Планирование безопасности в Configuration ManagerPlan for security in Configuration Manager

Область применения: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

В этой статье описываются основные понятия, которые следует учитывать при планировании безопасности в реализации Configuration Manager.This article describes the concepts for you to consider when planning for security with your Configuration Manager implementation. Она включает следующие разделы:It includes the following sections:

Планирование сертификатов (самозаверяющего и PKI-сертификата)Plan for certificates (self-signed and PKI)

Configuration Manager использует сочетание самозаверяющих сертификатов и сертификатов инфраструктуры открытых ключей (PKI).Configuration Manager uses a combination of self-signed certificates and public key infrastructure (PKI) certificates.

Используйте PKI-сертификаты, когда это возможно.Use PKI certificates whenever possible. Дополнительные сведения см. в разделе Требования к PKI-сертификатам.For more information, see PKI certificate requirements. Если Configuration Manager запрашивает PKI-сертификаты во время регистрации мобильных устройств, необходимо использовать доменные службы Active Directory и центр сертификации предприятия.When Configuration Manager requests PKI certificates during enrollment for mobile devices, you must use Active Directory Domain Services and an enterprise certification authority. Развертывание всех остальных PKI-сертификатов и управление ими следует осуществлять независимо от Configuration Manager.For all other PKI certificates, deploy and manage them independently from Configuration Manager.

PKI-сертификаты необходимы при подключении клиентских компьютеров к системам сайта на основе Интернета.PKI certificates are required when client computers connect to internet-based site systems. В некоторых случаях при использовании шлюза облачного управления и облачной точки распространения также требуются PKI-сертификаты.Some scenarios with the cloud management gateway and cloud distribution point also require PKI certificates. Дополнительные сведения см. в разделе Управление клиентами в Интернете.For more information, see Manage clients on the internet.

При использовании PKI вы также можете использовать протокол IPsec для защиты межсерверного обмена данными между системами сайта на сайте и между сайтами, а также в любом другом случае при передаче данных между компьютерами.When you use a PKI, you can also use IPsec to help secure the server-to-server communication between site systems in a site, between sites, and for other data transfer between computers. Реализация IPsec не зависит от Configuration Manager.Implementation of IPsec is independent from Configuration Manager.

Если PKI-сертификаты недоступны, Configuration Manager автоматически создает самозаверяющие сертификаты.When PKI certificates aren't available, Configuration Manager automatically generates self-signed certificates. Некоторые сертификаты в Configuration Manager всегда являются самозаверяющими.Some certificates in Configuration Manager are always self-signed. В большинстве случаев Configuration Manager автоматически управляет самозаверяющими сертификатами, поэтому выполнять дополнительные действия не требуется.In most cases, Configuration Manager automatically manages the self-signed certificates, and you don't have to take additional action. Пример — сертификат для подписи сервера сайта.One example is the site server signing certificate. Этот сертификат всегда является самозаверяющим.This certificate is always self-signed. Он гарантирует, что политики, которые клиенты загружают из точки управления, отправлены с сервера сайта и не были изменены злоумышленником.It makes sure that the policies that clients download from the management point were sent from the site server and weren't tampered with.

Сертификаты Cryptography: Сертификаты Next Generation (CNG) версии 3Cryptography: Next Generation (CNG) v3 certificates

Configuration Manager поддерживает сертификаты Cryptography: Сертификаты Next Generation (CNG) версии 3.Configuration Manager supports Cryptography: Next Generation (CNG) v3 certificates. Клиенты Configuration Manager могут использовать PKI-сертификат для проверки подлинности клиента с закрытым ключом в поставщике хранилища ключей CNG (KSP).Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). Благодаря поддержке поставщика хранилища ключей Configuration Manager поддерживает аппаратный закрытый ключ, например KSP доверенного платформенного модуля (TPM) для PKI-сертификатов проверки подлинности клиента.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates. Дополнительные сведения см. в статье Общие сведения о сертификатах CNG версии 3.For more information, see CNG v3 certificates overview.

Улучшенный протокол HTTPEnhanced HTTP

Подключение по протоколу HTTPS рекомендуется использовать для всех путей обмена данными Configuration Manager, но это может оказаться сложной задачей для некоторых клиентов из-за дополнительных расходов на управление сертификатами PKI.Using HTTPS communication is recommended for all Configuration Manager communication paths, but is challenging for some customers due to the overhead of managing PKI certificates. Интеграция с Azure Active Directory (Azure AD) устраняет некоторые, но не все требования к сертификатам.The introduction of Azure Active Directory (Azure AD) integration reduces some but not all of the certificate requirements. Начиная с версии 1806 вы можете включить на сайте использование улучшенного протокола HTTP.Starting in version 1806, you can enable the site to use Enhanced HTTP. Эта конфигурация поддерживает HTTPS в системах сайта с помощью сочетания самозаверяющих сертификатов и Azure AD.This configuration supports HTTPS on site systems by using a combination of self-signed certificates and Azure AD. Для этого не требуется PKI.It doesn't require PKI. Подробнее см. в разделе Улучшенный протокол HTTP.For more information, see Enhanced HTTP.

Сертификаты для CMG и CDPCertificates for CMG and CDP

Для управления клиентами в Интернете с помощью шлюза управления облачными клиентами (CMG) и облачной точки распространения (CDP) требуется использовать сертификаты.Managing clients on the internet via the cloud management gateway (CMG) and cloud distribution point (CDP) requires the use of certificates. Число и тип сертификатов зависят от конкретных сценариев.The number and type of certificates varies depending upon your specific scenarios. Дополнительные сведения см. в следующих статьях:For more information, see the following articles:

Планирование сертификата подписи сервера сайта (самозаверяющего)Plan for the site server signing certificate (self-signed)

Клиенты могут безопасно получить копию сертификата подписи сервера сайта из доменных служб Active Directory, а также во время принудительной установки клиента.Clients can securely get a copy of the site server signing certificate from Active Directory Domain Services and from client push installation. Если клиенты не могут получить копию этого сертификата одним из этих способов, установите его при установке клиента.If clients can't get a copy of this certificate by one of these mechanisms, install it when you install the client. Это особенно важно, если первое взаимодействие клиента с сайтом происходит через точку управления в Интернете.This process is especially important if the client's first communication with the site is with an internet-based management point. Поскольку этот сервер подключается к ненадежной сети, он более уязвим для атак.Because this server is connected to an untrusted network, it's more vulnerable to attack. Если это дополнительное действие не выполняется, клиенты автоматически загрузят копию сертификата подписи сервера сайта из точки управления.If you don't take this additional step, clients automatically download a copy of the site server signing certificate from the management point.

