A kriptográfiai vezérlők technikai referenciája

A következőre vonatkozik: Configuration Manager (aktuális ág)

Configuration Manager aláírással és titkosítással védi a Configuration Manager hierarchiában lévő eszközök felügyeletét. Az aláírással, ha az adatok módosultak az átvitel során, a rendszer elveti azokat. A titkosítás segít megakadályozni, hogy a támadók hálózati protokollelemző használatával olvassák be az adatokat.

Az aláíráshoz Configuration Manager elsődleges kivonatoló algoritmus az SHA-256. Amikor két Configuration Manager webhely kommunikál egymással, aláírják a kommunikációjukat az SHA-256-tal.

A 2107-es verziótól kezdődően a Configuration Manager által használt elsődleges titkosítási algoritmus az AES-256. A titkosítás főként a következő két területen történik:

• Ha engedélyezi a hely számára a titkosítás használatát, az ügyfél titkosítja a felügyeleti pontnak küldött leltáradatokat és állapotüzeneteket.

• Amikor az ügyfél titkos szabályzatokat tölt le, a felügyeleti pont mindig titkosítja ezeket a szabályzatokat. Például egy operációsrendszer-telepítési feladatütemezés, amely jelszavakat tartalmaz.

A 2103-es és korábbi verziójú ügyfelek esetében az elsődleges titkosítási algoritmus a 3DES.

Megjegyzés:

Ha HTTPS-kommunikációt konfigurál, ezek az üzenetek kétszer lesznek titkosítva. Az üzenet AES-sel van titkosítva, majd a HTTPS-átvitel az AES-sel van titkosítva.

Ha HTTPS-en keresztüli ügyfél-kommunikációt használ, konfigurálja a nyilvános kulcsú infrastruktúrát (PKI) úgy, hogy a maximális kivonatolási algoritmusokkal és kulcshosszúságokkal rendelkező tanúsítványokat használjon. CNG v3-tanúsítványok használatakor Configuration Manager-ügyfelek csak az RSA titkosítási algoritmust használó tanúsítványokat támogatják. További információ: PKI-tanúsítványkövetelmények és CNG v3-tanúsítványok áttekintése.

Az átviteli biztonság érdekében a TLS-t használó minden támogatja az AES-t. Ez a támogatás magában foglalja a webhely továbbfejlesztett HTTP - vagy HTTPS-konfigurálását is. Helyszíni helyrendszerek esetén a TLS-titkosítócsomagok szabályozhatók. A felhőalapú szerepkörök, például a felhőfelügyeleti átjáró (CMG) esetében, ha engedélyezi a TLS 1.2-t, Configuration Manager konfigurálja a titkosítócsomagokat.

A Windows-alapú operációs rendszerekkel végzett legtöbb titkosítási művelethez Configuration Manager ezeket az algoritmusokat használja a Windows CryptoAPI kódtár rsaenh.dll.

Az egyes funkciókkal kapcsolatos további információkért lásd: Webhelyműveletek.

Helyműveletek

A Configuration Manager adatai aláírhatók és titkosíthatók. Támogatja ezeket a műveleteket PKI-tanúsítványokkal vagy anélkül.

Szabályzat aláírása és titkosítása

A hely aláírja az ügyfélházirend-hozzárendeléseket az önaláírt tanúsítvánnyal. Ez a viselkedés segít megakadályozni, hogy a feltört felügyeleti pont illetéktelenül módosított szabályzatokat küldjön. Ha internetalapú ügyfélfelügyeletet használ, ez a viselkedés azért fontos, mert internetkapcsolattal rendelkező felügyeleti pontot igényel.

Ha a szabályzat bizalmas adatokat tartalmaz, a 2107-es verziótól kezdve a felügyeleti pont az AES-256-tal titkosítja azokat. A 2103-es és korábbi verziókban a 3DES-t használja. A bizalmas adatokat tartalmazó szabályzatot a rendszer csak a jogosult ügyfeleknek küldi el. A webhely nem titkosítja azokat a házirendeket, amelyek nem rendelkeznek bizalmas adatokkal.

Amikor egy ügyfél házirendet tárol, a Windows adatvédelmi alkalmazás programozási felületével (DPAPI) titkosítja a szabályzatot.

