Technische naslaginformatie over cryptografische besturingselementen
Van toepassing op: Configuration Manager (current branch)
Configuration Manager maakt gebruik van ondertekening en versleuteling om het beheer van de apparaten in de Configuration Manager-hiërarchie te beveiligen. Met ondertekening worden gegevens die tijdens de overdracht zijn gewijzigd, verwijderd. Versleuteling helpt voorkomen dat een aanvaller de gegevens leest met behulp van een netwerkprotocolanalyse.
Het primaire hash-algoritme dat Configuration Manager gebruikt voor ondertekening is SHA-256. Wanneer twee Configuration Manager sites met elkaar communiceren, ondertekenen ze hun communicatie met SHA-256.
Vanaf versie 2107 is het primaire versleutelingsalgoritmen dat Configuration Manager gebruikt AES-256. Versleuteling vindt voornamelijk plaats in de volgende twee gebieden:
Als u de site inschakelt om versleuteling te gebruiken, versleutelt de client de inventarisgegevens en statusberichten die naar het beheerpunt worden verzonden.
Wanneer de client geheim beleid downloadt, versleutelt het beheerpunt deze beleidsregels altijd. Bijvoorbeeld een takenreeks voor de implementatie van het besturingssysteem die wachtwoorden bevat.
Voor clients met versie 2103 en eerder is het primaire versleutelingsalgoritmen 3DES.
Opmerking
Als u HTTPS-communicatie configureert, worden deze berichten tweemaal versleuteld. Het bericht wordt versleuteld met AES, waarna het HTTPS-transport wordt versleuteld met AES.
Wanneer u clientcommunicatie via HTTPS gebruikt, configureert u uw PKI (Public Key Infrastructure) voor het gebruik van certificaten met de maximale hashing-algoritmen en sleutellengten. Wanneer u CNG v3-certificaten gebruikt, ondersteunen Configuration Manager clients alleen certificaten die gebruikmaken van het cryptografische RSA-algoritme. Zie PKI-certificaatvereisten en overzicht van CNG v3-certificaten voor meer informatie.
Voor transportbeveiliging ondersteunt alles dat GEBRUIKMAAKT van TLS AES. Deze ondersteuning omvat wanneer u de site configureert voor verbeterde HTTP of HTTPS. Voor on-premises sitesystemen kunt u de TLS-coderingssuites beheren. Als u TLS 1.2 inschakelt, configureert Configuration Manager de coderingssuites voor cloudrollen zoals de cloudbeheergateway (CMG).
Voor de meeste cryptografische bewerkingen met Windows-besturingssystemen gebruikt Configuration Manager deze algoritmen uit de Windows CryptoAPI-bibliotheek rsaenh.dll.
Zie Sitebewerkingen voor meer informatie over specifieke functionaliteit.
Sitebewerkingen
Informatie in Configuration Manager kan worden ondertekend en versleuteld. Het ondersteunt deze bewerkingen met of zonder PKI-certificaten.
Beleidsondertekening en -versleuteling
De site ondertekent clientbeleidstoewijzingen met het zelfondertekende certificaat. Dit gedrag helpt voorkomen dat het beveiligingsrisico van een gecompromitteerd beheerpunt gemanipuleerd beleid verzendt. Als u clientbeheer op internet gebruikt, is dit gedrag belangrijk omdat hiervoor een internetgericht beheerpunt is vereist.
Wanneer beleid gevoelige gegevens bevat, vanaf versie 2107, versleutelt het beheerpunt deze met AES-256. In versie 2103 en eerder wordt 3DES gebruikt. Beleid dat gevoelige gegevens bevat, wordt alleen verzonden naar geautoriseerde clients. De site versleutelt geen beleid dat geen gevoelige gegevens bevat.
Wanneer een client beleid opslaat, wordt het beleid versleuteld met behulp van de Windows Data Protection Application Programming Interface (DPAPI).
Beleids-hashing
Wanneer een client beleid aanvraagt, krijgt deze eerst een beleidstoewijzing. Vervolgens weet het welk beleid hierop van toepassing is en kan het alleen die beleidsorganen aanvragen. Elke beleidstoewijzing bevat de berekende hash voor de bijbehorende beleidshoofdtekst. De client downloadt de toepasselijke beleidsbody's en berekent vervolgens de hash voor elke beleidshoofdtekst. Als de hash op de beleidstekst niet overeenkomt met de hash in de beleidstoewijzing, verwijdert de client de hoofdtekst van het beleid.