Клиенты не могут безопасно получить копию сертификата сервера сайта в следующих сценариях.Clients can't securely get a copy of the site server certificate in the following scenarios:

  • Вы не устанавливаете клиент с помощью принудительной установки, а также:You don't install the client by using client push, and:

    • Схема Active Directory не расширена для Configuration Manager.You haven't extended the Active Directory schema for Configuration Manager.

    • Сайт клиента не публикуется в доменных службах Active Directory.You haven't published the client's site to Active Directory Domain Services.

    • Клиент из ненадежного леса или рабочей группы.The client is from an untrusted forest or a workgroup.

  • Вы используете управление клиентами через Интернет и устанавливаете клиента, когда он находится в Интернете.You're using internet-based client management and you install the client when it's on the internet.

Установка клиентов с копией сертификата подписи сервера сайтаTo install clients with a copy of the site server signing certificate

  1. На сервере первичного сайта найдите сертификат подписи сервера сайта.Locate the site server signing certificate on the primary site server. Сертификат хранится в хранилище сертификатов SMS Windows.The certificate is stored in the SMS certificate store of Windows. Он имеет имя субъекта Сервер сайта, и понятное имя — Сертификат подписи сервера сайта.It has the Subject name Site Server and the friendly name, Site Server Signing Certificate.

  2. Экспортируйте сертификат без закрытого ключа, сохраните файл в надежном месте и обращайтесь к нему только из защищенного канала.Export the certificate without the private key, store the file securely, and access it only from a secured channel.

  3. Установите клиент с использованием следующего свойства client.msi: SMSSIGNCERT=<full path and file name>Install the client by using the following client.msi property: SMSSIGNCERT=<full path and file name>

Планирование отзыва PKI-сертификатаPlan for PKI certificate revocation

При использовании PKI-сертификатов с Configuration Manager спланируйте использование списка отзыва сертификатов (CRL).When you use PKI certificates with Configuration Manager, plan for use of a certificate revocation list (CRL). Устройства используют список отзыва сертификатов для проверки сертификата на подключаемом компьютере.Devices use the CRL to verify the certificate on the connecting computer. Список отзыва сертификатов — это файл, который центр сертификации (ЦС) создает и подписывает.The CRL is a file that a certificate authority (CA) creates and signs. Он содержит список сертификатов, выданных ЦС, но отозванных.It has a list of certificates that the CA has issued but revoked. Когда администратор сертификатов отзывает сертификат, его отпечаток добавляется в список отзыва сертификатов.When a certificate administrator revokes certificates, its thumbprint is added to the CRL. Например, если известно или предполагается, что выданный сертификат взломан.For example, if an issued certificate is known or suspected to be compromised.

Важно!

Так как расположение списка отзыва сертификатов добавляется к сертификату во время выдачи центром сертификации, этот список необходимо спланировать до развертывания PKI-сертификатов, которые будет использовать Configuration Manager.Because the location of the CRL is added to a certificate when a CA issues it, ensure that you plan for the CRL before you deploy any PKI certificates that Configuration Manager uses.

Службы IIS всегда проверяют список CRL для клиентских сертификатов. Изменить эту настройку в Configuration Manager нельзя.IIS always checks the CRL for client certificates, and you can't change this configuration in Configuration Manager. По умолчанию клиенты Configuration Manager всегда проверяют список отзыва сертификатов для систем сайта.By default, Configuration Manager clients always check the CRL for site systems. Чтобы отключить этот параметр, нужно указать свойство сайта и свойство CCMSetup.Disable this setting by specifying a site property and by specifying a CCMSetup property.

Если компьютеры проверяют отзыв сертификатов, но не могут найти список отзыва сертификатов, они действуют так, как будто все сертификаты в цепочке отозваны.Computers that use certificate revocation checking but can't locate the CRL behave as if all certificates in the certification chain are revoked. Это связано с тем, что их отсутствие в списке отзыва сертификатов проверить нельзя.This behavior is due to the fact that they can't verify if the certificates are in the certificate revocation list. В этом случае все подключения, для которых требуются сертификаты и которые предусматривают проверку по списку CRL, завершатся ошибкой.In this scenario, all connections fail that require certificates and include CRL checking. Важно отметить, что когда вы проверяете доступность списка CRL путем перехода к его расположению HTTP, клиент Configuration Manager работает как локальная система.When validating that your CRL is accessible by browsing to its http location, it is important to note that the Configuration Manager client runs as LOCAL SYSTEM. Поэтому проверка доступности списка CRL с помощью веб-браузера, запущенного в контексте пользователя, может завершиться успешно. Но учетная запись компьютера, возможно, будет заблокирована при попытке HTTP-подключения к тому же адресу списка CRL из-за внутреннего решения веб-фильтра.Therefore, testing CRL accessibility with a web browser running under user context may succeed, however the computer account may be blocked when attempting to make an http connection to the same CRL URL due to the internal web filtering solution. В таком случае потребуется внести в список разрешенных URL-адрес списка CRL во всех внутренних решениях веб-фильтра.Adding the CRL URL to the approved list on any web filtering solutions may be necessary in this situation.

Проверка списка отзыва сертификатов при каждом использовании сертификата обеспечивает повышенную безопасность и предотвращает использование отозванных сертификатов,Checking the CRL every time that a certificate is used offers more security against using a certificate that's revoked. несмотря на то, что это приводит к задержке подключений и дополнительной обработке на стороне клиента.Although it introduces a connection delay and additional processing on the client. Вашей организации потребуется эта дополнительная проверка безопасности, если клиенты находятся в Интернете или в ненадежной сети.Your organization may require this additional security check for clients on the internet or an untrusted network.