Szabályzatkivonatolás

Amikor egy ügyfél szabályzatot kér, először szabályzat-hozzárendelést kap. Ezután tudja, hogy mely szabályzatok vonatkoznak rá, és csak ezeket a szabályzattestületeket kérheti. Minden szabályzat-hozzárendelés tartalmazza a megfelelő szabályzattörzs számított kivonatát. Az ügyfél letölti a vonatkozó szabályzattörzseket, majd kiszámítja az egyes szabályzattörzsek kivonatát. Ha a szabályzattörzs kivonata nem egyezik a szabályzat-hozzárendelés kivonatával, az ügyfél elveti a szabályzat törzsét.

A szabályzat kivonatolási algoritmusa SHA-256.

Tartalomkivonatolás

A helykiszolgáló disztribúciókezelő szolgáltatása minden csomag tartalomfájljait kivonatként tartalmazza. A szabályzatszolgáltató tartalmazza a kivonatot a szoftverterjesztési házirendben. Amikor az Configuration Manager-ügyfél letölti a tartalmat, az ügyfél helyileg újragenerálja a kivonatot, és összehasonlítja a szabályzatban megadottval. Ha a kivonatok egyeznek, a tartalom nem módosul, és az ügyfél telepíti azt. Ha a tartalom egyetlen bájtja módosul, a kivonatok nem egyeznek, és az ügyfél nem telepíti a szoftvert. Ez az ellenőrzés segít meggyőződni arról, hogy a megfelelő szoftver van telepítve, mert a tényleges tartalom össze van hasonlítva a szabályzattal.

A tartalom alapértelmezett kivonatolási algoritmusa az SHA-256.

Nem minden eszköz támogatja a tartalomkivonatolást. A kivételek közé tartoznak a következők:

• Windows-ügyfelek, amikor App-V-tartalmat streamelnek.

• Windows Mobile-ügyfelek, bár ezek az ügyfelek ellenőrzik egy megbízható forrás által aláírt alkalmazás aláírását.

Leltár aláírása és titkosítása

Amikor egy ügyfél hardver- vagy szoftverleltárt küld egy felügyeleti pontnak, az mindig aláírja a leltárt. Nem számít, hogy az ügyfél HTTP vagy HTTPS protokollon keresztül kommunikál-e a felügyeleti ponttal. Ha HTTP-t használnak, az adatok titkosítását is választhatja, ami ajánlott.

Állapotmigrálás titkosítása

Amikor egy feladatütemezés adatokat rögzít egy ügyfélről az operációs rendszer üzembe helyezéséhez, az mindig titkosítja az adatokat. A 2103-es és újabb verziókban a feladatütemezés az AES-256 titkosítási algoritmussal futtatja a User State Migration Tool (USMT) eszközt. A 2010-es és korábbi verziókban a 3DES-t használja.

Csoportos küldésű csomagok titkosítása

A csoportos küldés használatakor minden operációsrendszer-telepítési csomag esetében engedélyezheti a titkosítást. Ez a titkosítás az AES-algoritmust használja. Ha engedélyezi a titkosítást, nincs szükség más tanúsítványkonfigurációra. A csoportos küldésre képes terjesztési pont automatikusan szimmetrikus kulcsokat hoz létre a csomag titkosításához. Minden csomag más titkosítási kulccsal rendelkezik. A kulcs tárolása a csoportos küldésre képes terjesztési ponton történik standard Windows API-k használatával.

Amikor az ügyfél csatlakozik a csoportos küldési munkamenethez, a kulcscsere titkosított csatornán keresztül történik. Ha az ügyfél HTTPS-t használ, a PKI által kiadott ügyfél-hitelesítési tanúsítványt használja. Ha az ügyfél HTTP-t használ, az önaláírt tanúsítványt használja. Az ügyfél csak a memóriában tárolja a titkosítási kulcsot a csoportos küldési munkamenet során.

Operációs rendszer központi telepítési adathordozójának titkosítása

Amikor adathordozót használ az operációs rendszerek központi telepítéséhez, mindig meg kell adnia egy jelszót az adathordozó védelméhez. Jelszóval a feladatütemezési környezeti változók az AES-128 titkosításával vannak titkosítva. A média egyéb adatai, beleértve a csomagokat és az alkalmazások tartalmát, nincsenek titkosítva.