Het hashing-algoritme voor beleid is SHA-256.
Hashing van inhoud
De distributiebeheerservice op de siteserver hashes de inhoudsbestanden voor alle pakketten. De beleidsprovider neemt de hash op in het softwaredistributiebeleid. Wanneer de Configuration Manager-client de inhoud downloadt, genereert de client de hash lokaal opnieuw en vergelijkt deze met de hash die in het beleid is opgegeven. Als de hashes overeenkomen, wordt de inhoud niet gewijzigd en wordt deze door de client geïnstalleerd. Als één byte van de inhoud wordt gewijzigd, komen de hashes niet overeen en installeert de client de software niet. Met deze controle kunt u ervoor zorgen dat de juiste software is geïnstalleerd, omdat de werkelijke inhoud wordt vergeleken met het beleid.
Het standaardhashalgoritme voor inhoud is SHA-256.
Niet alle apparaten kunnen hashing van inhoud ondersteunen. De uitzonderingen zijn onder andere:
Windows-clients wanneer ze App-V-inhoud streamen.
Windows Mobile-clients, hoewel deze clients de handtekening controleren van een toepassing die is ondertekend door een vertrouwde bron.
Inventarisondertekening en -versleuteling
Wanneer een client hardware- of software-inventaris naar een beheerpunt verzendt, wordt de inventaris altijd ondertekend. Het maakt niet uit of de client communiceert met het beheerpunt via HTTP of HTTPS. Als ze HTTP gebruiken, kunt u er ook voor kiezen om deze gegevens te versleutelen. Dit wordt aanbevolen.
Statusmigratieversleuteling
Wanneer een takenreeks gegevens van een client voor implementatie van het besturingssysteem vastlegt, worden de gegevens altijd versleuteld. In versie 2103 en hoger voert de takenreeks het Hulpprogramma voor migratie van gebruikersstatus (USMT) uit met het AES-256-versleutelingsalgoritmen . In versie 2010 en eerder wordt 3DES gebruikt.
Versleuteling voor multicast-pakketten
Voor elk besturingssysteemimplementatiepakket kunt u versleuteling inschakelen wanneer u multicast gebruikt. Deze versleuteling maakt gebruik van het AES-algoritme . Als u versleuteling inschakelt, is er geen andere certificaatconfiguratie vereist. Het multicast-distributiepunt genereert automatisch symmetrische sleutels om het pakket te versleutelen. Elk pakket heeft een andere versleutelingssleutel. De sleutel wordt opgeslagen op het multicast-distributiepunt met behulp van standaard Windows-API's.
Wanneer de client verbinding maakt met de multicast-sessie, vindt de sleuteluitwisseling plaats via een versleuteld kanaal. Als de client HTTPS gebruikt, wordt het door PKI uitgegeven clientverificatiecertificaat gebruikt. Als de client HTTP gebruikt, wordt het zelfondertekende certificaat gebruikt. De client slaat de versleutelingssleutel alleen op in het geheugen tijdens de multicastsessie.
Versleuteling voor besturingssysteemimplementatiemedia
Wanneer u media gebruikt om besturingssystemen te implementeren, moet u altijd een wachtwoord opgeven om de media te beveiligen. Met een wachtwoord worden de takenreeksomgevingsvariabelen versleuteld met AES-128. Andere gegevens op de media, waaronder pakketten en inhoud voor toepassingen, worden niet versleuteld.
Versleuteling voor inhoud in de cloud
Wanneer u een cloudbeheergateway (CMG) inschakelt om inhoud op te slaan, wordt de inhoud versleuteld met AES-256. De inhoud wordt versleuteld wanneer u deze bijwerkt. Wanneer clients de inhoud downloaden, wordt deze versleuteld en beveiligd door de HTTPS-verbinding.
Aanmelden bij software-updates
Alle software-updates moeten worden ondertekend door een vertrouwde uitgever om te beschermen tegen manipulatie. Op clientcomputers scant de Windows Update Agent (WUA) naar de updates uit de catalogus. De update wordt niet geïnstalleerd als het digitale certificaat niet kan worden gevonden in het archief vertrouwde uitgevers op de lokale computer.