Проконсультируйтесь с администраторами PKI, прежде чем решить, должны ли клиенты Configuration Manager проверять список отзыва сертификатов.Consult your PKI administrators before you decide whether Configuration Manager clients must check the CRL. Включите этот параметр в Configuration Manager, если выполняются оба условия:Then consider keeping this option enabled in Configuration Manager when both of the following conditions are true:

  • Инфраструктура PKI поддерживает список CRL, который публикуется в расположении, доступном для всех клиентов Configuration Manager.Your PKI infrastructure supports a CRL, and it's published where all Configuration Manager clients can locate it. Этими клиентами могут быть устройства в Интернете и ненадежных лесах.These clients might include devices on the internet, and ones in untrusted forests.

  • Требование к проверке списка отзыва сертификатов для каждого подключения к системе сайта, который настроен на использование PKI-сертификата, важнее, чем следующие требования:The requirement to check the CRL for each connection to a site system that's configured to use a PKI certificate is greater than the following requirements:

    • Быстрые подключения.Faster connections
    • Эффективная обработка на стороне клиента.Efficient processing on the client
    • Риск неудачного подключения клиентов к серверу, если не удается обнаружить список отзыва сертификатов.The risk of clients failing to connect to servers if the CRL cannot be located

Планирование доверенных корневых PKI-сертификатов и списка издателей сертификатовPlan for the PKI trusted root certificates and the certificate issuers list

Если системы сайта IIS используют клиентские PKI-сертификаты для проверки подлинности клиента по протоколу HTTP или для проверки подлинности и шифрования клиента по протоколу HTTPS, может потребоваться импортировать сертификаты корневого ЦС в качестве свойства сайта.If your IIS site systems use PKI client certificates for client authentication over HTTP, or for client authentication and encryption over HTTPS, you might have to import root CA certificates as a site property. Ниже приведены два сценария.Here are the two scenarios:

  • Вы развертываете операционные системы с помощью Configuration Manager, а точки управления принимают подключения клиентов только по протоколу HTTPS.You deploy operating systems by using Configuration Manager, and the management points only accept HTTPS client connections.

  • Вы используете клиентские PKI-сертификаты, не связанные с корневым сертификатом, которому доверяют точки управления.You use PKI client certificates that don't chain to a root certificate that the management points trust.

    Примечание

    Если клиентские PKI-сертификаты выдаются из той же иерархии ЦС, которая выдает сертификаты сервера, используемые для точек управления, указывать этот сертификат корневого ЦС не нужно.When you issue client PKI certificates from the same CA hierarchy that issues the server certificates that you use for management points, you don't have to specify this root CA certificate. Однако если вы используете несколько иерархий ЦС и не уверены в существовании между ними отношения доверия, импортируйте корневой ЦС для иерархии ЦС клиентов.However, if you use multiple CA hierarchies and you aren't sure whether they trust each other, import the root CA for the clients' CA hierarchy.

Если требуется импортировать сертификаты корневого ЦС для Configuration Manager, экспортируйте их из выдающего ЦС или с клиентского компьютера.If you must import root CA certificates for Configuration Manager, export them from the issuing CA or from the client computer. При экспорте сертификата из выдающего ЦС, являющегося также корневым ЦС, убедитесь, что закрытый ключ не экспортируется.If you export the certificate from the issuing CA that's also the root CA, make sure you don't export the private key. Чтобы исключить незаконное изменение экспортированного файла сертификата, сохраните его в надежном месте.Store the exported certificate file in a secure location to prevent tampering. Во время настройки сайта требуется доступ к этому файлу.You need access to the file when you set up the site. При обращении к файлу по сети убедитесь в том, что подключение защищено от вмешательства с помощью протокола IPsec.If you access the file over the network, make sure the communication is protected from tampering by using IPsec.

Если срок действия импортируемых сертификатов корневого ЦС продлен, необходимо импортировать продленные сертификаты.If any root CA certificate that you import is renewed, you must import the renewed certificate.

Эти импортированные сертификаты корневого ЦС и сертификат корневого ЦС каждой точки управления образуют список издателей сертификатов, используемый компьютерами Configuration Manager следующими способами.These imported root CA certificates and the root CA certificate of each management point create the certificate issuers list that Configuration Manager computers use in the following ways:

  • Когда клиенты подключаются к точкам управления, точка управления проверяет связь сертификата клиента с доверенным корневым сертификатом из списка издателей сертификатов сайта.When clients connect to management points, the management point verifies that the client certificate is chained to a trusted root certificate in the site's certificate issuers list. Если связь отсутствует, сертификат отклоняется и подключение PKI завершается неудачей.If it doesn't, the certificate is rejected, and the PKI connection fails.

  • Если у клиентов есть список издателей сертификата, при выборе PKI-сертификата они останавливаются на сертификате, который связан с доверенным корневым сертификатом в списке.When clients select a PKI certificate and have a certificate issuers list, they select a certificate that chains to a trusted root certificate in the certificate issuers list. Если такой сертификат отсутствует, клиент не выбирает PKI-сертификат.If there's no match, the client doesn't select a PKI certificate. Дополнительные сведения см. в разделе Планирование выбора PKI-сертификатов клиентов.For more information, see Plan for PKI client certificate selection.

Планирование выбора PKI-сертификата клиентаPlan for PKI client certificate selection

Если системы сайта IIS используют клиентские PKI-сертификаты для проверки подлинности клиента по протоколу HTTP или для проверки подлинности и шифрования клиента по протоколу HTTPS, спланируйте, каким образом клиенты Windows будут выбирать сертификат для применения в Configuration Manager.If your IIS site systems use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, plan for how Windows clients select the certificate to use for Configuration Manager.