Titkosítás felhőalapú tartalomhoz

Ha engedélyezi egy felhőfelügyeleti átjáró (CMG) számára a tartalmak tárolását, a tartalom titkosítása az AES-256-tal történik. A tartalom minden frissítéskor titkosítva lesz. Amikor az ügyfelek letöltik a tartalmat, a HTTPS-kapcsolat titkosítja és védi.

Szoftverfrissítések bejelentkezése

Az illetéktelen módosítás elleni védelem érdekében minden szoftverfrissítést megbízható közzétevőnek kell aláírnia. Az ügyfélszámítógépeken a Windows Update-ügynök (WUA) ellenőrzi a katalógusból származó frissítéseket. Nem telepíti a frissítést, ha nem találja a digitális tanúsítványt a megbízható közzétevők tárolójában a helyi számítógépen.

Amikor szoftverfrissítéseket tesz közzé a System Center Frissítések Publisherrel, egy digitális tanúsítvány aláírja a szoftverfrissítéseket. Megadhat egy PKI-tanúsítványt, vagy konfigurálhatja Frissítések Publishert, hogy önaláírt tanúsítványt hozzon létre a szoftverfrissítés aláírásához. Ha önaláírt tanúsítványt használ a frissítési katalógus közzétételéhez, például a WSUS-közzétevők önaláírtként, a tanúsítványnak a helyi számítógépen található megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolójában is meg kell lennie. A WUA azt is ellenőrzi, hogy engedélyezve van-e az intranetes Microsoft Update szolgáltatás helyének engedélyezése csoportházirend-beállítás a helyi számítógépen. Ezt a házirend-beállítást engedélyezni kell a WUA számára a System Center Frissítések Publisherrel létrehozott és közzétett frissítések kereséséhez.

Aláírt konfigurációs adatok a megfelelőségi beállításokhoz

Konfigurációs adatok importálásakor Configuration Manager ellenőrzi a fájl digitális aláírását. Ha a fájlok nincsenek aláírva, vagy ha az aláírás ellenőrzése sikertelen, a konzol figyelmezteti, hogy folytassa az importálást. Csak akkor importálja a konfigurációs adatokat, ha kifejezetten megbízik a közzétevőben és a fájlok integritásában.

Titkosítás és kivonatolás az ügyfélértesítésekhez

Ha ügyfélértesítést használ, minden kommunikáció TLS-t és a kiszolgáló és az ügyfél által egyeztethető legmagasabb szintű algoritmusokat használja. Például minden támogatott Windows operációsrendszer-verzió használhat legalább AES-128 titkosítást. Ugyanez az egyeztetés történik az ügyfélértesítés során átvitt csomagok kivonatolásához, amely SHA-2-t használ.

Tanúsítványok

Az Configuration Manager által használható nyilvános kulcsú infrastruktúra- (PKI-) tanúsítványok listáját, a speciális követelményeket és korlátozásokat, valamint a tanúsítványok használatát lásd: PKI-tanúsítványkövetelmények. Ez a lista tartalmazza a támogatott kivonatoló algoritmusokat és a kulcshosszokat. A legtöbb tanúsítvány támogatja az SHA-256 és a 2048 bites kulcshosszt.

A tanúsítványokat használó legtöbb Configuration Manager művelet támogatja a v3-tanúsítványokat is. További információ: CNG v3-tanúsítványok áttekintése.

Megjegyzés:

Minden olyan tanúsítványnak, amelyet Configuration Manager használ, csak egy bájt karaktert kell tartalmaznia a tulajdonos vagy a tulajdonos alternatív neve között.

Configuration Manager PKI-tanúsítványokat igényel a következő esetekben:

• Ha Configuration Manager-ügyfeleket kezel az interneten

• Ha mobileszközökön kezeli Configuration Manager-ügyfeleket

• MacOS rendszerű számítógépek kezelésekor

• Felhőfelügyeleti átjáró (CMG) használata esetén

A hitelesítéshez, aláíráshoz vagy titkosításhoz tanúsítványokat igénylő legtöbb egyéb kommunikáció esetén Configuration Manager automatikusan PKI-tanúsítványokat használ, ha vannak ilyenek. Ha nem érhetők el, Configuration Manager önaláírt tanúsítványokat hoz létre.

