Beveiliging en privacy voor sitebeheer in Configuration Manager

Van toepassing op: Configuration Manager (current branch)

Dit artikel bevat informatie over beveiliging en privacy voor Configuration Manager sites en de hiërarchie.

Beveiligingsrichtlijnen voor sitebeheer

Gebruik de volgende richtlijnen om Configuration Manager sites en de hiërarchie te beveiligen.

Installatie uitvoeren vanuit een vertrouwde bron en beveiligde communicatie

Om te voorkomen dat iemand met de bronbestanden kan knoeien, voert u Configuration Manager setup uit vanaf een vertrouwde bron. Als u de bestanden op het netwerk opslaat, beveiligt u de netwerklocatie.

Als u de installatie uitvoert vanaf een netwerklocatie, gebruikt u IPsec- of SMB-ondertekening tussen de bronlocatie van de installatiebestanden en de siteserver om te voorkomen dat een aanvaller met de bestanden kan knoeien terwijl deze via het netwerk worden verzonden.

Als u de Setup Downloader gebruikt om de bestanden te downloaden die vereist zijn voor de installatie, moet u ervoor zorgen dat u de locatie beveiligt waar deze bestanden zijn opgeslagen. Beveilig ook het communicatiekanaal voor deze locatie wanneer u de installatie uitvoert.

Het Active Directory-schema uitbreiden en sites publiceren naar het domein

Schema-extensies zijn niet vereist om Configuration Manager uit te voeren, maar ze maken wel een veiligere omgeving. Clients en siteservers kunnen informatie ophalen uit een vertrouwde bron.

Als clients zich in een niet-vertrouwd domein bevinden, implementeert u de volgende sitesysteemrollen in de domeinen van de clients:

• Beheerpunt

• Distributiepunt

Opmerking

Voor een vertrouwd domein voor Configuration Manager is Kerberos-verificatie vereist. Als clients zich in een ander forest bevinden dat geen tweerichtingsforestvertrouwensrelatie heeft met het forest van de siteserver, worden deze clients beschouwd als in een niet-vertrouwd domein. Een externe vertrouwensrelatie is hiervoor niet voldoende.

IPsec gebruiken om communicatie te beveiligen

Hoewel Configuration Manager beveiligde communicatie tussen de siteserver en de computer waarop SQL Server wordt uitgevoerd, beveiligt Configuration Manager de communicatie tussen sitesysteemrollen en SQL Server niet. U kunt alleen bepaalde sitesystemen configureren met HTTPS voor intrasite-communicatie.

Als u geen extra besturingselementen gebruikt om deze server-naar-server-kanalen te beveiligen, kunnen aanvallers verschillende spoofing- en man-in-the-middle-aanvallen op sitesystemen gebruiken. Gebruik SMB-ondertekening wanneer u IPsec niet kunt gebruiken.

Belangrijk

Beveilig het communicatiekanaal tussen de siteserver en de pakketbronserver. Deze communicatie maakt gebruik van SMB. Als u IPsec niet kunt gebruiken om deze communicatie te beveiligen, gebruikt u SMB-ondertekening om ervoor te zorgen dat er niet met de bestanden wordt geknoeid voordat clients ze downloaden en uitvoeren.

De standaardbeveiligingsgroepen niet wijzigen

Wijzig de volgende beveiligingsgroepen die Configuration Manager maakt en beheert voor sitesysteemcommunicatie niet:

• <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager maakt en beheert deze beveiligingsgroepen automatisch. Dit gedrag omvat het verwijderen van computeraccounts wanneer een sitesysteemrol wordt verwijderd.

Als u ervoor wilt zorgen dat de servicecontinuïteit en de minste bevoegdheden zijn, moet u deze groepen niet handmatig bewerken.

Het inrichtingsproces voor vertrouwde basissleutels beheren

Als clients geen query's kunnen uitvoeren op de globale catalogus voor Configuration Manager informatie, moeten ze vertrouwen op de vertrouwde hoofdsleutel om geldige beheerpunten te verifiëren. De vertrouwde basissleutel wordt opgeslagen in het clientregister. Deze kan worden ingesteld met behulp van groepsbeleid of handmatige configuratie.