Примечание

Некоторые устройства не поддерживают метод выбора сертификата.Some devices don't support a certificate selection method. Вместо этого они автоматически выбирают первый сертификат, соответствующий требованиям к сертификатам.Instead, they automatically select the first certificate that fulfills the certificate requirements. Например, выбор сертификата не поддерживают клиенты на компьютерах Mac и мобильных устройствах.For example, clients on Mac computers and mobile devices don't support a certificate selection method.

В большинстве случаев достаточно конфигурации и поведения по умолчанию.In many cases, the default configuration and behavior is sufficient. Клиент Configuration Manager на компьютерах Windows фильтрует несколько сертификатов, используя критерии в указанном ниже порядке.The Configuration Manager client on Windows computers filters multiple certificates by using these criteria in this order:

  1. Список издателей сертификатов. Сертификат связан с корневым ЦС, доверенным для точки управления.The certificate issuers list: The certificate chains to a root CA that's trusted by the management point.

  2. Сертификат находится в хранилище сертификатов по умолчанию Личные.The certificate is in the default certificate store of Personal.

  3. Сертификат действителен, не отозван, срок его действия не истек.The certificate is valid, not revoked, and not expired. Проверка допустимости также гарантирует, что закрытый ключ доступен.The validity check also verifies that the private key is accessible.

  4. Сертификат может аутентифицировать клиента.The certificate has client authentication capability.

  5. Имя субъекта сертификата содержит имя локального компьютера в виде подстроки.The certificate Subject Name contains the local computer name as a substring.

  6. Сертификат имеет наибольший срок действия.The certificate has the longest validity period.

Настройте клиентов для использования списка издателей сертификатов следующими способами.Configure clients to use the certificate issuers list by using the following mechanisms:

  • Опубликуйте его со сведениями о сайте Configuration Manager в доменных службах Active Directory.Publish it with Configuration Manager site information to Active Directory Domain Services.

  • Используйте принудительную установку клиента.Install clients by using client push.

  • Клиенты загружают список из точки управления после своего успешного назначения сайту.Clients download it from the management point after they're successfully assigned to their site.

  • Во время установки клиента список указывается как свойство CCMSetup client.msi для CCMCERTISSUERS.Specify it during client installation as a CCMSetup client.msi property of CCMCERTISSUERS.

Клиенты, которые установлены впервые, пока не назначены сайту и не имеют списка издателей сертификатов, пропускают эту проверку.Clients that don't have the certificate issuers list when they're first installed and aren't yet assigned to the site skip this check. Если у клиентов есть список издателей сертификата и нет PKI-сертификата, который связан с доверенным корневым сертификатом в списке, происходит сбой выбора сертификата.When clients do have the certificate issuers list and don't have a PKI certificate that chains to a trusted root certificate in the certificate issuers list, certificate selection fails. Клиенты не будут проверять другие условия выбора сертификата.Clients don't continue with the other certificate selection criteria.

Как правило, клиент Configuration Manager правильно определяет уникальный и подходящий PKI-сертификат.In most cases, the Configuration Manager client correctly identifies a unique and appropriate PKI certificate. В противном случае вместо выбора сертификата на основе возможности проверки подлинности клиента можно настроить два альтернативных метода выбора.However, when this behavior isn't the case, instead of selecting the certificate based on the client authentication capability, you can set up two alternative selection methods:

  • Частичное совпадение строки с именем субъекта сертификата клиента.A partial string match on the client certificate subject name. В этом методе не учитывается регистр.This method is a case-insensitive match. Этот метод подходит, если в поле субъекта используется полное доменное имя (FQDN) компьютера и требуется выбирать сертификат на основе суффикса домена, например contoso.com.It's appropriate if you're using the fully qualified domain name (FQDN) of a computer in the subject field and want the certificate selection to be based on the domain suffix, for example contoso.com. Однако этот способ выбора можно использовать для идентификации любой цепочки последовательных символов в имени субъекта сертификата, которая отличает сертификат от других сертификатов в хранилище сертификатов клиента.However, you can use this selection method to identify any string of sequential characters in the certificate subject name that differentiates the certificate from others in the client certificate store.

    Примечание

    Частичное совпадение строки с альтернативным именем субъекта (SAN) нельзя использовать в качестве параметра сайта.You can't use the partial string match with the subject alternative name (SAN) as a site setting. Несмотря на то, что частичное совпадение строки для SAN можно указать с помощью CCMSetup, оно будет перезаписано свойствами сайта в следующих случаях.Although you can specify a partial string match for the SAN by using CCMSetup, it'll be overwritten by the site properties in the following scenarios:

    • Клиенты получают данные сайта, которые опубликованы в доменных службах Active Directory.Clients retrieve site information that's published to Active Directory Domain Services.

      • Клиенты устанавливаются с помощью принудительной установки клиента.Clients are installed by using client push installation.

      Частичное совпадение строки с SAN следует использовать только при установке клиентов вручную или если они не получают данные сайта из доменных служб Active Directory.Use a partial string match in the SAN only when you install clients manually and when they don't retrieve site information from Active Directory Domain Services. Например, эти условия применимы только к интернет-клиентам.For example, these conditions apply to internet-only clients.

  • Совпадение значений атрибута имени субъекта или значений атрибута альтернативного имени субъекта сертификата клиента.A match on the client certificate subject name attribute values or the subject alternative name (SAN) attribute values. В этом методе учитывается регистр.This method is a case-sensitive match. Этот метод подходит, если в поле субъекта используется различающееся имя X500 или эквивалентные идентификаторы объектов (OID) в соответствии со стандартом RFC 3280 и требуется выбирать сертификат на основе значений этих атрибутов.It's appropriate if you're using an X500 distinguished name or equivalent object identifiers (OIDs) in compliance with RFC 3280, and you want the certificate selection to be based on the attribute values. Можно задать только те атрибуты и значения, которые требуются для уникальной идентификации или проверки сертификата и для отличия этого сертификата от других сертификатов в хранилище сертификатов.You can specify only the attributes and their values that you require to uniquely identify or validate the certificate and differentiate the certificate from others in the certificate store.

