Titkosítási funkciók műszaki útmutatójaCryptographic controls technical reference

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

System Center Configuration Manager védelme a Configuration Manager-hierarchiában lévő eszközök kezeléséhez használja az aláírásra és titkosításra.System Center Configuration Manager uses signing and encryption to help protect the management of the devices in the Configuration Manager hierarchy. Az aláírás, ha az adatok módosulnak az átvitel során, a rendszer elveti.With signing, if data has been altered in transit, it's discarded. Titkosítás megakadályozza, hogy egy támadó olvashassa az adatokat egy hálózati protokollelemző eszköz használatával.Encryption helps prevent an attacker from reading the data by using a network protocol analyzer.

Által a Configuration Manager az aláíráshoz használt elsődleges kivonatoló algoritmus az SHA-256.The primary hashing algorithm that Configuration Manager uses for signing is SHA-256. Két Configuration Manager-hely kommunikál egymással, amikor bejelentkeznek a kommunikációt az SHA-256.When two Configuration Manager sites communicate with each other, they sign their communications with SHA-256. A Configuration Manager megvalósított elsődleges titkosítási algoritmus a 3DES.The primary encryption algorithm implemented in Configuration Manager is 3DES. Az adatok tárolását a Configuration Manager-adatbázis és az ügyfél HTTP-kommunikációhoz használatos.This is used for storing data in the Configuration Manager database and for client HTTP communication. Ügyfél-kommunikáció HTTPS-KAPCSOLATON keresztül használatakor konfigurálhatja a nyilvános kulcsokra épülő infrastruktúra (PKI), hogy RSA-tanúsítványokat használ a megadott legerősebb kivonatoló algoritmusokkal és leghosszabb kulcsokkal, ismertetett PKI-tanúsítványkövetelmények a System Center Configuration Manager.When you use client communication over HTTPS, you can configure your public key infrastructure (PKI) to use RSA certificates with the maximum hashing algorithms and key lengths that are documented in PKI certificate requirements for System Center Configuration Manager.

A Windows-alapú operációs rendszerek legtöbb titkosítási műveleteket a Configuration Manager a Windows CryptoAPI kódtárából (Rsaenh.dll) az SHA-2, 3DES és AES és RSA algoritmust használja.For most cryptographic operations for Windows-based operating systems, Configuration Manager uses SHA-2, 3DES and AES, and RSA algorithms from the Windows CryptoAPI library rsaenh.dll.

Fontos

Az SSL biztonsági réseivel kapcsolat javasolt módosításokról adatainak megjelenítéséhez kapcsolatos SSL biztonsági réseivel.See information about recommended changes in response to SSL vulnerabilities in About SSL Vulnerabilities.

Titkosítási funkciók a Configuration Manager műveleteihezCryptographic controls for Configuration Manager operations

Információk a Configuration Manager aláírhatók és titkosíthatók, függetlenül attól, hogy PKI-tanúsítványokat használ a Configuration Managerrel.Information in Configuration Manager can be signed and encrypted, whether or not you use PKI certificates with Configuration Manager.

Házirend aláírása és titkosításaPolicy signing and encryption

Az ügyfélházirend-hozzárendeléseket a helykiszolgáló önaláírt aláíró tanúsítványa írja alá, hogy megelőzhető legyen az a biztonsági kockázat, hogy egy sérült integritású felügyeleti pont küld illetéktelenül módosított házirendeket.Client policy assignments are signed by the self-signed site server signing certificate to help prevent the security risk of a compromised management point sending policies that have been tampered with. Ez azért fontos, ha Internet alapú ügyfélfelügyelethez használnak, mert ebben a környezetben az internetes kommunikációnak kitett felügyeleti pont szükséges.This is important if you are using Internet-based client management because this environment requires a management point that is exposed to Internet communication.

A házirend a 3DES titkosított, amikor a bizalmas adatokat tartalmaz.Policy is encrypted with 3DES when it contains sensitive data. A bizalmas adatokat tartalmazó házirendet csak a hitelesített ügyfelek kapják meg.Policy that contains sensitive data is sent to authorized clients only. A bizalmas adatokat nem tartalmazó házirendet a rendszer nem titkosítja.Policy that does not have sensitive data is not encrypted.

Ha házirend tárolják az ügyfeleken, az a Data Protection alkalmazásprogramozási felületet (DPAPI) titkosított.When policy is stored on the clients, it is encrypted with Data Protection application programming interface (DPAPI).

Házirend-kivonatolásPolicy hashing

Ha a Configuration Manager-ügyfelek házirendre vonatkozó kérelmet, akkor először házirend-hozzárendelést kapnak, hogy tudják, hogy mely házirendek vonatkoznak rájuk, majd csak ezeket a házirendtörzseket kérnek.When Configuration Manager clients request policy, they first get a policy assignment so that they know which policies apply to them, and then they request only those policy bodies. Minden házirend-hozzárendelés tartalmazza a megfelelő házirendtörzs kiszámított kivonatát.Each policy assignment contains the calculated hash for the corresponding policy body. Az ügyfél lekéri a megfelelő házirendtörzseket, majd kiszámítja a kivonatot az adott törzshöz.The client retrieves the applicable policy bodies and then calculates the hash on that body. Ha a letöltött házirendtörzs kivonata nem egyezik meg a házirend-hozzárendelésben lévő kivonattal, az ügyfél elveti a házirendtörzset.If the hash on the downloaded policy body does not match the hash in the policy assignment, the client discards the policy body.

A házirendek kivonatolása SHA-1 és SHA-256 algoritmussal történik.The hashing algorithm for policy is SHA-1 and SHA-256.

TartalomkivonatolásContent hashing

A helykiszolgáló terjesztéskezelő szolgáltatása kivonatolja a tartalomfájlokat az összes csomaghoz.The distribution manager service on the site server hashes the content files for all packages. A házirend-szolgáltató felveszi a kivonatot a szoftverterjesztési házirendbe.The policy provider includes the hash in the software distribution policy. A Configuration Manager-ügyfél letölti a tartalmat, amikor az ügyfél helyben újragenerálja a kivonatot, és összehasonlítja a házirendben lévővel.When the Configuration Manager client downloads the content, the client regenerates the hash locally and compares it to the one supplied in the policy. Ha a kivonatok megegyeznek, akkor a tartalmat nem módosították, így az ügyfél telepíti azt.If the hashes match, the content has not been altered and the client installs it. Ha a tartalom akár egyetlen bájtja is módosult, akkor a kivonatok nem egyeznek meg, és a szoftver nem települ.If a single byte of the content has been altered, the hashes will not match and the software will not be installed. Ez az ellenőrzés hozzájárul ahhoz, hogy a megfelelő szoftver települjön, mert a tényleges tartalmat hasonlítja össze a házirenddel.This check helps to ensure that the correct software is installed because the actual content is crosschecked with the policy.

A tartalmak alapértelmezett kivonatoló algoritmusa az SHA-256.The default hashing algorithm for content is SHA-256. Ha módosítani szeretné az alapértelmezett értéket, az a Configuration Manager Software Development Kit (SDK) dokumentációjában találhat.To change this default, see the documentation for the Configuration Manager Software Development Kit (SDK).

