Informacje techniczne dotyczące formantów kryptograficznych używanych w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Uwaga
Ten temat występuje w — przewodniki Administrowanie witryną dla programu System Center 2012 Configuration Manager oraz Bezpieczeństwo i ochrona prywatności w programie System Center 2012 Configuration Manager.
Program System Center 2012 Configuration Manager korzysta z podpisywania i szyfrowania, aby ułatwić ochronę zarządzania urządzeniami w hierarchii programu Menedżer konfiguracji. Podpisywanie sprawia, że w przypadku modyfikacji danych w trakcie ich przesyłania dane zostaną odrzucone. Szyfrowanie uniemożliwia osobie atakującej odczytanie danych przy użyciu analizatora protokołów sieciowych.
Podstawowym algorytmem wyznaczania wartości skrótu używanym przez program Menedżer konfiguracji do podpisywania jest algorytm SHA-256. Gdy dwie lokacje programu Menedżer konfiguracji komunikują się ze sobą, podpisują komunikację, korzystając z algorytmu SHA-256. Podstawowym algorytmem szyfrowania zaimplementowany w programie Menedżer konfiguracji jest algorytm 3DES. Służy on do zapisywania danych w bazie danych programu Menedżer konfiguracji i komunikowania się klientów przy użyciu protokołu HTTP. Jeśli użytkownik korzysta z komunikacji z klientem za pośrednictwem protokołu HTTPS, można skonfigurować infrastrukturę kluczy publicznych w taki sposób, aby używane były certyfikaty RSA z maksymalnymi algorytmami wyznaczania wartości skrótu i długościami kluczy udokumentowanymi w temacie Wymagania dotyczące certyfikatu PKI dla programu Configuration Manager.
Do większości operacji kryptograficznych w systemach operacyjnych Windows program Configuration Manager używa algorytmów SHA-1 i SHA-2, 3DES i AES oraz RSA z biblioteki CryptoAPI rsaenh.dll systemu Windows.
Więcej informacji znajduje się w poniższych sekcjach.
Formanty kryptograficzne operacji programu Configuration Manager
Certyfikaty używane przez program Configuration Manager
Formanty kryptograficzne komunikacji z serwerem
Formanty kryptograficzne klientów korzystających z komunikacji z systemami lokacji przy użyciu protokołu HTTPS
Formanty kryptograficzne klientów korzystających z komunikacji z systemami lokacji przy użyciu protokołu HTTP
.jpeg "System_CAPS_important"){kind=icon} Ważne |
|---|
Informacje o zalecanych zmianach w odpowiedzi na luki w zabezpieczeniach protokołu SSL można znaleźć na stronie Informacje o lukach w zabezpieczeniach protokołu SSL. |
Formanty kryptograficzne operacji programu Configuration Manager
Informacje w programie Menedżer konfiguracji mogą być podpisane i zaszyfrowane niezależnie od tego, czy użytkownik korzysta z certyfikatów PKI w programie Menedżer konfiguracji.
Podpisywanie i szyfrowanie zasad
Przypisania zasad klienta są podpisywane za pomocą certyfikatu podpisującego serwer lokacji z podpisem własnym w celu przeciwdziałania zagrożeniu bezpieczeństwa związanemu z wysyłaniem naruszonych zasad przez punkt zarządzania ze złamanymi zabezpieczeniami. To zabezpieczenie jest szczególnie ważne, jeśli użytkownik korzysta z internetowego zarządzania klientami, ponieważ to środowisko wymaga punktu zarządzania obsługującego komunikację internetową.
Jeśli zasady zawierają dane poufne, są szyfrowane przy użyciu algorytmu 3DES. Zasady zawierające dane poufne są wysyłane wyłącznie do autoryzowanych klientów. Zasady nie zawierające danych poufnych nie są szyfrowane.
Jeśli zasady są przechowywane na klientach, są szyfrowane za pomocą interfejsu programowania aplikacji ochrony danych (DPAPI).
Generowanie skrótów zasad
Gdy klienci programu Menedżer konfiguracji żądają zasad, otrzymują najpierw przypisanie zasad, aby poinformować ich o tym, które zasady ich dotyczą, a następnie żądają tylko tych treści zasad. Wszystkie przypisania zasad zawierają skrót obliczony dla odpowiedniej treści zasad. Klient pobiera odpowiednie treści zasad, a następnie oblicza skrót danej treści. Jeśli skrót pobranej treści zasad jest niezgodny ze skrótem w przypisaniu zasad, klient odrzuci treść zasad.
Algorytmami wyznaczania wartości skrótu dla zasad są algorytmy SHA-1 i SHA-256.
Generowanie skrótów zawartości
Usługa menedżera dystrybucji na serwerze lokacji generuje skróty plików zawartości wszystkich pakietów. Dostawca zasad dołącza skrót do zasad dystrybucji oprogramowania. Gdy klient programu Menedżer konfiguracji pobiera zawartość, ponownie generuje skrót lokalnie i porównuje go do skrótu dostarczonego z zasadami. Jeśli skróty są zgodne, zawartość nie została zmodyfikowana i klient ją zainstaluje. Zmodyfikowanie nawet jednego bajtu zawartości spowoduje niezgodność skrótów, a oprogramowanie nie zostanie zainstalowane. Ta kontrola zapewnia zainstalowanie prawidłowego oprogramowania, ponieważ rzeczywista treść jest porównywana z zasadami.