В следующей таблице приведены значения атрибутов, поддерживаемые Configuration Manager в качестве условия выбора сертификата клиента.The following table shows the attribute values that Configuration Manager supports for the client certificate selection criteria.

Атрибут OIDOID Attribute Атрибут различающегося имениDistinguished name attribute Определение атрибутаAttribute definition
0.9.2342.19200300.100.1.250.9.2342.19200300.100.1.25 DCDC Компонент доменаDomain component
1.2.840.113549.1.9.11.2.840.113549.1.9.1 E или E-mailE or E-mail Адрес электронной почтыEmail address
2.5.4.32.5.4.3 CNCN Общее имяCommon name
2.5.4.42.5.4.4 SNSN Имя субъектаSubject name
2.5.4.52.5.4.5 SERIALNUMBERSERIALNUMBER Серийный номерSerial number
2.5.4.62.5.4.6 ВC Код страныCountry code
2.5.4.72.5.4.7 LL МестонахождениеLocality
2.5.4.82.5.4.8 S или STS or ST Название штата или провинцииState or province name
2.5.4.92.5.4.9 STREETSTREET Адрес по улицеStreet address
2.5.4.102.5.4.10 OO Название организацииOrganization name
2.5.4.112.5.4.11 OUOU ПодразделениеOrganizational unit
2.5.4.122.5.4.12 T или TitleT or Title НазваниеTitle
2.5.4.422.5.4.42 G или GN или GivenNameG or GN or GivenName ИмяGiven name
2.5.4.432.5.4.43 I или InitialsI or Initials ИнициалыInitials
2.5.29.172.5.29.17 (без значения)(no value) Альтернативное имя субъектаSubject Alternative Name

Примечание

Если вы настроите один из приведенных выше альтернативных методов выбора сертификата, указывать имя локального компьютера в качестве имени субъекта сертификата не потребуется.If you configure either of the above alternate certificate selection methods, the certificate Subject Name does not need to contain the local computer name.

Если после применения условия выбора сертификата найдено несколько подходящих сертификатов, можно переопределить конфигурацию по умолчанию для выбора сертификата с наибольшим сроком действия, указав, что сертификат не выбран.If more than one appropriate certificate is located after the selection criteria are applied, you can override the default configuration to select the certificate that has the longest validity period and instead, specify that no certificate is selected. В этом случае клиент не сможет связываться с системами сайта IIS, используя PKI-сертификат.In this scenario, the client won't be able to communicate with IIS site systems with a PKI certificate. Клиент передает назначенной ему резервной точке состояния сообщение об ошибке для предупреждения о сбое выбора сертификата, чтобы вы могли изменить или уточнить критерии выбора сертификата.The client sends an error message to its assigned fallback status point to alert you to the certificate selection failure so that you can change or refine your certificate selection criteria. Затем действия клиента зависят от используемого при неудавшемся подключении протокола (HTTPS или HTTP).The client behavior then depends on whether the failed connection was over HTTPS or HTTP:

  • Если не удалось подключиться по протоколу HTTPS: клиент пытается подключиться по протоколу HTTP и использует самозаверяющий сертификат клиента.If the failed connection was over HTTPS: The client tries to connect over HTTP and uses the client self-signed certificate.

  • Если не удалось подключиться по протоколу HTTP: клиент еще раз пытается подключиться по протоколу HTTP, используя самозаверяющий сертификат клиента.If the failed connection was over HTTP: The client tries to connect again over HTTP by using the self-signed client certificate.

Чтобы идентифицировать уникальный PKI-сертификат клиента, можно указать настраиваемое хранилище, отличное от используемого по умолчанию хранилища Личное в хранилище Компьютер.To help identify a unique PKI client certificate, you can also specify a custom store other than the default of Personal in the Computer store. Тем не менее необходимо создать это хранилище независимо от Configuration Manager.However, you must create this store independently from Configuration Manager. У вас должна быть возможность разворачивать сертификаты в это настраиваемое хранилище и обновлять их до истечения срока действия.You must be able to deploy certificates to this custom store and renew them before the validity period expires.

Дополнительные сведения см. в разделе Настройка параметров для клиентских PKI-сертификатов.For more information, see Configure settings for client PKI certificates.

Планирование стратегии перехода для PKI-сертификатов и управления клиентами через ИнтернетPlan a transition strategy for PKI certificates and internet-based client management

Гибкие возможности настройки в Configuration Manager позволяют постепенно переводить клиентов и сайт на использование PKI-сертификатов для обеспечения безопасности клиентских конечных точек.The flexible configuration options in Configuration Manager let you gradually transition clients and the site to use PKI certificates to help secure client endpoints. PKI-сертификаты обеспечивают более высокий уровень безопасности и позволяют управлять клиентами в Интернете.PKI certificates provide better security and enable you to manage internet clients.

Из-за большого числа возможностей и вариантов настройки Configuration Manager нельзя выделить единый способ переключения сайта на подключение всех клиентов по протоколу HTTPS.Because of the number of configuration options and choices in Configuration Manager, there's no single way to transition a site so that all clients use HTTPS connections. Тем не менее, в качестве общего руководства можно использовать следующие действия.However, you can follow these steps as guidance:

  1. Установите сайт Configuration Manager и настройте его для приема подключений клиентов по протоколам HTTPS и HTTP.Install the Configuration Manager site and configure it so that site systems accept client connections over HTTPS and HTTP.

  2. В свойствах сайта на вкладке Взаимодействие с клиентскими компьютерами для параметра Параметры системы сайта выберите значение HTTP или HTTPS, а также установите флажок Использовать сертификат PKI клиента (функция проверки подлинности клиента) при его наличии.Configure the Client Computer Communication tab in the site properties so that the Site System Settings is HTTP or HTTPS, and select Use PKI client certificate (client authentication capability) when available. Дополнительные сведения см. в разделе Настройка параметров для клиентских PKI-сертификатов.For more information, see Configure settings for client PKI certificates.

