Podstawowe informacje o zabezpieczeniach Configuration ManagerFundamentals of security for Configuration Manager

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

W tym artykule przedstawiono podsumowanie następujących podstawowych składników zabezpieczeń dowolnego środowiska Configuration Manager:This article summarizes the following fundamental security components of any Configuration Manager environment:

Warstwy zabezpieczeńSecurity layers

Zabezpieczenia Configuration Manager obejmują następujące warstwy:Security for Configuration Manager consists of the following layers:

System operacyjny Windows i zabezpieczenia siecioweWindows OS and network security

Pierwsza warstwa jest zapewniana przez funkcje zabezpieczeń systemu Windows zarówno dla systemu operacyjnego, jak i sieci.The first layer is provided by Windows security features for both the OS and the network. Ta warstwa obejmuje następujące składniki:This layer includes the following components:

  • Udostępnianie plików do transferu plików między składnikami Configuration ManagerFile sharing to transfer files between Configuration Manager components

  • Listy kontroli dostępu (ACL) ułatwiające zabezpieczanie plików oraz kluczy rejestruAccess Control Lists (ACLs) to help secure files and registry keys

  • Zabezpieczenia protokołu internetowego (IPsec), aby pomóc w zabezpieczeniu komunikacjiInternet Protocol Security (IPsec) to help secure communications

  • zasady grupy ustawić zasad zabezpieczeńGroup Policy to set security policy

  • Rozproszone Component Object Model (DCOM) dla aplikacji rozproszonych, takich jak konsola Configuration ManagerDistributed Component Object Model (DCOM) permissions for distributed applications, like the Configuration Manager console

  • Usługi domenowe Active Directory do przechowywania podmiotów zabezpieczeńActive Directory Domain Services to store security principals

  • Zabezpieczenia kont systemu Windows, w tym niektóre grupy, które Configuration Manager tworzyć podczas instalacjiWindows account security, including some groups that Configuration Manager creates during setup

Infrastruktura sieciowaNetwork infrastructure

Dodatkowe składniki zabezpieczeń, takie jak zapory i Wykrywanie intruzów, pomagają zapewnić ochronę całego środowiska.Additional security components, like firewalls and intrusion detection, help provide defense for the whole environment. Certyfikaty wystawiane przez implementacje standardowych infrastruktury kluczy publicznych (PKI) w branży ułatwiają uwierzytelnianie, podpisywanie i szyfrowanie.Certificates issued by industry standard public key infrastructure (PKI) implementations help provide authentication, signing, and encryption.

Configuration Manager kontroli zabezpieczeńConfiguration Manager security controls

Oprócz zabezpieczeń zapewnianych przez serwer z systemem Windows i infrastrukturę sieci, Configuration Manager kontroluje dostęp do konsoli i zasobów na kilka sposobów.In addition to security provided by the Windows server and network infrastructure, Configuration Manager controls access to its console and resources in several ways. Domyślnie tylko lokalni administratorzy mają uprawnienia do plików i kluczy rejestru wymaganych przez konsolę Configuration Manager na komputerach, na których je zainstalowano.By default, only local administrators have rights to the files and registry keys that the Configuration Manager console requires on computers where you install it.

Dostawca programu SMSSMS Provider

Kolejna warstwa zabezpieczeń bazuje na dostępie przy użyciu Instrumentacji zarządzania Windows (WMI), konkretnie na dostawcy programu SMS.The next layer of security is based on access through Windows Management Instrumentation (WMI), specifically the SMS Provider. Dostawca programu SMS jest składnikiem Configuration Manager, który umożliwia użytkownikowi uzyskanie dostępu do bazy danych lokacji w celu uzyskania informacji.The SMS Provider is a Configuration Manager component that grants a user access to query the site database for information. Domyślnie dostęp do dostawcy jest ograniczony do członków lokalnej grupy Administratorzy programu SMS .By default, access to the provider is restricted to members of the local SMS Admins group. Ta grupa w pierwszej kolejności zawiera tylko użytkownika, który zainstalował Configuration Manager.This group at first contains only the user who installed Configuration Manager. Aby przydzielić innym kontom uprawnienie do repozytorium modelu wspólnych informacji (CIM) i dostawcy programu SMS, należy dodać te konta do grupy administratorów programu SMS.To grant other accounts permission to the Common Information Model (CIM) repository and the SMS Provider, add the other accounts to the SMS Admins group.

Począwszy od wersji 1810, można określić minimalny poziom uwierzytelniania dla administratorów, aby uzyskiwać dostęp do witryn Configuration Manager.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Ta funkcja wymusza od administratorów logowanie się do systemu Windows przy użyciu wymaganego poziomu.This feature enforces administrators to sign in to Windows with the required level.

Aby uzyskać więcej informacji, zobacz Planowanie dla dostawcy programu SMS.For more information, see Plan for the SMS Provider.

Uprawnienia bazy danych lokacjiSite database permissions

Ostatnia warstwa zabezpieczeń bazuje na uprawnieniach do obiektów w bazie danych lokacji.The final layer of security is based on permissions to objects in the site database. Domyślnie lokalne konto systemowe i konto użytkownika użyte do zainstalowania Configuration Manager mogą administrować wszystkimi obiektami w bazie danych lokacji.By default, the Local System account and the user account that you used to install Configuration Manager can administer all objects in the site database. Udzielanie i ograniczanie uprawnień dodatkowym użytkownikom administracyjnym w konsoli Configuration Manager za pomocą funkcji administracji opartej na rolach.Grant and restrict permissions to additional administrative users in the Configuration Manager console by using role-based administration.