Nem minden eszköz támogatja a tartalomkivonatolást.Not all devices can support content hashing. A kivételek a következők:The exceptions include:

  • Windows rendszerű ügyfelek App-V tartalom adatfolyamként való továbbításakor.Windows clients when they stream App-V content.

  • Windows Phone-ügyfelek esetében, ha ezek az ügyfelek ellenőrzik a megbízható forrás által aláírt alkalmazás aláírását.Windows Phone clients, though these clients verify the signature of an application that is signed by a trusted source.

  • Windows RT-alapú ügyfél abban az esetben, ha ezek az ügyfelek ellenőrzik az alkalmazások aláírását, amely egy megbízható forrás által aláírt és a csomag teljes nevének (PFN) érvényesítése is használhatja.Windows RT client, though these clients verify the signature of an application that is signed by a trusted source and also use package full name (PFN) validation.

  • iOS, abban az esetben, ha ezek az ügyfelek ellenőrzik a megbízható forrás bármely fejlesztői tanúsítványával által aláírt alkalmazás aláírását.iOS, though these devices verify the signature of an application that is signed by any developer certificate from a trusted source.

  • Nokia-ügyfél, azonban ezek az ügyfelek ellenőrzik az önaláírt tanúsítványt használó alkalmazások aláírását.Nokia client, though, these clients verify the signature of an application that uses a self-signed certificate. illetve a megbízható forrásból származó tanúsítvány aláírását, és a tanúsítvánnyal aláírhatók a Nokia Symbian Installation Source (SIS) telepítési forrású alkalmazások.Or, the signature of a certificate from a trusted source and the certificate can sign Nokia Symbian Installation Source (SIS) applications.

  • Android.Android. Ezenkívül ezek az eszközök nem használnak aláírás-ellenőrzést az alkalmazástelepítéshez.In addition, these devices do not use signature validation for application installation.

  • Az SHA-256-ot nem támogató Linux- vagy UNIX-verziókon futó ügyfelek.Clients that run on versions of Linux and UNIX that do not support SHA-256. További információkért lásd: Linux és UNIX rendszerű számítógépekre a System Center Configuration Manager ügyfél központi telepítésének tervezése.For more information, see Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager.

A szoftverleltár-aláíráshoz és titkosításhozInventory signing and encryption

Az ügyfelek által a felügyeleti pontokra küldött leltárt mindig aláírják az eszközök, függetlenül attól, hogy HTTP vagy HTTPS használatával kommunikálnak a felügyeleti pontokkal.Inventory that clients send to management points is always signed by devices, regardless of whether they communicate with management points over HTTP or HTTPS. Ha HTTP-t használnak, választhatja ezen adatok titkosítását a bevált biztonsági gyakorlat szerint.If they use HTTP, you can choose to encrypt this data, which is a security best practice.

Állapotáttelepítés titkosításaState migration encryption

Az operációsrendszer-telepítésre szolgáló állapotáttelepítési pontokon tárolt adatokat a Felhasználóáttelepítő (USMT) mindig titkosítja 3DES használatával.Data stored on state migration points for operating system deployment is always encrypted by the User State Migration Tool (USMT) by using 3DES.

Operációs rendszerek központi telepítéséhez csoportos küldésű csomagok titkosításaEncryption for multicast packages to deploy operating systems

Az operációs rendszerek központi telepítésére szolgáló minden csomaghoz engedélyezheti a titkosítást, ha a csomagot csoportos küldéssel továbbítják a számítógépekre.For every operating system deployment package, you can enable encryption when the package is transferred to computers by using multicast. A titkosítás Advanced Encryption Standard (AES) algoritmussal történik.The encryption uses Advanced Encryption Standard (AES). Ha engedélyezi a titkosítást, nincs szükség további tanúsítványkonfigurálásra.If you enable encryption, no additional certificate configuration is required. A csoportos küldésre képes terjesztési pont automatikusan generál szimmetrikus kulcsokat a csomag titkosításához.The multicast-enabled distribution point automatically generates symmetric keys for encrypting the package. Minden csomagnak más a titkosítási kulcsa.Each package has a different encryption key. A kulcsot a csoportos küldésre képes terjesztési pont tárolja normál Windows API-k használatával.The key is stored on the multicast-enabled distribution point by using standard Windows APIs. Amikor az ügyfél csatlakozik a csoportos küldési munkamenethez, végbemegy a kulcscsere egy PKI-kiadású ügyfél-hitelesítési tanúsítvánnyal (ha az ügyfél HTTPS-t használ) vagy az önaláírt tanúsítvánnyal (ha az ügyfél HTTP-t használ) titkosított csatornán.When the client connects to the multicast session, the key exchange occurs over a channel encrypted with either the PKI-issued client authentication certificate (when the client uses HTTPS) or the self-signed certificate (when the client uses HTTP). Az ügyfél a kulcsot csak a csoportos küldési munkamenet idejére tárolja a memóriában.The client stores the key in memory only for the duration of the multicast session.

Operációs rendszerek központi telepítéséhez adathordozók titkosításaEncryption for media to deploy operating systems

Amikor adathordozóval telepít központilag operációs rendszereket, és jelszót ad meg az adathordozó védelmére, a környezeti változók Advanced Encryption Standard (AES) algoritmussal vannak titkosítva.When you use media to deploy operating systems and specify a password to protect the media, the environment variables are encrypted by using Advanced Encryption Standard (AES). Az adathordozón lévő más adatok, köztük a csomagok és az alkalmazástartalmak nincsenek titkosítva.Other data on the media, including packages and content for applications, is not encrypted.

A felhő alapú terjesztési pontokon szolgáltatott tartalom titkosításaEncryption for content that is hosted on cloud-based distribution points

A System Center 2012 Configuration Manager SP1, kezdve felhő alapú terjesztési pontok, a terjesztési pontokra feltöltött tartalom Advanced Encryption Standard (AES) algoritmussal egy 256 bites kulcshosszal titkosítottak.Beginning with System Center 2012 Configuration Manager SP1, when you use cloud-based distribution points, the content that you upload to these distribution points is encrypted by using Advanced Encryption Standard (AES) with a 256-bit key size. A tartalmat a rendszer minden tartalomfrissítéskor újra titkosítja.The content is re-encrypted whenever you update it. Amikor az ügyfelek letöltik a tartalmat, azt a HTTPS-kapcsolat titkosítja és védi.When clients download the content, it is encrypted and protected by the HTTPS connection.

