Beveiliging in Configuration Manager plannen

Van toepassing op: Configuration Manager (current branch)

In dit artikel worden de volgende concepten beschreven waarmee u rekening kunt houden bij het plannen van beveiliging met uw Configuration Manager-implementatie:

• Certificaten (zelfondertekend en PKI)

• De vertrouwde hoofdsleutel

• Ondertekening en versleuteling

• Beheer op basis van rollen

• Microsoft Entra ID

• VERIFICATIE VAN SMS-provider

Voordat u begint, moet u ervoor zorgen dat u bekend bent met de basisprincipes van beveiliging in Configuration Manager.

Certificaten

Configuration Manager maakt gebruik van een combinatie van zelfondertekende en PKI-certificaten (Public Key Infrastructure). Gebruik waar mogelijk PKI-certificaten. Voor sommige scenario's zijn PKI-certificaten vereist. Wanneer PKI-certificaten niet beschikbaar zijn, genereert de site automatisch zelfondertekende certificaten. In sommige scenario's worden altijd zelfondertekende certificaten gebruikt.

Zie Certificaten plannen voor meer informatie.

De vertrouwde hoofdsleutel

De Configuration Manager vertrouwde basissleutel biedt een mechanisme voor Configuration Manager clients om te controleren of sitesystemen deel uitmaken van hun hiërarchie. Elke siteserver genereert een site-uitwisselingssleutel om te communiceren met andere sites. De site-uitwisselingssleutel van de site op het hoogste niveau in de hiërarchie wordt de vertrouwde hoofdsleutel genoemd.

De functie van de vertrouwde basissleutel in Configuration Manager lijkt op een basiscertificaat in een openbare-sleutelinfrastructuur. Alles wat is ondertekend door de persoonlijke sleutel van de vertrouwde basissleutel wordt verderop in de hiërarchie vertrouwd. Clients slaan een kopie van de vertrouwde hoofdsleutel van de site op in de root\ccm\locationservices WMI-naamruimte.

De site geeft bijvoorbeeld een certificaat uit aan het beheerpunt, dat wordt ondertekend met de persoonlijke sleutel van de vertrouwde basissleutel. De site deelt met clients de openbare sleutel van de vertrouwde hoofdsleutel. Vervolgens kunnen clients onderscheid maken tussen beheerpunten die zich in hun hiërarchie bevinden en beheerpunten die zich niet in hun hiërarchie bevinden.

Clients krijgen automatisch de openbare kopie van de vertrouwde hoofdsleutel met behulp van twee mechanismen:

• U breidt het Active Directory-schema voor Configuration Manager uit en publiceert de site naar Active Directory Domain Services. Vervolgens halen clients deze sitegegevens op van een globale catalogusserver. Zie Active Directory voorbereiden voor sitepublicatie voor meer informatie.

• Wanneer u clients installeert met behulp van de clientpushinstallatiemethode. Zie Clientpushinstallatie voor meer informatie.

Als clients de vertrouwde basissleutel niet kunnen ophalen met behulp van een van deze mechanismen, vertrouwen ze de vertrouwde basissleutel die wordt geleverd door het eerste beheerpunt waarmee ze communiceren. In dit scenario kan een client verkeerd worden omgeleid naar het beheerpunt van een aanvaller, waar deze beleid zou ontvangen van het rogue-beheerpunt. Voor deze actie is een geavanceerde aanvaller vereist. Deze aanval is beperkt tot de korte tijd voordat de client de vertrouwde hoofdsleutel ophaalt van een geldig beheerpunt. Om dit risico te beperken dat een aanvaller clients verkeerd omwijst naar een rogue-beheerpunt, richt u de clients vooraf in met de vertrouwde hoofdsleutel.

Zie Beveiliging configureren voor meer informatie en procedures voor het beheren van de vertrouwde basissleutel.

Ondertekening en versleuteling

Wanneer u PKI-certificaten gebruikt voor alle clientcommunicatie, hoeft u zich niet te plannen voor ondertekening en versleuteling om de communicatie met clientgegevens te beveiligen. Als u sitesystemen instelt waarop IIS wordt uitgevoerd om HTTP-clientverbindingen toe te staan, bepaalt u hoe u de clientcommunicatie voor de site kunt beveiligen.

Belangrijk

Vanaf Configuration Manager versie 2103 worden sites die HTTP-clientcommunicatie toestaan, afgeschaft. Configureer de site voor HTTPS of Verbeterde HTTP. Zie De site inschakelen voor alleen HTTPS of verbeterde HTTP voor meer informatie.

Ter bescherming van de gegevens die clients naar beheerpunten verzenden, kunt u vereisen dat clients de gegevens ondertekenen. U kunt ook het SHA-256-algoritme vereisen voor ondertekening. Deze configuratie is veiliger, maar sha-256 is niet vereist, tenzij alle clients dit ondersteunen. Veel besturingssystemen ondersteunen dit algoritme systeemeigen, maar oudere besturingssystemen vereisen mogelijk een update of hotfix.

Terwijl ondertekening de gegevens beschermt tegen manipulatie, helpt versleuteling de gegevens te beschermen tegen openbaarmaking van informatie. U kunt versleuteling inschakelen voor de inventarisgegevens en statusberichten die clients verzenden naar beheerpunten op de site. U hoeft geen updates op clients te installeren om deze optie te ondersteunen. Clients en beheerpunten vereisen meer CPU-gebruik voor versleuteling en ontsleuteling.

Opmerking

Voor het versleutelen van de gegevens gebruikt de client de openbare sleutel van het versleutelingscertificaat van het beheerpunt. Alleen het beheerpunt heeft de bijbehorende persoonlijke sleutel, zodat alleen het de gegevens kan ontsleutelen.

De client bootstrapt dit certificaat met het handtekeningcertificaat van het beheerpunt, dat wordt opgestart met de vertrouwde basissleutel van de site. Zorg ervoor dat u de vertrouwde hoofdsleutel op clients veilig inricht. Zie De vertrouwde hoofdsleutel voor meer informatie.

Zie Ondertekening en versleuteling configureren voor meer informatie over het configureren van de instellingen voor ondertekening en versleuteling.

Zie Technische naslaginformatie over cryptografische besturingselementen voor meer informatie over de cryptografische algoritmen die worden gebruikt voor ondertekening en versleuteling.

Beheer op basis van rollen

Met Configuration Manager gebruikt u op rollen gebaseerd beheer om de toegang te beveiligen die gebruikers met beheerdersrechten nodig hebben om Configuration Manager te gebruiken. U beveiligt ook de toegang tot de objecten die u beheert, zoals verzamelingen, implementaties en sites.

Met de combinatie van beveiligingsrollen, beveiligingsbereiken en verzamelingen kunt u de beheertoewijzingen scheiden die voldoen aan de vereisten van uw organisatie. Als ze samen worden gebruikt, definiëren ze het beheerbereik van een gebruiker. Dit beheerbereik bepaalt de objecten die een gebruiker met beheerdersrechten bekijkt in de Configuration Manager-console en bepaalt de machtigingen die een gebruiker heeft voor deze objecten.

Zie Basisprincipes van op rollen gebaseerd beheer voor meer informatie.

Microsoft Entra ID

Configuration Manager integreert met Microsoft Entra-id om de site en clients in staat te stellen moderne verificatie te gebruiken.

Zie Microsoft Entra documentatie voor meer informatie over Microsoft Entra-id.

Het onboarden van uw site met Microsoft Entra-id ondersteunt de volgende Configuration Manager scenario's:

Clientscenario's

• Clients op internet beheren via cloudbeheergateway

• Apparaten die lid zijn van een clouddomein beheren

• Co-management

• Door de gebruiker beschikbare apps implementeren

• online-apps Microsoft Store voor Bedrijven

• Microsoft 365-apps voor ondernemingen beheren

Serverscenario's

• Desktop Analytics

• Tenantkoppeling

• Eindpuntanalyse

• Azure Log Analytics

• Community Hub

• Gebruikersdetectie

VERIFICATIE VAN SMS-provider

U kunt het minimale verificatieniveau opgeven voor beheerders voor toegang tot Configuration Manager sites. Deze functie dwingt beheerders af om zich aan te melden bij Windows met het vereiste niveau voordat ze toegang hebben tot Configuration Manager. Deze is van toepassing op alle onderdelen die toegang hebben tot de SMS-provider. Bijvoorbeeld de Configuration Manager-console, SDK-methoden en Windows PowerShell cmdlets.

Configuration Manager ondersteunt de volgende verificatieniveaus:

• Windows-verificatie: verificatie met Active Directory-domeinreferenties vereisen. Deze instelling is het vorige gedrag en de huidige standaardinstelling.

• Certificaatverificatie: verificatie vereisen met een geldig certificaat dat is uitgegeven door een vertrouwde PKI-certificeringsinstantie. U configureert dit certificaat niet in Configuration Manager. Configuration Manager vereist dat de beheerder is aangemeld bij Windows met behulp van PKI.

• Windows Hello voor Bedrijven verificatie: verificatie vereisen met sterke tweeledige verificatie die is gekoppeld aan een apparaat en gebruikmaakt van biometrische gegevens of een pincode. Zie Windows Hello voor Bedrijven voor meer informatie.

  Belangrijk

  Wanneer u deze instelling selecteert, vereisen de SMS-provider en beheerservice dat het verificatietoken van de gebruiker een MFA-claim (Multi-Factor Authentication) van Windows Hello voor Bedrijven bevat. Met andere woorden, een gebruiker van de console, SDK, PowerShell of beheerservice moet zich verifiëren bij Windows met de Windows Hello voor Bedrijven pincode of biometrische gegevens. Anders weigert de site de actie van de gebruiker.

  Dit gedrag is voor Windows Hello voor Bedrijven, niet voor Windows Hello.

Zie Verificatie van SMS-provider configureren voor meer informatie over het configureren van deze instelling.

Volgende stappen

• Certificaten in Configuration Manager

• PKI-certificaten plannen

• Beveiliging configureren

• Technische naslaginformatie over cryptografische besturingselementen