Bezpieczeństwo i prywatność bramy zarządzania chmurąSecurity and privacy for the cloud management gateway

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Ten artykuł zawiera informacje o zabezpieczeniach i prywatności dotyczące Configuration Manager bramy zarządzania chmurą (CMG).This article includes security and privacy information for the Configuration Manager cloud management gateway (CMG). Aby uzyskać więcej informacji, zobacz Omówienie bramy zarządzania chmurą.For more information, see Overview of cloud management gateway.

Szczegóły zabezpieczeń CMGCMG security details

CMG akceptuje i zarządza połączeniami z punktów połączenia usługi CMG.The CMG accepts and manages connections from CMG connection points. Używa wzajemnego uwierzytelniania przy użyciu certyfikatów i identyfikatorów połączeń.It uses mutual authentication using certificates and connection IDs.

CMG akceptuje żądania klientów i przesyła je dalej przy użyciu następujących metod:The CMG accepts and forwards client requests using the following methods:

  • Wstępnie uwierzytelnia połączenia przy użyciu wzajemnego protokołu HTTPS z certyfikatem uwierzytelniania klienta opartego na infrastrukturze PKI lub usłudze Azure AD.Pre-authenticates connections using mutual HTTPS with the PKI-based client authentication certificate or Azure AD.

    • Usługi IIS w wystąpieniach maszyn wirtualnych CMG sprawdzają ścieżkę certyfikatu na podstawie zaufanych certyfikatów głównych, które zostały przekazane do CMG.IIS on the CMG VM instances verifies the certificate path based on the trusted root certificates that you upload to the CMG.

    • W przypadku włączenia odwoływania certyfikatów usługi IIS w wystąpieniu maszyny wirtualnej również sprawdzają Odwoływanie certyfikatów klienta.If you enable certificate revocation, IIS on the VM instance also verifies client certificate revocation. Aby uzyskać więcej informacji, zobacz Publikowanie listy odwołania certyfikatów.For more information, see Publish the certificate revocation list.

  • Lista zaufania certyfikatów (CTL) sprawdza katalog główny certyfikatu uwierzytelniania klienta.The certificate trust list (CTL) checks the root of the client authentication certificate. Wykonuje również taką samą weryfikację jak punkt zarządzania dla klienta.It also does the same validation as the management point for the client. Aby uzyskać więcej informacji, zobacz Przegląd wpisów na liście zaufania certyfikatów lokacji.For more information, see Review entries in the site's certificate trust list.

  • Sprawdza poprawność i filtruje żądania klientów (URL), aby sprawdzić, czy dany punkt połączenia CMG może obsłużyć żądanie.Validates and filters client requests (URLs) to check if any CMG connection point can service the request.

  • Sprawdza długość zawartości dla każdego punktu końcowego publikowania.Checks content length for each publishing endpoint.

  • Używa zachowania okrężnego do równoważenia obciążenia CMG punktów połączenia w tej samej lokacji.Uses round-robin behavior to load-balance CMG connection points in the same site.

Punkt połączenia CMG używa następujących metod:The CMG connection point uses the following methods:

  • Kompiluje spójne połączenia HTTPS/TCP ze wszystkimi wystąpieniami maszyn wirtualnych CMG.Builds consistent HTTPS/TCP connections to all VM instances of the CMG. Sprawdza i utrzymuje te połączenia co minutę.It checks and maintains these connections every minute.

  • Używa wzajemnego uwierzytelniania z CMG przy użyciu certyfikatów.Uses mutual authentication with the CMG using certificates.

  • Przekazuje żądania klientów na podstawie mapowań adresów URL.Forwards client requests based on URL mappings.

  • Zgłasza stan połączenia w celu wyświetlenia stanu kondycji usługi w konsoli programu.Reports connection status to show service health status in the console.

  • Zgłasza ruch na punkt końcowy co pięć minut.Reports traffic per endpoint every five minutes.

Configuration Manager ról związanych z klientemConfiguration Manager client-facing roles

Punkty końcowe punktu zarządzania i hosta punktu aktualizacji oprogramowania w programie IIS do obsługi żądań klientów.The management point and software update point host endpoints in IIS to service client requests. CMG nie ujawnia wszystkich wewnętrznych punktów końcowych.The CMG doesn't expose all internal endpoints. Każdy punkt końcowy opublikowany w CMG ma mapowanie adresu URL.Every endpoint published to the CMG has a URL mapping.