Szoftverfrissítések aláírásaSigning in software updates

Minden szoftverfrissítést megbízható közzétevőnek kell aláírnia az illetéktelen módosítással szembeni védelem érdekében.All software updates must be signed by a trusted publisher to protect against tampering. Az ügyfélszámítógépeken a Windows Update Agent (WUA) keresi a katalógusban lévő frissítéseket, de nem telepíti a frissítést, ha nem találja meg a digitális tanúsítványt a Megbízható közzétevők tárban a helyi számítógépen.On client computers, the Windows Update Agent (WUA) scans for the updates from the catalog, but will not install the update if it cannot locate the digital certificate in the Trusted Publishers store on the local computer. Ha önaláírt tanúsítványt (például WSUS Publishers Self-signed) használtak a frissítéskatalógus közzétételére, a tanúsítványnak szerepelnie kell a megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárában is a helyi számítógépen a tanúsítvány érvényességének ellenőrzéséhez.If a self-signed certificate was used for publishing the updates catalog, such as WSUS Publishers Self-signed, the certificate must also be in the Trusted Root Certification Authorities certificate store on the local computer to verify the validity of the certificate. A WUA azt is ellenőrzi, hogy Az intraneten futó Microsoft frissítési szolgáltatás helyéről származó aláírt tartalom engedélyezése csoportházirend-beállítás engedélyezve van-e a számítógépen.WUA also checks whether the Allow signed content from intranet Microsoft update service location Group Policy setting is enabled on the local computer. Ezt a házirend-beállítást engedélyezni kell ahhoz, hogy a WUA tudjon olyan frissítéseket keresni, amelyeket a frissítés-közzétevővel hoztak létre és tettek közzé.This policy setting must be enabled for WUA to scan for the updates that were created and published with Updates Publisher.

Amikor a szoftverfrissítéseket a System Center frissítés-közzétevő teszi közzé, egy digitális tanúsítvány aláírja a szoftverfrissítéseket, amikor azok közzététele megtörténik egy frissítési kiszolgálón.When software updates are published in System Center Updates Publisher, a digital certificate signs the software updates when they are published to an update server. Megadhat egy PKI-tanúsítványt, vagy konfigurálhatja a System Center frissítés-közzétevőt önaláírt tanúsítvány létrehozására a szoftverfrissítés aláírásához.You can either specify a PKI certificate or configure Updates Publisher to generate a self-signed certificate to sign the software update.

Aláírt konfigurációs adatok a megfelelőségi beállításokhozSigned configuration data for compliance settings

Amikor konfigurációs adatokat importál, a Configuration Manager ellenőrzi a fájl digitális aláírását.When you import configuration data, Configuration Manager verifies the file's digital signature. Ha a fájlok nincsenek aláírva, vagy ha a digitális aláírás nem felel meg az ellenőrzésen, a rendszer figyelmezteti és rákérdez az importálás folytatására.If the files have not been signed, or if the digital signature verification check fails, you will be warned and prompted whether to continue with the import. Csak akkor folytassa a konfigurációs adatok importálását, ha kimondottan megbízik a közzétevőben és a fájlok integritásában.Continue to import the configuration data only if you explicitly trust the publisher and the integrity of the files.

Titkosítás és kivonatolás az ügyfélértesítéshezEncryption and hashing for client notification

Ha ügyfélértesítést használ, akkor minden kommunikáció a TLS protokollt, valamint a kiszolgáló és az ügyfél operációs rendszere által egyeztetett legerősebb titkosítást használja.If you use client notification, all communication uses TLS and the highest encryption that the server and client operating systems can negotiate. Például egy Windows 7 rendszerű ügyfél és egy Windows Server 2008 R2 rendszerű felügyeleti pont támogathatja a 128 bites AES titkosítást, míg egy Vista rendszerű ügyfélszámítógép ugyanazzal a felügyeleti ponttal 3DES titkosítást fog egyeztetni.For example, a client computer running Windows 7 and a management point running Windows Server 2008 R2 can support 128-bit AES encryption, whereas a client computer running Vista to the same management point but will negotiate down to 3DES encryption. Ugyanez az egyeztetés zajlik le az ügyfélértesítés közben továbbított csomagok kivonatolásához, ami SHA-1 vagy SHA-2 algoritmust használ.The same negotiation occurs for hashing the packets that are transferred during client notification, which uses SHA-1 or SHA-2.

A Configuration Manager által használt tanúsítványokCertificates used by Configuration Manager

A nyilvános kulcsokra épülő infrastruktúra (PKI) tanúsítványokat, amelyek segítségével a Configuration Manager, semmilyen különleges követelmények vagy -korlátozások listáját, és hogyan használják a tanúsítványokat, PKI-tanúsítványkövetelmények a System Center Configuration Manager.For a list of the public key infrastructure (PKI) certificates that can be used by Configuration Manager, any special requirements or limitations, and how the certificates are used, see PKI certificate requirements for System Center Configuration Manager. A lista tartalmazza a támogatott kivonatoló algoritmusokat és kulcshosszokat.This list includes the supported hash algorithms and key lengths. A legtöbb tanúsítvány támogatja az SHA-256 algoritmust és a 2048 bites kulcshosszt.Most certificates support SHA-256 and 2048 bits key length.

Megjegyzés

Configuration Manager által használt minden tanúsítvány csak egybájtos karaktereket a tulajdonos neve vagy a tulajdonos alternatív nevének tartalmaznia kell.All certificates that Configuration Manager uses must contain only single-byte characters in the subject name or subject alternative name.

Az alábbi helyzetekben PKI-tanúsítványok szükségesek:PKI certificates are required for the following scenarios:

  • Amikor Ön felügyeli a Configuration Manager-ügyfelek az interneten.When you manage Configuration Manager clients on the Internet.

  • Amikor Ön felügyeli a mobileszközökön a Configuration Manager-ügyfelek.When you manage Configuration Manager clients on mobile devices.

  • Ha Mac számítógépeket felügyel.When you manage Mac computers.

  • Ha felhőalapú terjesztési pontokat használ.When you use cloud-based distribution points.

  • Ha Intel AMT-alapú számítógépeket felügyel sávon kívül.When you manage Intel AMT-based computers out of band.

    A legtöbb más Configuration Manager-kommunikációhoz, amely tanúsítványt igényel a hitelesítési, aláírási vagy titkosítási célokra, a Configuration Manager automatikusan PKI-tanúsítványokat használ, ha ilyenek.For most other Configuration Manager communications that require certificates for authentication, signing, or encryption, Configuration Manager automatically uses PKI certificates if they are available. Ha nem érhető el, a Configuration Manager önaláírt tanúsítványokat hoz létre.If they are not available, Configuration Manager generates self-signed certificates.

    A Configuration Manager használ a PKI-tanúsítványokat, amikor mobileszközöket felügyel az Exchange Server-összekötővel.Configuration Manager does not use PKI certificates when it manages mobile devices by using the Exchange Server connector.

Mobileszköz-felügyelet és PKI-tanúsítványokMobile device management and PKI certificates

Ha a mobileszközt nem tiltotta le a mobilszolgáltató, is használhatja a Configuration Manager vagy a Microsoft Intune használatával igényelhet és telepíthet ügyféltanúsítványt.If the mobile device has not been locked by the mobile operator, you can use Configuration Manager or Microsoft Intune to request and install a client certificate. Ezt a tanúsítványt az ügyfél a mobileszköz és a Configuration Manager helyrendszerei vagy a Microsoft Intune szolgáltatások közötti kölcsönös hitelesítést biztosít.This certificate provides mutual authentication between the client on the mobile device and Configuration Manager site systems or Microsoft Intune services. Ha a mobileszköz le van tiltva, nem használhat a Configuration Manager vagy az Intune szolgáltatást tanúsítványok központi telepítésére.If your mobile device is locked, you cannot use Configuration Manager or Intune to deploy certificates.