Administracja oparta na rolachRole-based administration

Configuration Manager korzysta z administracji opartej na rolach w celu zabezpieczania obiektów, takich jak kolekcje, wdrożenia i lokacje.Configuration Manager uses role-based administration to help secure objects like collections, deployments, and sites. Ten model administrowania definiuje w sposób centralny ustawienia bezpiecznego dostępu w całej hierarchii do wszystkich witryn i ustawień lokacji oraz pozwala nimi zarządzać.This administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings.

Administrator przypisuje role zabezpieczeń do użytkowników administracyjnych i uprawnień grupy.An administrator assigns security roles to administrative users and group permissions. Uprawnienia są połączone z różnymi typami obiektów Configuration Manager, na przykład w celu utworzenia lub zmiany ustawień klienta.The permissions are connected to different Configuration Manager object types, for example, to create or change client settings.

Zakresy zabezpieczeń grupują określone wystąpienia obiektów, którymi zarządza użytkownik administracyjny, takie jak aplikacja instalująca Microsoft 365 aplikacje.Security scopes group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft 365 Apps.

Kombinacja ról zabezpieczeń, zakresów zabezpieczeń i kolekcji definiuje obiekty, które użytkownik administracyjny może wyświetlać i którymi zarządza.The combination of security roles, security scopes, and collections define the objects that an administrative user can view and manage. Configuration Manager instaluje niektóre domyślne role zabezpieczeń dla typowych zadań zarządzania.Configuration Manager installs some default security roles for typical management tasks. Utwórz własne role zabezpieczeń, aby zapewnić obsługę określonych wymagań firmy.Create your own security roles to support your specific business requirements.

Aby uzyskać więcej informacji, zobacz Konfigurowanie administrowania opartego na rolach.For more information, see Configure role-based administration.

Zabezpieczanie punktów końcowych klientaSecuring client endpoints

Configuration Manager zabezpiecza komunikację klienta z rolami systemu lokacji przy użyciu certyfikatów z podpisem własnym lub certyfikatu PKI lub tokenów Azure Active Directory (Azure AD).Configuration Manager secures client communication to site system roles by using either self-signed or PKI certificates, or Azure Active Directory (Azure AD) tokens. Niektóre scenariusze wymagają użycia certyfikatów PKI.Some scenarios require the use of PKI certificates. Na przykład internetowe zarządzanie klientamioraz dla klientów urządzeń przenośnych.For example, internet-based client management, and for mobile device clients.

Można skonfigurować role systemu lokacji, z którymi klienci nawiązują połączenie przy użyciu protokołu HTTPS lub HTTP.You can configure the site system roles to which clients connect for either HTTPS or HTTP client communication. Komputery klienckie zawsze komunikują się przy użyciu najbardziej bezpiecznej metody, która jest dostępna.Client computers always communicate by using the most secure method that's available. Komputery klienckie powracają do korzystania z mniej bezpiecznej metody komunikacji, jeśli masz role systemów lokacji zezwalające na komunikację HTTP.Client computers only fall back to using the less secure communication method if you have site systems roles that allow HTTP communication.

Aby uzyskać więcej informacji, zobacz Planowanie dla zabezpieczeń.For more information, see Plan for security.

Configuration Manager kont i grupConfiguration Manager accounts and groups

Configuration Manager korzysta z lokalnego konta systemowego w przypadku większości operacji lokacji.Configuration Manager uses the Local System account for most site operations. Niektóre zadania zarządzania mogą wymagać utworzenia i utrzymania dodatkowych kont.Some management tasks might require you to create and maintain additional accounts. Configuration Manager tworzy kilka domyślnych grup i ról SQL Server podczas instalacji.Configuration Manager creates several default groups and SQL Server roles during setup. Może być konieczne ręczne dodanie konta komputera lub użytkownika do domyślnych grup i ról SQL Server.You might have to manually add computer or user accounts to the default groups and SQL Server roles.

Aby uzyskać więcej informacji, zobacz konta używane w Configuration Manager.For more information, see Accounts used in Configuration Manager.

OsobowychPrivacy

Przed zaimplementowaniem Configuration Manager należy wziąć pod uwagę wymogi związane z ochroną prywatności.Before you implement Configuration Manager, consider your privacy requirements. Chociaż produkty do zarządzania przedsiębiorstwem oferują wiele korzyści, ponieważ mogą efektywnie zarządzać wieloma klientami, to oprogramowanie może mieć wpływ na prywatność użytkowników w organizacji.Although enterprise management products offer many advantages because they can effectively manage lots of clients, this software might affect the privacy of users in your organization. Configuration Manager zawiera wiele narzędzi do zbierania danych i monitorowania urządzeń.Configuration Manager includes many tools to collect data and monitor devices. Niektóre narzędzia mogą powodować problemy związane z ochroną prywatności w organizacji.Some tools might raise privacy concerns in your organization.

Na przykład podczas instalowania klienta Configuration Manager jest domyślnie włączana wiele ustawień zarządzania.For example, when you install the Configuration Manager client, it enables many management settings by default. Ta konfiguracja powoduje, że oprogramowanie klienta wysyła informacje do lokacji Configuration Manager.This configuration causes the client software to send information to the Configuration Manager site. Lokacja przechowuje informacje o klientach w bazie danych lokacji.The site stores client information in the site database. Informacje o kliencie nie są bezpośrednio wysyłane do firmy Microsoft.The client information isn't directly sent to Microsoft. Aby uzyskać więcej informacji, zobacz dane diagnostyczne i użycie.For more information, see Diagnostics and usage data.

Zobacz takżeSee also