Als de client geen kopie van de vertrouwde hoofdsleutel heeft voordat deze voor het eerst contact opneemt met een beheerpunt, vertrouwt deze het eerste beheerpunt waarmee het communiceert. Om het risico te verminderen dat een aanvaller clients verkeerd omwijst naar een niet-geautoriseerd beheerpunt, kunt u de clients vooraf inrichten met de vertrouwde hoofdsleutel. Zie Planning voor de vertrouwde hoofdsleutel voor meer informatie.

Niet-standaardpoortnummers gebruiken

Het gebruik van niet-standaardpoortnummers kan extra beveiliging bieden. Ze maken het moeilijker voor aanvallers om de omgeving te verkennen ter voorbereiding op een aanval. Als u besluit om niet-standaardpoorten te gebruiken, moet u deze plannen voordat u Configuration Manager installeert. Gebruik ze consistent op alle sites in de hiërarchie. Clientaanvraagpoorten en Wake On LAN zijn voorbeelden waarbij u niet-standaardpoortnummers kunt gebruiken.

Rolscheiding op sitesystemen gebruiken

Hoewel u alle sitesysteemrollen op één computer kunt installeren, wordt deze praktijk zelden gebruikt in productienetwerken. Er wordt een Single Point of Failure gemaakt.

Het aanvalsprofiel verminderen

Het isoleren van elke sitesysteemrol op een andere server vermindert de kans dat een aanval op beveiligingsproblemen op het ene sitesysteem kan worden gebruikt tegen een ander sitesysteem. Voor veel rollen is de installatie van IIS (Internet Information Services) op het sitesysteem vereist, en deze behoefte vergroot de kwetsbaarheid voor aanvallen. Als u rollen moet combineren om hardware-uitgaven te verminderen, combineert u IIS-rollen alleen met andere rollen waarvoor IIS is vereist.

Belangrijk

De terugvalstatuspuntrol is een uitzondering. Omdat deze sitesysteemrol niet-geverifieerde gegevens van clients accepteert, moet u de terugvalstatuspuntrol niet toewijzen aan een andere Configuration Manager sitesysteemrol.

Statische IP-adressen configureren voor sitesystemen

Statische IP-adressen zijn gemakkelijker te beschermen tegen aanvallen met naamomzetting.

Statische IP-adressen maken ook de configuratie van IPsec eenvoudiger. Het gebruik van IPsec is een aanbevolen beveiligingsprocedure voor het beveiligen van de communicatie tussen sitesystemen in Configuration Manager.

Installeer geen andere toepassingen op sitesysteemservers

Wanneer u andere toepassingen op sitesysteemservers installeert, vergroot u de kwetsbaarheid voor aanvallen voor Configuration Manager. U riskeer ook incompatibiliteitsproblemen.

Ondertekening vereisen en versleuteling als siteoptie inschakelen

Schakel de opties voor ondertekening en versleuteling voor de site in. Zorg ervoor dat alle clients het SHA-256-hashalgoritme kunnen ondersteunen en schakel vervolgens de optie SHA-256 vereisen in.

Gebruikers met beheerdersrechten beperken en bewaken

Verwijs beheerderstoegang aan Configuration Manager alleen aan gebruikers die u vertrouwt. Verdeel ze vervolgens minimale machtigingen met behulp van de ingebouwde beveiligingsrollen of door de beveiligingsrollen aan te passen. Gebruikers met beheerdersrechten die software en configuraties kunnen maken, wijzigen en implementeren, kunnen mogelijk apparaten in de Configuration Manager-hiërarchie beheren.

Controleer regelmatig gebruikerstoewijzingen met beheerdersrechten en hun autorisatieniveau om de vereiste wijzigingen te controleren.

Zie Op rollen gebaseerd beheer configureren voor meer informatie.

Back-ups van beveiligde Configuration Manager

Wanneer u een back-up maakt van Configuration Manager, bevat deze informatie certificaten en andere gevoelige gegevens die door een aanvaller kunnen worden gebruikt voor imitatie.

Gebruik SMB-ondertekening of IPsec wanneer u deze gegevens via het netwerk overdraagt en beveilig de back-uplocatie.

Beveiligde locaties voor geëxporteerde objecten

Wanneer u objecten exporteert of importeert vanuit de Configuration Manager-console naar een netwerklocatie, beveiligt u de locatie en beveiligt u het netwerkkanaal.

Beperken wie toegang heeft tot de netwerkmap.