Domyślnym algorytmem wyznaczania wartości skrótu zawartości jest algorytm SHA-256. Aby zmienić to ustawienie domyślne, zapoznaj się z dokumentacją zestawu SDK programu Menedżer konfiguracji.
Nie wszystkie urządzenia obsługują generowanie skrótów zawartości. Do wyjątków należą:
Klienci systemu Windows przesyłający strumieniowo zawartość App-V.
Klienci systemu Windows Phone. Ci klienci weryfikują jednak podpis aplikacji podpisanej przez zaufane źródło.
Klienci systemu Windows RT. Ci klienci weryfikują jednak podpis aplikacji podpisanej przez zaufane źródło, a ponadto używają walidacji pełnej nazwy pakietu (PFN).
Urządzenia z systemem iOS. Te urządzenia weryfikują jednak podpis aplikacji podpisanej przez dowolny certyfikat dewelopera z zaufanego źródła.
Klienci urządzeń firmy Nokia. Ci klienci weryfikują jednak podpis aplikacji korzystającej z certyfikatu z podpisem własnym. Podpis certyfikatu z zaufanego źródła i certyfikat mogą również podpisywać aplikacje SIS (Symbian Installation Source) firmy Nokia.
Urządzenia z systemem Android. Te urządzenia nie stosują ponadto walidacji podpisu w celu instalowania aplikacji.
Klienci korzystający z systemów Linux i UNIX w wersjach, które nie obsługują algorytmu SHA-256. Więcej informacji znajduje się w sekcji w temacie Planowanie wdrożenia klienta serwerów systemu UNIX i Linux.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_NoSHA-256
Podpisywanie i szyfrowanie zapasów
Zapasy wysyłane przez klientów do punktów zarządzania są zawsze podpisane przez urządzenia, niezależnie od tego, czy komunikują się one z punktami zarządzania za pośrednictwem protokołu HTTP lub HTTPS. Jeśli korzystają z protokołu HTTP, użytkownik może zaszyfrować te dane, co jest najlepszym rozwiązaniem w zakresie zabezpieczeń.
Szyfrowanie migracji stanu
Dane przechowywane w punktach migracji stanu w celu wdrażania systemów operacyjnych są zawsze zaszyfrowane za pomocą narzędzia do migracji stanu użytkowników (USMT) i algorytmu 3DES.
Szyfrowanie pakietów multiemisji w celu wdrażania systemów operacyjnych
Szyfrowanie można włączyć dla każdego pakietu wdrożeniowego systemu operacyjnego, jeśli pakiet jest transferowany na komputery przy użyciu multiemisji. Szyfrowanie używa standardu AES (Advanced Encryption Standard). Po włączeniu szyfrowania dodatkowa konfiguracja certyfikatów nie jest wymagana. Punkt dystrybucji z obsługą multiemisji automatycznie generuje klucze symetryczne do szyfrowania pakietu. Każdy pakiet ma inny klucz szyfrowania. Klucz jest przechowywany w punkcie dystrybucji z obsługą multiemisji przy użyciu standardowych interfejsów API systemu Windows. Gdy klient nawiąże połączenie z sesją multiemisji, wymiana kluczy nastąpi przez kanał zaszyfrowany za pomocą certyfikatu uwierzytelniania klienta wystawionego przez infrastrukturę PKI (jeśli klient korzysta z protokołu HTTPS) lub certyfikatu z podpisem własnym (jeśli klient korzysta z protokołu HTTP). Klient przechowuje klucz w pamięci tylko przez okres trwania sesji multiemisji.
Szyfrowanie nośników w celu wdrażania systemów operacyjnych
Jeśli systemy operacyjne za wdrażane za pomocą nośników, dla których określono hasło, zmienne środowiskowe są zaszyfrowane przy użyciu standardu AES (Advanced Encryption Standard). Inne dane na nośnikach, w tym pakiety i zawartość aplikacji, nie są zaszyfrowane.
Szyfrowanie zawartości hostowanej w chmurowych punktach dystrybucji
W przypadku korzystania z punktów dystrybucji opartych na chmurze w programie System Center 2012 Configuration Manager SP1 lub nowszym zawartość przekazywana do tych punktów jest szyfrowana przy użyciu standardu AES (Advanced Encryption Standard) kluczem o rozmiarze 256 bitów. Zawartość jest ponownie szyfrowana po każdej aktualizacji. Gdy klienci pobierają zawartość, jest ona zaszyfrowana i chroniona za pomocą połączenia HTTPS.
Podpisywanie aktualizacji oprogramowania
Wszystkie aktualizacje oprogramowania muszą być podpisane przez zaufanego wydawcę, aby chronić je przed naruszeniem. Usługa Windows Update Agent (WUA) skanuje katalog w poszukiwaniu aktualizacji na komputerach klienckich, nie zainstaluje ich jednak, jeśli nie będzie mogła zlokalizować certyfikatu cyfrowego w magazynie zaufanych wydawców na komputerze lokalnym. Jeśli w celu opublikowania katalogu aktualizacji użyto certyfikatu z podpisem własnym, na przykład certyfikatu WSUS Publishers Self-signed, certyfikat ten musi się również znajdować w magazynie certyfikatów zaufanych głównych urzędów certyfikacji na komputerze lokalnym w celu zweryfikowania jego ważności. Usługa WUA sprawdza również, czy ustawienie zasad grupy Zezwalaj na podpisaną zawartość pochodzącą z intranetowej lokalizacji usługi aktualizacji firmy Microsoft jest włączone na komputerze lokalnym. To ustawienie zasad musi być włączone, aby usługa WUA mogła skanować w poszukiwaniu aktualizacji utworzonych i opublikowanych za pomocą programu Updates Publisher.
