedélyek másik Configuration Manager típusú objektumokat, például az engedélyeket, létrehozására és megváltoztatására ügyfélbeállítások segítségével csatlakoznak.The permissions are connected to different Configuration Manager object types, like the permissions that are used to create or change client settings. Biztonsági a meghatározott objektumpéldányokat tartalmazó csoportok objektumok, amelyek egy rendszergazda felhasználó felelős, például egy alkalmazás, amely telepíti a Microsoft Office.Security scopes the group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft Office. Biztonsági szerepkörök, biztonsági hatókörök és gyűjtemények kombinációja határozza meg az objektumok egy rendszergazda felhasználó tekintheti meg és kezelheti.The combination of security roles, security scopes, and collections define the objects that an administrative user can view and manage. A Configuration Manager telepít néhány alapértelmezett biztonsági szerepkört a tipikus felügyeleti feladatokhoz.Configuration Manager installs some default security roles for typical management tasks. Azonban létrehozhat saját biztonsági szerepköröket, meghatározott üzleti igényei támogatásához.But, you can create your own security roles to support your specific business requirements.

További információkért lásd: szerepkör alapú felügyelet a System Center Configuration Manager konfigurálása.For more information, see Configure role-based administration for System Center Configuration Manager.

Ügyfél-végpontok védelmeSecuring client endpoints

Ügyfél-kommunikációt a helyrendszer-szerepkörök vagy önaláírt tanúsítványokat használ, vagy PKI-tanúsítványok használatával védett.Client communication to site system roles is secured by using either self-signed certificates, or by using PKI certificates. PKI-ügyféltanúsítványt használjanak, hogy a Configuration Manager az interneten észlelt számítógépes ügyfeleknek és a mobileszközök ügyfelei lesz szüksége.You'll need to use a PKI certificate for computer clients that Configuration Manager detects to be on the Internet, and for mobile device clients. A PKI-tanúsítványt az ügyfél-végpontok biztonságos HTTPS PROTOKOLLT használ.The PKI certificate uses HTTPS to secure the client endpoints. Azok a helyrendszerszerepkörök, amelyekhez az ügyfelek csatlakoznak konfigurálhatók vagy a HTTPS vagy a HTTP protokollos ügyfélkommunikációra.The site system roles that clients connect to can be configured for either HTTPS or HTTP client communication. Ügyfélszámítógépek mindig a rendelkezésre álló legbiztonságosabb mód használatával kommunikálnak.Client computers always communicate by using the most secure method that is available. Ügyfélszámítógépek csak akkor térnek át a kevésbé biztonságos kommunikációs módszer http használatával az intraneten, ha helyrendszerszerepkör, amely engedélyezi a HTTP-kommunikációt.Client computers only fall back to using the less secure communication method of HTTP on the intranet if you have site systems roles that allow HTTP communication.

További információkért lásd: a kriptográfiai szolgáltató szabályozza technikai útmutató a System Center Configuration Manager.For more information, see Cryptographic controls technical reference for System Center Configuration Manager.

A Configuration Manager fiókjai és csoportjaiConfiguration Manager accounts and groups

Configuration Manager a legtöbb helyművelethez a helyi rendszerfiókot használja.Configuration Manager uses the Local System account for most site operations. Egyes felügyeleti feladatok szükség lehet további fiókok karbantartását.Some management tasks might require you to create and maintain additional accounts. Több alapértelmezett csoport és SQL Server szerepkörök telepítés során jön létre.Several default groups and SQL Server roles are created during setup. Lehetséges, hogy manuálisan számítógépi vagy felhasználói fiókok hozzáadása az alapértelmezett csoportokat és az SQL-kiszolgálói szerepeknek.You might have to manually add computer or user accounts to the default groups and SQL Server roles.

További információk: A System Center Configuration Managerben használt fiókok.For more information, see Accounts used in System Center Configuration Manager.

Személyes adatok védelmePrivacy

Bár a vállalatfelügyeleti termékek sok előnyt kínálnak, mivel a felhasználók tömegeit kezelhetik hatékonyan, arra is kell vigyázni, hogy ennek a szoftvernek milyen hatása lehet a szervezeten belüli felhasználók személyes adatainak biztonságára.Although enterprise management products offer many advantages because they can effectively manage lots of clients, you must also be aware of how this software might affect the privacy of users in your organization. A System Center Configuration Manager az adatok gyűjtéséhez és az eszközök figyeléséhez több segédprogramot is tartalmaz.System Center Configuration Manager includes many tools to collect data and monitor devices. Egyes eszközök előfordulhat, hogy előléptetése adatvédelmi aggályokat.Some tools might raise privacy concerns.

Például a Configuration Manager-ügyfél telepítésekor számos felügyeleti beállítás alapértelmezetten engedélyezett.For example, when you install the Configuration Manager client, many management settings are enabled by default. Ez azt eredményezi, hogy az ügyfélszoftver adatokat küld a Configuration Manager-hely.This causes the client software to send information to the Configuration Manager site. A Configuration Manager adatbázisában tárolja az ügyféladatokat, és az adatokat a Microsoftnak nem küldi el.Client information is stored in the Configuration Manager database, and the information is not sent to Microsoft. System Center Configuration Manager megvalósítása előtt gondolja át az adatvédelmi követelményeit.Before you implement System Center Configuration Manager, consider your privacy requirements.