Planera för säkerhet i Configuration Manager

Gäller för: Configuration Manager (aktuell gren)

Den här artikeln beskriver följande begrepp som du kan tänka på när du planerar för säkerhet med din Configuration Manager implementering:

• Certifikat (självsignerade och PKI)

• Den betrodda rotnyckeln

• Signering och kryptering

• Rollbaserad administration

• Microsoft Entra ID

• SMS-providerautentisering

Innan du börjar bör du se till att du är bekant med grunderna i säkerhet i Configuration Manager.

Certifikat

Configuration Manager använder en kombination av självsignerade och digitala PKI-certifikat (Public Key Infrastructure). Använd PKI-certifikat när det är möjligt. Vissa scenarier kräver PKI-certifikat. När PKI-certifikat inte är tillgängliga genererar webbplatsen automatiskt självsignerade certifikat. Vissa scenarier använder alltid självsignerade certifikat.

Mer information finns i Planera för certifikat.

Den betrodda rotnyckeln

Den Configuration Manager betrodda rotnyckeln tillhandahåller en mekanism för Configuration Manager klienter för att verifiera att platssystemen tillhör deras hierarki. Varje platsserver genererar en platsutbytesnyckel för att kommunicera med andra platser. Platsutbytesnyckeln från platsen på den översta nivån i hierarkin kallas för den betrodda rotnyckeln.

Funktionen för den betrodda rotnyckeln i Configuration Manager liknar ett rotcertifikat i en infrastruktur för offentlig nyckel. Allt som signeras av den privata nyckeln för den betrodda rotnyckeln är betrott längre ned i hierarkin. Klienter lagrar en kopia av platsens betrodda rotnyckel i root\ccm\locationservices WMI-namnområdet.

Webbplatsen utfärdar till exempel ett certifikat till hanteringsplatsen, som den signerar med den privata nyckeln för den betrodda rotnyckeln. Webbplatsen delar med klienter den offentliga nyckeln för dess betrodda rotnyckel. Sedan kan klienter skilja mellan hanteringsplatser som finns i deras hierarki och hanteringsplatser som inte finns i hierarkin.

Klienter hämtar automatiskt den offentliga kopian av den betrodda rotnyckeln med hjälp av två metoder:

• Du utökar Active Directory-schemat för Configuration Manager och publicerar webbplatsen till Active Directory Domain Services. Sedan hämtar klienter den här platsinformationen från en global katalogserver. Mer information finns i Förbereda Active Directory för webbplatspublicering.

• När du installerar klienter med hjälp av push-installationsmetoden för klienten. Mer information finns i Push-installation av klienter.

Om klienter inte kan hämta den betrodda rotnyckeln med hjälp av någon av dessa mekanismer litar de på den betrodda rotnyckeln som tillhandahålls av den första hanteringsplatsen som de kommunicerar med. I det här scenariot kan en klient vilseledas till en angripares hanteringsplats där den skulle ta emot principer från den otillåtna hanteringsplatsen. Den här åtgärden kräver en avancerad angripare. Den här attacken är begränsad till den korta tiden innan klienten hämtar den betrodda rotnyckeln från en giltig hanteringsplats. För att minska risken för att en angripare vilseleder klienter till en falsk hanteringsplats etablerar du klienterna i förväg med den betrodda rotnyckeln.

Mer information och procedurer för att hantera den betrodda rotnyckeln finns i Konfigurera säkerhet.

Signering och kryptering

När du använder PKI-certifikat för all klientkommunikation behöver du inte planera för signering och kryptering för att skydda klientdatakommunikationen. Om du konfigurerar platssystem som kör IIS för att tillåta HTTP-klientanslutningar bestämmer du hur du ska skydda klientkommunikationen för platsen.

Viktigt

Från och med Configuration Manager version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller utökad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller utökad HTTP.

För att skydda de data som klienter skickar till hanteringsplatser kan du kräva att klienter signerar data. Du kan också kräva SHA-256-algoritmen för signering. Den här konfigurationen är säkrare, men kräver inte SHA-256 om inte alla klienter stöder den. Många operativsystem har inbyggt stöd för den här algoritmen, men äldre operativsystem kan kräva en uppdatering eller snabbkorrigering.

