Pianificare la sicurezza in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Questo articolo descrive i concetti seguenti da considerare durante la pianificazione della sicurezza con l'implementazione Configuration Manager:

• Certificati (autofirmati e PKI)

• Chiave radice attendibile

• Firma e crittografia

• Amministrazione basata su ruoli

• Microsoft Entra ID

• Autenticazione del provider SMS

Prima di iniziare, assicurarsi di avere familiarità con i concetti fondamentali della sicurezza in Configuration Manager.

Certificati

Configuration Manager usa una combinazione di certificati digitali autofirmati e PKI (Public Key Infrastructure). Quando possibile, usare i certificati PKI. Alcuni scenari richiedono certificati PKI. Quando i certificati PKI non sono disponibili, il sito genera automaticamente certificati autofirmati. Alcuni scenari usano sempre certificati autofirmati.

Per altre informazioni, vedere Pianificare i certificati.

Chiave radice attendibile

Il Configuration Manager chiave radice attendibile fornisce un meccanismo per Configuration Manager client per verificare che i sistemi del sito appartengano alla gerarchia. Ogni server del sito genera una chiave di scambio del sito per comunicare con altri siti. La chiave di scambio del sito dal sito di primo livello nella gerarchia è denominata chiave radice attendibile.

La funzione della chiave radice attendibile in Configuration Manager è simile a un certificato radice in un'infrastruttura a chiave pubblica. Qualsiasi elemento firmato dalla chiave privata della chiave radice attendibile è considerato attendibile più in basso nella gerarchia. I client archivia una copia della chiave radice attendibile del sito nello spazio dei root\ccm\locationservices nomi WMI.

Ad esempio, il sito rilascia un certificato al punto di gestione, che firma con la chiave privata della chiave radice attendibile. Il sito condivide con i client la chiave pubblica della chiave radice attendibile. I client possono quindi distinguere tra i punti di gestione che si trovano nella gerarchia e i punti di gestione che non si trovano nella gerarchia.

I client ottengono automaticamente la copia pubblica della chiave radice attendibile usando due meccanismi:

• È possibile estendere lo schema di Active Directory per Configuration Manager e pubblicare il sito in Active Directory Domain Services. I client recuperano quindi le informazioni sul sito da un server di catalogo globale. Per altre informazioni, vedere Preparare Active Directory per la pubblicazione del sito.

• Quando si installano i client usando il metodo di installazione push client. Per altre informazioni, vedere Installazione push client.

Se i client non riescono a ottenere la chiave radice attendibile usando uno di questi meccanismi, considerano attendibile la chiave radice attendibile fornita dal primo punto di gestione con cui comunicano. In questo scenario, un client potrebbe essere indirizzato erroneamente al punto di gestione di un utente malintenzionato in cui riceve i criteri dal punto di gestione non autorizzato. Questa azione richiede un utente malintenzionato sofisticato. Questo attacco è limitato al breve tempo prima che il client recuperi la chiave radice attendibile da un punto di gestione valido. Per ridurre il rischio che un utente malintenzionato indirizzi erroneamente i client a un punto di gestione non autorizzato, effettuare il pre-provisioning dei client con la chiave radice attendibile.

Per altre informazioni e procedure per gestire la chiave radice attendibile, vedere Configurare la sicurezza.

Firma e crittografia

Quando si usano certificati PKI per tutte le comunicazioni client, non è necessario pianificare la firma e la crittografia per proteggere la comunicazione dei dati client. Se si configurano sistemi del sito che eseguono IIS per consentire le connessioni client HTTP, decidere come proteggere la comunicazione client per il sito.

Importante

A partire da Configuration Manager versione 2103, i siti che consentono la comunicazione client HTTP sono deprecati. Configurare il sito per HTTPS o HTTP avanzato. Per altre informazioni, vedere Abilitare il sito solo PER HTTPS o HTTP avanzato.

Per proteggere i dati inviati dai client ai punti di gestione, è possibile richiedere ai client di firmare i dati. È anche possibile richiedere l'algoritmo SHA-256 per la firma. Questa configurazione è più sicura, ma non richiede SHA-256 a meno che tutti i client non lo supportino. Molti sistemi operativi supportano questo algoritmo in modo nativo, ma i sistemi operativi meno recenti potrebbero richiedere un aggiornamento o un hotfix.

Mentre la firma consente di proteggere i dati da manomissioni, la crittografia consente di proteggere i dati dalla divulgazione di informazioni. È possibile abilitare la crittografia per i dati di inventario e i messaggi di stato inviati dai client ai punti di gestione nel sito. Non è necessario installare aggiornamenti nei client per supportare questa opzione. I client e i punti di gestione richiedono un maggiore utilizzo della CPU per la crittografia e la decrittografia.