    Примечание

    Начиная с версии 1906, эта вкладка называется Communication Security (Безопасность обмена данными).Starting in version 1906, this tab is called Communication Security.

  3. Выполните пробное внедрение сертификатов PKI клиента.Pilot a PKI rollout for client certificates. Пример развертывания см. в статье Развертывание сертификата клиента для компьютеров Windows.For an example deployment, see Deploy the client certificate for Windows computers.

  4. Установите клиенты с помощью принудительной установки.Install clients by using the client push installation method. Дополнительные сведения см. в разделе Принудительная установка клиентов Configuration Manager.For more information, see the How to install Configuration Manager clients by using client push.

  5. Контролируйте развертывание и состояние клиентов с помощью отчетов и данных в консоли Configuration Manager.Monitor client deployment and status by using the reports and information in the Configuration Manager console.

  6. Отслеживайте, сколько клиентов используют сертификаты PKI, с помощью столбца Сертификат клиента рабочей области Активы и соответствие в узле Устройства .Track how many clients are using a client PKI certificate by viewing the Client Certificate column in the Assets and Compliance workspace, Devices node.

    Вы также можете развернуть на компьютерах средство Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe).You can also deploy the Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe) to computers. Затем просматривайте в отчетах, сколько компьютеров могут использовать PKI-сертификат клиента с помощью Configuration Manager.Then use the reports to view how many computers can use a client PKI certificate with Configuration Manager.

    Примечание

    При установке клиента Configuration Manager средство CMHttpsReadiness.exe устанавливается в папке %windir%\CCM.When you install the Configuration Manager client, it installs the CMHttpsReadiness.exe tool in the %windir%\CCM folder. При запуске этого средства доступны следующие параметры командной строки:The following command-line options are available when you run this tool:

    • /Store:<name>: этот параметр аналогичен свойству CCMCERTSTORE client.msi./Store:<name>: This option is the same as the CCMCERTSTORE client.msi property

    • /Issuers:<list>: этот параметр аналогичен свойству CCMCERTISSUERS client.msi./Issuers:<list>: This option is the same as the CCMCERTISSUERS client.msi property

    • /Criteria:<criteria>: этот параметр аналогичен свойству CCMCERTSEL client.msi./Criteria:<criteria>: This option is the same as the CCMCERTSEL client.msi property

    • /SelectFirstCert: этот параметр аналогичен свойству CCMFIRSTCERT client.msi./SelectFirstCert: This option is the same as the CCMFIRSTCERT client.msi property

      Дополнительные сведения см. в разделе о свойствах установки клиентов.For more information, see About client installation properties.

  7. Когда вы уверены, что достаточное количество клиентов успешно использует PKI-сертификаты клиентов для проверки подлинности по протоколу HTTP, выполните указанные ниже действия.When you're confident that enough clients are successfully using their client PKI certificate for authentication over HTTP, follow these steps:

    1. Разверните PKI-сертификат веб-сервера на рядовом сервере, который будет использоваться как дополнительная точка управления для сайта, и настройте этот сертификат в службах IIS.Deploy a PKI web server certificate to a member server that runs an additional management point for the site, and configure that certificate in IIS. Дополнительные сведения см. в разделе Развертывание сертификата веб-сервера для систем сайта с запущенными службами IIS.For more information, see Deploy the web server certificate for site systems that run IIS.

    2. Установите роль точки управления на этот сервер и настройте параметр Подключения клиента в свойствах точки управления для использования протокола HTTPS.Install the management point role on this server and configure the Client connections option in the management point properties for HTTPS.

  8. Проверьте и убедитесь, что клиенты, имеющие PKI-сертификат, используют эту новую точку управления, подключаясь по протоколу HTTPS.Monitor and verify that clients that have a PKI certificate use the new management point by using HTTPS. Для контроля можно использовать журналы служб IIS или счетчики производительности.You can use IIS logging or performance counters to verify.

  9. Настройте другие роли системы сайта для подключения клиентов по протоколу HTTPS.Reconfigure other site system roles to use HTTPS client connections. Если вы хотите управлять клиентами в Интернете, убедитесь, что системы сайта имеют полное доменное имя Интернета.If you want to manage clients on the internet, make sure that site systems have an internet FQDN. Настройте отдельные точки управления и точки распространения для приема подключений клиентов из Интернета.Configure individual management points and distribution points to accept client connections from the internet.

    Важно!

    Перед настройкой ролей системы сайта для приема подключений через Интернет ознакомьтесь со сведениями о планировании и необходимых компонентах для управления клиентами через Интернет.Before you set up site system roles to accept connections from the internet, review the planning information and prerequisites for internet-based client management. Дополнительные сведения см. в статье Взаимодействие между конечными точками.For more information, see Communications between endpoints.

  10. Расширьте зону развертывания PKI-сертификатов для клиентов, а также для систем сайта с запущенными службами IIS.Extend the PKI certificate rollout for clients and for site systems that run IIS. Настройте роли системы сайта для клиентских подключений по HTTPS и подключений к Интернету по необходимости.Set up the site system roles for HTTPS client connections and internet connections, as required.

  11. Меры для повышения безопасности. Когда вы будете уверены, что все клиенты используют PKI-сертификаты клиента для проверки подлинности и подключения и шифрования, измените свойства сайта, чтобы использовать только протокол HTTPS.For the highest security: When you're confident that all clients are using a client PKI certificate for authentication and encryption, change the site properties to use HTTPS only.

    Этот план сначала вводит PKI-сертификаты для проверки подлинности только по протоколу HTTP, а затем для проверки подлинности и шифрования по протоколу HTTPS.This plan first introduces PKI certificates for authentication only over HTTP, and then for authentication and encryption over HTTPS. Если следовать этому плану для постепенного внедрения этих сертификатов, снижается риск потери управления клиентами.When you follow this plan to gradually introduce these certificates, you reduce the risk that clients become unmanaged. Вы также получите более высокий уровень безопасности, поддерживаемый в Configuration Manager.You'll also benefit from the highest security that Configuration Manager supports.