Wanneer u software-updates publiceert met System Center Updates Publisher, worden de software-updates ondertekend met een digitaal certificaat. U kunt een PKI-certificaat opgeven of Updates Publisher configureren om een zelfondertekend certificaat te genereren om de software-update te ondertekenen. Als u een zelfondertekend certificaat gebruikt om de catalogus met updates te publiceren, zoals WSUS Publishers Zelfondertekend, moet het certificaat zich ook in het certificaatarchief vertrouwde basiscertificeringsinstanties op de lokale computer bevinden. WUA controleert ook of de groepsbeleidsinstelling Ondertekende inhoud van intranet toestaan microsoft updateservicelocatie is ingeschakeld op de lokale computer. Deze beleidsinstelling moet zijn ingeschakeld voor WUA om te scannen op de updates die zijn gemaakt en gepubliceerd met System Center Updates Publisher.
Ondertekende configuratiegegevens voor nalevingsinstellingen
Wanneer u configuratiegegevens importeert, controleert Configuration Manager de digitale handtekening van het bestand. Als de bestanden niet zijn ondertekend of als de handtekeningcontrole mislukt, waarschuwt de console u om door te gaan met het importeren. Importeer de configuratiegegevens alleen als u de uitgever en de integriteit van de bestanden expliciet vertrouwt.
Versleuteling en hashing voor clientmelding
Als u clientmelding gebruikt, maakt alle communicatie gebruik van TLS en de hoogste algoritmen waarover de server en client kunnen onderhandelen. Alle ondersteunde versies van het Windows-besturingssysteem kunnen bijvoorbeeld ten minste AES-128-versleuteling gebruiken. Dezelfde onderhandeling vindt plaats voor het hashen van de pakketten die worden overgedragen tijdens clientmelding, die gebruikmaakt van SHA-2.
Certificaten
Zie PKI-certificaatvereisten voor een lijst met PKI-certificaten (Public Key Infrastructure) die kunnen worden gebruikt door Configuration Manager, eventuele speciale vereisten of beperkingen en hoe de certificaten worden gebruikt. Deze lijst bevat de ondersteunde hash-algoritmen en sleutellengten. De meeste certificaten ondersteunen SHA-256 en 2048-bits sleutellengte.
De meeste Configuration Manager bewerkingen die gebruikmaken van certificaten ondersteunen ook v3-certificaten. Zie Overzicht van CNG v3-certificaten voor meer informatie.
Opmerking
Alle certificaten die Configuration Manager gebruikt, mogen alleen tekens voor één bytes bevatten in de onderwerpnaam of alternatieve onderwerpnaam.
Configuration Manager vereist PKI-certificaten voor de volgende scenario's:
Wanneer u Configuration Manager clients op internet beheert
Wanneer u Configuration Manager-clients beheert op mobiele apparaten
Wanneer u macOS-computers beheert
Wanneer u een cloudbeheergateway (CMG) gebruikt
Voor de meeste andere communicatie waarvoor certificaten voor verificatie, ondertekening of versleuteling zijn vereist, gebruikt Configuration Manager automatisch PKI-certificaten, indien beschikbaar. Als ze niet beschikbaar zijn, genereert Configuration Manager zelfondertekende certificaten.
Configuration Manager gebruikt geen PKI-certificaten wanneer mobiele apparaten worden beheerd met behulp van de Exchange Server-connector.
Beheer van mobiele apparaten en PKI-certificaten
Als het mobiele apparaat niet is vergrendeld door de mobiele provider, kunt u Configuration Manager gebruiken om een clientcertificaat aan te vragen en te installeren. Dit certificaat biedt wederzijdse verificatie tussen de client op het mobiele apparaat en Configuration Manager sitesystemen. Als het mobiele apparaat is vergrendeld, kunt u Configuration Manager niet gebruiken om certificaten te implementeren.
Als u hardware-inventarisatie inschakelt voor mobiele apparaten, Configuration Manager ook de certificaten inventariseren die op het mobiele apparaat zijn geïnstalleerd.
