Konfigurowanie zabezpieczeń w Configuration Manager

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Skorzystaj z informacji zawartych w tym artykule, aby ułatwić skonfigurowanie opcji związanych z zabezpieczeniami dla Configuration Manager. Przed rozpoczęciem upewnij się, że masz plan zabezpieczeń.

Ważna

Począwszy od Configuration Manager wersji 2103, witryny, które zezwalają na komunikację klienta HTTP, są przestarzałe. Skonfiguruj witrynę pod kątem protokołu HTTPS lub rozszerzonego protokołu HTTP. Aby uzyskać więcej informacji, zobacz Włączanie witryny dla protokołu HTTPS lub rozszerzonego protokołu HTTP.

Certyfikaty infrastruktury kluczy publicznych klienta

Jeśli chcesz używać certyfikatów infrastruktury kluczy publicznych (PKI) dla połączeń klienta z systemami lokacji korzystającymi z usług Internet Information Services (IIS), użyj poniższej procedury, aby skonfigurować ustawienia dla tych certyfikatów.

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Konfiguracja lokacji i wybierz węzeł Lokacje. Wybierz lokację główną do skonfigurowania.

  2. Na wstążce wybierz pozycję Właściwości. Następnie przejdź do karty Zabezpieczenia komunikacji .

  3. Wybierz ustawienia systemów lokacji korzystających z usług IIS.

    • Tylko protokół HTTPS: klienci przypisani do lokacji zawsze używają certyfikatu PKI klienta podczas nawiązywania połączenia z systemami lokacji korzystającymi z usług IIS. Na przykład punkt zarządzania i punkt dystrybucji.

    • HTTPS lub HTTP: nie wymagasz od klientów używania certyfikatów PKI.

    • Użyj certyfikatów generowanych Configuration Manager dla systemów lokacji HTTP: Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Rozszerzony protokół HTTP.

  4. Wybierz ustawienia dla komputerów klienckich.

    • Jeśli jest dostępna, użyj certyfikatu PKI klienta (możliwość uwierzytelniania klienta): jeśli wybrano ustawienie https lub serwera lokacji HTTP , wybierz tę opcję, aby użyć certyfikatu PKI klienta dla połączeń HTTP. Klient używa tego certyfikatu zamiast certyfikatu z podpisem własnym do uwierzytelniania się w systemach lokacji. Jeśli wybrano tylko protokół HTTPS, ta opcja zostanie wybrana automatycznie.

      Jeśli na kliencie jest dostępny więcej niż jeden prawidłowy certyfikat klienta infrastruktury kluczy publicznych, wybierz pozycję Modyfikuj , aby skonfigurować metody wyboru certyfikatu klienta. Aby uzyskać więcej informacji na temat metody wyboru certyfikatu klienta, zobacz Planowanie wyboru certyfikatu klienta infrastruktury kluczy publicznych.

    • Klienci sprawdzają listę odwołania certyfikatów (CRL) dla systemów lokacji: włącz to ustawienie dla klientów, aby sprawdzić listę CRL organizacji pod kątem odwołanych certyfikatów. Aby uzyskać więcej informacji na temat sprawdzania listy CRL dla klientów, zobacz Planowanie odwołania certyfikatów PKI.

  5. Aby zaimportować, wyświetlić i usunąć certyfikaty dla zaufanych głównych urzędów certyfikacji, wybierz pozycję Ustaw. Aby uzyskać więcej informacji, zobacz Planowanie zaufanych certyfikatów głównych infrastruktury kluczy publicznych i listy wystawców certyfikatów.

Powtórz tę procedurę dla wszystkich lokacji głównych w hierarchii.

Zarządzanie zaufanym kluczem głównym

Te procedury umożliwiają wstępne aprowizowanie i weryfikowanie zaufanego klucza głównego dla klienta Configuration Manager.

Uwaga

Jeśli klienci mogą uzyskać zaufany klucz główny z Active Directory Domain Services lub wypychania klienta, nie musisz go wstępnie aprowizować.

Gdy klienci używają komunikacji HTTPS z punktami zarządzania, nie trzeba wstępnie aprowizować zaufanego klucza głównego. Ustanawiają zaufanie certyfikatów infrastruktury kluczy publicznych.

Aby uzyskać więcej informacji na temat zaufanego klucza głównego, zobacz Planowanie zabezpieczeń.

Wstępne aprowizowanie klienta przy użyciu zaufanego klucza głównego przy użyciu pliku

  1. Na serwerze lokacji przejdź do katalogu instalacji Configuration Manager. \bin\<platform> W podfoldecie otwórz następujący plik w edytorze tekstów:mobileclient.tcf

  2. Znajdź wpis SMSPublicRootKey. Skopiuj wartość z tego wiersza i zamknij plik bez zapisywania żadnych zmian.

  3. Utwórz nowy plik tekstowy i wklej wartość klucza skopiowaną z pliku mobileclient.tcf.

  4. Zapisz plik w lokalizacji, w której wszystkie komputery mogą uzyskać do niego dostęp, ale gdzie plik jest bezpieczny przed naruszeniem.

  5. Zainstaluj klienta przy użyciu dowolnej metody instalacji, która akceptuje właściwości client.msi. Określ następującą właściwość: SMSROOTKEYPATH=<full path and file name>

    Ważna

    Po określeniu zaufanego klucza głównego podczas instalacji klienta określ również kod lokacji. Użyj następującej właściwości client.msi: SMSSITECODE=<site code>

Wstępne aprowizowanie klienta przy użyciu zaufanego klucza głównego bez użycia pliku

  1. Na serwerze lokacji przejdź do katalogu instalacji Configuration Manager. \bin\<platform> W podfoldecie otwórz następujący plik w edytorze tekstów:mobileclient.tcf

  2. Znajdź wpis SMSPublicRootKey. Skopiuj wartość z tego wiersza i zamknij plik bez zapisywania żadnych zmian.

  3. Zainstaluj klienta przy użyciu dowolnej metody instalacji, która akceptuje właściwości client.msi. Określ następującą właściwość client.msi: SMSPublicRootKey=<key> gdzie <key> jest ciąg skopiowany z pliku mobileclient.tcf.

    Ważna

    Po określeniu zaufanego klucza głównego podczas instalacji klienta określ również kod lokacji. Użyj następującej właściwości client.msi: SMSSITECODE=<site code>

Weryfikowanie zaufanego klucza głównego na kliencie

  1. Otwórz konsolę Windows PowerShell jako administrator.

  2. Uruchom następujące polecenie:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey

Zwrócony ciąg jest zaufanym kluczem głównym. Sprawdź, czy jest zgodna z wartością SMSPublicRootKey w pliku mobileclient.tcf na serwerze lokacji.

Usuwanie lub zastępowanie zaufanego klucza głównego

Usuń zaufany klucz główny z klienta przy użyciu właściwości client.msi , RESETKEYINFORMATION = TRUE.

Aby zastąpić zaufany klucz główny, zainstaluj ponownie klienta razem z nowym zaufanym kluczem głównym. Na przykład użyj wypychania klienta lub określ właściwość client.msi SMSPublicRootKey.

Aby uzyskać więcej informacji na temat tych właściwości instalacji, zobacz Informacje o parametrach i właściwościach instalacji klienta.

Podpisywanie i szyfrowanie

Skonfiguruj najbezpieczniejsze ustawienia podpisywania i szyfrowania dla systemów lokacji, które mogą obsługiwać wszyscy klienci w lokacji. Te ustawienia są szczególnie ważne, gdy pozwalasz klientom komunikować się z systemami lokacji przy użyciu certyfikatów z podpisem własnym za pośrednictwem protokołu HTTP.

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Konfiguracja lokacji i wybierz węzeł Lokacje. Wybierz lokację główną do skonfigurowania.

  2. Na wstążce wybierz pozycję Właściwości, a następnie przejdź do karty Podpisywanie i szyfrowanie .

    Ta karta jest dostępna tylko w lokacji głównej. Jeśli nie widzisz karty Podpisywanie i szyfrowanie , upewnij się, że nie masz połączenia z centralną lokacją administracyjną lub lokacją dodatkową.

  3. Skonfiguruj opcje podpisywania i szyfrowania dla klientów w celu komunikowania się z lokacją.

    • Wymagaj podpisywania: Klienci podpisują dane przed wysłaniem do punktu zarządzania.

    • Wymagaj algorytmu SHA-256: klienci używają algorytmu SHA-256 podczas podpisywania danych.

      Ostrzeżenie

      Nie wymagaj algorytmu SHA-256 bez uprzedniego potwierdzenia, że wszyscy klienci obsługują ten algorytm skrótu. Klienci ci obejmują te, które mogą zostać przypisane do lokacji w przyszłości.

      Jeśli wybierzesz tę opcję, a klienci z certyfikatami z podpisem własnym nie będą mogli obsługiwać algorytmu SHA-256, Configuration Manager je odrzuci. Składnik SMS_MP_CONTROL_MANAGER rejestruje identyfikator komunikatu 5443.

    • Użyj szyfrowania: Klienci szyfrują dane spisu klientów i komunikaty o stanie przed wysłaniem do punktu zarządzania.

Powtórz tę procedurę dla wszystkich lokacji głównych w hierarchii.

Administracja oparta na rolach

Administracja oparta na rolach łączy role zabezpieczeń, zakresy zabezpieczeń i przypisane kolekcje w celu zdefiniowania zakresu administracyjnego dla każdego użytkownika administracyjnego. Zakres obejmuje obiekty, które użytkownik może wyświetlić w konsoli programu, oraz zadania związane z tymi obiektami, do których ma uprawnienia. Konfiguracje administracji opartej na rolach są stosowane w każdej lokacji w hierarchii.

Aby uzyskać więcej informacji, zobacz Konfigurowanie administracji opartej na rolach. W tym artykule opisano następujące akcje:

  • Tworzenie niestandardowych ról zabezpieczeń

  • Konfigurowanie ról zabezpieczeń

  • Konfigurowanie zakresów zabezpieczeń dla obiektu

  • Konfigurowanie kolekcji do zarządzania zabezpieczeniami

  • Tworzenie nowego użytkownika administracyjnego

  • Modyfikowanie zakresu administracyjnego użytkownika administracyjnego

Ważna

Własny zakres administracyjny definiuje obiekty i ustawienia, które można przypisać podczas konfigurowania administracji opartej na rolach dla innego użytkownika administracyjnego. Aby uzyskać informacje na temat planowania administracji opartej na rolach, zobacz Podstawy administracji opartej na rolach.

Zarządzanie kontami

Configuration Manager obsługuje konta systemu Windows dla wielu różnych zadań i zastosowań. Aby wyświetlić konta skonfigurowane dla różnych zadań i zarządzać hasłem, które Configuration Manager używane dla każdego konta, użyj następującej procedury:

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Zabezpieczenia, a następnie wybierz węzeł Konta.

  2. Aby zmienić hasło dla konta, wybierz konto na liście. Następnie wybierz pozycję Właściwości na wstążce.

  3. Wybierz pozycję Ustaw , aby otworzyć okno dialogowe Konto użytkownika systemu Windows . Określ nowe hasło dla Configuration Manager do użycia dla tego konta.

    Uwaga

    Określone hasło musi być zgodne z hasłem tego konta w usłudze Active Directory.

Aby uzyskać więcej informacji, zobacz Konta używane w Configuration Manager.

Microsoft Entra ID

Zintegruj Configuration Manager z identyfikatorem Microsoft Entra, aby uprościć środowisko i włączyć je w chmurze. Włącz uwierzytelnianie lokacji i klientów przy użyciu identyfikatora Microsoft Entra.

Aby uzyskać więcej informacji, zobacz Usługa Zarządzania chmurą w temacie Konfigurowanie usług platformy Azure.

Uwierzytelnianie dostawcy programu SMS

Możesz określić minimalny poziom uwierzytelniania dla administratorów, aby uzyskać dostęp do Configuration Manager witryn. Ta funkcja wymusza, aby administratorzy logowali się do systemu Windows z wymaganym poziomem, zanim będą mogli uzyskać dostęp do Configuration Manager. Aby uzyskać więcej informacji, zobacz Planowanie uwierzytelniania dostawcy programu SMS.

Ważna

Ta konfiguracja jest ustawieniem całej hierarchii. Przed zmianą tego ustawienia upewnij się, że wszyscy administratorzy Configuration Manager mogą zalogować się do systemu Windows przy użyciu wymaganego poziomu uwierzytelniania.

Aby skonfigurować to ustawienie, wykonaj następujące kroki:

  1. Najpierw zaloguj się do systemu Windows z zamierzonym poziomem uwierzytelniania.

  2. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Konfiguracja lokacji i wybierz węzeł Lokacje.

  3. Wybierz pozycję Ustawienia hierarchii na wstążce.

  4. Przejdź do karty Uwierzytelnianie . Wybierz żądany poziom uwierzytelniania, a następnie wybierz przycisk OK.

    • Tylko w razie potrzeby wybierz pozycję Dodaj , aby wykluczyć określonych użytkowników lub grupy. Aby uzyskać więcej informacji, zobacz Wykluczenia.

Wykluczenia

Na karcie Uwierzytelnianie ustawień hierarchii można również wykluczyć niektórych użytkowników lub grupy. Użyj tej opcji oszczędnie. Na przykład gdy określoni użytkownicy wymagają dostępu do konsoli Configuration Manager, ale nie mogą uwierzytelniać się w systemie Windows na wymaganym poziomie. Może to być również konieczne w przypadku automatyzacji lub usług uruchamianych w kontekście konta systemowego.

Następne kroki