Ha engedélyezi a hardverleltárt a mobileszközök kezeléséhez, a Configuration Manager vagy az Intune szintén leltárba veszi a mobileszközön telepített tanúsítványokat.If you enable hardware inventory for mobile devices, Configuration Manager or Intune also inventories the certificates that are installed on the mobile device.

Operációs rendszer központi telepítése és PKI-tanúsítványokOperating system deployment and PKI certificates

Használatakor a Configuration Manager operációs rendszerek központi telepítéséhez, és a felügyeleti pont HTTPS-ügyfélkapcsolatokat igényel, az ügyfélszámítógépnek is rendelkeznie kell tanúsítvánnyal kommunikálni a felügyeleti ponttal, akkor is, ha átmeneti fázisban vannak, például egy feladatütemezési adathordozóról vagy egy PXE-képes terjesztési pontról végeznek rendszerindítást.When you use Configuration Manager to deploy operating systems and a management point requires HTTPS client connections, the client computer must also have a certificate to communicate with the management point, even though it is in a transitional phase such as booting from task sequence media or a PXE-enabled distribution point. Ez a forgatókönyv támogatásához létre kell hoznia PKI ügyfél-hitelesítési tanúsítványt és és titkos kulcs exportálása és importálhatja a helykiszolgáló tulajdonságaiba és is hozzáadhat a felügyeleti pointâ "™ s megbízható legfelső szintű Hitelesítésszolgáltatói tanúsítvány.To support this scenario, you must create a PKI client authentication certificate and export it with the private key and then import it to the site server properties and also add the management point’s trusted root CA certificate.

Ha rendszerindító adathordozót hoz létre, akkor a rendszerindító adathordozó létrehozásakor importálja az ügyfél-hitelesítési tanúsítványt.If you create bootable media, you import the client authentication certificate when you create the bootable media. Állítson be jelszót a rendszerindító adathordozón a titkos kulcs és a feladatütemezésben konfigurált többi bizalmas adat védelme érdekében.Configure a password on the bootable media to help protect the private key and other sensitive data configured in the task sequence. A rendszerindító adathordozóról indított minden számítógép ugyanazt a tanúsítványt mutatja be a felügyeleti pontnak, amely szükséges az ügyfélfunkciókhoz, például az ügyfélházirend igényléséhez.Every computer that boots from the bootable media will present the same certificate to the management point as required for client functions such as requesting client policy.

Ha PXE-rendszerindítást végez, akkor importálja az ügyfél-hitelesítési tanúsítványt a PXE-t támogató terjesztési pontra, így a rendszer ugyanazt a tanúsítványt használja minden ügyfélhez, amely erről a PXE-t támogató terjesztési pontról indul.If you use PXE boot, you import the client authentication certificate to the PXE-enabled distribution point and it uses the same certificate for every client that boots from that PXE-enabled distribution point. A bevált biztonsági gyakorlatnak megfelelően tegye kötelezővé a számítógépüket PXE szolgáltatáshoz csatlakoztató felhasználóknak jelszó megadását a titkos kulcs és a feladatütemezésben lévő többi bizalmas adat védelme érdekében.As a security best practice, require users who connect their computers to a PXE service to supply a password to help protect the private key and other sensitive data in the task sequences.

Ha az ügyfél-hitelesítési tanúsítványok bármelyikének integritása sérül, tiltsa le a tanúsítványokat a Tanúsítványok beállításban az Adminisztráció munkaterület Biztonság csomópontjában.If either of these client authentication certificates is compromised, block the certificates in the Certificates node in the Administration workspace, Security node. A tanúsítványok kezeléséhez rendelkeznie kell Operációs rendszer központi telepítéséhez szükséges tanúsítvány kezelése jogosultsággal.To manage these certificates, you must have the Manage operating system deployment certificate right.

Miután az operációs rendszer telepítve lesz, és a Configuration Manager telepítve van, az ügyfélnek szüksége van a saját PKI ügyfél-hitelesítési tanúsítvány HTTPS ügyfél-kommunikációhoz.After the operating system is deployed and the Configuration Manager is installed, the client will require its own PKI client authentication certificate for HTTPS client communication.

Független Szoftverszállítói proxymegoldások és PKI-tanúsítványokISV proxy solutions and PKI certificates

A független szoftverszállítók (ISV) alkalmazások, amelyek a Configuration Manager hozhat létre.Independent Software Vendors (ISVs) can create applications that extend Configuration Manager. Például létrehozhatnak olyan bővítményeket, amelyek támogatják a nem Windows-alapú ügyfélplatformokat (például Macintosh vagy UNIX rendszerű számítógépeket).For example, an ISV could create extensions to support non-Windows client platforms such as Macintosh or UNIX computers. Ha viszont a helyrendszerek HTTPS ügyfélkapcsolatokat igényelnek, ezeknek az ügyfeleknek a hellyel való kommunikációhoz is PKI-tanúsítványokat kell használniuk.However, if the site systems require HTTPS client connections, these clients must also use PKI certificates for communication with the site. A Configuration Manager lehetővé teszi a rendeljen hozzá egy tanúsítványt az ISV-proxyhoz, lehetővé téve a kommunikációt az ISV-proxy ügyfelek és a felügyeleti pont között.Configuration Manager includes the ability to assign a certificate to the ISV proxy that enables communications between the ISV proxy clients and the management point. Ha olyan bővítményeket használ, amelyekhez ISV-proxytanúsítvány szükséges, nézze meg az adott termék dokumentációját.If you use extensions that require ISV proxy certificates, consult the documentation for that product. ISV-proxytanúsítványok létrehozásával kapcsolatos további információkért lásd: a Configuration Manager szoftver szoftverfejlesztői készletét (SDK).For more information about how to create ISV proxy certificates, see the Configuration Manager Software Developer Kit (SDK).

Ha az ISV-tanúsítvány integritása sérül, tiltsa le a tanúsítványt a Tanúsítványok beállításban az Adminisztráció munkaterület Biztonság csomópontjában.If the ISV certificate is compromised, block the certificate in the Certificates node in the Administration workspace, Security node.

Eszközintelligencia és tanúsítványokAsset intelligence and certificates

Egy X.509 tanúsítvánnyal, amely az Eszközintelligencia szinkronizálási pont használatával kapcsolódik a Microsoft a Configuration Manager telepíti.Configuration Manager installs with an X.509 certificate that the Asset Intelligence synchronization point uses to connect to Microsoft. Configuration Manager ezt a tanúsítványt az ügyfél-hitelesítési tanúsítványt kérhet a Microsoft tanúsítványszolgáltatástól.Configuration Manager uses this certificate to request a client authentication certificate from the Microsoft certificate service. Az ügyfél-hitelesítési tanúsítvány települ az Eszközintelligencia szinkronizációs pontjának helyrendszer-kiszolgálójára, és a kiszolgáló ezzel lesz hitelesítve a Microsoft számára.The client authentication certificate is installed on the Asset Intelligence synchronization point site system server and it is used to authenticate the server to Microsoft. A Configuration Manager az ügyfél-hitelesítési tanúsítvánnyal tölti le az Eszközintelligencia-katalógust és tölti fel a szoftvereket.Configuration Manager uses the client authentication certificate to download the Asset Intelligence catalog and to upload software titles.