Besturingssysteemimplementatie en PKI-certificaten
Wanneer u Configuration Manager gebruikt om besturingssystemen te implementeren en een beheerpunt HTTPS-clientverbindingen vereist, heeft de client een certificaat nodig om met het beheerpunt te communiceren. Deze vereiste geldt zelfs wanneer de client zich in een overgangsfase bevindt, zoals opstarten vanaf takenreeksmedia of een distributiepunt met PXE-functionaliteit. Ter ondersteuning van dit scenario maakt u een PKI-clientverificatiecertificaat en exporteert u dit met de persoonlijke sleutel. Importeer deze vervolgens in de eigenschappen van de siteserver en voeg ook het vertrouwde basis-CA-certificaat van het beheerpunt toe.
Als u opstartbare media maakt, importeert u het certificaat voor clientverificatie wanneer u de opstartbare media maakt. Als u de persoonlijke sleutel en andere gevoelige gegevens die in de takenreeks zijn geconfigureerd, wilt beveiligen, configureert u een wachtwoord op de opstartbare media. Elke computer die opstart vanaf de opstartbare media gebruikt hetzelfde certificaat met het beheerpunt als vereist voor clientfuncties, zoals het aanvragen van clientbeleid.
Als u PXE gebruikt, importeert u het clientverificatiecertificaat naar het distributiepunt met PXE-functionaliteit. Het gebruikt hetzelfde certificaat voor elke client die opstart vanaf dat PXE-distributiepunt. Als u de persoonlijke sleutel en andere gevoelige gegevens in de takenreeksen wilt beveiligen, moet u een wachtwoord voor PXE vereisen.
Als een van deze clientverificatiecertificaten is gecompromitteerd, blokkeert u de certificaten in het knooppunt Certificaten in de werkruimte Beheer , het knooppunt Beveiliging . Als u deze certificaten wilt beheren, hebt u de machtiging Voor het beheren van het besturingssysteemimplementatiecertificaat nodig.
Nadat Configuration Manager het besturingssysteem de client installeert, vereist de client een eigen PKI-clientverificatiecertificaat voor HTTPS-clientcommunicatie.
ISV-proxyoplossingen en PKI-certificaten
Onafhankelijke softwareleveranciers (ISV's) kunnen toepassingen maken die Configuration Manager uitbreiden. Een ISV kan bijvoorbeeld extensies maken ter ondersteuning van niet-Windows-clientplatforms, zoals macOS. Als de sitesystemen echter HTTPS-clientverbindingen vereisen, moeten deze clients ook PKI-certificaten gebruiken voor communicatie met de site. Configuration Manager omvat de mogelijkheid om een certificaat toe te wijzen aan de ISV-proxy waarmee communicatie tussen de ISV-proxyclients en het beheerpunt mogelijk is. Als u extensies gebruikt waarvoor ISV-proxycertificaten zijn vereist, raadpleegt u de documentatie voor dat product.
Als het ISV-certificaat is aangetast, blokkeert u het certificaat in het knooppunt Certificaten in de werkruimte Beheer , het knooppunt Beveiliging .
GUID kopiëren voor ISV-proxycertificaat
Vanaf versie 2111 kunt u het beheer van deze ISV-proxycertificaten vereenvoudigen door de GUID ervan te kopiëren in de Configuration Manager-console.
Ga in de Configuration Manager-console naar de werkruimte Beheer.
Vouw Beveiliging uit en selecteer het knooppunt Certificaten .
Sorteer de lijst met certificaten op de kolom Type .
Selecteer een certificaat van het type ISV-proxy.
Selecteer certificaat-GUID kopiëren op het lint.
Met deze actie wordt de GUID van dit certificaat gekopieerd, bijvoorbeeld: aa05bf38-5cd6-43ea-ac61-ab101f943987
Asset Intelligence en certificaten
Configuration Manager wordt geïnstalleerd met een X.509-certificaat dat het Asset Intelligence-synchronisatiepunt gebruikt om verbinding te maken met Microsoft. Configuration Manager gebruikt dit certificaat om een clientverificatiecertificaat aan te vragen bij de Microsoft-certificaatservice. Het clientverificatiecertificaat wordt geïnstalleerd op het Asset Intelligence-synchronisatiepunt en wordt gebruikt om de server bij Microsoft te verifiëren. Configuration Manager gebruikt het clientverificatiecertificaat om de Asset Intelligence-catalogus te downloaden en softwaretitels te uploaden.
Dit certificaat heeft een sleutellengte van 1024 bits.
Azure-services en -certificaten
Voor de cloudbeheergateway (CMG) zijn serververificatiecertificaten vereist. Met deze certificaten kan de service HTTPS-communicatie bieden aan clients via internet. Zie CMG-serververificatiecertificaat voor meer informatie.