Configuration Manager nem használ PKI-tanúsítványokat, ha mobileszközöket kezel a Exchange Server-összekötő használatával.

Mobileszköz-kezelés és PKI-tanúsítványok

Ha a mobileszközt nem zárolja a mobilszolgáltató, a Configuration Manager használatával igényelhet és telepíthet ügyféltanúsítványt. Ez a tanúsítvány kölcsönös hitelesítést biztosít a mobileszközön lévő ügyfél és Configuration Manager helyrendszerek között. Ha a mobileszköz zárolva van, nem használhatja a Configuration Manager a tanúsítványok üzembe helyezéséhez.

Ha engedélyezi a hardverleltárat a mobileszközökhöz, Configuration Manager a mobileszközre telepített tanúsítványokat is leltározza.

Operációs rendszer üzembe helyezése és PKI-tanúsítványok

Ha Configuration Manager használ operációs rendszerek központi telepítéséhez, és a felügyeleti pontok HTTPS-ügyfélkapcsolatokat igényelnek, az ügyfélnek tanúsítványra van szüksége a felügyeleti ponttal való kommunikációhoz. Ez a követelmény akkor is igaz, ha az ügyfél átmeneti fázisban van, például feladatütemezési adathordozóról vagy PXE-kompatibilis terjesztési pontról indul. A forgatókönyv támogatásához hozzon létre egy PKI ügyfél-hitelesítési tanúsítványt, és exportálja azt a titkos kulccsal. Ezután importálja a helykiszolgáló tulajdonságaiba, és adja hozzá a felügyeleti pont megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványát is.

Ha rendszerindító adathordozót hoz létre, importálja az ügyfél-hitelesítési tanúsítványt a rendszerindító adathordozó létrehozásakor. A feladatütemezésben konfigurált titkos kulcs és egyéb bizalmas adatok védelme érdekében konfiguráljon jelszót a rendszerindító adathordozón. Minden olyan számítógép, amely a rendszerindító adathordozóról indul, ugyanazt a tanúsítványt használja a felügyeleti ponttal, mint az ügyfélfunkciókhoz, például az ügyfélházirend kéréséhez.

Ha PXE-t használ, importálja az ügyfél-hitelesítési tanúsítványt a PXE-kompatibilis terjesztési pontra. Ugyanazt a tanúsítványt használja minden olyan ügyfélhez, amely az adott PXE-kompatibilis terjesztési pontról indul. A titkos kulcs és a feladatütemezések egyéb bizalmas adatainak védelméhez jelszó szükséges a PXE-hez.

Ha ezen ügyfél-hitelesítési tanúsítványok bármelyike sérült, tiltsa le a tanúsítványokat az Adminisztráció munkaterület Biztonság csomópontjának Tanúsítványok csomópontjában. A tanúsítványok kezeléséhez az operációs rendszer központi telepítési tanúsítványának kezeléséhez szükséges engedély szükséges.

Miután Configuration Manager telepítette az operációs rendszert, az ügyfélnek saját PKI-ügyfélhitelesítő tanúsítványra van szüksége a HTTPS-ügyfélkommunikációhoz.

ISV-proxymegoldások és PKI-tanúsítványok

A független szoftverszállítók (ISV-k) olyan alkalmazásokat hozhatnak létre, amelyek kibővítik Configuration Manager. Egy független szoftverszállító például létrehozhat bővítményeket a nem Windows rendszerű ügyfélplatformok, például a macOS támogatására. Ha azonban a helyrendszerek HTTPS-ügyfélkapcsolatokat igényelnek, ezeknek az ügyfeleknek PKI-tanúsítványokat is használniuk kell a helyekkel való kommunikációhoz. Configuration Manager magában foglalja azt a képességet, hogy tanúsítványt rendeljen az ISV-proxyhoz, amely lehetővé teszi az ISV-proxyügyfelek és a felügyeleti pont közötti kommunikációt. Ha ISV-proxytanúsítványokat igénylő bővítményeket használ, tekintse meg az adott termék dokumentációját.

Ha az ISV-tanúsítvány biztonsága sérült, tiltsa le a tanúsítványt a Felügyelet munkaterület Biztonság csomópontjának Tanúsítványok csomópontjában.