Ennek a tanúsítványnak a kulcsa 1024 bites.This certificate has a key length of 1024 bits.

Felhőalapú terjesztési pontok és tanúsítványokCloud-based distribution points and certificates

A System Center 2012 Configuration Manager SP1 kezdve felhő alapú terjesztési pontok szükséges egy felügyeleti tanúsítvány (önaláírt vagy PKI) a Microsoft Azure feltöltött.Beginning with System Center 2012 Configuration Manager SP1, cloud-based distribution points require a management certificate (self-signed or PKI) that you upload to Microsoft Azure. Ehhez a felügyeleti tanúsítványhoz kiszolgálóhitelesítési funkció és 2048 bites tanúsítványkulcs szükséges.This management certificate requires server authentication capability and a certificate key length of 2048 bits. Ezenkívül minden felhőalapú terjesztési ponthoz konfigurálni kell egy szolgáltatástanúsítványt, amely nem lehet önaláírt, de kiszolgálóhitelesítési funkcióval és legalább 2048 bites tanúsítványkulccsal kell rendelkeznie.In addition, you must configure a service certificate for each cloud-based distribution point, which cannot be self-signed but also has server authentication capability and a minimum certificate key length of 2048 bits.

Megjegyzés

Az önaláírt felügyeleti tanúsítvány csak tesztelési célokat szolgál, nem használható éles hálózati környezetben.The self-signed management certificate is for testing purposes only and not for use on production networks.

Az ügyfeleknek nem szükséges PKI-tanúsítvánnyal rendelkezniük a felhőalapú terjesztési pontokhoz; hitelesíthetik magukat a felügyelet felé akár önaláírt tanúsítvánnyal, akár PKI-ügyféltanúsítvánnyal.Clients do not require a client PKI certificate to use cloud-based distribution points; they authenticate to the management by using either a self-signed certificate or a client PKI certificate. A felügyeleti pont majd kibocsátja a Configuration Manager hozzáférési tokent az ügyfélnek, és ezt mutatja be az ügyfél a felhőalapú terjesztési pontot.The management point then issues a Configuration Manager access token to the client, which the client presents to the cloud-based distribution point. A jogkivonat érvényessége 8 óra.The token is valid for 8 hours.

A Microsoft Intune Connectort és tanúsítványokThe Microsoft Intune Connector and certificates

A Microsoft Intune mobileszközöket léptet be, amikor egy Microsoft Intune-összekötő létrehozásával kezelheti ezeket a mobileszközöket a Configuration Manager alkalmazásban.When Microsoft Intune enrolls mobile devices, you can manage these mobile devices in Configuration Manager by creating a Microsoft Intune connector. Az összekötő PKI-tanúsítványt használ az ügyfél-hitelesítésre alkalmas hitelesítésére a Configuration Manager a Microsoft Intune és az összes információt továbbít köztük az SSL protokoll használatával.The connector uses a PKI certificate with client authentication capability to authenticate Configuration Manager to Microsoft Intune and to transfer all information between them by using SSL. A tanúsítvány 2048 bites kulcshosszt és SHA-1 kivonatoló algoritmust használ.The certificate key size is 2048 bits and uses the SHA-1 hash algorithm.

Az összekötő telepítésekor létrejön egy aláírási tanúsítvány, amelyet a helykiszolgáló tárol a kulcsok közvetlen telepítéséhez, valamint egy titkosítási tanúsítvány, amelyet a tanúsítványregisztrációs pont tárol az Egyszerű tanúsítványigénylési protokoll (SCEP) kérdésének titkosításához.When you install the connector, a signing certificate is created and stored on the site server for sideloading keys, and an encryption certificate is created and stored on the certificate registration point to encrypt the Simple Certificate Enrollment Protocol (SCEP) challenge. Ezen tanúsítványok is 2048 bites kulcshosszt és SHA-1 kivonatoló algoritmust használnak.These certificates also have a key size of 2048 bits and use the SHA-1 hash algorithm.

Intune mobileszközöket léptet be, amikor telepíti a mobileszköz azokon PKI-tanúsítványt.When Intune enrolls mobile devices, it installs a PKI certificate onto the mobile device. Ez a tanúsítvány alkalmas az ügyfél-hitelesítésre, 2048 bites kulcshosszt és SHA-1 kivonatoló algoritmust használ.This certificate has client authentication capability, uses a key size of 2048 bits, and uses the SHA-1 hash algorithm.

A PKI-tanúsítványok automatikus kérhetők, jön létre, és a Microsoft Intune által telepített.These PKI certificates are automatically requested, generated, and installed by Microsoft Intune.

CRL-ellenőrzés a PKI-tanúsítványokCRL checking for PKI certificates

A PKI visszavont tanúsítványainak listája (CRL) növeli az adminisztrációs és feldolgozási terheket, de a biztonságot is.A PKI certificate revocation list (CRL) increases administrative and processing overhead but it is more secure. Ha azonban a CRL ellenőrzése engedélyezett, ám a CRL nem érhető el, akkor a PKI-kapcsolat sikertelen lesz.However, if CRL checking is enabled but the CRL is inaccessible, the PKI connection fails. További információkért lásd: biztonsága és adatvédelme a System Center Configuration Manager.For more information, see Security and privacy for System Center Configuration Manager.

Visszavont tanúsítványok listáját (CRL) ellenőrzése az IIS-ben, alapértelmezés szerint engedélyezve van, egy tanúsítvány-visszavonási listát használ a nyilvános kulcsokra épülő infrastruktúra központi telepítésére, ha nincs szükség további konfigurációra a legtöbb Configuration Manager helyrendszerei, IIS-t futtató.Certificate revocation list (CRL) checking is enabled by default in IIS, so if you are using a CRL with your PKI deployment, there is nothing additional to configure on most Configuration Manager site systems that run IIS. Kivételt képeznek a szoftverfrissítések; ezekhez szükség van egy manuális lépésre annak engedélyezéséhez, hogy a CRL-ellenőrzés vizsgálhassa a szoftverfrissítési fájlok aláírását.The exception is for software updates, which requires a manual step to enable CRL checking to verify the signatures on software update files.

A CRL-ellenőrzés alapértelmezésben engedélyezve van az ügyfélszámítógépekhez, ha HTTPS-ügyfélkapcsolatokat használnak.CRL checking is enabled by default for client computers when they use HTTPS client connections. A CRL-ellenőrzés alapértelmezésben nincs engedélyezve, amikor a sávon kívüli felügyeleti konzolt futtatja egy AMT-alapú számítógéphez történő kapcsolódáshoz, de engedélyezhető ez a beállítás.CRL checking is not enabled by default when you run the Out of Band Management console to connect to AMT-based computer, and you can enable this option. CRL-ellenőrzés a Configuration Manager SP1 vagy újabb Mac számítógépeken lévő ügyfelek nem tiltható le.You cannot disable CRL checking for clients on Mac computers in Configuration Manager SP1 or later.

A CRL-ellenőrzés nem támogatott a következő kapcsolatokhoz a Configuration Manager alkalmazásban:CRL checking is not supported for the following connections in Configuration Manager:

  • Kiszolgálók közötti kapcsolatok.Server-to-server connections.

  • A Configuration Manager által beléptetett mobileszközök.Mobile devices that are enrolled by Configuration Manager.

  • A Microsoft Intune által beléptetett mobileszközök.Mobile devices that are enrolled by Microsoft Intune.

Titkosítási funkciók kiszolgálói kommunikációhozCryptographic controls for server communication

Configuration Manager az alábbi titkosítási funkciókat használja a kiszolgálói kommunikációhoz.Configuration Manager uses the following cryptographic controls for server communication.

Egy helyen belüli kiszolgálói kommunikációServer communication within a site

Minden helyrendszer tanúsítványt használ az adatok átvitele a Configuration Manager ugyanazon a helyen belüli más helyrendszerekbe.Each site system server uses a certificate to transfer data to other site systems in the same Configuration Manager site. Egyes helyrendszeri szerepkörök szintén tanúsítványokat használnak a hitelesítéshez.Some site system roles also use certificates for authentication. Ha például az egyik kiszolgálóra telepíti a beléptetési proxypontot, egy másik kiszolgálóra pedig a beléptetési pontot, akkor ezzel az identitástanúsítvánnyal tudják egymást hitelesíteni.For example, if you install the enrollment proxy point on one server and the enrollment point on another server, they can authenticate one another by using this identity certificate. Ha a Configuration Manager tanúsítványt használ ehhez a kommunikációhoz, ha van elérhető, amely rendelkezik a kiszolgáló hitelesítésére alkalmas PKI-tanúsítvány, a Configuration Manager automatikusan használja azt; Ha nem, a Configuration Manager létrehoz egy önaláírt tanúsítványt.When Configuration Manager uses a certificate for this communication, if there is a PKI certificate available that has server authentication capability, Configuration Manager automatically uses it; if not, Configuration Manager generates a self-signed certificate. Ez az önaláírt tanúsítvány kiszolgáló-hitelesítési képességgel rendelkezik, és SHA-256 algoritmust és 2048 bites kulcshosszt használ.This self-signed certificate has server authentication capability, uses SHA-256, and has a key length of 2048 bits. A Configuration Manager másolja a tanúsítványt más helyrendszer-kiszolgálókon, amelyekre szüksége lehet a helyrendszer megbízhatóként való megbízható személyek tárolójához.Configuration Manager copies the certificate to the Trusted People store on other site system servers that might need to trust the site system. Ezután a helyrendszerek megbízhatnak egymásban ezen tanúsítványok és a társmegbízhatóság használatával.Site systems can then trust one another by using these certificates and PeerTrust.

Ezt a tanúsítványt az egyes helyrendszer-kiszolgálók, valamint a Configuration Manager riasztást egy önaláírt tanúsítványt, a legtöbb helyrendszeri szerepkörhöz.In addition to this certificate for each site system server, Configuration Manager generates a self-signed certificate for most site system roles. Ha egy helyen a helyrendszeri szerepkör több példánya is megtalálható, akkor ugyanazt a tanúsítványt használják.When there is more than one instance of the site system role in the same site, they share the same certificate. Például egy helyen belül rendelkezhet több felügyeleti ponttal vagy beléptetési ponttal.For example, you might have multiple management points or multiple enrollment points in the same site. Ez az önaláírt tanúsítvány szintén SHA-256 algoritmust és 2048 bites kulcshosszt használ.This self-signed certificate also uses SHA-256 and has a key length of 2048 bits. Bekerül a Megbízható személyek tárba azokon a helyrendszer-kiszolgálókon is, amelyeknek szüksége lehet a tanúsítvány megbízhatóként való azonosítására.It is also copied to the Trusted People Store on site system servers that might need to trust it. Az alábbi helyrendszeri szerepkörök hozzák létre ezt a tanúsítványt:The following site system roles generate this certificate:

  • Alkalmazáskatalógus webszolgáltatási pontjaApplication Catalog web service point

  • Alkalmazáskatalógus weboldal-elérési pontjaApplication Catalog website point

  • Eszközintelligencia-katalógus szinkronizálási pontjaAsset Intelligence synchronization point

  • Tanúsítványregisztrációs pontCertificate registration point

  • Endpoint Protection-pontEndpoint Protection point

  • Beléptetési pontEnrollment point

  • Tartalék állapotkezelő pontFallback status point

  • Felügyeleti pontManagement point

  • Csoportos küldésre képes terjesztési pontMulticast-enabled distribution point

  • Sávon kívüli szolgáltatási pontOut of band service point

  • Jelentéskészítési szolgáltatási pontReporting services point

  • Szoftverfrissítési pontSoftware update point

  • állapotáttelepítési pontState migration point

  • Rendszerállapot-érvényesítő pontSystem Health Validator point

  • Microsoft Intune-összekötőMicrosoft Intune connector

    Ezek a tanúsítványok automatikusan Configuration Manager által felügyelt, és ahol szükséges, automatikusan létrehozza.These certificates are managed automatically by Configuration Manager, and where necessary, automatically generated.

    A Configuration Manager ügyfél-hitelesítési tanúsítványt is használ az állapotüzenetek küldésére a terjesztési pontról a felügyeleti pont.Configuration Manager also uses a client authentication certificate to send status messages from the distribution point to the management point. Ha a felügyeleti pont csak HTTPS-ügyfélkapcsolatokhoz van konfigurálva, akkor PKI-tanúsítványt kell használni.When the management point is configured for HTTPS client connections only, you must use a PKI certificate. Ha a felügyeleti pont fogadja a HTTP-kapcsolatokat, használhat PKI-tanúsítványt, vagy választhatja ügyfél-hitelesítésre alkalmas, SHA-256 algoritmust alkalmazó, 2048 bit hosszúságú önaláírt tanúsítvány használatát.If the management point accepts HTTP connections, you can use a PKI certificate or select the option to use a self-signed certificate that has client authentication capability, uses SHA-256, and has a key length of 2048 bits.

Helyek közötti kiszolgálói kommunikációServer communication between sites

A Configuration Manager adatbázis-replikációt és fájlalapú replikációt a helyek közötti adatátvitelt.Configuration Manager transfers data between sites by using database replication and file-based replication. További információkért lásd: a System Center Configuration Managerben végpontok közötti kommunikáció.For more information, see Communications between endpoints in System Center Configuration Manager.

A Configuration Manager automatikusan konfigurálja a helyek közötti adatbázis-replikálást, és kiszolgálóhitelesítési funkcióval rendelkezik, ha elérhetők; PKI-tanúsítványokat használ Ha nem, a Configuration Manager server-hitelesítés önaláírt tanúsítványokat hoz létre.Configuration Manager automatically configures the database replication between sites and uses PKI certificates that have server authentication capability if these are available; if not, Configuration Manager creates self-signed certificates for server authentication. A helyek közötti hitelesítés mindkét esetben a társmegbízhatóságot használó Megbízható személyek tárban lévő tanúsítványokkal történik.In both cases, authentication between sites is established by using certificates in the Trusted People Store that uses PeerTrust. Ennek a tanúsítványtárnak annak biztosítására szolgál, hogy csak a Configuration Manager-hierarchia által használt SQL Server számítógépek részt a helyek közötti replikálás.This certificate store is used to ensure that only the SQL Server computers that are used by the Configuration Manager hierarchy participate in site-to-site replication. Míg az elsődleges helyek és a központi felügyeleti hely tudják replikálni a konfigurációs változásokat a hierarchia minden helyére, a másodlagos helyek csak saját szülőhelyükre tudják replikálni azokat.Whereas primary sites and the central administration site can replicate configuration changes to all sites in the hierarchy, secondary sites can replicate configuration changes only to their parent site.

A helykiszolgálók a helyek közötti kommunikációt automatikusan végbemenő biztonságos kulcscserével hozzák létre.Site servers establish site-to-site communication by using a secure key exchange that happens automatically. A küldő helykiszolgáló létrehoz egy kivonatot, és aláírja azt saját titkos kulcsával.The sending site server generates a hash and signs it with its private key. A fogadó helykiszolgáló ellenőrzi az aláírást a nyilvános kulccsal, és összehasonlítja a kivonatot egy helyileg generált értékkel.The receiving site server checks the signature by using the public key and compares the hash with a locally generated value. Ha megegyeznek, a fogadó hely elfogadja a replikált adatokat.If they match, the receiving site accepts the replicated data. Ha az értékek nem egyeznek, a Configuration Manager elutasítja a replikált adatokat.If the values do not match, Configuration Manager rejects the replication data.

A Configuration Manager adatbázis-replikáció az SQL Server Service Broker használatával a következő mechanizmusok alapján helyek közötti adattovábbításra:Database replication in Configuration Manager uses the SQL Server Service Broker to transfer data between sites by using the following mechanisms:

  • SQL Server közötti kapcsolat: Ez Windows hitelesítő adatok használatával kiszolgáló hitelesítése és pedig 1024 bites önaláírt tanúsítványokat az adatok aláírására és titkosítására az Advanced Encryption Standard (AES) használatával.SQL Server to SQL Server connection: This uses Windows credentials for server authentication and self-signed certificates with 1024 bits to sign and encrypt the data by using Advanced Encryption Standard (AES). Ha elérhetők kiszolgálóhitelesítésre alkalmas PKI-tanúsítványok, akkor a rendszer ezeket használja.If PKI certificates with server authentication capability are available, these will be used. A tanúsítványnak a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie.The certificate must be located in the Personal store for the Computer certificate store.

  • SQL Service Broker: Ez önaláírt tanúsítványokat 2048 bites használ a hitelesítéshez, és az adatok aláírására és titkosítására az Advanced Encryption Standard (AES) használatával.SQL Service Broker: This uses self-signed certificates with 2048 bits for authentication and to sign and encrypt the data by using Advanced Encryption Standard (AES). A tanúsítványnak az SQL Server főadatbázisában kell lennie.The certificate must be located in the SQL Server master database.

    A fájlalapú replikáció SMB protokollt használ, és SHA-256 algoritmussal írja alá az adatokat, amelyek nem titkosítottak, de nem tartalmaznak bizalmas információt.File-based replication uses the Server Message Block (SMB) protocol, and uses SHA-256 to sign this data that is not encrypted but does not contain any sensitive data. Ha szeretné titkosítani az adatokat, IPsec alkalmazhat, és meg kell valósítania a egymástól függetlenül a Configuration Manager alkalmazásból.If you want to encrypt this data, you can use IPsec and must implement this independently from Configuration Manager.

Titkosítási funkciók a helyrendszerekkel HTTPS-kommunikációt használó ügyfelek számáraCryptographic controls for clients that use HTTPS communication to site systems

Ha a helyrendszeri szerepkörök fogadják az ügyfélkapcsolatokat, konfigurálhatja őket a HTTPS- és a HTTP-kapcsolatok vagy csak a HTTPS-kapcsolatok fogadására.When site system roles accept client connections, you can configure them to accept HTTPS and HTTP connections, or only HTTPS connections. Azok a helyrendszeri szerepkörök, amelyek fogadnak kapcsolatokat az internetről, csak a HTTPS-t használó ügyfélkapcsolatokat fogadják el.Site system roles that accept connections from the Internet only accept client connections over HTTPS.

A HTTPS-t használó ügyfélkapcsolatok magasabb szintű biztonságot kínálnak a nyilvános kulcsokra épülő infrastruktúrával (PKI) való integráción keresztül az ügyfél és a kiszolgáló közötti kommunikáció védelme érdekében.Client connections over HTTPS offer a higher level of security by integrating with a public key infrastructure (PKI) to help protect client-to-server communication. Ha azonban a HTTPS-ügyfélkapcsolatokat a PKI tervezésének, központi telepítésének és működtetésének alapos ismerete nélkül konfigurálja, továbbra is sebezhető maradhat a rendszer.However, configuring HTTPS client connections without a thorough understanding of PKI planning, deployment, and operations could still leave you vulnerable. Ha például nem biztosítja a legfelső szintű hitelesítésszolgáltató védelmét, a támadók a teljes PKI infrastruktúra megbízhatóságát veszélyeztethetik.For example, if you do not secure your root CA, attackers could compromise the trust of your entire PKI infrastructure. Ha a PKI-tanúsítványokat nem kontrollált és biztonságos eljárásokkal telepíti és felügyeli, az felügyelet nélkül maradt ügyfeleket eredményezhet, amelyek nem kapják meg a kritikus szoftverfrissítéseket és csomagokat.Failing to deploy and manage the PKI certificates by using controlled and secured processes might result in unmanaged clients that cannot receive critical software updates or packages.

Fontos

Az ügyfél-kommunikációban használt PKI-tanúsítványok csak az ügyfél és bizonyos helyrendszerek között védik a kommunikációt.The PKI certificates that are used for client communication protect the communication only between the client and some site systems. Nem védik meg a kommunikációs csatornát a helykiszolgáló és a helyrendszerek között, valamint a helykiszolgálók között.They do not protect the communication channel between the site server and site systems or between site servers.

Ha az ügyfelek a HTTPS-kommunikációra nem titkosított kommunikációtCommunication that is unencrypted when clients use HTTPS communication

Ha az ügyfelek HTTPS használatával kommunikálnak a helyrendszerekkel, a kommunikáció titkosítása általában SSL használatával történik.When clients communicate with site systems by using HTTPS, communications are usually encrypted over SSL. Azonban az alábbi helyzetekben az ügyfelek titkosítás nélkül kommunikálnak a helyrendszerekkel:However, in the following situations, clients communicate with site systems without using encryption:

  • Az ügyfél nem tud HTTPS-kapcsolatot létrehozni az intraneten, és HTTP-t használ helyette, ha a helyrendszerek ezt lehetővé teszikClient fails to make an HTTPS connection on the intranet and fall back to using HTTP when site systems allow this configuration

  • Kommunikáció a következő helyrendszeri szerepkörökkel:Communication to the following site system roles:

    • Az ügyfelek állapotüzeneteket küldenek a tartalék állapotkezelő pontraClient sends state messages to the fallback status point

    • Az ügyfél PXE-kérelmeket küld egy PXE-t támogató terjesztési pontraClient sends PXE requests to a PXE-enabled distribution point

    • Az ügyfél értesítési adatokat küld egy felügyeleti pontraClient sends notification data to a management point

    A jelentéskészítési szolgáltatási pontok HTTP vagy HTTPS használatára vannak konfigurálva az ügyfél-kommunikáció módjától függetlenül.Reporting services points are configured to use HTTP or HTTPS independently from the client communication mode.