Clients hebben een ander type verificatie nodig om te communiceren met een CMG en het on-premises beheerpunt. Ze kunnen Microsoft Entra-id, een PKI-certificaat of een sitetoken gebruiken. Zie Clientverificatie configureren voor cloudbeheergateway voor meer informatie.
Voor clients is geen PKI-clientcertificaat vereist om cloudopslag te gebruiken. Nadat ze zijn geverifieerd bij het beheerpunt, geeft het beheerpunt een Configuration Manager toegangstoken uit aan de client. De client presenteert dit token aan de CMG om toegang te krijgen tot de inhoud. Het token is acht uur geldig.
CRL-controle op PKI-certificaten
Een PKI-certificaatintrekkingslijst (CRL) verhoogt de algehele beveiliging, maar vereist wel enige administratieve en verwerkingsoverhead. Als u CRL-controle inschakelt, maar clients geen toegang hebben tot de CRL, mislukt de PKI-verbinding.
MET IIS wordt CRL-controle standaard ingeschakeld. Als u een CRL gebruikt met uw PKI-implementatie, hoeft u de meeste sitesystemen waarop IIS wordt uitgevoerd niet te configureren. De uitzondering is voor software-updates, waarvoor een handmatige stap is vereist om CRL-controle in te schakelen om de handtekeningen op software-updatebestanden te verifiëren.
Wanneer een client HTTPS gebruikt, wordt CRL-controle standaard ingeschakeld. Voor macOS-clients kunt u CRL-controle niet uitschakelen.
De volgende verbindingen bieden geen ondersteuning voor CRL-controle in Configuration Manager:
Server-naar-serververbindingen
Mobiele apparaten die zijn ingeschreven door Configuration Manager.
Servercommunicatie
Configuration Manager gebruikt de volgende cryptografische besturingselementen voor servercommunicatie.
Servercommunicatie binnen een site
Elke sitesysteemserver gebruikt een certificaat om gegevens over te dragen naar andere sitesystemen in dezelfde Configuration Manager site. Sommige sitesysteemrollen gebruiken ook certificaten voor verificatie. Als u bijvoorbeeld het inschrijvingsproxypunt op de ene server en het inschrijvingspunt op een andere server installeert, kunnen ze elkaar verifiëren met behulp van dit identiteitscertificaat.
Wanneer Configuration Manager een certificaat gebruikt voor deze communicatie, en als er een PKI-certificaat beschikbaar is met serververificatiemogelijkheid, Configuration Manager dit automatisch gebruikt. Als dat niet het probleem is, genereert Configuration Manager een zelfondertekend certificaat. Dit zelfondertekende certificaat heeft serververificatiemogelijkheden, maakt gebruik van SHA-256 en heeft een sleutellengte van 2048 bits. Configuration Manager kopieert het certificaat naar het vertrouwde Mensen archief op andere sitesysteemservers die mogelijk het sitesysteem moeten vertrouwen. Sitesystemen kunnen elkaar vervolgens vertrouwen met behulp van deze certificaten en PeerTrust.
Naast dit certificaat voor elke sitesysteemserver genereert Configuration Manager een zelfondertekend certificaat voor de meeste sitesysteemrollen. Wanneer er meer dan één exemplaar van de sitesysteemrol in dezelfde site is, delen ze hetzelfde certificaat. U hebt bijvoorbeeld meerdere beheerpunten op dezelfde site. Dit zelfondertekende certificaat maakt gebruik van SHA-256 en heeft een sleutellengte van 2048 bits. Deze wordt gekopieerd naar de Vertrouwde Mensen Store op sitesysteemservers die het mogelijk moeten vertrouwen. De volgende sitesysteemrollen genereren dit certificaat:
Asset Intelligence-synchronisatiepunt
Certificaatregistratiepunt
Endpoint Protection-punt
Inschrijvingspunt
Terugvalstatuspunt
Beheerpunt
Multicast-distributiepunt
Reporting Services-punt
Software-updatepunt
Statusmigratiepunt
Configuration Manager genereert en beheert deze certificaten automatisch.