Signering hjälper till att skydda data från manipulering, men kryptering skyddar data från avslöjande av information. Du kan aktivera kryptering för inventeringsdata och tillståndsmeddelanden som klienter skickar till hanteringsplatser på platsen. Du behöver inte installera några uppdateringar på klienter för att stödja det här alternativet. Klienter och hanteringsplatser kräver mer CPU-användning för kryptering och dekryptering.

Obs!

För att kryptera data använder klienten den offentliga nyckeln för hanteringsplatsens krypteringscertifikat. Endast hanteringsplatsen har motsvarande privata nyckel, så det är bara den som kan dekryptera data.

Klienten startar det här certifikatet med hanteringsplatsens signeringscertifikat, som det startar med platsens betrodda rotnyckel. Se till att etablera den betrodda rotnyckeln på klienter på ett säkert sätt. Mer information finns i Den betrodda rotnyckeln.

Mer information om hur du konfigurerar inställningarna för signering och kryptering finns i Konfigurera signering och kryptering.

Mer information om de kryptografiska algoritmer som används för signering och kryptering finns i Teknisk referens för kryptografiska kontroller.

Rollbaserad administration

Med Configuration Manager använder du rollbaserad administration för att skydda den åtkomst som administrativa användare behöver för att använda Configuration Manager. Du skyddar också åtkomsten till de objekt som du hanterar, till exempel samlingar, distributioner och platser.

Med kombinationen av säkerhetsroller, säkerhetsomfattningar och samlingar separerar du de administrativa tilldelningar som uppfyller organisationens krav. Tillsammans definierar de en användares administrativa omfång . Det här administrativa omfånget styr de objekt som en administrativ användare visar i Configuration Manager-konsolen och styr de behörigheter som en användare har för dessa objekt.

Mer information finns i Grunderna för rollbaserad administration.

Microsoft Entra ID

Configuration Manager integreras med Microsoft Entra-ID så att platsen och klienterna kan använda modern autentisering.

Mer information om Microsoft Entra-ID finns i Microsoft Entra dokumentation.

Registrering av webbplatsen med Microsoft Entra-ID stöder följande Configuration Manager scenarier:

Klientscenarier

• Hantera klienter på Internet via molnhanteringsgateway

• Hantera molndomänanslutna enheter

• Samhantering

• Distribuera användartillgängliga appar

• Microsoft Store för företag onlineappar

• Hantera Microsoft 365-appar för företag

Serverscenarier

• Desktop Analytics

• Klientkoppling

• Slutpunktsanalys

• Azure Log Analytics

• Community Hub

• Användaridentifiering

SMS-providerautentisering

Du kan ange den lägsta autentiseringsnivån för administratörer för åtkomst till Configuration Manager webbplatser. Den här funktionen tvingar administratörer att logga in på Windows med den nivå som krävs innan de kan komma åt Configuration Manager. Den gäller för alla komponenter som har åtkomst till SMS-providern. Till exempel Configuration Manager-konsolen, SDK-metoder och Windows PowerShell cmdletar.

Configuration Manager stöder följande autentiseringsnivåer:

• Windows-autentisering: Kräv autentisering med Active Directory-domänautentiseringsuppgifter. Den här inställningen är det tidigare beteendet och den aktuella standardinställningen.

• Certifikatautentisering: Kräv autentisering med ett giltigt certifikat som utfärdats av en betrodd PKI-certifikatutfärdare. Du konfigurerar inte det här certifikatet i Configuration Manager. Configuration Manager kräver att administratören är inloggad i Windows med PKI.

• Windows Hello för företag autentisering: Kräv autentisering med stark tvåfaktorautentisering som är kopplad till en enhet och använder biometri eller en PIN-kod. Mer information finns i Windows Hello för företag.

  Viktigt

  När du väljer den här inställningen kräver SMS-providern och administrationstjänsten att användarens autentiseringstoken innehåller ett MFA-anspråk (multifaktorautentisering) från Windows Hello för företag. Med andra ord måste en användare av konsolen, SDK, PowerShell eller administrationstjänsten autentisera till Windows med sin Windows Hello för företag PIN-kod eller biometrisk kod. Annars avvisar webbplatsen användarens åtgärd.

  Det här beteendet gäller för Windows Hello för företag, inte Windows Hello.

Mer information om hur du konfigurerar den här inställningen finns i Konfigurera SMS-providerautentisering.

Nästa steg

• Certifikat i Configuration Manager

• Planera för PKI-certifikat

• Konfigurera säkerhet

• Teknisk referens för kryptografiska kontroller