Gdy aktualizacje oprogramowania są publikowane w programie System Center Updates Publisher, po ich opublikowania na serwerze aktualizacji zostaną one podpisane za pomocą certyfikatu cyfrowego. Można określić certyfikat PKI lub skonfigurować program Updates Publisher w taki sposób, aby generował on certyfikat z podpisem własnym w celu podpisania aktualizacji oprogramowania.
Podpisane dane konfiguracji ustawień zgodności
Gdy użytkownik importuje dane konfiguracji, program Menedżer konfiguracji weryfikuje podpis cyfrowy pliku. Jeśli pliki nie zostały podpisane lub sprawdzenie podpisu cyfrowego zakończy się niepowodzeniem, zostanie wyświetlone ostrzeżenie oraz monit, czy importowanie ma być kontynuowane. Importowanie danych konfiguracji należy kontynuować tylko wtedy, jeśli użytkownik jawnie ufa wydawcy i jest pewny co do integralności plików.
Szyfrowanie i generowanie skrótów funkcji powiadomienia klienta
W przypadku korzystania z funkcji powiadomienia klienta cała komunikacja jest oparta na protokole TLS oraz najwyższym standardzie szyfrowania, który mogą między sobą wynegocjować serwer i systemy operacyjne klienta. Na przykład, komputer kliencki z systemem Windows 7 i punkt zarządzania z systemem Windows Server 2008 R2 obsługują 128-bitowe szyfrowanie AES, podczas gdy komputer kliencki z systemem Vista połączony z tym samym punktem zarządzania wynegocjuje jedynie szyfrowanie 3DES. Taka sama negocjacja następuje w przypadku generowania skrótów pakietów transferowanych w ramach funkcji powiadomienia klienta przy użyciu algorytmu SHA-1 lub SHA-2.
Certyfikaty używane przez program Configuration Manager
Lista certyfikatów infrastruktury kluczy publicznych (PKI), których może używać program Menedżer konfiguracji oraz informacje dotyczące specjalnych wymagań lub ograniczeń i sposobu używania certyfikatów znajdują się w temacie Wymagania dotyczące certyfikatu PKI dla programu Configuration Manager. Lista zawiera obsługiwane algorytmy wyznaczania wartości skrótu i długości kluczy. Większość certyfikatów obsługuje algorytm SHA-256 i klucze o długości 2048 bitów.
Uwaga
Wszystkie certyfikaty używane przez program Menedżer konfiguracji muszą zawierać w nazwie podmiotu lub alternatywnej nazwie podmiotu wyłącznie znaki jednobajtowe.
Certyfikaty PKI są wymagane w następujących przypadkach:
Użytkownik zarządza klientami programu Menedżer konfiguracji w Internecie.
Użytkownik zarządza klientami programu Menedżer konfiguracji na urządzeniach przenośnych.
Użytkownik zarządza komputerami Mac.
Użytkownik korzysta z chmurowych punktów dystrybucji.
Użytkownik zarządza komputerami opartymi na technologii Intel AMT poza pasmem.
W przypadku większości pozostałej komunikacji z programem Menedżer konfiguracji, która wymaga certyfikatów do uwierzytelniana, podpisywania lub szyfrowania, program Menedżer konfiguracji automatycznie korzysta z certyfikatów PKI, jeśli są dostępne. W przeciwnym razie program Menedżer konfiguracji generuje certyfikaty z podpisem własnym.
Program Menedżer konfiguracji nie korzysta z certyfikatów PKI gdy zarządza urządzeniami przenośnymi przy użyciu łącznika serwera Exchange.
Zarządzanie urządzeniami przenośnymi a certyfikaty PKI
Jeśli operator komórkowy nie zablokował urządzenia przenośnego, można użyć programu Menedżer konfiguracji lub usługi Microsoft Intune, aby zażądać certyfikatu klienta i zainstalować go. Certyfikat ten umożliwia uwierzytelnianie wzajemne między klientem na urządzeniu przenośnym i systemami lokacji programu Menedżer konfiguracji lub usługami Microsoft Intune. Jeśli urządzenie przenośnie jest zablokowanie, nie można używać programu Menedżer konfiguracji ani usługi Intune do wdrażania certyfikatów. Aby uzyskać więcej informacji, zobacz Jak zainstalować klientów na urządzeniach przenośnych i zarejestrować ich za pomocą programu Configuration Manager.
Po włączeniu spisu sprzętu dla urządzeń przenośnych program Menedżer konfiguracji lub usługa Intune będą również umieszczać w spisie certyfikaty zainstalowane na urządzeniu przenośnym.
Zarządzanie poza pasmem a certyfikaty PKI
Do zarządzania poza pasmem komputerami opartymi na technologii Intel AMT używane są co najmniej dwa typy certyfikatów wystawionych przez infrastrukturę PKI: certyfikaty udostępniania AMT i certyfikaty serwera sieci Web.