Планирование корневого ключа доверияPlan for the trusted root key

Корневой ключ доверия Configuration Manager обеспечивает для клиентов Configuration Manager возможность проверки принадлежности систем сайта к той же иерархии, что и клиент.The Configuration Manager trusted root key provides a mechanism for Configuration Manager clients to verify site systems belong to their hierarchy. Каждый сервер сайта создает ключ межсайтового обмена для связи с другими сайтами.Every site server generates a site exchange key to communicate with other sites. Ключ межсайтового обмена самого верхнего сайта в иерархии называется корневым ключом доверия.The site exchange key from the top-level site in the hierarchy is called the trusted root key.

Корневой ключ доверия в Configuration Manager по функции напоминает корневой сертификат инфраструктуры открытых ключей.The function of the trusted root key in Configuration Manager resembles a root certificate in a public key infrastructure. Все данные, подписанные закрытым ключом корневого ключа доверия, являются доверенными ниже по иерархии.Anything signed by the private key of the trusted root key is trusted further down the hierarchy. Клиенты хранят копию корневого ключа доверия сайта в пространстве имен WMI root\ccm\locationservices.Clients store a copy of the site's trusted root key in the root\ccm\locationservices WMI namespace.

Например, сайт выдает точке управления сертификат, который подписывается с помощью закрытого ключа корневого ключа доверия.For example, the site issues a certificate to the management point, which it signs with the private key of the trusted root key. Сайт предоставляет клиентам открытый ключ доверенного корневого ключа.The site shares with clients the public key of its trusted root key. Затем клиенты могут различать точки управления, которые находятся в их иерархии и за ее пределами.Then clients can differentiate between management points that are in their hierarchy and management points that aren't in their hierarchy.

Клиенты автоматически получают открытую копию корневого ключа доверия двумя способами.Clients automatically retrieve the public copy of the trusted root key by using two mechanisms:

  • Вы расширяете схему Active Directory для Configuration Manager и публикуете сайт в доменных службах Active Directory.You extend the Active Directory schema for Configuration Manager, and publish the site to Active Directory Domain Services. Затем клиенты получают данные этого сайта с сервера глобального каталога.Then clients retrieve this site information from a global catalog server. Дополнительные сведения см. в разделе Подготовка Active Directory к публикации сайта.For more information, see Prepare Active Directory for site publishing.

  • Вы устанавливаете клиенты с помощью принудительной установки.When you install clients using the client push installation method. Дополнительные сведения см. в разделе Принудительная установка клиента.For more information, see Client push installation.

Если клиенты не могут получить корневой ключ доверия с помощью одного из этих способов, они считают доверенным корневой ключ доверия, предоставленный первой точкой управления, к которой они подключились.If clients can't retrieve the trusted root key by using one of these mechanisms, they trust the trusted root key that's provided by the first management point that they communicate with. В этом случае клиент может быть перенаправлен на точку управления, созданную злоумышленниками, где он получит политику от фальшивой точки управления.In this scenario, a client might be misdirected to an attacker's management point where it would receive policy from the rogue management point. Это требует от злоумышленника глубоких знаний.This action requires a sophisticated attacker. Эта атака направлена на ограниченный период до того, как клиент получит корневой ключ доверия от допустимой точки управления.This attack is limited to the short time before the client retrieves the trusted root key from a valid management point. Чтобы сократить риск преднамеренного направления клиентов к фальшивой точке управления, клиентам можно заранее предоставить корневой ключ доверия.To reduce this risk of an attacker misdirecting clients to a rogue management point, pre-provision the clients with the trusted root key.

Чтобы заранее предоставить и проверить корневой ключ доверия клиенту Configuration Manager, используйте следующую процедуру.Use the following procedures to pre-provision and verify the trusted root key for a Configuration Manager client:

Предоставление корневого ключа доверия клиенту в виде файлаPre-provision a client with the trusted root key by using a file

  1. На сервере сайта откройте следующий файл в текстовом редакторе: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Найдите запись SMSPublicRootKey = .Locate the entry, SMSPublicRootKey=. Скопируйте ключ из этой строки и закройте файл, не сохраняя изменения.Copy the key from that line, and close the file without any changes.

  3. Создайте текстовый файл и вставьте данные ключа, скопированные из файла mobileclient.tcf.Create a new text file, and paste the key information that you copied from the mobileclient.tcf file.

  4. Сохраните файл в расположении, где все компьютеры смогут получить к нему доступ. Это расположение должно быть защищено от манипуляций с файлом.Save the file in a location where all computers can access it, but where the file is safe from tampering.

  5. Установите клиент одним из способов, поддерживающих свойства client.msi.Install the client by using any installation method that accepts client.msi properties. Укажите следующее свойство: SMSROOTKEYPATH=<full path and file name>Specify the following property: SMSROOTKEYPATH=<full path and file name>

    Важно!

    При указании корневого ключа доверия во время установки клиента также укажите код сайта.When you specify the trusted root key during client installation, also specify the site code. Используйте следующее свойство client.msi: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Предоставление корневого ключа доверия клиенту без использования файлаPre-provision a client with the trusted root key without using a file

  1. На сервере сайта откройте следующий файл в текстовом редакторе: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Найдите запись SMSPublicRootKey = .Locate the entry, SMSPublicRootKey=. Скопируйте ключ из этой строки и закройте файл, не сохраняя изменения.Copy the key from that line, and close the file without any changes.

  3. Установите клиент одним из способов, поддерживающих свойства client.msi.Install the client by using any installation method that accepts client.msi properties. Укажите следующее свойство client.msi: SMSPublicRootKey=<key>, где <key> — это строка, скопированная из файла mobileclient.tcf.Specify the following client.msi property: SMSPublicRootKey=<key> where <key> is the string that you copied from mobileclient.tcf.

    Важно!

    При указании корневого ключа доверия во время установки клиента также укажите код сайта.When you specify the trusted root key during client installation, also specify the site code. Используйте следующее свойство client.msi: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Проверьте корневой ключ доверия на клиентеVerify the trusted root key on a client

  1. Откройте консоль Windows PowerShell с правами администратора.Open a Windows PowerShell console as an administrator.