Nota

Per crittografare i dati, il client usa la chiave pubblica del certificato di crittografia del punto di gestione. Solo il punto di gestione ha la chiave privata corrispondente, quindi solo può decrittografare i dati.

Il client esegue il bootstrap di questo certificato con il certificato di firma del punto di gestione, che esegue il bootstrap con la chiave radice attendibile del sito. Assicurarsi di effettuare il provisioning sicuro della chiave radice attendibile nei client. Per altre informazioni, vedere Chiave radice attendibile.

Per altre informazioni su come configurare le impostazioni per la firma e la crittografia, vedere Configurare la firma e la crittografia.

Per altre informazioni sugli algoritmi di crittografia usati per la firma e la crittografia, vedere Informazioni di riferimento tecnico sui controlli crittografici.

Amministrazione basata su ruoli

Con Configuration Manager si usa l'amministrazione basata sui ruoli per proteggere l'accesso che gli utenti amministratori devono usare Configuration Manager. È anche possibile proteggere l'accesso agli oggetti gestiti, ad esempio raccolte, distribuzioni e siti.

Con la combinazione di ruoli di sicurezza, ambiti di sicurezza e raccolte, è possibile separare le assegnazioni amministrative che soddisfano i requisiti dell'organizzazione. Usati insieme, definiscono l'ambito amministrativo di un utente. Questo ambito amministrativo controlla gli oggetti visualizzati da un utente amministratore nella console di Configuration Manager e controlla le autorizzazioni di un utente per tali oggetti.

Per altre informazioni, vedere Nozioni fondamentali sull'amministrazione basata su ruoli.

Microsoft Entra ID

Configuration Manager si integra con Microsoft Entra ID per consentire al sito e ai client di usare l'autenticazione moderna.

Per altre informazioni sull'ID Microsoft Entra, vedere Microsoft Entra documentazione.

L'onboarding del sito con ID Microsoft Entra supporta gli scenari di Configuration Manager seguenti:

Scenari client

• Gestire i client su Internet tramite il gateway di gestione cloud

• Gestire i dispositivi aggiunti al dominio cloud

• Co-gestione

• Distribuire app disponibili per l'utente

• Microsoft Store per le aziende app online

• Gestire Microsoft 365 Apps for enterprise

Scenari server

• Desktop Analytics

• Connessione tenant

• Analisi degli endpoint

• Azure Log Analytics

• Hub della community

• Individuazione utente

Autenticazione del provider SMS

È possibile specificare il livello di autenticazione minimo per consentire agli amministratori di accedere ai siti Configuration Manager. Questa funzionalità impone agli amministratori di accedere a Windows con il livello richiesto prima di poter accedere a Configuration Manager. Si applica a tutti i componenti che accedono al provider SMS. Ad esempio, la console Configuration Manager, i metodi SDK e i cmdlet di Windows PowerShell.

Configuration Manager supporta i livelli di autenticazione seguenti:

• autenticazione di Windows: richiedere l'autenticazione con le credenziali di dominio di Active Directory. Questa impostazione è il comportamento precedente e l'impostazione predefinita corrente.

• Autenticazione del certificato: richiedere l'autenticazione con un certificato valido emesso da un'autorità di certificazione PKI attendibile. Il certificato non viene configurato in Configuration Manager. Configuration Manager richiede l'accesso dell'amministratore a Windows tramite PKI.

• Windows Hello for Business autenticazione: richiedere l'autenticazione con autenticazione a due fattori avanzata collegata a un dispositivo e che usa la biometria o un PIN. Per ulteriori informazioni, vedere Windows Hello for Business.

  Importante

  Quando si seleziona questa impostazione, il provider SMS e il servizio di amministrazione richiedono che il token di autenticazione dell'utente contenga un'attestazione MFA (Multi-Factor Authentication) da Windows Hello for Business. In altre parole, un utente della console, dell'SDK, di PowerShell o del servizio di amministrazione deve eseguire l'autenticazione a Windows con il PIN o la biometria Windows Hello for Business. In caso contrario, il sito rifiuta l'azione dell'utente.

  Questo comportamento è per Windows Hello for Business, non per Windows Hello.

Per altre informazioni su come configurare questa impostazione, vedere Configurare l'autenticazione del provider SMS.

Passaggi successivi

• Certificati in Configuration Manager

• Piano per i certificati PKI

• Configurare la sicurezza

• Informazioni di riferimento tecniche sui controlli crittografici