Als u wilt voorkomen dat een aanvaller kan knoeien met de geëxporteerde gegevens, gebruikt u SMB-ondertekening of IPsec tussen de netwerklocatie en de siteserver. Beveilig ook de communicatie tussen de computer waarop de Configuration Manager-console en siteserver wordt uitgevoerd. Gebruik IPsec om de gegevens op het netwerk te versleutelen om openbaarmaking van informatie te voorkomen.

Certificaten handmatig verwijderen van mislukte servers

Als een sitesysteem niet goed wordt verwijderd of niet meer werkt en niet meer kan worden hersteld, verwijdert u de Configuration Manager certificaten voor deze server handmatig van andere Configuration Manager servers.

Als u de peervertrouwensrelatie wilt verwijderen die oorspronkelijk is ingesteld met de sitesysteem- en sitesysteemrollen, verwijdert u handmatig de Configuration Manager certificaten voor de mislukte server in het vertrouwde Mensen certificaatarchief op andere sitesysteemservers. Deze actie is belangrijk als u de server opnieuw gebruikt zonder deze opnieuw te formatteren.

Zie Cryptografische besturingselementen voor servercommunicatie voor meer informatie.

Configureer geen op internet gebaseerde sitesystemen om het perimeternetwerk te overbruggingen

Configureer geen sitesysteemservers zodat ze verbinding maken met het perimeternetwerk en het intranet. Hoewel met deze configuratie op internet gebaseerde sitesystemen clientverbindingen van internet en intranet kunnen accepteren, wordt hiermee een beveiligingsgrens tussen het perimeternetwerk en het intranet geëlimineerd.

De siteserver configureren om verbindingen met perimeternetwerken te initiëren

Als een sitesysteem zich op een niet-vertrouwd netwerk bevindt, zoals een perimeternetwerk, configureert u de siteserver om verbindingen met het sitesysteem te initiëren.

Standaard initiëren sitesystemen verbindingen met de siteserver om gegevens over te dragen. Deze configuratie kan een beveiligingsrisico vormen wanneer de verbinding wordt gestart van een niet-vertrouwd netwerk naar het vertrouwde netwerk. Wanneer sitesystemen verbindingen van internet accepteren of zich in een niet-vertrouwd forest bevinden, configureert u de optie sitesysteem op Vereisen dat de siteserver verbindingen met dit sitesysteem initieert. Na de installatie van het sitesysteem en eventuele functies worden alle verbindingen gestart door de siteserver vanuit het vertrouwde netwerk.

SSL-bridging en -beëindiging gebruiken met verificatie

Als u een webproxyserver gebruikt voor clientbeheer op internet, gebruikt u SSL-bridging naar SSL, door beëindiging met verificatie te gebruiken.

Wanneer u SSL-beëindiging configureert op de proxywebserver, worden pakketten van internet gecontroleerd voordat ze worden doorgestuurd naar het interne netwerk. De proxywebserver verifieert de verbinding van de client, beëindigt deze en opent vervolgens een nieuwe geverifieerde verbinding met de op internet gebaseerde sitesystemen.

Wanneer Configuration Manager clientcomputers een proxywebserver gebruiken om verbinding te maken met sitesystemen op internet, wordt de clientidentiteit (GUID) veilig opgenomen in de nettolading van het pakket. Vervolgens beschouwt het beheerpunt de proxywebserver niet als de client.

Als uw proxywebserver de vereisten voor SSL-bridging niet ondersteunt, wordt SSL-tunneling ook ondersteund. Deze optie is minder veilig. De SSL-pakketten van internet worden zonder beëindiging doorgestuurd naar de sitesystemen. Vervolgens kunnen ze niet worden geïnspecteerd op schadelijke inhoud.

Waarschuwing

Mobiele apparaten die zijn geregistreerd door Configuration Manager kunnen ssl-bridging niet gebruiken. Ze mogen alleen SSL-tunneling gebruiken.

Configuraties die moeten worden gebruikt als u de site configureert om computers te activeren om software te installeren

• Als u traditionele ontwaakpakketten gebruikt, gebruikt u unicast in plaats van subnetgestuurde uitzendingen.

• Als u subnetgestuurde broadcasts moet gebruiken, configureert u routers om IP-gerichte uitzendingen alleen toe te staan vanaf de siteserver en alleen op een niet-standaardpoortnummer.