  • Zewnętrzny adres URL jest tym, którego klient używa do komunikowania się z CMG.The external URL is the one the client uses to communicate with the CMG.

  • Wewnętrzny adres URL jest punktem połączenia CMG używanym do przesyłania dalej żądań do serwera wewnętrznego.The internal URL is the CMG connection point used to forward requests to the internal server.

Przykład mapowania adresów URLURL mapping example

Po włączeniu ruchu CMG w punkcie zarządzania program Configuration Manager tworzy wewnętrzny zestaw mapowań adresów URL dla każdego serwera punktu zarządzania.When you enable CMG traffic on a management point, Configuration Manager creates an internal set of URL mappings for each management point server. Na przykład: ccm_system, ccm_incoming i sms_mp.For example: ccm_system, ccm_incoming, and sms_mp. Zewnętrzny adres URL punktu zarządzania ccm_system punkt końcowy może wyglądać następująco:The external URL for the management point ccm_system endpoint might look like:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
Adres URL jest unikatowy dla każdego punktu zarządzania.The URL is unique for each management point. Klient Configuration Manager następnie umieści nazwę punktu zarządzania z włączoną obsługą CMG na liście punktów zarządzania internetowego.The Configuration Manager client then puts the CMG-enabled management point name into its internet management point list. Ta nazwa wygląda następująco:This name looks like:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Lokacja automatycznie przekazuje wszystkie opublikowane zewnętrzne adresy URL do CMG.The site automatically uploads all published external URLs to the CMG. To zachowanie umożliwia filtrowanie adresów URL CMG.This behavior allows the CMG to do URL filtering. Wszystkie mapowania adresów URL są replikowane do punktu połączenia CMG.All URL mappings replicate to the CMG connection point. Następnie przekazuje komunikację do serwerów wewnętrznych zgodnie z zewnętrznym adresem URL z żądania klienta.It then forwards the communication to internal servers according to the external URL from the client request.

Wskazówki dotyczące zabezpieczeń dla CMGSecurity guidance for CMG

Publikowanie listy odwołania certyfikatówPublish the certificate revocation list

Opublikuj listę odwołania certyfikatów (CRL) usługi PKI dla klientów internetowych, aby uzyskać do niej dostęp.Publish your PKI's certificate revocation list (CRL) for internet-based clients to access. Podczas wdrażania CMG przy użyciu infrastruktury kluczy publicznych Skonfiguruj usługę, aby weryfikować Odwoływanie certyfikatów klientów na karcie Ustawienia. To ustawienie umożliwia skonfigurowanie usługi do korzystania z opublikowanej listy odwołania certyfikatów (CRL).When deploying a CMG using PKI, configure the service to Verify client certificate revocation on the Settings tab. This setting configures the service to use a published certificate revocation list (CRL). Aby uzyskać więcej informacji, zobacz Planowanie odwołania certyfikatu PKI.For more information, see Plan for PKI certificate revocation.

Ta opcja CMG weryfikuje certyfikat uwierzytelniania klienta.This CMG option verifies the client authentication certificate.

  • Jeśli klient korzysta z uwierzytelniania usługi Azure AD, lista CRL nie ma znaczenia.If the client is using Azure AD authentication, the CRL doesn't matter.

  • Jeśli korzystasz z infrastruktury PKI, a zewnętrznie opublikują listę CRL, Włącz tę opcję (zalecane).If you use PKI, and externally publish the CRL, then enable this option (recommended).

  • Jeśli korzystasz z infrastruktury PKI, nie Publikuj listy CRL, a następnie wyłącz tę opcję.If you use PKI, don't publish the CRL, then disable this option.

  • Jeśli ta opcja zostanie skonfigurowana nieprawidłowo, może to spowodować, że dodatkowy ruch od klientów do CMG.If you misconfigure this option, it can cause additional traffic from clients to the CMG. Ten dodatkowy ruch może zwiększyć ilość danych wyjściowych platformy Azure, co może zwiększyć koszty platformy Azure.This additional traffic can increase the Azure egress data, which can increase your Azure costs.

Przejrzyj wpisy na liście zaufania certyfikatów witrynyReview entries in the site's certificate trust list

Każda lokacja Configuration Manager zawiera listę zaufanych głównych urzędów certyfikacji, listę zaufania certyfikatów (CTL).Each Configuration Manager site includes a list of trusted root certification authorities, the certificate trust list (CTL). Aby wyświetlić i zmodyfikować listę, przejdź do obszaru roboczego Administracja , rozwiń węzeł Konfiguracja lokacji, a następnie wybierz pozycję Lokacje.View and modify the list by going to the Administration workspace, expand Site Configuration, and select Sites. Wybierz lokację, a następnie na wstążce wybierz pozycję Właściwości .Select a site, and then select Properties in the ribbon. Przejdź do karty zabezpieczenia komunikacji , a następnie wybierz pozycję Ustaw w obszarze Zaufane główne urzędy certyfikacji.Switch to the Communication Security tab, and then select Set under Trusted Root Certification Authorities.

Uwaga

W wersji 1902 i starszych ta karta nosi nazwę komunikacja komputera klienckiego.In version 1902 and earlier, this tab is called Client Computer Communication.

Użyj bardziej restrykcyjnej listy CTL dla lokacji z CMG przy użyciu uwierzytelniania klienta PKI.Use a more restrictive CTL for a site with a CMG using PKI client authentication. W przeciwnym razie klienci z certyfikatami uwierzytelniania klienta wystawionymi przez dowolny zaufany certyfikat główny, który już istnieje w punkcie zarządzania, są automatycznie akceptowani na potrzeby rejestracji klienta.Otherwise, clients with client authentication certificates issued by any trusted root that already exists on the management point are automatically accepted for client registration.

Ten podzbiór zapewnia administratorom większą kontrolę nad zabezpieczeniami.This subset provides administrators with more control over security. Lista CTL ogranicza serwer tylko do akceptowania certyfikatów klienta wystawionych przez urzędy certyfikacji znajdujące się na liście CTL.The CTL restricts the server to only accept client certificates that are issued from the certification authorities in the CTL. Na przykład system Windows jest dostarczany z liczbą dobrze znanych certyfikatów urzędu certyfikacji innych firm, takich jak VeriSign i Thawte.For example, Windows ships with a number of well-known third-party certification authority (CA) certificates, such as VeriSign and Thawte. Domyślnie komputer z uruchomionymi usługami IIS ufa certyfikatom, które są powiązane z tymi dobrze znanymi urzędami certyfikacji.By default, the computer running IIS trusts certificates that chain to these well-known CAs. Bez konfigurowania usług IIS z listą CTL wszystkie komputery z certyfikatem klienta wystawionym przez te urzędy certyfikacji są akceptowane jako prawidłowy klient Configuration Manager.Without configuring IIS with a CTL, any computer that has a client certificate issued from these CAs are accepted as a valid Configuration Manager client. W przypadku skonfigurowania usług IIS z listą CTL, która nie zawiera tych urzędów certyfikacji, połączenia klientów są odrzucane, jeśli certyfikat jest powiązany z tymi urzędami certyfikacji.If you configure IIS with a CTL that didn't include these CAs, client connections are refused if the certificate chained to these CAs.

Wymuś protokół TLS 1,2Enforce TLS 1.2

Począwszy od wersji 1906, użyj ustawienia CMG, aby wymusić protokół TLS 1,2.Starting in version 1906, use the CMG setting to Enforce TLS 1.2. Ma zastosowanie tylko do maszyny wirtualnej usługi w chmurze platformy Azure.It only applies to the Azure cloud service VM. Nie dotyczy żadnych lokalnych serwerów lokacji lub klientów Configuration Manager.It doesn't apply to any on-premises Configuration Manager site servers or clients. Aby uzyskać więcej informacji na temat protokołu TLS 1,2, zobacz How to enable tls 1,2.For more information on TLS 1.2, see How to enable TLS 1.2.

Korzystanie z uwierzytelniania opartego na tokenachUse token-based authentication

Począwszy od wersji 2002,Starting in version 2002, Configuration Manager rozszerza obsługę urządzeń internetowych, które nie często łączą się z siecią wewnętrzną, nie mogą dołączać do usługi Azure AD i nie mają metody instalowania certyfikatu wystawionego przez infrastrukturę PKI.Configuration Manager extends its support for internet-based devices that don't often connect to the internal network, aren't able to join Azure AD, and don't have a method to install a PKI-issued certificate. Lokacja automatycznie wystawia tokeny dla urządzeń, które rejestrują się w sieci wewnętrznej.The site automatically issues tokens for devices that register on the internal network. Można utworzyć token rejestracji zbiorczej dla urządzeń internetowych.You can create a bulk registration token for internet-based devices. Aby uzyskać więcej informacji, zobacz uwierzytelnianie oparte na tokenach dla CMG.For more information, see Token-based authentication for CMG.