Titkosítási funkciók ügyfelek Csevegés beléptetésihely-rendszerek HTTP-kommunikációt használnakCryptographic controls for clients chat use HTTP communication to site systems

Ha az ügyfelek HTTP-kommunikációt a helyrendszer-szerepköröket, a az ügyfél-hitelesítéshez, vagy önaláírt tanúsítványokat, amelyek a Configuration Manager riasztást használhatnak PKI-tanúsítványokat.When clients use HTTP communication to site system roles, they can use PKI certificates for client authentication, or self-signed certificates that Configuration Manager generates. A Configuration Manager önaláírt tanúsítványokat hoz létre, amikor azok rendelkeznek egy egyéni objektumazonosítóval az aláíráshoz és titkosításhoz, és ezek a tanúsítványok egyedileg azonosítják az ügyfelet szolgálnak.When Configuration Manager generates self-signed certificates, they have a custom object identifier for signing and encryption, and these certificates are used to uniquely identify the client. A támogatott operációs rendszerekben (a Windows Server 2003 rendszer kivételével) ezek az önaláírt tanúsítványok SHA-256 algoritmust és 2048 bites kulcsot használnak.For all supported operating systems except Windows Server 2003, these self-signed certificates use SHA-256, and have a key length of 2048 bits. A Windows Server 2003 rendszerben SHA1 algoritmust és 1024 bites kulcsot használnak.For Windows Server 2003, SHA1 is used with a key length of 1024 bits.

Operációs rendszer központi telepítése és önaláírt tanúsítványokatOperating system deployment and self-signed certificates

A Configuration Manager használatával központilag telepít operációs rendszereket önaláírt tanúsítványokat, amikor egy ügyfélszámítógép is rendelkeznie kell egy tanúsítványt a felügyeleti ponttal való kommunikáció akkor is, ha a számítógép átmeneti fázisban vannak, például egy feladatütemezési adathordozóról vagy egy PXE-képes terjesztési pontról végeznek rendszerindítást.When you use Configuration Manager to deploy operating systems with self-signed certificates, a client computer must also have a certificate to communicate with the management point, even if the computer is in a transitional phase such as booting from task sequence media or a PXE-enabled distribution point. Ez a forgatókönyv támogatása HTTP-ügyfélkapcsolatokat, a Configuration Manager generál magának önaláírt tanúsítványokat, amelyek rendelkeznek egy egyéni objektumazonosítóval az aláíráshoz és titkosításhoz, és ezek a tanúsítványok egyedileg azonosítják az ügyfelet szolgálnak.To support this scenario for HTTP client connections, Configuration Manager generates self-signed certificates that have a custom object identifier for signing and encryption, and these certificates are used to uniquely identify the client. A támogatott operációs rendszerekben (a Windows Server 2003 rendszer kivételével) ezek az önaláírt tanúsítványok SHA-256 algoritmust és 2048 bites kulcsot használnak.For all supported operating systems except Windows Server 2003, these self-signed certificates use SHA-256, and have a key length of 2048 bits. A Windows Server 2003 rendszerben SHA1 algoritmust és 1024 bites kulcsot használnak.For Windows Server 2003, SHA1 is used with a key length of 1024 bits.. Ha az önaláírt tanúsítványok integritása sérül, tiltsa le a tanúsítványokat a Tanúsítványok csomópontban, az Adminisztráció munkaterület Biztonság csomópontjában annak érdekében, hogy az esetleges támadók ne tudják megszemélyesíteni a megbízható ügyfeleket.If these self-signed certificates are compromised, to prevent attackers from using them to impersonate trusted clients, block the certificates in the Certificates node in the Administration workspace, Security node.

Ügyfél és kiszolgáló-hitelesítésClient and server authentication

Ha az ügyfelek HTTP-kapcsolaton keresztül csatlakoznak, akkor a felügyeleti pontok hitelesítéséhez vagy Active Directory tartományi szolgáltatások használatával, vagy a Configuration Manager megbízható legfelső szintű kulcs használatával.When clients connect over HTTP, they authenticate the management points by using either Active Directory Domain Services or by using the Configuration Manager trusted root key. Az ügyfelek nem hitelesítenek más helyrendszerszerepköröket, például az állapotáttelepítési pontokat vagy a szoftverfrissítési pontokat.Clients do not authenticate other site system roles, such as state migration points or software update points.

Amikor egy felügyeleti pont kezdetben hitelesít egy ügyfelet az önaláírt ügyféltanúsítvány segítségével, akkor ez a módszer minimális mértékű biztonságot nyújt, mivel minden számítógép létre tud hozni önaláírt tanúsítványt.When a management point first authenticates a client by using the self-signed client certificate, this mechanism provides minimal security because any computer can generate a self-signed certificate. Ennek a forgatókönyvnek a használata esetén az ügyfélidentitás bizonyítási eljárását jóváhagyással kell megerősíteni.In this scenario, the client identity process must be augmented by approval. Csak megbízható számítógépeket kell jóváhagyni, automatikusan a Configuration Manager által, vagy manuálisan, egy rendszergazda felhasználónak.Only trusted computers must be approved, either automatically by Configuration Manager, or manually, by an administrative user. További információkért lásd: című témakör jóváhagyással a System Center Configuration Managerben végpontok közötti kommunikáció.For more information, see the approval section in Communications between endpoints in System Center Configuration Manager.

Az SSL biztonsági réseivel kapcsolatosAbout SSL vulnerabilities

A Configuration Manager-ügyfelek és kiszolgálók biztonságának javítása érdekében tegye a következőket:To improve the security of your Configuration Manager clients and servers, do the following:

  • TLS 1.2-es engedélyezéseEnable TLS 1.2

    Ahhoz, hogy a TLS 1.2 a Configuration Manager, a következő tudásbáziscikkben talál: A TLS 1.2-es a Configuration Manager hogyan.To enable TLS 1.2 for Configuration Manager, see the following KB article: How to enable TLS 1.2 for Configuration Manager.

  • Tiltsa le a SSL 3.0, TLS 1.0-s és a TLS 1.1-esDisable SSL 3.0, TLS 1.0, and TLS 1.1
  • A TLS-hez kapcsolódó titkosítási csomagokat átrendezéseReorder the TLS-related cipher suites

További információkért lásd: hogyan korlátozása bizonyos titkosítási algoritmusok és protokollok a Schannel.dll és rangsorolása Schannel titkosítási csomagok.For more information, see How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll and Prioritizing Schannel Cipher Suites. Ezek az eljárások nincsenek hatással a Configuration Manager funkcióihoz.These procedures do not affect Configuration Manager functionality.