Zie Planning how to wake up clients (Clients activeren plannen) voor meer informatie over de verschillende Wake On LAN-technologieën.

Als u e-mailmeldingen gebruikt, configureert u geverifieerde toegang tot de SMTP-e-mailserver

Gebruik waar mogelijk een e-mailserver die geverifieerde toegang ondersteunt. Gebruik het computeraccount van de siteserver voor verificatie. Als u een gebruikersaccount voor verificatie moet opgeven, gebruikt u een account met de minste bevoegdheden.

LDAP-kanaalbinding en LDAP-ondertekening afdwingen

De beveiliging van Active Directory-domeincontrollers kan worden verbeterd door de server zo te configureren dat LDAP-bindingen voor eenvoudige verificatie en beveiligingslagen (SASL) worden geweigerd die geen ondertekening aanvragen of om eenvoudige LDAP-bindingen te weigeren die worden uitgevoerd op een verbinding met een duidelijke tekst. Vanaf versie 1910 ondersteunt Configuration Manager het afdwingen van LDAP-kanaalbinding en LDAP-ondertekening. Zie Vereisten voor 2020 LDAP-kanaalbinding en LDAP-ondertekening voor Windows voor meer informatie.

Beveiligingsrichtlijnen voor de siteserver

Gebruik de volgende richtlijnen om de Configuration Manager siteserver te beveiligen.

Waarschuwing

Netwerktoegangsaccount: ververleent geen interactieve aanmeldingsrechten aan dit account op SQL-servers. Geef dit account niet het recht om computers aan het domein toe te voegen. Als u computers tijdens een takenreeks moet toevoegen aan het domein, gebruikt u het account Takenreeksdeelname..

Installeer Configuration Manager op een lidserver in plaats van op een domeincontroller

De Configuration Manager siteserver en sitesystemen vereisen geen installatie op een domeincontroller. Domeincontrollers hebben geen andere lokale SAM-database (Security Accounts Management) dan de domeindatabase. Wanneer u Configuration Manager op een lidserver installeert, kunt u Configuration Manager accounts onderhouden in de lokale SAM-database in plaats van in de domeindatabase.

Deze oefening verlaagt ook de kwetsbaarheid voor aanvallen op uw domeincontrollers.

Secundaire sites installeren zonder de bestanden via het netwerk te kopiëren

Wanneer u setup uitvoert en een secundaire site maakt, selecteert u niet de optie om de bestanden van de bovenliggende site naar de secundaire site te kopiëren. Gebruik ook geen netwerkbronlocatie. Wanneer u bestanden kopieert via het netwerk, kan een ervaren aanvaller het installatiepakket van de secundaire site kapen en knoeien met de bestanden voordat ze worden geïnstalleerd. Het timen van deze aanval zou moeilijk zijn. Deze aanval kan worden beperkt door IPsec of SMB te gebruiken wanneer u de bestanden overdraagt.

In plaats van de bestanden via het netwerk te kopiëren, kopieert u op de secundaire siteserver de bronbestanden van de mediamap naar een lokale map. Wanneer u vervolgens setup uitvoert om een secundaire site te maken, selecteert u op de pagina Installatiebronbestandende optie De bronbestanden gebruiken op de volgende locatie op de secundaire sitecomputer (veiligste) en geeft u deze map op.

Zie Een secundaire site installeren voor meer informatie.

Installatie van siterol neemt machtigingen over van de hoofdmap van het station

Zorg ervoor dat u de machtigingen voor het systeemstation correct configureert voordat u de eerste sitesysteemrol op een server installeert. Neemt bijvoorbeeld C:\SMS_CCM machtigingen over van C:\. Als de hoofdmap van het station niet goed is beveiligd, kunnen gebruikers met lage rechten mogelijk inhoud in de map Configuration Manager openen of wijzigen.

Beveiligingsrichtlijnen voor SQL Server

Configuration Manager gebruikt SQL Server als de back-enddatabase. Als de database is gecompromitteerd, kunnen aanvallers Configuration Manager omzeilen. Als ze rechtstreeks toegang hebben tot SQL Server, kunnen ze aanvallen starten via Configuration Manager. Beschouw aanvallen tegen SQL Server als een hoog risico en verminder ze op de juiste manier.

Gebruik de volgende beveiligingsrichtlijnen om SQL Server voor Configuration Manager te beveiligen.

Gebruik de Configuration Manager sitedatabaseserver niet om andere SQL Server toepassingen uit te voeren

Wanneer u de toegang tot de Configuration Manager sitedatabaseserver vergroot, verhoogt deze actie het risico voor uw Configuration Manager gegevens. Als de Configuration Manager sitedatabase wordt gecompromitteerd, worden ook andere toepassingen op dezelfde SQL Server computer in gevaar gebracht.

SQL Server configureren voor het gebruik van Windows-verificatie

Hoewel Configuration Manager de sitedatabase opent met behulp van een Windows-account en Windows-verificatie, is het nog steeds mogelijk om SQL Server te configureren om SQL Server gemengde modus te gebruiken. SQL Server gemengde modus staat extra SQL Server aanmeldingen toe om toegang te krijgen tot de database. Deze configuratie is niet vereist en verhoogt de kwetsbaarheid voor aanvallen.

SQL Server Express op secundaire sites bijwerken

Wanneer u een primaire site installeert, downloadt Configuration Manager SQL Server Express van het Microsoft Downloadcentrum. Vervolgens worden de bestanden gekopieerd naar de primaire siteserver. Wanneer u een secundaire site installeert en de optie selecteert waarmee SQL Server Express wordt geïnstalleerd, installeert Configuration Manager de eerder gedownloade versie. Er wordt niet gecontroleerd of er nieuwe versies beschikbaar zijn. Voer een van de volgende taken uit om ervoor te zorgen dat de secundaire site de nieuwste versies heeft:

• Nadat u de secundaire site hebt geïnstalleerd, voert u Windows Update uit op de secundaire siteserver.

• Voordat u de secundaire site installeert, installeert u handmatig SQL Server Express op de secundaire siteserver. Zorg ervoor dat u de nieuwste versie en eventuele software-updates installeert. Installeer vervolgens de secundaire site en selecteer de optie om een bestaand SQL Server-exemplaar te gebruiken.

Voer regelmatig Windows Update uit voor alle geïnstalleerde versies van SQL Server. Deze procedure zorgt ervoor dat ze de nieuwste software-updates hebben.

Volg de algemene richtlijnen voor SQL Server

Identificeer en volg de algemene richtlijnen voor uw versie van SQL Server. Houd echter rekening met de volgende vereisten voor Configuration Manager:

• Het computeraccount van de siteserver moet lid zijn van de groep Administrators op de computer waarop SQL Server wordt uitgevoerd. Als u de SQL Server aanbeveling 'beheerdersprincipals expliciet inrichten' volgt, moet het account dat u gebruikt om setup uit te voeren op de siteserver lid zijn van de groep SQL Server Gebruikers.

• Als u SQL Server installeert met behulp van een domeingebruikersaccount, controleert u of het computeraccount van de siteserver is geconfigureerd voor een Service Principal Name (SPN) die is gepubliceerd naar Active Directory Domain Services. Zonder de SPN mislukt Kerberos-verificatie en mislukt de installatie van Configuration Manager.

Beveiligingsrichtlijnen voor sitesystemen waarop IIS wordt uitgevoerd

Voor verschillende sitesysteemrollen in Configuration Manager is IIS vereist. Het proces voor het beveiligen van IIS stelt Configuration Manager in staat om correct te werken en vermindert het risico op beveiligingsaanvallen. Wanneer dit praktisch is, minimaliseer dan het aantal servers waarvoor IIS is vereist. Voer bijvoorbeeld alleen het aantal beheerpunten uit dat u nodig hebt om uw clientbasis te ondersteunen, rekening houdend met hoge beschikbaarheid en netwerkisolatie voor clientbeheer op internet.

Gebruik de volgende richtlijnen om de sitesystemen te beveiligen waarop IIS wordt uitgevoerd.

IIS-functies uitschakelen die u niet nodig hebt

Installeer alleen de minimale IIS-functies voor de sitesysteemrol die u installeert. Zie Vereisten voor site- en sitesysteem voor meer informatie.

De sitesysteemrollen configureren om HTTPS te vereisen

Wanneer clients verbinding maken met een sitesysteem via HTTP in plaats van https, gebruiken ze Windows-verificatie. Dit gedrag kan terugvallen op het gebruik van NTLM-verificatie in plaats van Kerberos-verificatie. Wanneer NTLM-verificatie wordt gebruikt, kunnen clients verbinding maken met een rogue server.