Punkt obsługi poza pasmem korzysta z certyfikatu udostępniania AMT, aby przygotować komputery do zarządzania poza pasmem. Komputery oparte na technologii AMT, które będą udostępniane, muszą ufać certyfikatowi dostarczonemu przez punkt zarządzania poza pasmem. Komputery oparte na technologii AMT są domyślnie skonfigurowane przez producenta komputera w taki sposób, aby używały zewnętrznych urzędów certyfikacji, jak VeriSign, Go Daddy, Comodo i Starfield. W przypadku nabycia certyfikatu udostępniania od jednego z zewnętrznych urzędów certyfikacji i skonfigurowania programu Menedżer konfiguracji do korzystania z tego certyfikatu komputery oparte na technologii AMT będą ufać urzędowi certyfikacji, który wystawił certyfikat udostępniania, a udostępnienie będzie możliwe. Najlepszym rozwiązaniem w zakresie zabezpieczeń będzie jednak użycie własnego, wewnętrznego urzędu certyfikacji w celu wystawienia certyfikatu udostępniającego AMT. Aby uzyskać więcej informacji, zobacz Zabezpieczenia najlepsze rozwiązania w zakresie zarządzania poza pasmem.
Komputery oparte na technologii AMT używają składnika serwera sieci Web, który jest częścią oprogramowania układowego i szyfruje kanał komunikacyjny z punktem obsługi poza pasmem przy użyciu protokołu TLS (Transport Layer Security). System BIOS w komputerach opartych na technologii AMT nie ma interfejsu użytkownika umożliwiającego ręczne skonfigurowanie certyfikatu, jest więc wymagany urząd certyfikacji przedsiębiorstwa Microsoft, który automatycznie zatwierdza żądania certyfikatów od komputerów opartych na technologii AMT. Żądanie używa formatu PKCS#10 jako formatu żądania, który z kolei używa formatu PKCS#7 do transmitowania informacji o certyfikacie na komputer oparty na technologii AMT.
Komputer oparty na technologii AMT zostaje uwierzytelniony na komputerze, który nim zarządza, nie istnieje jednak odpowiedni certyfikat PKI klienta na komputerze, który nim zarządza. Tego rodzaju komunikacja używa zamiast tego uwierzytelniania Kerberos lub HTTP Digest. W przypadku uwierzytelniania HTTP Digest szyfrowanie następuje przy użyciu protokołu TLS.
Do zarządzania komputerami opartymi na technologii AMT poza pasmem może być wymagany dodatkowy typ certyfikatu: opcjonalny certyfikat klienta dla uwierzytelnianych sieci przewodowych i bezprzewodowych 802.1X. Komputer oparty na technologii AMT może wymagać certyfikatu klienta w celu uwierzytelnienia na serwerze RADIUS. Jeśli serwer RADIUS jest skonfigurowany do uwierzytelniania za pomocą protokołu EAP-TLS, certyfikat klienta jest zawsze wymagany. Jeśli serwer RADIUS jest skonfigurowany do uwierzytelniania za pomocą protokołów EAP-TTLS/MSCHAPv2 lub PEAPv0/EAP-MSCHAPv2, konfiguracja serwera RADIUS określa, czy jest wymagany certyfikat klienta. Komputer oparty na technologii AMT żąda tego certyfikatu przy użyciu tego samego procesu jak w przypadku żądania certyfikatu serwera sieci Web.
Wdrażanie systemu operacyjnego a certyfikaty PKI
Jeśli program Menedżer konfiguracji jest używany do wdrażania systemów operacyjnych, a punkt zarządzania wymaga połączeń klienckich HTTPS, komputer kliencki musi także mieć certyfikat w celu komunikowania się z punktem zarządzania, nawet jeśli komputer jest na etapie przejściowym, jak rozruch z nośnika sekwencji zadań lub punktu dystrybucji z obsługą środowiska PXE. Obsługa tego scenariusza wymaga utworzenia certyfikatu uwierzytelniania klienta PKI i wyeksportowania go z kluczem prywatnym, a następnie zaimportowania go do właściwości serwera lokacji, a także dodania certyfikatu zaufanego głównego urzędu certyfikacji punktu zarządzania.
Tworząc nośnik rozruchowy, użytkownik importuje certyfikat uwierzytelniania klienta. Na nośniku rozruchowym należy skonfigurować hasło, co pomoże zapewnić ochronę klucza prywatnego i innych danych poufnych skonfigurowanych w sekwencji zadań. Wszystkie komputery uruchamiane z nośnika rozruchowego przedstawiają punktowi zarządzania ten sam certyfikat wymagany dla określonych funkcji klienckich, jak żądanie zasad klienta.
Używając rozruchu w środowisku PXE, użytkownik importuje certyfikat uwierzytelniania klienta do punktu dystrybucji z obsługą środowiska PXE, który korzysta z tego samego certyfikatu dla wszystkich klientów uruchamianych z tego punktu. Najlepszym rozwiązaniem w zakresie zabezpieczeń jest wymaganie od użytkowników łączących komputery z usługą środowiska PXE podania hasła, co pomoże zapewnić ochronę klucza prywatnego i innych danych poufnych w sekwencjach zadań.