Als u statusberichten wilt verzenden van het distributiepunt naar het beheerpunt, gebruikt Configuration Manager een clientverificatiecertificaat. Wanneer u het beheerpunt voor HTTPS configureert, is een PKI-certificaat vereist. Als het beheerpunt HTTP-verbindingen accepteert, kunt u een PKI-certificaat gebruiken. Het kan ook een zelfondertekend certificaat met clientverificatiefunctie gebruiken, maakt gebruik van SHA-256 en heeft een sleutellengte van 2048 bits.
Servercommunicatie tussen sites
Configuration Manager draagt gegevens over tussen sites met behulp van databasereplicatie en bestandsreplicatie. Zie Gegevensoverdracht tussen sites en Communicatie tussen eindpunten voor meer informatie.
Configuration Manager configureert automatisch de databasereplicatie tussen sites. Indien beschikbaar, maakt het gebruik van PKI-certificaten met serververificatiemogelijkheid. Indien niet beschikbaar, maakt Configuration Manager zelfondertekende certificaten voor serververificatie. In beide gevallen wordt tussen sites geverifieerd met behulp van certificaten in het vertrouwde Mensen-archief dat gebruikmaakt van PeerTrust. Dit certificaatarchief wordt gebruikt om ervoor te zorgen dat alleen de Configuration Manager hiërarchie SQL-servers deelnemen aan site-naar-site-replicatie.
Siteservers brengen site-naar-site-communicatie tot stand met behulp van een beveiligde sleuteluitwisseling die automatisch plaatsvindt. De verzendende siteserver genereert een hash en ondertekent deze met de persoonlijke sleutel. De ontvangende siteserver controleert de handtekening met behulp van de openbare sleutel en vergelijkt de hash met een lokaal gegenereerde waarde. Als ze overeenkomen, accepteert de ontvangende site de gerepliceerde gegevens. Als de waarden niet overeenkomen, weigert Configuration Manager de replicatiegegevens.
Databasereplicatie in Configuration Manager maakt gebruik van de SQL Server Service Broker om gegevens over te dragen tussen sites. Het maakt gebruik van de volgende mechanismen:
SQL Server SQL Server: deze verbinding maakt gebruik van Windows-referenties voor serververificatie en zelfondertekende certificaten met 1024 bits om de gegevens te ondertekenen en te versleutelen met het AES-algoritme. Indien beschikbaar, maakt het gebruik van PKI-certificaten met serververificatiemogelijkheid. Er worden alleen certificaten gebruikt in het persoonlijke certificaatarchief van de computer.
SQL Service Broker: deze service maakt gebruik van zelfondertekende certificaten met 2048 bits voor verificatie en om de gegevens te ondertekenen en te versleutelen met het AES-algoritme. Er worden alleen certificaten in de SQL Server hoofddatabase gebruikt.
Bestandsreplicatie maakt gebruik van het SMB-protocol (Server Message Block). Het maakt gebruik van SHA-256 om gegevens te ondertekenen die niet zijn versleuteld en geen gevoelige gegevens bevatten. Als u deze gegevens wilt versleutelen, gebruikt u IPsec, dat u onafhankelijk van Configuration Manager implementeert.
Clients die HTTPS gebruiken
Wanneer sitesysteemrollen clientverbindingen accepteren, kunt u deze configureren om HTTPS- en HTTP-verbindingen of alleen HTTPS-verbindingen te accepteren. Sitesysteemrollen die verbindingen van internet accepteren, accepteren alleen clientverbindingen via HTTPS.
Clientverbindingen via HTTPS bieden een hoger beveiligingsniveau door integratie met een openbare-sleutelinfrastructuur (PKI) om client-naar-server-communicatie te beveiligen. Het configureren van HTTPS-clientverbindingen zonder een grondig begrip van PKI-planning, implementatie en bewerkingen kan u echter nog steeds kwetsbaar maken. Als u bijvoorbeeld uw basiscertificeringsinstantie (CA) niet beveiligt, kunnen aanvallers het vertrouwen van uw hele PKI-infrastructuur in gevaar brengen. Het niet implementeren en beheren van de PKI-certificaten met behulp van beheerde en beveiligde processen kan leiden tot onbeheerde clients die geen essentiële software-updates of pakketten kunnen ontvangen.
Belangrijk
De PKI-certificaten die Configuration Manager gebruikt voor clientcommunicatie beschermen alleen de communicatie tussen de client en sommige sitesystemen. Ze beveiligen het communicatiekanaal tussen de siteserver en sitesystemen of tussen siteservers niet.