De uitzondering op deze richtlijnen kan distributiepunten zijn. Pakkettoegangsaccounts werken niet wanneer het distributiepunt is geconfigureerd voor HTTPS. Pakkettoegangsaccounts bieden autorisatie voor de inhoud, zodat u kunt beperken welke gebruikers toegang hebben tot de inhoud. Zie Beveiligingsrichtlijnen voor inhoudsbeheer voor meer informatie.

Belangrijk

Vanaf Configuration Manager versie 2103 worden sites die HTTP-clientcommunicatie toestaan, afgeschaft. Configureer de site voor HTTPS of Verbeterde HTTP. Zie De site inschakelen voor alleen HTTPS of verbeterde HTTP voor meer informatie.

Een certificaatvertrouwenslijst (CTL) configureren in IIS voor sitesysteemrollen

Sitesysteemrollen:

• Een distributiepunt dat u configureert voor HTTPS

• Een beheerpunt dat u configureert voor HTTPS en inschakelt ter ondersteuning van mobiele apparaten

Een CTL is een gedefinieerde lijst met vertrouwde basiscertificeringsinstanties (CA's). Wanneer u een CTL met groepsbeleid en een PKI-implementatie (Public Key Infrastructure) gebruikt, kunt u met een CTL de bestaande vertrouwde basis-CA's aanvullen die in uw netwerk zijn geconfigureerd. Bijvoorbeeld CA's die automatisch worden geïnstalleerd met Microsoft Windows of die worden toegevoegd via Windows Enterprise-basis-CA's. Wanneer een CTL is geconfigureerd in IIS, wordt een subset van die vertrouwde basis-CA's gedefinieerd.

Deze subset biedt u meer controle over de beveiliging. De CTL beperkt de clientcertificaten die worden geaccepteerd tot alleen de certificaten die zijn uitgegeven uit de lijst met CA's in de CTL. Windows wordt bijvoorbeeld geleverd met een aantal bekende CA-certificaten van derden.

Standaard vertrouwt de computer waarop IIS wordt uitgevoerd certificaten die zijn gekoppeld aan deze bekende CA's. Wanneer u IIS niet configureert met een CTL voor de vermelde sitesysteemrollen, accepteert de site elk apparaat met een certificaat dat is uitgegeven door deze CA's als een geldige client. Als u IIS configureert met een CTL die deze CA's niet bevat, weigert de site clientverbindingen als het certificaat is gekoppeld aan deze CA's. Om Configuration Manager clients te accepteren voor de vermelde sitesysteemrollen, moet u IIS configureren met een CTL die de CA's specificeert die door Configuration Manager-clients worden gebruikt.

Opmerking

Alleen voor de vermelde sitesysteemrollen moet u een CTL configureren in IIS. De lijst met certificaatverleners die Configuration Manager gebruikt voor beheerpunten biedt dezelfde functionaliteit voor clientcomputers wanneer ze verbinding maken met HTTPS-beheerpunten.

Zie de IIS-documentatie voor meer informatie over het configureren van een lijst met vertrouwde CA's in IIS.

Plaats de siteserver niet op een computer met IIS

Rolscheiding helpt het aanvalsprofiel te verminderen en de herstelbaarheid te verbeteren. Het computeraccount van de siteserver heeft doorgaans beheerdersbevoegdheden voor alle sitesysteemrollen. Het kan ook deze bevoegdheden hebben voor Configuration Manager clients, als u clientpushinstallatie gebruikt.

Toegewezen IIS-servers gebruiken voor Configuration Manager

Hoewel u meerdere webtoepassingen kunt hosten op de IIS-servers die ook door Configuration Manager worden gebruikt, kan deze oefening uw kwetsbaarheid voor aanvallen aanzienlijk vergroten. Een slecht geconfigureerde toepassing kan een aanvaller de controle geven over een Configuration Manager-sitesysteem. Door deze schending kan een aanvaller controle krijgen over de hiërarchie.

Als u andere webtoepassingen moet uitvoeren op Configuration Manager sitesystemen, maakt u een aangepaste website voor Configuration Manager sitesystemen.