Jeśli jeden z tych certyfikatów uwierzytelniania klienta zostanie naruszony, należy zablokować te certyfikaty w węźle Certyfikaty w obszarze roboczym Administracja, węzeł Zabezpieczenia. Zarządzanie tymi certyfikatami wymaga prawa Zarządzaj certyfikatem wdrażania systemu operacyjnego.
Po wdrożeniu systemu operacyjnego i zainstalowaniu programu Menedżer konfiguracji klient zażąda własnego certyfikatu uwierzytelniania klienta PKI do komunikacji z klientem za pośrednictwem protokołu HTTPS.
Rozwiązania proxy niezależnego dostawcy oprogramowania a certyfikaty PKI
Niezależni dostawcy oprogramowania mogą tworzyć aplikacje rozszerzające możliwości programu Menedżer konfiguracji. Niezależny dostawca oprogramowania możne na przykład stworzyć rozszerzenia obsługujące platformy klienta inne niż Windows, jak komputery Macintosh lub z systemem UNIX. Jednak jeśli systemy lokacji wymagają połączeń klienckich HTTPS, klienci muszą także używać certyfikatów PKI do komunikowania się z lokacją. Program Menedżer konfiguracji umożliwia przypisanie certyfikatu do serwera proxy niezależnego dostawcy oprogramowania, co umożliwia komunikację między klientami serwera proxy niezależnego dostawcy oprogramowania i punktem zarządzania. Jeśli używane są rozszerzenia wymagające certyfikatów proxy niezależnego dostawcy oprogramowania, należy zapoznać się z dokumentacją danego produktu. Więcej informacji o sposobie tworzenia certyfikatów proxy niezależnych dostawców oprogramowania znajduje się w zestawie SDK programu Menedżer konfiguracji.
Jeśli certyfikat niezależnego dostawcy oprogramowania zostanie naruszony, należy go zablokować w węźle Certyfikaty w obszarze roboczym Administracja, węzeł Zabezpieczenia.
Analiza zasobów a certyfikaty
Wraz z programem Menedżer konfiguracji jest instalowany certyfikat X.509, za pomocą którego punkt synchronizacji analizy zasobów łączy się z firmą Microsoft. Program Menedżer konfiguracji używa tego certyfikatu do żądania certyfikatu uwierzytelniania klienta w usłudze certyfikatów firmy Microsoft. Certyfikat uwierzytelniania klienta jest zainstalowany na serwerze systemu lokacji punktu synchronizacji analizy zasobów i służy do uwierzytelniania serwera wobec firmy Microsoft. Program Configuration Manager używa certyfikatu uwierzytelniania klienta do pobierania katalogu analizy zasobów i wysyłania tytułów oprogramowania.
Długość klucza tego certyfikatu wynosi 1024 bity.
Chmurowe punkty dystrybucji a certyfikaty
Punkty dystrybucji oparte na chmurze w programie System Center 2012 Configuration Manager SP1 lub nowszym wymagają certyfikatu zarządzania (z podpisem własnym lub PKI) przekazywanego do platformy Microsoft Azure. Ten certyfikat zarządzania wymaga funkcji uwierzytelniania serwera, a długość jego klucza musi wynosić 2048 bitów. Konieczne jest ponadto skonfigurowanie dla wszystkich chmurowych punktów dystrybucji certyfikatu usługi, który nie może mieć podpisu własnego oraz ma możliwość uwierzytelniania serwera, a minimalna długość jego klucza wynosi 2048 bitów.
Uwaga
Certyfikat zarządzania z podpisem własnym służy wyłącznie do celów testowych i nie jest przeznaczony do użytku w sieciach produkcyjnych.
Klienci nie wymagają, aby certyfikat PKI klienta korzystał z chmurowych punktów dystrybucji, ponieważ uwierzytelnienie wobec punktu zarządzania następuje przy użyciu certyfikatu z podpisem własnym lub certyfikatu PKI klienta. Następnie punkt zarządzania wystawia klientowi token dostępu programu Menedżer konfiguracji, który klient przedstawia chmurowemu punktowi dystrybucji. Token jest ważny przez 8 godzin.
Łącznik usługi Microsoft Intune i certyfikaty
Urządzeniami przenośnymi zarejestrowanymi w usłudze Microsoft Intune można zarządzać w programie Menedżer konfiguracji przez utworzenie łącznika usługi Microsoft Intune. Łącznik korzysta z certyfikatu PKI z możliwością uwierzytelniania klienta, aby uwierzytelnić program Menedżer konfiguracji wobec usługi Microsoft Intune i przesłać między nimi wszystkie informacje przy użyciu protokołu SSL. Rozmiar klucza certyfikatu wynosi 2048 bitów, a certyfikat używa algorytmu wyznaczania wartości skrótu SHA-1.
Po zainstalowaniu łącznika zostanie utworzony certyfikat podpisujący, który jest przechowywany na serwerze lokacji kluczy ładowania bezpośredniego. Ponadto zostanie utworzony certyfikat szyfrowania, który jest przechowywany w punkcie rejestracji certyfikatu w celu zaszyfrowania żądania prostego protokołu rejestrowania certyfikatów (SCEP). Rozmiar klucza tych certyfikatów również wynosi 2048 bitów, a certyfikaty używają algorytmu wyznaczania wartości skrótu SHA-1.