Niet-versleutelde communicatie wanneer clients HTTPS gebruiken
Wanneer clients communiceren met sitesystemen via HTTPS, wordt het meeste verkeer versleuteld. In de volgende situaties communiceren clients met sitesystemen zonder versleuteling te gebruiken:
Client kan geen HTTPS-verbinding maken op het intranet en valt terug op het gebruik van HTTP wanneer sitesystemen deze configuratie toestaan.
Communicatie met de volgende sitesysteemrollen:
Client verzendt statusberichten naar het terugvalstatuspunt.
Client verzendt PXE-aanvragen naar een distributiepunt met PXE-functionaliteit.
Client verzendt meldingsgegevens naar een beheerpunt.
U configureert Reporting Services-punten om HTTP of HTTPS onafhankelijk van de clientcommunicatiemodus te gebruiken.
Clients die HTTP gebruiken
Wanneer clients HTTP-communicatie naar sitesysteemrollen gebruiken, kunnen ze PKI-certificaten gebruiken voor clientverificatie of zelfondertekende certificaten die Configuration Manager genereert. Wanneer Configuration Manager zelfondertekende certificaten genereert, hebben ze een aangepaste object-id voor ondertekening en versleuteling. Deze certificaten worden gebruikt om de client uniek te identificeren. Deze zelfondertekende certificaten gebruiken SHA-256 en hebben een sleutellengte van 2048 bits.
Besturingssysteemimplementatie en zelfondertekende certificaten
Wanneer u Configuration Manager gebruikt om besturingssystemen met zelfondertekende certificaten te implementeren, moet de client ook een certificaat hebben om met het beheerpunt te communiceren. Deze vereiste geldt zelfs als de computer zich in een overgangsfase bevindt, zoals opstarten vanaf takenreeksmedia of een distributiepunt met PXE-functionaliteit. Ter ondersteuning van dit scenario voor HTTP-clientverbindingen genereert Configuration Manager zelfondertekende certificaten met een aangepaste object-id voor ondertekening en versleuteling. Deze certificaten worden gebruikt om de client uniek te identificeren. Deze zelfondertekende certificaten gebruiken SHA-256 en hebben een sleutellengte van 2048 bits. Als deze zelfondertekende certificaten zijn aangetast, voorkomt u dat aanvallers deze gebruiken om vertrouwde clients te imiteren. Blokkeer de certificaten in het knooppunt Certificaten in de werkruimte Beheer , het knooppunt Beveiliging .
Client- en serververificatie
Wanneer clients verbinding maken via HTTP, verifiëren ze de beheerpunten met behulp van Active Directory Domain Services of met behulp van de Configuration Manager vertrouwde basissleutel. Clients verifiëren geen andere sitesysteemrollen, zoals statusmigratiepunten of software-updatepunten.
Wanneer een beheerpunt voor het eerst een client verifieert met behulp van het zelfondertekende clientcertificaat, biedt dit mechanisme minimale beveiliging omdat elke computer een zelfondertekend certificaat kan genereren. Gebruik clientgoedkeuring om dit proces te verbeteren. Alleen vertrouwde computers goedkeuren, automatisch door Configuration Manager of handmatig door een gebruiker met beheerdersrechten. Zie Clients beheren voor meer informatie.
Over SSL-beveiligingsproblemen
Voer de volgende acties uit om de beveiliging van uw Configuration Manager clients en servers te verbeteren:
Schakel TLS 1.2 in op alle apparaten en services. Zie TLS 1.2 inschakelen voor Configuration Manager om TLS 1.2 in te schakelen voor Configuration Manager.
Schakel SSL 3.0, TLS 1.0 en TLS 1.1 uit.
De volgorde van de TLS-gerelateerde coderingssuites wijzigen.
Zie de volgende artikelen voor meer informatie:
- Het gebruik van bepaalde cryptografische algoritmen en protocollen in Schannel.dll beperken
- Prioriteit geven aan Schannel-coderingssuites
Deze procedures hebben geen invloed op Configuration Manager functionaliteit.
Opmerking
Updates om te Configuration Manager downloaden van het Azure Content Delivery Network (CDN), dat vereisten voor coderingssuites heeft. Zie Azure Front Door: veelgestelde vragen over TLS-configuratie voor meer informatie.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor