Beveiliging en privacy voor Configuration Manager clients

Van toepassing op: Configuration Manager (current branch)

In dit artikel worden beveiligings- en privacygegevens voor Configuration Manager clients beschreven. Het bevat ook informatie voor mobiele apparaten die worden beheerd door de Exchange Server-connector.

Beveiligingsrichtlijnen voor clients

De Configuration Manager site accepteert gegevens van apparaten waarop de Configuration Manager-client wordt uitgevoerd. Dit gedrag brengt het risico met zich mee dat de clients de site kunnen aanvallen. Ze kunnen bijvoorbeeld een onjuiste inventaris verzenden of proberen de sitesystemen te overbelasten. Implementeer de Configuration Manager-client alleen op apparaten die u vertrouwt.

Gebruik de volgende beveiligingsrichtlijnen om de site te beschermen tegen rogue of gecompromitteerde apparaten.

PKI-certificaten (Public Key Infrastructure) gebruiken voor clientcommunicatie met sitesystemen waarop IIS wordt uitgevoerd

• Als site-eigenschap configureert u sitesysteeminstellingenalleen voor HTTPS. Zie Beveiliging configureren voor meer informatie.

• Installeer clients met de eigenschap UsePKICert CCMSetup.

• Gebruik een certificaatintrekkingslijst (CRL). Zorg ervoor dat clients en communicerende servers er altijd toegang toe hebben.

Voor clients voor mobiele apparaten en sommige internetclients zijn deze certificaten vereist. Microsoft raadt deze certificaten aan voor alle clientverbindingen op het intranet.

Zie Plannen voor certificaten voor meer informatie over het gebruik van certificaten in Configuration Manager.

Belangrijk

Vanaf Configuration Manager versie 2103 worden sites die HTTP-clientcommunicatie toestaan, afgeschaft. Configureer de site voor HTTPS of Verbeterde HTTP. Zie De site inschakelen voor alleen HTTPS of verbeterde HTTP voor meer informatie.

Clientcomputers van vertrouwde domeinen automatisch goedkeuren en andere computers handmatig controleren en goedkeuren

Wanneer u geen PKI-verificatie kunt gebruiken, identificeert goedkeuring een computer die wordt beheerd door Configuration Manager. De hiërarchie heeft de volgende opties voor het configureren van clientgoedkeuring:

• Handmatig
• Automatisch voor computers in vertrouwde domeinen
• Automatisch voor alle computers

De veiligste goedkeuringsmethode is het automatisch goedkeuren van clients die lid zijn van vertrouwde domeinen. Deze optie omvat clouddomeinclients van verbonden Microsoft Entra tenants. Controleer en keur vervolgens alle andere computers handmatig goed. Het wordt niet aanbevolen om alle clients automatisch goed te keuren, tenzij u andere toegangsbeheeropties hebt om te voorkomen dat onbetrouwbaar computers toegang krijgen tot uw netwerk.

Zie Clients beheren vanaf het knooppunt apparaten voor meer informatie over het handmatig goedkeuren van computers.

Vertrouw niet op blokkering om te voorkomen dat clients toegang krijgen tot de Configuration Manager-hiërarchie

Geblokkeerde clients worden geweigerd door de Configuration Manager-infrastructuur. Als clients zijn geblokkeerd, kunnen ze niet communiceren met sitesystemen om beleid te downloaden, inventarisgegevens te uploaden of status- of statusberichten te verzenden.

Blokkeren is ontworpen voor de volgende scenario's:

• Verloren of gecompromitteerde opstartmedia blokkeren wanneer u een besturingssysteem op clients implementeert
• Wanneer alle sitesystemen HTTPS-clientverbindingen accepteren

Wanneer sitesystemen HTTP-clientverbindingen accepteren, moet u niet afhankelijk zijn van blokkering om de Configuration Manager-hiërarchie te beveiligen tegen niet-vertrouwde computers. In dit scenario kan een geblokkeerde client opnieuw deelnemen aan de site met een nieuw zelfondertekend certificaat en hardware-id.

Certificaatintrekking is de primaire verdedigingslinie tegen mogelijk gecompromitteerde certificaten. Een certificaatintrekkingslijst (CRL) is alleen beschikbaar vanuit een ondersteunde openbare-sleutelinfrastructuur (PKI). Het blokkeren van clients in Configuration Manager biedt een tweede verdedigingslinie om uw hiërarchie te beschermen.

Zie Bepalen of clients moeten worden geblokkeerd voor meer informatie.

Gebruik de veiligste clientinstallatiemethoden die praktisch zijn voor uw omgeving

• Voor domeincomputers zijn clientinstallatiemethoden voor groepsbeleid en clientinstallatie op basis van software-updates veiliger dan clientpushinstallatie .

• Als u toegangsbeheer en wijzigingsbesturingselementen toepast, gebruikt u imaging en handmatige installatiemethoden.

• Gebruik kerberos wederzijdse verificatie met clientpushinstallatie.

Van alle clientinstallatiemethoden is de clientpushinstallatie het minst veilig vanwege de vele afhankelijkheden die het heeft. Deze afhankelijkheden omvatten lokale beheerdersmachtigingen, de Admin$ share en firewalluitzonderingen. Het aantal en het type van deze afhankelijkheden verhogen uw kwetsbaarheid voor aanvallen.

Wanneer u clientpush gebruikt, kan de site wederzijdse Kerberos-verificatie vereisen door geen terugval naar NTLM toe te staan voordat de verbinding tot stand wordt gebracht. Deze verbetering helpt bij het beveiligen van de communicatie tussen de server en de client. Zie Clients installeren met clientpush voor meer informatie.

Zie Clientinstallatiemethoden voor meer informatie over de verschillende clientinstallatiemethoden.

Selecteer waar mogelijk een clientinstallatiemethode waarvoor de minste beveiligingsmachtigingen zijn vereist in Configuration Manager. Beperk de gebruikers met beheerdersrechten waaraan beveiligingsrollen zijn toegewezen met machtigingen die kunnen worden gebruikt voor andere doeleinden dan clientimplementatie. Voor het configureren van automatische clientupgrade is bijvoorbeeld de beveiligingsrol Volledige beheerder vereist, waarmee een gebruiker met beheerdersrechten alle beveiligingsmachtigingen krijgt.

Zie Vereisten voor computerclients voor meer informatie over de afhankelijkheden en beveiligingsmachtigingen die vereist zijn voor elke clientinstallatiemethode.

Als u clientpushinstallatie moet gebruiken, beveiligt u het client-pushinstallatieaccount

Het clientpushinstallatieaccount moet lid zijn van de lokale groep Administrators op elke computer waarop de Configuration Manager-client wordt geïnstalleerd. Voeg nooit het client-pushinstallatieaccount toe aan de groep Domeinadministrators . Maak in plaats daarvan een globale groep en voeg die globale groep vervolgens toe aan de lokale groep Administrators op uw clients. Maak een groepsbeleidsobject om een instelling beperkte groep toe te voegen om het client-pushinstallatieaccount toe te voegen aan de lokale groep Administrators .

Voor meer beveiliging maakt u meerdere client-push-installatieaccounts, elk met beheerderstoegang tot een beperkt aantal computers. Als één account is gecompromitteerd, worden alleen de clientcomputers waartoe dat account toegang heeft, gecompromitteerd.

Certificaten verwijderen vóór imaging-clients

Wanneer u clients implementeert met behulp van installatiekopieën van het besturingssysteem, moet u altijd certificaten verwijderen voordat u de installatiekopieën vastlegt. Deze certificaten omvatten PKI-certificaten voor clientverificatie en zelfondertekende certificaten. Als u deze certificaten niet verwijdert, kunnen clients elkaar imiteren. U kunt de gegevens voor elke client niet verifiëren.

Zie Een takenreeks maken om een besturingssysteem vast te leggen voor meer informatie.

Zorg ervoor dat Configuration Manager client een geautoriseerde kopie van certificaten krijgt

Het Configuration Manager vertrouwde basissleutelcertificaat

Wanneer beide volgende instructies waar zijn, vertrouwen clients op de Configuration Manager vertrouwde basissleutel om geldige beheerpunten te verifiëren:

• U hebt het Active Directory-schema niet uitgebreid voor Configuration Manager
• Clients gebruiken geen PKI-certificaten wanneer ze communiceren met beheerpunten

In dit scenario kunnen clients niet controleren of het beheerpunt wordt vertrouwd voor de hiërarchie, tenzij ze de vertrouwde hoofdsleutel gebruiken. Zonder de vertrouwde hoofdsleutel kan een ervaren aanvaller clients omsturen naar een rogue-beheerpunt.

Wanneer clients geen PKI-certificaten gebruiken en de vertrouwde basissleutel niet kunnen downloaden uit de globale Active Directory-catalogus, richt u de clients vooraf in met de vertrouwde basissleutel. Deze actie zorgt ervoor dat ze niet kunnen worden omgeleid naar een rogue-beheerpunt. Zie Planning voor de vertrouwde hoofdsleutel voor meer informatie.

Het handtekeningcertificaat van de siteserver

Clients gebruiken het handtekeningcertificaat van de siteserver om te controleren of de siteserver het beleid heeft ondertekend dat is gedownload van een beheerpunt. Dit certificaat is zelfondertekend door de siteserver en gepubliceerd naar Active Directory Domain Services.

Wanneer clients dit certificaat niet kunnen downloaden uit de globale Active Directory-catalogus, downloaden ze het standaard van het beheerpunt. Als het beheerpunt wordt blootgesteld aan een niet-vertrouwd netwerk zoals internet, installeert u het handtekeningcertificaat van de siteserver handmatig op clients. Deze actie zorgt ervoor dat er geen geknoeid clientbeleid kan worden gedownload van een gecompromitteerd beheerpunt.

Als u het handtekeningcertificaat van de siteserver handmatig wilt installeren, gebruikt u de eigenschap SMSSIGNCERT client.msi CCMSetup.

Als de client de vertrouwde hoofdsleutel downloadt vanaf het eerste beheerpunt dat deze contactpersonen heeft, gebruikt u geen automatische sitetoewijzing

Gebruik automatische sitetoewijzing alleen in de volgende scenario's om het risico te voorkomen dat een nieuwe client de vertrouwde hoofdsleutel downloadt van een rogue-beheerpunt:

• De client heeft toegang tot Configuration Manager site-informatie die is gepubliceerd naar Active Directory Domain Services.

• U richt de client vooraf in met de vertrouwde hoofdsleutel.

• U gebruikt PKI-certificaten van een certificeringsinstantie voor ondernemingen om een vertrouwensrelatie tussen de client en het beheerpunt tot stand te brengen.

Zie Planning voor de vertrouwde basissleutel voor meer informatie over de vertrouwde basissleutel.

Zorg ervoor dat onderhoudsvensters groot genoeg zijn om essentiële software-updates te implementeren

Onderhoudsvensters voor apparaatverzamelingen beperken de tijden waarop Configuration Manager software op deze apparaten kunt installeren. Als u het onderhoudsvenster te klein configureert, installeert de client mogelijk geen essentiële software-updates. Dit gedrag maakt de client kwetsbaar voor elke aanval die de software-update vermindert.

Neem beveiligingsmaatregelen om de kwetsbaarheid voor aanvallen op Windows Embedded-apparaten met schrijffilters te verminderen

Wanneer u schrijffilters inschakelt op Windows Embedded-apparaten, worden software-installaties of wijzigingen alleen aangebracht in de overlay. Deze wijzigingen blijven niet bestaan nadat het apparaat opnieuw is opgestart. Als u Configuration Manager gebruikt om de schrijffilters uit te schakelen, is het ingesloten apparaat gedurende deze periode kwetsbaar voor wijzigingen in alle volumes. Deze volumes bevatten gedeelde mappen.

Configuration Manager vergrendelt de computer tijdens deze periode, zodat alleen lokale beheerders zich kunnen aanmelden. Neem waar mogelijk andere beveiligingsmaatregelen om de computer te beschermen. Schakel bijvoorbeeld beperkingen in voor de firewall.

Als u onderhoudsvensters gebruikt om wijzigingen te behouden, plant u deze vensters zorgvuldig. Minimaliseer de tijd dat schrijffilters zijn uitgeschakeld, maar maak ze lang genoeg om software-installaties en opnieuw opstarten te voltooien.

De nieuwste clientversie gebruiken met clientinstallatie op basis van software-updates

Als u een clientinstallatie op basis van software-updates gebruikt en een latere versie van de client op de site installeert, werkt u de gepubliceerde software-update bij. Vervolgens ontvangen clients de nieuwste versie van het software-updatepunt.

Wanneer u de site bijwerkt, wordt de software-update voor clientimplementatie die is gepubliceerd naar het software-updatepunt niet automatisch bijgewerkt. Publiceer de Configuration Manager-client opnieuw naar het software-updatepunt en werk het versienummer bij.

Zie How to install Configuration Manager clients by using software update-based installation (Configuration Manager-clients installeren met behulp van een installatie op basis van software-updates) voor meer informatie.

Alleen bitLocker-pincodevermelding onderbreken op vertrouwde apparaten en apparaten met beperkte toegang

Configureer de clientinstelling alleen op BitLocker-pincode-vermelding onderbreken bij het opnieuw opstarten naar Always voor computers die u vertrouwt en die beperkte fysieke toegang hebben.

Wanneer u deze clientinstelling instelt op Altijd, kunt Configuration Manager de installatie van software voltooien. Dit gedrag helpt bij het installeren van essentiële software-updates en het hervatten van services. Als een aanvaller het herstartproces onderschept, kan deze de controle over de computer overnemen. Gebruik deze instelling alleen wanneer u de computer vertrouwt en wanneer de fysieke toegang tot de computer is beperkt. Deze instelling kan bijvoorbeeld geschikt zijn voor servers in een datacenter.

Zie Over clientinstellingen voor meer informatie over deze clientinstelling.

PowerShell-uitvoeringsbeleid niet omzeilen

Als u de Configuration Manager-clientinstelling voor PowerShell-uitvoeringsbeleid configureert op Bypass, kunnen niet-ondertekende PowerShell-scripts worden uitgevoerd. Door dit gedrag kan malware worden uitgevoerd op clientcomputers. Wanneer uw organisatie deze optie vereist, gebruikt u een aangepaste clientinstelling. Wijs deze toe aan alleen de clientcomputers waarop niet-ondertekende PowerShell-scripts moeten worden uitgevoerd.

Zie Over clientinstellingen voor meer informatie over deze clientinstelling.

Beveiligingsrichtlijnen voor mobiele apparaten

Installeer het inschrijvingsproxypunt in een perimeternetwerk en het inschrijvingspunt in het intranet

Voor mobiele internetapparaten die u met Configuration Manager inschrijft, installeert u het inschrijvingsproxypunt in een perimeternetwerk en het inschrijvingspunt in het intranet. Deze rolscheiding helpt het inschrijvingspunt te beschermen tegen aanvallen. Als een aanvaller inbreuk op het inschrijvingspunt heeft, kan deze certificaten verkrijgen voor verificatie. Ze kunnen ook de referenties stelen van gebruikers die hun mobiele apparaten inschrijven.

De wachtwoordinstellingen configureren om mobiele apparaten te beschermen tegen onbevoegde toegang

Voor mobiele apparaten die zijn ingeschreven door Configuration Manager: gebruik een configuratie-item voor mobiele apparaten om de wachtwoordcomplexiteit te configureren als de pincode. Geef ten minste de standaard minimale wachtwoordlengte op.

Voor mobiele apparaten waarop de Configuration Manager-client niet is geïnstalleerd, maar die worden beheerd door de Exchange Server-connector: configureer de wachtwoordinstellingen voor de Exchange Server-connector zodanig dat de wachtwoordcomplexiteit de pincode is. Geef ten minste de standaard minimale wachtwoordlengte op.

Alleen toestaan dat toepassingen worden uitgevoerd die zijn ondertekend door bedrijven die u vertrouwt

Voorkom manipulatie van inventarisgegevens en statusgegevens door toepassingen alleen uit te voeren wanneer ze zijn ondertekend door bedrijven die u vertrouwt. Sta niet toe dat apparaten niet-ondertekende bestanden installeren.

Voor mobiele apparaten die zijn ingeschreven door Configuration Manager: gebruik een configuratie-item voor mobiele apparaten om de beveiligingsinstelling Niet-ondertekende toepassingen te configureren als Verboden. Configureer niet-ondertekende bestandsinstallaties als een vertrouwde bron.

Voor mobiele apparaten waarop de Configuration Manager-client niet is geïnstalleerd, maar die worden beheerd door de Exchange Server-connector: configureer de toepassingsinstellingen voor de Exchange Server-connector zodanig dat installatie van niet-ondertekende bestanden en niet-ondertekende toepassingenverboden zijn.

Mobiele apparaten vergrendelen wanneer ze niet in gebruik zijn

Voorkom uitbreiding van bevoegdheden door het mobiele apparaat te vergrendelen wanneer het niet wordt gebruikt.

Voor mobiele apparaten die zijn ingeschreven door Configuration Manager: gebruik een configuratie-item voor mobiele apparaten om de wachtwoordinstelling Inactieve tijd in minuten te configureren voordat het mobiele apparaat wordt vergrendeld.

Voor mobiele apparaten waarop de Configuration Manager-client niet is geïnstalleerd, maar die worden beheerd door de Exchange Server-connector: Configureer de wachtwoordinstellingen voor de Exchange Server-connector om de inactieve tijd in minuten in te stellen voordat het mobiele apparaat wordt vergrendeld.

De gebruikers beperken die hun mobiele apparaten kunnen inschrijven

Help uitbreiding van bevoegdheden te voorkomen door de gebruikers te beperken die hun mobiele apparaten kunnen inschrijven. Gebruik een aangepaste clientinstelling in plaats van standaardclientinstellingen om alleen geautoriseerde gebruikers toe te staan hun mobiele apparaten in te schrijven.

Richtlijnen voor gebruikersaffiniteit voor mobiele apparaten

Implementeer geen toepassingen voor gebruikers met mobiele apparaten die zijn ingeschreven door Configuration Manager in de volgende scenario's:

• Het mobiele apparaat wordt door meer dan één persoon gebruikt.

• Het apparaat wordt namens een gebruiker geregistreerd door een beheerder.

• Het apparaat wordt overgedragen naar een andere persoon zonder het apparaat buiten gebruik te stellen en vervolgens opnieuw in te schrijven.

Met apparaatinschrijving wordt een affiniteitsrelatie voor gebruikersapparaten gemaakt. Met deze relatie wordt de gebruiker die zich registreert toegewezen aan het mobiele apparaat. Als een andere gebruiker het mobiele apparaat gebruikt, kan deze de toepassingen uitvoeren die zijn geïmplementeerd voor de oorspronkelijke gebruiker, wat kan leiden tot een verhoging van bevoegdheden. Als een beheerder het mobiele apparaat registreert voor een gebruiker, worden toepassingen die voor de gebruiker zijn geïmplementeerd, ook niet op het mobiele apparaat geïnstalleerd. In plaats daarvan kunnen toepassingen die zijn geïmplementeerd voor de beheerder, worden geïnstalleerd.

De verbinding tussen de Configuration Manager siteserver en de Exchange Server

Als de Exchange Server on-premises is, gebruikt u IPsec. Gehoste Exchange beveiligt de verbinding automatisch met HTTPS.

Gebruik het principe van minimale bevoegdheden voor de Exchange-connector

Zie Mobiele apparaten beheren met Configuration Manager en Exchange voor een lijst met de minimaal vereiste cmdlets voor de Exchange Server-connector.

Beveiligingsrichtlijnen voor macOS-apparaten

De clientbronbestanden opslaan en openen vanaf een beveiligde locatie

Voordat u de client installeert of registreert op een macOS-computer, controleert Configuration Manager niet of er met deze clientbronbestanden is geknoeid. Download deze bestanden van een betrouwbare bron. Sla ze veilig op en open ze.

De geldigheidsperiode van het certificaat bewaken en bijhouden

Bewaak en volg de geldigheidsperiode van de certificaten die u gebruikt voor macOS-computers. Configuration Manager biedt geen ondersteuning voor automatische verlenging van dit certificaat of waarschuwt u dat het certificaat bijna verloopt. Een typische geldigheidsperiode is één jaar.

Zie Het macOS-clientcertificaat handmatig vernieuwen voor meer informatie over het vernieuwen van het certificaat.

Het vertrouwde basiscertificaat alleen configureren voor SSL

Ter bescherming tegen uitbreiding van bevoegdheden configureert u het certificaat voor de vertrouwde basiscertificeringsinstantie zodat het alleen wordt vertrouwd voor het SSL-protocol.

Wanneer u Mac-computers registreert, wordt automatisch een gebruikerscertificaat voor het beheren van de Configuration Manager-client geïnstalleerd. Dit gebruikerscertificaat bevat de vertrouwde basiscertificaten in de vertrouwensketen. Gebruik de volgende procedure om het vertrouwen van dit basiscertificaat te beperken tot alleen het SSL-protocol:

1. Open een terminalvenster op de Mac-computer.

2. Voer de volgende opdracht in: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

3. Selecteer in het dialoogvenster Sleutelhangertoegang in de sectie Sleutelhangers de optie Systeem. Selecteer in de sectie Categorie de optie Certificaten.

4. Zoek en open het basis-CA-certificaat voor het Mac-clientcertificaat.

5. Vouw in het dialoogvenster voor het basis-CA-certificaat de sectie Vertrouwen uit en breng vervolgens de volgende wijzigingen aan:

   1. Wanneer u dit certificaat gebruikt: wijzig de instelling Altijd vertrouwen in Standaardinstellingen van het systeem gebruiken.

   2. Secure Sockets Layer (SSL): wijzig geen waarde die is opgegeven in Always Trust.

6. Sluit het dialoogvenster. Wanneer u hierom wordt gevraagd, voert u het wachtwoord van de beheerder in en selecteert u Instellingen bijwerken.

Nadat u deze procedure hebt voltooid, wordt het basiscertificaat alleen vertrouwd om het SSL-protocol te valideren. Andere protocollen die nu niet worden vertrouwd met dit basiscertificaat, zijn Secure Mail (S/MIME), Extensible Authentication (EAP) of ondertekening van code.

Opmerking

Gebruik deze procedure ook als u het clientcertificaat onafhankelijk van Configuration Manager hebt geïnstalleerd.

Beveiligingsproblemen voor clients

De volgende beveiligingsproblemen hebben geen beperking:

Statusberichten worden niet geverifieerd

Het beheerpunt verifieert geen statusberichten. Wanneer een beheerpunt HTTP-clientverbindingen accepteert, kan elk apparaat statusberichten verzenden naar het beheerpunt. Als het beheerpunt alleen HTTPS-clientverbindingen accepteert, moet een apparaat een geldig certificaat voor clientverificatie hebben, maar kan het ook een statusbericht verzenden. Het beheerpunt verwijdert elk ongeldig statusbericht dat is ontvangen van een client.

Er zijn enkele mogelijke aanvallen op dit beveiligingsprobleem:

• Een aanvaller kan een nepstatusbericht verzenden om lidmaatschap te krijgen van een verzameling die is gebaseerd op statusberichtquery's.
• Elke client kan een Denial of Service starten op het beheerpunt door het te overspoelen met statusberichten.
• Als statusberichten acties activeren in filterregels voor statusberichten, kan een aanvaller de filterregel voor statusberichten activeren.
• Een aanvaller kan een statusbericht verzenden dat de rapportagegegevens onnauwkeurig maken.

Beleid kan opnieuw worden gericht op niet-doelclients

Er zijn verschillende methoden die aanvallers kunnen gebruiken om een beleid dat is gericht op één client van toepassing te laten zijn op een geheel andere client. Een aanvaller bij een vertrouwde client kan bijvoorbeeld valse inventaris- of detectiegegevens verzenden om de computer toe te voegen aan een verzameling waartoe deze niet hoort. Die client ontvangt vervolgens alle implementaties voor die verzameling.

Er bestaan besturingselementen om te voorkomen dat aanvallers beleid rechtstreeks wijzigen. Aanvallers kunnen echter een bestaand beleid gebruiken waarmee een besturingssysteem opnieuw wordt geformatt en geïmplementeerd en naar een andere computer wordt verzonden. Dit omgeleide beleid kan leiden tot een Denial of Service. Dit soort aanvallen vereist nauwkeurige timing en uitgebreide kennis van de Configuration Manager infrastructuur.

Clientlogboeken staan gebruikerstoegang toe

Alle clientlogboekbestanden staan de groep Gebruikers met leestoegang toe en de speciale interactieve gebruiker met toegang tot het schrijven van gegevens. Als u uitgebreide logboekregistratie inschakelt, kunnen aanvallers de logboekbestanden lezen om te zoeken naar informatie over naleving of systeemproblemen. Processen zoals software die de client installeert in de context van een gebruiker, moeten schrijven naar logboeken met een gebruikersaccount met lage rechten. Dit gedrag betekent dat een aanvaller ook naar de logboeken kan schrijven met een account met weinig rechten.

Het ernstigste risico is dat een aanvaller informatie in de logboekbestanden kan verwijderen. Een beheerder heeft deze informatie mogelijk nodig voor controle en inbraakdetectie.

Een computer kan worden gebruikt om een certificaat te verkrijgen dat is ontworpen voor inschrijving van mobiele apparaten

Wanneer Configuration Manager een inschrijvingsaanvraag verwerkt, kan niet worden gecontroleerd of de aanvraag afkomstig is van een mobiel apparaat in plaats van van een computer. Als de aanvraag afkomstig is van een computer, kan deze een PKI-certificaat installeren waarmee deze zich vervolgens kan registreren bij Configuration Manager.

Om een aanval op uitbreiding van bevoegdheden in dit scenario te voorkomen, staat u alleen vertrouwde gebruikers toe hun mobiele apparaten in te schrijven. Bewaak de activiteiten voor apparaatinschrijving op de site zorgvuldig.

Een geblokkeerde client kan nog steeds berichten verzenden naar het beheerpunt

Wanneer u een client blokkeert die u niet meer vertrouwt, maar er een netwerkverbinding tot stand is gebracht voor clientmeldingen, wordt Configuration Manager de sessie niet verbroken. De geblokkeerde client kan pakketten blijven verzenden naar het beheerpunt totdat de client de verbinding met het netwerk verbreekt. Deze pakketten zijn slechts kleine keep-alive-pakketten. Deze client kan pas worden beheerd door Configuration Manager als de blokkering is opgeheven.

Automatische clientupgrade controleert het beheerpunt niet

Wanneer u automatische clientupgrade gebruikt, kan de client worden omgeleid naar een beheerpunt om de clientbronbestanden te downloaden. In dit scenario verifieert de client het beheerpunt niet als een vertrouwde bron.

Wanneer gebruikers macOS-computers voor het eerst inschrijven, lopen ze risico op DNS-adresvervalsing

Wanneer de macOS-computer tijdens de inschrijving verbinding maakt met het proxypunt voor inschrijving, is het onwaarschijnlijk dat de macOS-computer al het vertrouwde basis-CA-certificaat heeft. Op dit moment vertrouwt de macOS-computer de server niet en wordt de gebruiker gevraagd door te gaan. Als een rogue DNS-server de FQDN (Fully Qualified Domain Name) van het inschrijvingsproxypunt oplost, kan de macOS-computer worden omgeleid naar een rogue inschrijvingsproxypunt om certificaten van een niet-vertrouwde bron te installeren. Volg de DNS-richtlijnen om spoofing in uw omgeving te voorkomen om dit risico te verminderen.

macOS-inschrijving beperkt geen certificaataanvragen

Gebruikers kunnen hun macOS-computers opnieuw inschrijven, telkens wanneer ze een nieuw clientcertificaat aanvragen. Configuration Manager controleert niet op meerdere aanvragen of beperkt het aantal certificaten dat vanaf één computer is aangevraagd. Een rogue gebruiker kan een script uitvoeren waarmee de inschrijvingsaanvraag voor de opdrachtregel wordt herhaald. Deze aanval kan leiden tot een Denial of Service op het netwerk of op de verlenende certificeringsinstantie (CA). Om dit risico te verminderen, controleert u de verlenende CA zorgvuldig op dit type verdacht gedrag. Blokkeer onmiddellijk van de Configuration Manager hiërarchie elke computer die dit patroon van gedrag vertoont.

Een bevestiging van wissen controleert niet of het apparaat is gewist

Wanneer u een wisactie voor een mobiel apparaat start en Configuration Manager het wissen bevestigt, wordt gecontroleerd of Configuration Manager het bericht met succes hebt verzonden. Er wordt niet gecontroleerd of het apparaat heeft gereageerd op de aanvraag.

Voor mobiele apparaten die worden beheerd door de Exchange Server-connector, controleert een wisbevestiging of de opdracht is ontvangen door Exchange, niet door het apparaat.

Als u de opties gebruikt om wijzigingen door te voeren op Windows Embedded-apparaten, worden accounts mogelijk eerder vergrendeld dan verwacht

Als op het Windows Embedded-apparaat een oudere versie van het besturingssysteem dan Windows 7 wordt uitgevoerd en een gebruiker zich probeert aan te melden terwijl de schrijffilters zijn uitgeschakeld door Configuration Manager, staat Windows slechts de helft van het geconfigureerde aantal onjuiste pogingen toe voordat het account wordt vergrendeld.

U configureert bijvoorbeeld het domeinbeleid voor de drempelwaarde voor accountvergrendeling tot zes pogingen. Een gebruiker typt het wachtwoord drie keer verkeerd en het account is vergrendeld. Dit gedrag creëert effectief een Denial of Service. Als gebruikers zich in dit scenario moeten aanmelden bij ingesloten apparaten, waarschuwt u hen voor de mogelijkheid van een lagere vergrendelingsdrempel.

Privacy-informatie voor clients

Wanneer u de Configuration Manager-client implementeert, schakelt u clientinstellingen in voor Configuration Manager-functies. De instellingen die u gebruikt om de functies te configureren, kunnen worden toegepast op alle clients in de Configuration Manager-hiërarchie. Dit gedrag is hetzelfde, ongeacht of ze rechtstreeks zijn verbonden met het interne netwerk, verbonden zijn via een externe sessie of verbonden zijn met internet.

Clientgegevens worden opgeslagen in de Configuration Manager sitedatabase in uw SQL Server en worden niet naar Microsoft verzonden. Informatie wordt bewaard in de database totdat deze elke 90 dagen wordt verwijderd door de siteonderhoudstaak Verouderde detectiegegevens verwijderen . U kunt het verwijderingsinterval configureren.

Sommige samengevatte of geaggregeerde diagnostische gegevens en gebruiksgegevens worden naar Microsoft verzonden. Zie Diagnostische gegevens en gebruiksgegevens voor meer informatie.

Meer informatie over het verzamelen en gebruiken van gegevens door Microsoft vindt u in de Privacyverklaring van Microsoft.

Clientstatus

Configuration Manager controleert de activiteit van clients. Het evalueert periodiek de Configuration Manager client en kan problemen met de client en de bijbehorende afhankelijkheden oplossen. Clientstatus is standaard ingeschakeld. Er worden metrische gegevens aan de serverzijde gebruikt voor de controles van de clientactiviteit. Clientstatus maakt gebruik van acties aan de clientzijde voor zelfcontroles, herstel en voor het verzenden van clientstatusgegevens naar de site. De client voert de zelfcontroles uit volgens een schema dat u configureert. De client verzendt de resultaten van de controles naar de Configuration Manager site. Deze informatie wordt versleuteld tijdens de overdracht.

Clientstatusgegevens worden opgeslagen in de Configuration Manager-database in uw SQL Server en worden niet naar Microsoft verzonden. De informatie wordt niet in versleutelde indeling opgeslagen in de sitedatabase. Deze informatie wordt bewaard in de database totdat deze wordt verwijderd op basis van de waarde die is geconfigureerd voor de instelling Clientstatusgeschiedenis voor het volgende aantal dagen behouden . De standaardwaarde voor deze instelling is elke 31 dagen.

Privacy-informatie voor de Exchange Server Connector

De Exchange Server Connector zoekt en beheert apparaten die verbinding maken met een on-premises of gehoste Exchange Server met behulp van het ActiveSync-protocol. De records die door de Exchange Server Connector worden gevonden, worden opgeslagen in de Configuration Manager database in uw SQL Server. De informatie wordt verzameld van de Exchange Server. Het bevat geen aanvullende informatie over wat de mobiele apparaten naar Exchange Server verzenden.

De gegevens van het mobiele apparaat worden niet naar Microsoft verzonden. De gegevens van het mobiele apparaat worden opgeslagen in de Configuration Manager-database in uw SQL Server. Informatie wordt bewaard in de database totdat deze elke 90 dagen wordt verwijderd door de siteonderhoudstaak Verouderde detectiegegevens verwijderen . U configureert het verwijderingsinterval.

Meer informatie over het verzamelen en gebruiken van gegevens door Microsoft vindt u in de Privacyverklaring van Microsoft.