ISV-proxytanúsítvány GUID-jának másolása

A 2111-es verziótól kezdődően az ISV-proxytanúsítványok kezelésének egyszerűsítése érdekében a guid azonosítóját átmásolhatja a Configuration Manager konzolon.

1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre.

2. Bontsa ki a Biztonság csomópontot, és válassza a Tanúsítványok csomópontot .

3. Rendezze a tanúsítványok listáját a Típus oszlop szerint.

4. Válasszon ki egy ISV-proxy típusú tanúsítványt.

5. A menüszalagon válassza a Tanúsítvány GUID-jának másolása lehetőséget.

Ez a művelet a tanúsítvány GUID azonosítóját másolja, például: aa05bf38-5cd6-43ea-ac61-ab101f943987

Eszközintelligencia és tanúsítványok

Configuration Manager egy X.509-tanúsítvánnyal telepíti, amelyet az Eszközintelligencia szinkronizálási pontja a Microsofthoz való csatlakozáshoz használ. Configuration Manager ezzel a tanúsítvánnyal kér ügyfél-hitelesítési tanúsítványt a Microsoft tanúsítványszolgáltatástól. Az ügyfél-hitelesítési tanúsítvány az Eszközintelligencia szinkronizálási pontjára van telepítve, és a kiszolgáló Microsoft felé történő hitelesítésére szolgál. Configuration Manager az ügyfél-hitelesítési tanúsítványt használja az Eszközintelligencia-katalógus letöltéséhez és a szoftvercímek feltöltéséhez.

Ez a tanúsítvány kulcshossza 1024 bit.

Azure-szolgáltatások és -tanúsítványok

A felhőfelügyeleti átjáróhoz (CMG) kiszolgálói hitelesítési tanúsítványokra van szükség. Ezek a tanúsítványok lehetővé teszik, hogy a szolgáltatás HTTPS-kommunikációt biztosítson az ügyfelekkel az interneten keresztül. További információ: CMG-kiszolgáló hitelesítési tanúsítványa.

Az ügyfeleknek más típusú hitelesítésre van szükségük a CMG-vel és a helyszíni felügyeleti ponttal való kommunikációhoz. Használhatnak Microsoft Entra azonosítót, PKI-tanúsítványt vagy helytokent. További információ: Ügyfél-hitelesítés konfigurálása a felhőfelügyeleti átjáróhoz.

Az ügyfeleknek nincs szükségük PKI-ügyféltanúsítványra a felhőalapú tárolás használatához. Miután hitelesítést végzett a felügyeleti ponton, a felügyeleti pont kiad egy Configuration Manager hozzáférési jogkivonatot az ügyfélnek. Az ügyfél bemutatja ezt a jogkivonatot a CMG-nek a tartalom eléréséhez. A jogkivonat nyolc órán át érvényes.

CRL-ellenőrzés PKI-tanúsítványokhoz

A PKI-tanúsítványok visszavonási listája (CRL) növeli az általános biztonságot, de némi adminisztrációs és feldolgozási többletterhelést igényel. Ha engedélyezi a CRL-ellenőrzést, de az ügyfelek nem férnek hozzá a CRL-hez, a PKI-kapcsolat meghiúsul.

Az IIS alapértelmezés szerint engedélyezi a CRL-ellenőrzést. Ha CRL-t használ a PKI üzemelő példányával, nem kell konfigurálnia az IIS-t futtató legtöbb helyrendszert. Kivételt képeznek a szoftverfrissítések, amelyhez manuális lépés szükséges a CRL-ellenőrzés engedélyezéséhez a szoftverfrissítési fájlok aláírásainak ellenőrzéséhez.

Amikor egy ügyfél HTTPS-t használ, alapértelmezés szerint engedélyezi a CRL-ellenőrzést. MacOS-ügyfelek esetén a CRL-ellenőrzés nem tiltható le.

A következő kapcsolatok nem támogatják a CRL-bejelentkezést Configuration Manager:

• Kiszolgálók közötti kapcsolatok

• A Configuration Manager által regisztrált mobileszközök.

Kiszolgálói kommunikáció

Configuration Manager a következő titkosítási vezérlőket használja a kiszolgálói kommunikációhoz.