W trakcie rejestrowania urządzeń przenośnych usługa Intune instaluje na nich certyfikat PKI, który ma możliwość uwierzytelniania klienta, korzysta z klucza o rozmiarze 2048 bitów i używa algorytmu wyznaczania wartości skrótu SHA-1.
Usługa Microsoft Intune automatycznie żąda tych certyfikatów PKI, generuje je oraz instaluje.
Sprawdzanie listy CRL dla certyfikatów PKI
Lista odwołania certyfikatów PKI (CRL) zwiększa obciążenie administracyjne i obciążenie przetwarzaniem, jest jednak bezpieczniejsza. Jeśli jednak sprawdzanie listy CRL jest włączone, lecz lista CRL jest niedostępne, połączenie z certyfikatem PKI zakończy się niepowodzeniem. Więcej informacji znajduje się w sekcji Planowanie odwoływania certyfikatów PKI w temacie Planowanie bezpieczeństwa w programie Configuration Manager.
Sprawdzanie listy odwołania certyfikatów (CRL) jest domyślnie włączone w usługach IIS, jeśli więc w ramach wdrażania certyfikatu PKI użytkownik korzysta z listy CRL, większość systemów lokacji programu Menedżer konfiguracji z usługami IIS nie wymaga żadnej dodatkowej konfiguracji. Wyjątkiem są aktualizacje oprogramowania, które wymagają ręcznego włączenia sprawdzania listy CRL w celu zweryfikowania podpisów plików aktualizacji oprogramowania.
Sprawdzanie listy CRL jest domyślnie włączone dla komputerów klienckich, gdy korzystają z połączeń klienckich HTTPS. Sprawdzanie listy CRL nie jest domyślnie włączone w przypadku korzystania z konsoli zarządzania poza pasmem w celu łączenia się z komputerem opartym na technologii AMT, można jednak włączyć tę opcję. Nie można wyłączyć sprawdzania listy CRL w przypadku klientów na komputerach Mac w programie Menedżer konfiguracji SP1 lub nowszym.
Sprawdzanie listy CRL nie jest obsługiwane dla następujących połączeń w programie Menedżer konfiguracji:
Połączenia między serwerami
Urządzenia przenośne zarejestrowane przez program Menedżer konfiguracji
Urządzenia przenośne zarejestrowane przez program Microsoft Intune
Formanty kryptograficzne komunikacji z serwerem
Program Menedżer konfiguracji korzysta z poniższych formantów kryptograficznych komunikacji z serwerem.
Komunikacja z serwerem w obrębie lokacji
Każdy serwer systemu lokacji używa certyfikatu w celu przesyłania danych do innych systemów lokacji w tej samej lokacji programu Menedżer konfiguracji. Niektóre role systemu lokacji używają także certyfikatów do uwierzytelniania. Na przykład, jeśli punkt proxy rejestracji zostanie zainstalowany na jednym serwerze, a punkt rejestracyjny na innym serwerze, serwery mogą się wzajemnie uwierzytelniać przy użyciu tego certyfikatu tożsamości. Gdy program Menedżer konfiguracji używa certyfikatu dla tej komunikacji i jest dostępny certyfikat PKI z możliwością uwierzytelniania serwera, program Menedżer konfiguracji korzysta z niego automatycznie; w przeciwnym razie program Menedżer konfiguracji wygeneruje certyfikat z podpisem własnym. Ten certyfikat z podpisem własnym ma możliwość uwierzytelniania serwera, używa algorytmu SHA-256 i ma klucz o długości 2048 bitów. Program Menedżer konfiguracji kopiuje certyfikat do magazynu osób zaufanych na innych serwerach systemu lokacji na wypadek zaistnienia konieczności zaufania temu systemowi. Systemy lokacji mogą następnie ufać sobie wzajemnie przy użyciu tych certyfikatów i zaufania elementów równorzędnych.
Oprócz tego certyfikatu przeznaczonego dla każdego serwera systemu lokacji, program Menedżer konfiguracji generuje certyfikat z podpisem własnym dla większości ról systemu lokacji. Jeśli jest wiele wystąpień roli systemu lokacji w tej samej lokacji, współużytkują one ten sam certyfikat. Może być na przykład wiele punktów zarządzania lub punktów rejestracyjnych w tej samej lokacji. Certyfikat z podpisem własnym również używa algorytmu SHA-256 i ma klucz o długości 2048 bitów. Jest on również kopiowany do magazynu osób zaufanych na serwerach systemu lokacji na wypadek zaistnienia konieczności zaufania temu certyfikatowi. Następujące role systemu lokacji generują ten certyfikat:
Punkt usługi sieci Web Wykaz aplikacji
Punkt witryny sieci Web katalogu aplikacji
Punkt synchronizacji analizy zasobów
Punkt rejestracji certyfikatu
Punkt ochrony punktu końcowego
Punkt rejestracji
Rezerwowy punkt stanu
Punkt zarządzania
Punkt dystrybucji z obsługą multiemisji
Punkt obsługi poza pasmem
Punkt usług raportowania
Punkt aktualizacji oprogramowania
Punkt migracji stanu
Punkt modułu sprawdzania kondycji systemu
Łącznik usługi Microsoft Intune
Program Menedżer konfiguracji automatycznie zarządza tymi certyfikatami i w razie potrzeby generuje je automatycznie.