Een aangepaste website gebruiken

Voor sitesystemen waarop IIS wordt uitgevoerd, configureert u Configuration Manager om een aangepaste website te gebruiken in plaats van de standaardwebsite. Als u andere webtoepassingen op het sitesysteem moet uitvoeren, moet u een aangepaste website gebruiken. Deze instelling is een instelling voor de hele site in plaats van een instelling voor een specifiek sitesysteem.

Wanneer u aangepaste websites gebruikt, verwijdert u de standaard virtuele mappen

Wanneer u de standaardwebsite wijzigt in een aangepaste website, worden Configuration Manager de oude virtuele mappen niet verwijderd. Verwijder de virtuele mappen die Configuration Manager gemaakt onder de standaardwebsite.

Verwijder bijvoorbeeld de volgende virtuele mappen voor een distributiepunt:

• SMS_DP_SMSPKG$

• SMS_DP_SMSSIG$

• NOCERT_SMS_DP_SMSPKG$

• NOCERT_SMS_DP_SMSSIG$

Volg de richtlijnen voor IIS-serverbeveiliging

Identificeer en volg de algemene richtlijnen voor uw versie van IIS Server. Houd rekening met eventuele vereisten die Configuration Manager heeft voor specifieke sitesysteemrollen. Zie Vereisten voor site- en sitesysteem voor meer informatie.

Aangepaste IIS-headers configureren

Configureer de volgende aangepaste headers om MIME-sniffing uit te schakelen:

x-content-type-options: nosniff

Zie Aangepaste headers voor meer informatie.

Als andere services hetzelfde IIS-exemplaar gebruiken, controleert u of deze aangepaste headers compatibel zijn.

Beveiligingsrichtlijnen voor het beheerpunt

Beheerpunten zijn de primaire interface tussen apparaten en Configuration Manager. Beschouw aanvallen op het beheerpunt en de server waarop het wordt uitgevoerd als een hoog risico en verminder op de juiste manier. Pas alle toepasselijke beveiligingsrichtlijnen toe en controleer op ongebruikelijke activiteiten.

Gebruik de volgende richtlijnen om een beheerpunt in Configuration Manager te beveiligen.

De client op een beheerpunt toewijzen aan dezelfde site

Vermijd het scenario waarin u de Configuration Manager client die zich op een beheerpunt bevindt, toewijst aan een andere site dan de site van het beheerpunt.

Als u migreert van een eerdere versie naar Configuration Manager huidige vertakking, migreert u de client op het beheerpunt zo snel mogelijk naar de nieuwe site.

Beveiligingsrichtlijnen voor het terugvalstatuspunt

Als u een terugvalstatuspunt installeert in Configuration Manager, gebruikt u de volgende beveiligingsrichtlijnen:

Zie Bepalen of u een terugvalstatuspunt nodig hebt voor meer informatie over de beveiligingsoverwegingen bij het installeren van een terugvalstatuspunt.

Voer geen andere rollen uit op hetzelfde sitesysteem

Het terugvalstatuspunt is ontworpen om niet-geverifieerde communicatie vanaf elke computer te accepteren. Als u deze sitesysteemrol uitvoert met andere rollen of een domeincontroller, neemt het risico voor die server aanzienlijk toe.

Installeer het terugvalstatuspunt voordat u clients met PKI-certificaten installeert

Als Configuration Manager-sitesystemen geen HTTP-clientcommunicatie accepteren, weet u mogelijk niet dat clients niet worden beheerd vanwege PKI-gerelateerde certificaatproblemen. Als u clients toewijst aan een terugvalstatuspunt, melden ze deze certificaatproblemen via het terugvalstatuspunt.

Om veiligheidsredenen kunt u geen terugvalstatuspunt toewijzen aan clients nadat ze zijn geïnstalleerd. U kunt deze rol alleen toewijzen tijdens de clientinstallatie.

Vermijd het gebruik van het terugvalstatuspunt in het perimeternetwerk

Standaard accepteert het terugvalstatuspunt gegevens van elke client. Hoewel een terugvalstatuspunt in het perimeternetwerk u kan helpen bij het oplossen van problemen met internetclients, kunt u de voordelen van probleemoplossing afwegen met het risico van een sitesysteem dat niet-geverifieerde gegevens accepteert in een openbaar toegankelijk netwerk.

Als u het terugvalstatuspunt in het perimeternetwerk of een niet-vertrouwd netwerk installeert, configureert u de siteserver om gegevensoverdracht te starten. Gebruik niet de standaardinstelling waarmee het terugvalstatuspunt een verbinding met de siteserver kan initiëren.

Beveiligingsproblemen voor sitebeheer

Bekijk de volgende beveiligingsproblemen voor Configuration Manager:

• Configuration Manager heeft geen bescherming tegen een geautoriseerde gebruiker met beheerdersrechten die Configuration Manager gebruikt om het netwerk aan te vallen. Niet-geautoriseerde gebruikers met beheerdersrechten vormen een hoog beveiligingsrisico. Ze kunnen veel aanvallen starten, waaronder de volgende strategieën:

  • Gebruik software-implementatie om automatisch schadelijke software te installeren en uit te voeren op elke Configuration Manager clientcomputer in de organisatie.

  • Beheer een Configuration Manager client op afstand zonder clientmachtiging.

  • Snelle polling-intervallen en extreme voorraadbedragen configureren. Met deze actie worden denial-of-service-aanvallen op de clients en servers gemaakt.

  • Gebruik één site in de hiërarchie om gegevens te schrijven naar de Active Directory-gegevens van een andere site.

  De sitehiërarchie is de beveiligingsgrens. Beschouw sites als alleen beheergrenzen.

  Controleer alle gebruikersactiviteiten met beheerdersrechten en controleer regelmatig de auditlogboeken. Vereisen dat alle Configuration Manager gebruikers met beheerdersrechten een achtergrondcontrole ondergaan voordat ze worden aangenomen. Periodieke hercontroles vereisen als voorwaarde voor werkgelegenheid.

• Als het inschrijvingspunt is gecompromitteerd, kan een aanvaller certificaten verkrijgen voor verificatie. Ze kunnen de referenties stelen van gebruikers die hun mobiele apparaten inschrijven.

  Het inschrijvingspunt communiceert met een CA. Hiermee kunnen Active Directory-objecten worden gemaakt, gewijzigd en verwijderd. Installeer nooit het inschrijvingspunt in het perimeternetwerk. Controleer altijd op ongebruikelijke activiteiten.

• Als u gebruikersbeleid voor clientbeheer op internet toestaat, verhoogt u uw aanvalsprofiel.

  Naast het gebruik van PKI-certificaten voor client-naar-server-verbindingen, vereisen deze configuraties Windows-verificatie. Ze kunnen terugvallen op het gebruik van NTLM-verificatie in plaats van Kerberos. NTLM-verificatie is kwetsbaar voor imitatie- en herhalingsaanvallen. Als u een gebruiker op internet wilt verifiëren, moet u een verbinding van het sitesysteem op internet naar een domeincontroller toestaan.

• De Beheer$ share is vereist op sitesysteemservers.

  De Configuration Manager siteserver gebruikt de Beheer$-share om verbinding te maken met en servicebewerkingen uit te voeren op sitesystemen. Deze share niet uitschakelen of verwijderen.

• Configuration Manager maakt gebruik van naamomzettingsservices om verbinding te maken met andere computers. Deze services zijn moeilijk te beveiligen tegen de volgende beveiligingsaanvallen:

  • Spoofing
  • Knoeien
  • Weerlegbaarheid
  • Openbaarmaking van informatie
  • Denial of Service
  • Uitbreiding van bevoegdheden

  Identificeer en volg alle beveiligingsrichtlijnen voor de versie van DNS die u gebruikt voor naamomzetting.

Privacy-informatie voor detectie

Detectie maakt records voor netwerkresources en slaat deze op in de Configuration Manager-database. Detectiegegevensrecords bevatten computergegevens zoals IP-adressen, versies van het besturingssysteem en computernamen. U kunt ook Active Directory-detectiemethoden configureren om alle informatie te retourneren die uw organisatie in Active Directory Domain Services opslaat.

De enige detectiemethode die Configuration Manager standaard inschakelt, is Heartbeat Discovery. Met deze methode worden alleen computers gedetecteerd waarop de Configuration Manager-clientsoftware al is geïnstalleerd.

Detectiegegevens worden niet rechtstreeks naar Microsoft verzonden. Deze wordt opgeslagen in de Configuration Manager-database. Configuration Manager behoudt informatie in de database totdat de gegevens worden verwijderd. Dit proces vindt elke 90 dagen plaats door de siteonderhoudstaak Verouderde detectiegegevens verwijderen.