Kiszolgálói kommunikáció egy helyen belül

Minden helyrendszer-kiszolgáló tanúsítványt használ az adatok átviteléhez ugyanazon Configuration Manager hely más helyrendszereiben. Egyes helyrendszerszerepkörök tanúsítványokat is használnak a hitelesítéshez. Ha például a beléptetési proxypontot az egyik kiszolgálóra telepíti, a beléptetési pontot pedig egy másik kiszolgálóra, akkor ezzel az identitástanúsítvánnyal hitelesíthetik egymást.

Ha Configuration Manager tanúsítványt használ ehhez a kommunikációhoz, ha elérhető egy PKI-tanúsítvány a kiszolgálóhitelesítési képességgel, Configuration Manager automatikusan azt használja. Ha nem, Configuration Manager létrehoz egy önaláírt tanúsítványt. Ez az önaláírt tanúsítvány kiszolgálóhitelesítési képességgel rendelkezik, SHA-256-ot használ, és kulcshossza 2048 bit. Configuration Manager átmásolja a tanúsítványt a megbízható Kapcsolatok tárolóba más helyrendszer-kiszolgálókon, amelyeknek megbízhatónak kell minősítenie a helyrendszert. A helyrendszerek ezután megbízhatnak egymásban ezekkel a tanúsítványokkal és a PeerTrust szolgáltatással.

Az egyes helyrendszer-kiszolgálókhoz tartozó tanúsítvány mellett a Configuration Manager a legtöbb helyrendszerszerepkörhöz létrehoz egy önaláírt tanúsítványt. Ha a helyrendszerszerepkörnek több példánya is van ugyanazon a helyen, akkor ugyanazt a tanúsítványt használják. Előfordulhat például, hogy ugyanazon a helyen több felügyeleti pont is található. Ez az önaláírt tanúsítvány SHA-256-ot használ, és kulcshossza 2048 bit. A rendszer átmásolja a megbízható Kapcsolatok tárolóba olyan helyrendszer-kiszolgálókon, amelyeknek megbízhatónak kell minősítenie. A következő helyrendszerszerepkörök állítják elő ezt a tanúsítványt:

• Eszközintelligencia szinkronizálási pontja

• Tanúsítványregisztrációs pont

• Endpoint Protection-pont

• Regisztrációs pont

• Tartalék állapotkezelő pont

• Felügyeleti pont

• Csoportos küldésre képes terjesztési pont

• Jelentéskészítési szolgáltatási pont

• Szoftverfrissítési pont

• Állapotáttelepítési pont

Configuration Manager automatikusan létrehozza és kezeli ezeket a tanúsítványokat.

Ha állapotüzeneteket szeretne küldeni a terjesztési pontról a felügyeleti pontra, Configuration Manager ügyfél-hitelesítési tanúsítványt használ. A HTTPS felügyeleti pontjának konfigurálásakor PKI-tanúsítványra van szükség. Ha a felügyeleti pont HTTP-kapcsolatokat fogad el, használhat PKI-tanúsítványt. Önaláírt tanúsítványt is használhat ügyfél-hitelesítési képességgel, SHA-256-ot használ, és 2048 bites kulcshosszúságú.

Kiszolgálók közötti kommunikáció a helyek között

Configuration Manager adatbázis-replikációval és fájlalapú replikációval továbbítja az adatokat a helyek között. További információ: Helyek közötti adatátvitel és végpontok közötti kommunikáció.

Configuration Manager automatikusan konfigurálja a helyek közötti adatbázis-replikációt. Ha elérhető, kiszolgálóhitelesítési képességgel rendelkező PKI-tanúsítványokat használ. Ha nem érhető el, Configuration Manager önaláírt tanúsítványokat hoz létre a kiszolgálóhitelesítéshez. Mindkét esetben a társmegbízhatóságot használó megbízható Kapcsolatok tároló tanúsítványainak használatával végzi a hitelesítést a helyek között. Ezt a tanúsítványtárolót használja annak biztosításához, hogy csak a Configuration Manager hierarchia SQL Serverei vegyenek részt a helyek közötti replikációban.