Program Menedżer konfiguracji używa także certyfikatu uwierzytelniania klienta do wysyłania komunikatów o stanie z punktu dystrybucji do punktu zarządzania. Jeżeli punkt zarządzania jest skonfigurowany wyłącznie do korzystania z połączeń klienckich HTTPS, konieczne jest użycie certyfikatu PKI. Jeśli punkt zarządzania akceptuje połączenia HTTP, można użyć certyfikatu PKI lub wybrać opcję użycia certyfikatu z podpisem własnym i możliwością uwierzytelniania klienta, który używa algorytmu SHA-256 i ma klucz o długości 2048 bitów.
Komunikacja z serwerem między lokacjami
Program Menedżer konfiguracji przesyła dane między lokacjami, używając replikacji bazy danych i replikacji opartej na plikach. Aby uzyskać więcej informacji, zobacz Dokumentacja techniczna dotycząca komunikacji między lokacjami w programie Configuration Manager.
Program Menedżer konfiguracji automatycznie konfiguruje replikację bazy danych między lokacjami i używa certyfikatów PKI z możliwością uwierzytelniania serwera, jeśli są one dostępne; w przeciwnym razie program Menedżer konfiguracji tworzy certyfikaty z podpisem własnym w celu uwierzytelnienia serwera. W obu przypadkach uwierzytelnianie między lokacjami zostaje ustanowione przy użyciu certyfikatów w magazynie osób zaufanych korzystającego z zaufania elementów równorzędnych. Ten magazyn certyfikatów ma zapewnić, że w replikacji między lokacjami będą uczestniczyć wyłącznie komputery z programem SQL Server używane przez hierarchię programu Menedżer konfiguracji. Podczas gdy lokacje główne i centralna lokacja administracyjna mogą replikować zmiany konfiguracji we wszystkich lokacjach w hierarchii, lokacje dodatkowe mogą replikować zmiany konfiguracji wyłącznie w lokacji nadrzędnej.
Serwery lokacji nawiązują komunikację między lokacjami przy użyciu wykonywanej automatycznie bezpiecznej wymiany kluczy. Serwer lokacji wysyłającej generuje skrót i podpisuje go kluczem prywatnym. Serwer lokacji odbierającej sprawdza podpis przy użyciu klucza publicznego i porównuje skrót z wartością wygenerowaną lokalnie. Jeśli wartości są zgodne, lokacja odbierająca zaakceptuje zreplikowane dane. W przeciwnym razie program Menedżer konfiguracji odrzuci dane replikacji.
Replikacja bazy danych w programie Menedżer konfiguracji korzysta z usługi SQL Server Service Broker do przesyłania danych między lokacjami przy użyciu następujących mechanizmów:
Połączenie między programami SQL Server: do uwierzytelniania serwera używane są poświadczenia systemu Windows i certyfikaty z podpisem własnym o długości 1024 bitów w celu podpisywania i szyfrowania danych przy użyciu standardu AES (Advanced Encryption Standard). Jeśli są dostępne certyfikaty PKI z możliwością uwierzytelniania serwera, zostaną one użyte. Certyfikat musi się znajdować w magazynie osobistym magazynu certyfikatów komputera.
Program SQL Service Broker: używa certyfikatów z podpisem własnym o długości 2048 bitów w celu uwierzytelniania oraz podpisywania i szyfrowania danych przy użyciu standardu AES (Advanced Encryption Standard). Certyfikat musi się znajdować w bazie danych master programu SQL Server.
Replikacja oparta na plikach używa protokołu bloku komunikatów serwera (SMB) i algorytmu SHA-256 w celu podpisywania niezaszyfrowanych danych, które nie zawierają jednak żadnych poufnych informacji. Aby zaszyfrować te dane, można użyć ochrony IPsec, którą należy wdrożyć niezależnie od programu Menedżer konfiguracji.
Formanty kryptograficzne klientów korzystających z komunikacji z systemami lokacji przy użyciu protokołu HTTPS
Jeśli role systemu lokacji akceptują połączenia klienckie, można je skonfigurować w taki sposób, aby akceptowały połączenia HTTPS i HTTP lub tylko połączenia HTTPS. Role systemu lokacji akceptujące połączenia z Internetu akceptują wyłącznie połączenia klienckie za pośrednictwem protokołu HTTPS.
Połączenia klienckie za pośrednictwem protokołu HTTPS umożliwiają uzyskanie większego poziomu zabezpieczeń przez integrację z infrastrukturą kluczy publicznych (PKI), aby pomóc zapewnić ochronę komunikacji klient-serwer. Konfigurowanie połączeń klienckich za pośrednictwem protokołu HTTPS bez dogłębnej wiedzy w zakresie planowania, wdrażania i działania infrastruktury PKI może jednak sprawić, że użytkownik będzie nadal narażony na ataki. Na przykład, jeśli nie zostanie zabezpieczony główny urząd certyfikacji, osoby atakujące mogą naruszyć zaufanie całej infrastruktury PKI. Jeśli certyfikaty PKI nie będą wdrożone i zarządzane przy użyciu kontrolowanych i bezpiecznych procesów, konsekwencją mogą być klienci niezarządzani, którzy nie będą mogli otrzymywać krytycznych aktualizacji lub pakietów oprogramowania.