  2. Выполните следующую команду:Run the following command:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

Возвращенная строка будет корневым ключом доверия.The returned string is the trusted root key. Убедитесь в том, что он совпадает со значением SMSPublicRootKey в файле mobileclient.tcf на сайте сервера.Verify that it matches the SMSPublicRootKey value in the mobileclient.tcf file on the site server.

Удаление или замена корневого ключа доверияRemove or replace the trusted root key

Для удаления корневого ключа доверия с клиента используйте свойство client.msi RESETKEYINFORMATION = TRUE.Remove the trusted root key from a client by using the client.msi property, RESETKEYINFORMATION = TRUE.

Для замены корневого ключа доверия переустановите клиент вместе с новым корневым ключом доверия.To replace the trusted root key, reinstall the client together with the new trusted root key. Например, принудительно установите клиента или укажите свойство client.msi SMSPublicRootKey.For example, use client push, or specify the client.msi property SMSPublicRootKey.

Дополнительные сведения об этих свойствах установки см. в разделе Сведения о параметрах и свойствах установки клиента.For more information on these installation properties, see About client installation parameters and properties.

Планирование подписывания и шифрованияPlan for signing and encryption

Если для всех подключений клиентов используются PKI-сертификаты, нет необходимости планировать подписывание и шифрование для защиты подключений клиентов.When you use PKI certificates for all client communications, you don't have to plan for signing and encryption to help secure client data communication. Если какие-то системы сайта со службами IIS используют подключение по протоколу HTTP, необходимо решить, как защитить подключения клиентов к сайту.If you set up any site systems that run IIS to allow HTTP client connections, decide how to help secure the client communication for the site.

Для защиты данных, отправляемых клиентами точкам управления, можно включить их обязательное подписывание.To help protect the data that clients send to management points, you can require clients to sign the data. Можно также требовать алгоритм SHA-256 для подписи.You can also require the SHA-256 algorithm for signing. Эта конфигурация более защищенная, но не требуйте SHA-256, если не все клиенты его поддерживают.This configuration is more secure, but don't require SHA-256 unless all clients support it. Многие операционные системы изначально поддерживают этот алгоритм, однако для более старых операционных систем может потребоваться установка обновления или исправления.Many operating systems natively support this algorithm, but older operating systems might require an update or hotfix.

Подписывание защищает передаваемые данные от манипуляций, а шифрование позволяет защитить эти данные от раскрытия.While signing helps protect the data from tampering, encryption helps protect the data from information disclosure. Для данных инвентаризации и сообщений о состоянии, передаваемых клиентами на точки управления, можно включить шифрование 3DES.You can enable 3DES encryption for the inventory data and state messages that clients send to management points in the site. Вам не нужно устанавливать на клиенте обновления для использования этого варианта.You don't have to install any updates on clients to support this option. Клиенты и точки управления расходуют дополнительные ресурсы ЦП для шифрования и расшифровки.Clients and management points require additional CPU usage for encryption and decryption.

Дополнительные сведения о настройке параметров подписывания и шифрования см. в разделе Настройка подписывания и шифрования.For more information about how to configure the settings for signing and encryption, see Configure signing and encryption.

Планирование ролевого администрированияPlan for role-based administration

Дополнительные сведения см. в разделе Основы ролевого администрирования.For more information, see Fundamentals of role-based administration.

Планирование Azure Active DirectoryPlan for Azure Active Directory

Configuration Manager интегрируется с Azure Active Directory (Azure AD), чтобы сайт и клиенты могли использовать современную проверку подлинности.Configuration Manager integrates with Azure Active Directory (Azure AD) to enable the site and clients to use modern authentication. Использование сайта с Azure AD поддерживает следующие сценарии Configuration Manager:Onboarding your site with Azure AD supports the following Configuration Manager scenarios:

КлиентClient

СерверServer

Дополнительные сведения о подключении вашего сайта к Azure AD см. в разделе Настройка служб Azure.For more information on connecting your site to Azure AD, see Configure Azure services.

Дополнительные сведения об Azure см. в документации по Azure Active Directory.For more information about Azure AD, see Azure Active Directory documentation.

Планирование проверки подлинности поставщика SMSPlan for SMS Provider authentication

С версии 1810 вы можете указать минимально необходимый уровень аутентификации для доступа администраторов к сайтам Configuration Manager.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Эта функция позволяет настроить для администраторов требование входить в Windows с определенным уровнем.This feature enforces administrators to sign in to Windows with the required level. Он применяется ко всем компонентам, которые обращаются к поставщику SMS.It applies to all components that access the SMS Provider. Сюда относятся консоль Configuration Manager, методы пакета SDK и командлеты Windows PowerShell.For example, the Configuration Manager console, SDK methods, and Windows PowerShell cmdlets.

Эта конфигурация применяется для всей иерархии.This configuration is a hierarchy-wide setting. Прежде чем изменять его значение, убедитесь, что все администраторы Configuration Manager могут выполнить вход в Windows с нужным уровнем проверки подлинности.Before you change this setting, make sure that all Configuration Manager administrators can sign in to Windows with the required authentication level.

Доступны следующие уровни:The following levels are available:

  • Аутентификация Windows. Требуется аутентификация с доменными учетными данными Active Directory.Windows authentication: Require authentication with Active Directory domain credentials.

  • Аутентификация на основе сертификата. Требуется аутентификация с действительным сертификатом, выданным доверенным центром сертификации PKI.Certificate authentication: Require authentication with a valid certificate that's issued by a trusted PKI certificate authority.

  • Аутентификация Windows Hello для бизнеса. Требуется строгая двухфакторная аутентификация с привязкой к устройству и использованием биометрических данных или ПИН-кода.Windows Hello for Business authentication: Require authentication with strong two-factor authentication that's tied to a device and uses biometrics or a PIN.

Дополнительные сведения см. в разделе Планирование использования поставщика SMS.For more information, see Plan for the SMS Provider.

См. такжеSee also