A helykiszolgálók egy automatikusan végbemehet biztonságos kulcscsere használatával létesítik a helyek közötti kommunikációt. A küldő helykiszolgáló létrehoz egy kivonatot, és aláírja a titkos kulccsal. A fogadó helykiszolgáló a nyilvános kulccsal ellenőrzi az aláírást, és összehasonlítja a kivonatot egy helyileg létrehozott értékkel. Ha megegyeznek, a fogadó hely elfogadja a replikált adatokat. Ha az értékek nem egyeznek, Configuration Manager elutasítja a replikációs adatokat.

A Configuration Manager adatbázis-replikációja a SQL Server Service Broker használatával továbbítja az adatokat a helyek között. A következő mechanizmusokat használja:

• SQL Server SQL Server: Ez a kapcsolat Windows-hitelesítő adatokat használ a kiszolgálóhitelesítéshez és az önaláírt tanúsítványokhoz 1024 bittel az adatok aláírásához és titkosításához az AES-algoritmussal. Ha elérhető, kiszolgálóhitelesítési képességgel rendelkező PKI-tanúsítványokat használ. Csak a számítógép Személyes tanúsítványtárolójában található tanúsítványokat használja.

• SQL Service Broker: Ez a szolgáltatás 2048 bites önaláírt tanúsítványokat használ a hitelesítéshez, valamint az adatok aláírásához és titkosításához az AES-algoritmussal. Csak a SQL Server master adatbázisban található tanúsítványokat használja.

A fájlalapú replikáció a kiszolgálói üzenetblokk (SMB) protokollt használja. Sha-256 használatával ír alá olyan adatokat, amelyek nincsenek titkosítva, és nem tartalmaznak bizalmas adatokat. Az adatok titkosításához használja az IPsec protokollt, amelyet a Configuration Manager függetlenül implementál.

HTTPS-t használó ügyfelek

Ha a helyrendszerszerepkörök elfogadják az ügyfélkapcsolatokat, konfigurálhatja őket HTTPS- és HTTP-kapcsolatok, vagy csak HTTPS-kapcsolatok fogadására. Az internetes kapcsolatokat fogadó helyrendszerszerepkörök csak HTTPS-en keresztül fogadják el az ügyfélkapcsolatokat.

A HTTPS-en keresztüli ügyfélkapcsolatok magasabb szintű biztonságot nyújtanak azáltal, hogy integrálva van egy nyilvános kulcsú infrastruktúrával (PKI) az ügyfelek és a kiszolgálók közötti kommunikáció védelme érdekében. A HTTPS-ügyfélkapcsolatok konfigurálása azonban a PKI tervezésének, üzembe helyezésének és műveleteinek alapos ismerete nélkül is sebezhetővé teheti. Ha például nem védi a legfelső szintű hitelesítésszolgáltatót (CA), a támadók veszélyeztethetik a teljes PKI-infrastruktúra bizalmát. A PKI-tanúsítványok szabályozott és biztonságos folyamatok használatával történő telepítésének és kezelésének elmulasztása olyan nem felügyelt ügyfeleket eredményezhet, amelyek nem tudják fogadni a kritikus fontosságú szoftverfrissítéseket vagy csomagokat.

Fontos

Az ügyfélkommunikációhoz Configuration Manager PKI-tanúsítványok csak az ügyfél és egyes helyrendszerek közötti kommunikációt védik. Nem védik a helykiszolgáló és a helyrendszerek, illetve a helykiszolgálók közötti kommunikációs csatornát.

Titkosítatlan kommunikáció HTTPS használata esetén

Amikor az ügyfelek HTTPS-en keresztül kommunikálnak a helyrendszerekkel, a legtöbb forgalom titkosítva lesz. A következő helyzetekben az ügyfelek titkosítás nélkül kommunikálnak a helyrendszerekkel:

• Az ügyfél nem tud HTTPS-kapcsolatot létesíteni az intraneten, és visszaesik a HTTP használatára, ha a helyrendszerek engedélyezik ezt a konfigurációt.

• Kommunikáció a következő helyrendszerszerepkörökhöz:

  • Az ügyfél állapotüzeneteket küld a tartalék állapotkezelő pontnak.

  • Az ügyfél PXE-kéréseket küld egy PXE-kompatibilis terjesztési pontra.

  • Az ügyfél értesítési adatokat küld egy felügyeleti pontnak.