| Ważne |
|---|
Certyfikaty PKI używane do komunikacji z klientem chronią wyłącznie komunikację między klientem i niektórymi systemami lokacji. Nie chronią kanału komunikacji między serwerem lokacji a systemami lokacji lub między serwerami lokacji. |
Komunikacja niezaszyfrowana w ramach komunikacji z klientami przy użyciu protokołu HTTPS
Gdy klienci komunikują się z systemami lokacji przy użyciu protokołu HTTPS, komunikacja jest zazwyczaj zaszyfrowana za pośrednictwem protokołu SSL. W następujących sytuacjach klienci komunikują się jednak z systemami lokacji bez szyfrowania:
Klient nie mógł nawiązać połączenia HTTPS w sieci intranet i wrócił do korzystania z protokołu HTTP, jeśli systemy lokacji zostały w ten sposób skonfigurowane.
Komunikacja z następującymi rolami systemu lokacji:
Klient wysyła komunikaty o stanie do rezerwowego punktu stanu.
Klient wysyła żądania PXE do punktu dystrybucji obsługującego środowisko PXE.
Klient wysyła dane powiadomień do punktu zarządzania.
Punkty usług raportowania są skonfigurowane do używania protokołu HTTP lub HTTPS niezależnie od trybu komunikacji z klientem.
Formanty kryptograficzne klientów korzystających z komunikacji z systemami lokacji przy użyciu protokołu HTTP
Jeśli klienci używają komunikacji HTTP z rolami systemu lokacji, mogą korzystać z certyfikatów PKI w celu uwierzytelniania klienta lub certyfikatów z podpisem własnym generowanych przez program Menedżer konfiguracji. Gdy program Menedżer konfiguracji generuje certyfikaty z podpisem własnym, mają one niestandardowy identyfikator obiektu dla podpisywania i szyfrowania, i służą do unikatowej identyfikacji klienta. W przypadku wszystkich obsługiwanych systemów operacyjnych oprócz Windows Server 2003 te certyfikaty z podpisem własnym korzystają z algorytmu SHA-256 i mają klucz o długości 2048 bitów. W systemie Windows Server 2003 używany jest algorytm SHA1 z kluczem o długości 1024 bitów.
Wdrażanie systemu operacyjnego a certyfikaty z podpisem własnym
Jeżeli program Menedżer konfiguracji jest używany do wdrażania systemów operacyjnych z certyfikatami z podpisem własnym, komputer kliencki musi także mieć certyfikat, aby komunikować się z punktem zarządzania, nawet jeżeli komputer jest na etapie przejściowym, takim jak rozruch z nośnika sekwencji zadań lub punktu dystrybucji z obsługą środowiska PXE. Aby umożliwić obsługę tego scenariusza dla połączeń klienckich HTTP, program Menedżer konfiguracji generuje certyfikaty z podpisem własnym, które mają niestandardowy identyfikator obiektu dla podpisywania i szyfrowania, a te certyfikaty służą do unikatowej identyfikacji klienta. W przypadku wszystkich obsługiwanych systemów operacyjnych oprócz Windows Server 2003 te certyfikaty z podpisem własnym korzystają z algorytmu SHA-256 i mają klucz o długości 2048 bitów. W systemie Windows Server 2003 używany jest algorytm SHA1 z kluczem o długości 1024 bitów. W przypadku naruszenia zabezpieczeń tych certyfikatów z podpisem własnym, aby uniemożliwić osobom atakującym ich użycie w celu personifikacji zaufanych klientów, należy zablokować certyfikaty w węźle Certyfikaty w obszarze roboczym Administracja, w węźle Zabezpieczenia.
Uwierzytelnianie klienta i serwera
Jeżeli klienci łączą się za pomocą protokołu HTTP, uwierzytelniają punkty zarządzania przy użyciu usług domenowych w usłudze Active Directory lub Menedżer konfiguracji zaufanego klucza głównego. Klienci nie uwierzytelniają innych ról systemu lokacji, takich jak punkty migracji stanu lub punkty aktualizacji oprogramowania.
Gdy punkt zarządzania po raz pierwszy uwierzytelnia klienta za pomocą certyfikatu klienta z podpisem własnym, ten mechanizm zapewnia minimalne bezpieczeństwo, ponieważ każdy komputer może wygenerować certyfikat z podpisem własnym. W tym scenariuszu proces identyfikacji klienta musi zostać rozszerzony o zatwierdzenie. Zatwierdzenia wymagają tylko zaufane komputery, automatycznie przez program Menedżer konfiguracji lub ręcznie przez użytkownika administracyjnego. Więcej informacji znajduje się w sekcji dotyczącej zatwierdzania w temacie Komunikacja zainicjowana przez klientów.
Informacje o lukach w zabezpieczeniach protokołu SSL
Zalecamy wyłączenie protokołu SSL 3.0, włączenie protokołu TLS 1.1 i 1.2 oraz zmianę kolejności mechanizmów szyfrowania związanych z protokołem TLS w celu zwiększenia bezpieczeństwa serwerów programu Configuration Manager. Odpowiednie instrukcje są dostępne w tym artykule z bazy wiedzy. To działanie nie ma wpływu na działanie programu Configuration Manager.