A System Center Configuration Manager biztonsági elemei – AlapokFundamentals of security for System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A System Center Configuration Manager biztonsági több rétegből áll.Security for System Center Configuration Manager consists of several layers. Az első réteg Windows biztonsági funkciókat biztosítja az operációs rendszer és a hálózathoz, és tartalmazza:The first layer is provided by Windows security features for both the operating system and the network and includes:

  • A Configuration Manager összetevői közötti átvitelhez fájlmegosztás.File sharing to transfer files between Configuration Manager components.

  • Hozzáférés-vezérlési listák (ACL) a védett fájlok és beállításkulcsok.Access Control Lists (ACLs) to help secure files and registry keys.

  • Az Internet Protocol Security (IPsec) biztonságos kommunikáció segítésére.Internet Protocol Security (IPsec) to help secure communications.

  • Csoportházirend a biztonsági szabályzat beállítása.Group Policy to set security policy.

  • Elosztott Component Object Model (DCOM) engedélyek elosztott alkalmazásokhoz, mint a Configuration Manager konzolon.Distributed Component Object Model (DCOM) permissions for distributed applications, like the Configuration Manager console.

  • Az Active Directory tartományszolgáltatások a rendszerbiztonsági tagok tárolásához.Active Directory Domain Services to store security principals.

  • Windows fiókvédelme, beleértve néhány olyan csoportot, a Configuration Manager-telepítés során jön létre.Windows account security, including some groups that are created during Configuration Manager setup.

Ezt követően a további biztonsági összetevők, például a tűzfalak és a behatolás-észlelési, segítségével védelmet nyújt a teljes környezet.Then, additional security components, like firewalls and intrusion detection, help provide defense for the whole environment. Szabványos nyilvános kulcsú infrastruktúra (PKI) megvalósításokhoz segítségével iparág által kiadott tanúsítványok adja meg a hitelesítési, aláírási és titkosítási.Certificates issued by industry standard public key infrastructure (PKI) implementations help provide authentication, signing, and encryption.

Mellett a Windows server és a hálózati infrastruktúra által biztosított biztonság a Configuration Manager a Configuration Manager konzol és többféle módon erőforrásainak elérését szabályozza.In addition to security provided by the Windows server and network infrastructure, Configuration Manager controls access to the Configuration Manager console and its resources in several ways. Alapértelmezés szerint csak a helyi rendszergazdák a jogosultságokat a fájlok és beállításkulcsok, amelyek szükségesek a Configuration Manager konzol futtasson azokon a számítógépeken, amelyeken telepítve van.By default, only local administrators have rights to the files and registry keys that are required to run the Configuration Manager console on computers where it is installed.

A biztonság következő rétege a Windows Management Instrumentation (WMI) általi, konkrétan az SMS Provider általi hozzáférésen alapszik.The next layer of security is based on access through Windows Management Instrumentation (WMI), specifically the SMS Provider. Az SMS-szolgáltató része a Configuration Manager, amely hozzáférést biztosít egy felhasználói információ a Helyadatbázis lekérdezéséhez.The SMS Provider is a Configuration Manager component that grants a user access to query the site database for information. Alapértelmezés szerint a Providert a helyi SMS rendszergazdák csoport tagjai érik el.By default, access to the provider is restricted to members of the local SMS Admins group. Ebbe a csoportba először a Configuration Manager telepítő felhasználói tartalmazza.This group at first contains only the user who installed Configuration Manager. Az SMS rendszergazdák csoportjába más fiókokat is fel kell venni, hogy fiókengedélyeket lehessen adni az általános információmodell (CIM) adattárára és az SMS Provider szolgáltatásaira.To grant other accounts permission to the Common Information Model (CIM) repository and the SMS Provider, add the other accounts to the SMS Admins group.

A biztonság utolsó rétege a helyadatbázisban lévő objektumokra vonatkozó engedélyeken alapszik.The final layer of security is based on permissions to objects in the site database. Alapértelmezés szerint a helyi rendszerfiók és a Configuration Manager telepítéséhez használt felhasználói fiók felügyelheti a helyadatbázisban található összes objektumot.By default, the Local System account and the user account that you used to install Configuration Manager can administer all objects in the site database. Adja meg, és a Configuration Manager konzolon a további rendszergazda felhasználóknak engedélyeket korlátozhatja a szerepkör alapú felügyelet használatával.You can grant and restrict permissions to additional administrative users in the Configuration Manager console by using role-based administration.