A jelentéskészítési szolgáltatási pontokat úgy konfigurálja, hogy az ügyfélkommunikációs módtól függetlenül HASZNÁLJON HTTP-t vagy HTTPS-t.

HTTP-t használó ügyfelek

Ha az ügyfelek HTTP-kommunikációt használnak a helyrendszerszerepkörökkel, PKI-tanúsítványokat használhatnak az ügyfél-hitelesítéshez, vagy Configuration Manager által létrehozott önaláírt tanúsítványokat. Amikor Configuration Manager önaláírt tanúsítványokat hoz létre, egyéni objektumazonosítóval rendelkeznek az aláíráshoz és a titkosításhoz. Ezek a tanúsítványok az ügyfél egyedi azonosítására szolgálnak. Ezek az önaláírt tanúsítványok SHA-256-ot használnak, és 2048 bites kulcshosszsal rendelkeznek.

Operációs rendszer üzembe helyezése és önaláírt tanúsítványok

Ha a Configuration Manager használatával önaláírt tanúsítványokkal rendelkező operációs rendszereket telepít, az ügyfélnek rendelkeznie kell tanúsítvánnyal a felügyeleti ponttal való kommunikációhoz. Ez a követelmény akkor is fennáll, ha a számítógép átmeneti fázisban van, például feladatütemezési adathordozóról vagy PXE-kompatibilis terjesztési pontról indul. A HTTP-ügyfélkapcsolatok forgatókönyvének támogatásához Configuration Manager önaláírt tanúsítványokat hoz létre, amelyek egyéni objektumazonosítóval rendelkeznek az aláíráshoz és a titkosításhoz. Ezek a tanúsítványok az ügyfél egyedi azonosítására szolgálnak. Ezek az önaláírt tanúsítványok SHA-256-ot használnak, és 2048 bites kulcshosszsal rendelkeznek. Ha ezek az önaláírt tanúsítványok biztonsága sérül, a támadók nem használhatják őket megbízható ügyfelek megszemélyesítésére. Tiltsa le a tanúsítványokat a Tanúsítványok csomópontban az Adminisztráció munkaterület Biztonság csomópontjában.

Ügyfél- és kiszolgálóhitelesítés

Amikor az ügyfelek HTTP-kapcsolaton keresztül csatlakoznak, a felügyeleti pontokat Active Directory tartományi szolgáltatások vagy a Configuration Manager megbízható legfelső szintű kulcs használatával hitelesítik. Az ügyfelek nem hitelesítik a helyrendszerszerepköröket, például az állapotáttelepítési pontokat vagy a szoftverfrissítési pontokat.

Amikor egy felügyeleti pont először hitelesíti az ügyfelet az önaláírt ügyféltanúsítvánnyal, ez a mechanizmus minimális biztonságot nyújt, mivel bármely számítógép létrehozhat önaláírt tanúsítványt. A folyamat továbbfejlesztéséhez használja az ügyfél-jóváhagyást. Csak megbízható számítógépeket hagyhat jóvá automatikusan Configuration Manager vagy manuálisan egy rendszergazda felhasználó által. További információ: Ügyfelek kezelése.

Tudnivalók az SSL biztonsági réseiről

Az Configuration Manager-ügyfelek és -kiszolgálók biztonságának javításához hajtsa végre a következő műveleteket:

• Engedélyezze a TLS 1.2-t minden eszközön és szolgáltatásban. A TLS 1.2 Configuration Manager való engedélyezéséről lásd: A TLS 1.2 engedélyezése Configuration Manager.

• Tiltsa le az SSL 3.0, a TLS 1.0 és a TLS 1.1 protokollt.

• A TLS-hez kapcsolódó titkosítócsomagok átrendezése.

További információért olvassa el az alábbi témaköröket:

• Bizonyos titkosítási algoritmusok és protokollok használatának korlátozása Schannel.dll
• A Schannel titkosítócsomagok rangsorolása

Ezek az eljárások nincsenek hatással Configuration Manager funkciókra.

Megjegyzés:

Frissítések a titkosítási csomagra vonatkozó követelményekkel rendelkező Azure content delivery network (CDN) Configuration Manager letöltéséhez. További információ: Azure Front Door: TLS-konfiguráció – GYIK.