Szerepköralapú adminisztrációRole-based administration

A Configuration Manager szerepköralapú Adminisztráció használatával objektumok védelméhez, például gyűjtemények, központi telepítések és helyek.Configuration Manager uses role-based administration to help secure objects like collections, deployments, and sites. Ez a felügyeleti modell központilag határozza meg, és a teljes hierarchiára kiterjedően kezeli a biztonsági hozzáférési beállításokat minden hely és helybeállítás részére.This administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings. Biztonsági szerepkörök hozzárendelt rendszergazda felhasználók és a biztonságicsoport-engedélyeit.Security roles are assigned to administrative users and group permissions. Az engedélyek másik Configuration Manager objektum típusok, pl. az engedélyeket, hozzon létre vagy módosítsa az ügyfélbeállítások segítségével csatlakozik.The permissions are connected to different Configuration Manager object types, like the permissions that are used to create or change client settings. Biztonsági hatókörök csoportja az objektumok, amelyek egy rendszergazda felhasználó felelős kezelésére, mint egy alkalmazás, amely telepíti a Microsoft Office adott példányai.Security scopes group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft Office. Biztonsági szerepkörök, biztonsági hatókörök és gyűjtemények kombinációja határozza meg az objektumokat, a rendszergazda megtekintheti és kezelheti.The combination of security roles, security scopes, and collections define the objects that an administrative user can view and manage. A Configuration Manager telepít néhány alapértelmezett biztonsági szerepkört a tipikus felügyeleti feladatokhoz.Configuration Manager installs some default security roles for typical management tasks. De saját speciális üzleti igényeinek támogatásához saját biztonsági szerepköröket is létrehozhat.But, you can create your own security roles to support your specific business requirements.

További információkért lásd: szerepkör alapú felügyelet a System Center Configuration Manager konfigurálása.For more information, see Configure role-based administration for System Center Configuration Manager.

Ügyfél-végpontok védelmeSecuring client endpoints

Ügyfél-kommunikációt a helyrendszer-szerepkörök vagy önaláírt tanúsítványok használatával, vagy a PKI-tanúsítványok védelmét.Client communication to site system roles is secured by using either self-signed certificates, or by using PKI certificates. Szüksége lesz egy PKI-ügyféltanúsítványt használjanak, a számítógépre telepített ügyfelekre, amelyek a Configuration Manager az interneten lévőnek észlel, és a mobileszközök ügyfelei számára.You'll need to use a PKI certificate for computer clients that Configuration Manager detects to be on the Internet, and for mobile device clients. A PKI-tanúsítványt az ügyfél-végpontok biztonságos HTTPS PROTOKOLLT használ.The PKI certificate uses HTTPS to secure the client endpoints. Azok a helyrendszerszerepkörök, amelyekhez az ügyfelek csatlakoznak konfigurálhatók vagy a HTTPS vagy a HTTP protokollos ügyfélkommunikációra.The site system roles that clients connect to can be configured for either HTTPS or HTTP client communication. Ügyfélszámítógépek mindig a rendelkezésre álló legbiztonságosabb mód használatával kommunikálnak.Client computers always communicate by using the most secure method that is available. Ügyfélszámítógépek csak visszatér a kevésbé biztonságos kommunikálási mód használatával az intraneten, ha azok a helyrendszerszerepkörök, amelyek lehetővé teszik a HTTP-kommunikációt.Client computers only fall back to using the less secure communication method of HTTP on the intranet if you have site systems roles that allow HTTP communication.

További információkért lásd: titkosítási funkcióihoz technikai útmutató a System Center Configuration Manager.For more information, see Cryptographic controls technical reference for System Center Configuration Manager.

A Configuration Manager fiókjai és csoportjaiConfiguration Manager accounts and groups

Configuration Manager a legtöbb helyművelethez a helyi rendszerfiókot használja.Configuration Manager uses the Local System account for most site operations. Egyes felügyeleti feladatok megkövetelheti további fiókok létrehozásához és kezeléséhez.Some management tasks might require you to create and maintain additional accounts. Több alapértelmezett csoport és SQL-kiszolgálói szerepkör telepítése során jönnek létre.Several default groups and SQL Server roles are created during setup. Előfordulhat, hogy manuálisan számítógépi vagy felhasználói fiókok hozzáadása az alapértelmezett csoportokat és az SQL Server-szerepkört.You might have to manually add computer or user accounts to the default groups and SQL Server roles.

További információk: A System Center Configuration Managerben használt fiókok.For more information, see Accounts used in System Center Configuration Manager.

Személyes adatok védelmePrivacy

Bár a vállalatfelügyeleti termékek sok előnyt kínálnak, mivel a felhasználók tömegeit kezelhetik hatékonyan, arra is kell vigyázni, hogy ennek a szoftvernek milyen hatása lehet a szervezeten belüli felhasználók személyes adatainak biztonságára.Although enterprise management products offer many advantages because they can effectively manage lots of clients, you must also be aware of how this software might affect the privacy of users in your organization. A System Center Configuration Manager az adatok gyűjtéséhez és az eszközök figyeléséhez számos eszközt tartalmaz.System Center Configuration Manager includes many tools to collect data and monitor devices. Egyes eszközök előfordulhat, hogy adatvédelmi aggályokat vethet.Some tools might raise privacy concerns.

Ha például a Configuration Manager-ügyfél telepítésekor számos felügyeleti beállítás alapértelmezés szerint engedélyezettek.For example, when you install the Configuration Manager client, many management settings are enabled by default. Ez azt eredményezi, hogy a kliens szoftver az adatok küldése a Configuration Manager-hely.This causes the client software to send information to the Configuration Manager site. A Configuration Manager-adatbázisban tárolja az ügyféladatokat, és az adatokat a Microsoftnak nem küldi el.Client information is stored in the Configuration Manager database, and the information is not sent to Microsoft. System Center Configuration Manager megvalósítása, előtt vegye figyelembe az adatvédelmi követelményeit.Before you implement System Center Configuration Manager, consider your privacy requirements.