Planera för säkerhet i Konfigurationshanteraren
Gäller för: Konfigurationshanteraren (aktuell gren)
I den här artikeln beskrivs följande begrepp som du kan tänka på när du planerar för säkerhet med Konfigurationshanteraren implementering:
Certifikat (själv signerade och PKI)
Den betrodda rotnyckeln
Signering och kryptering
Rollbaserad administration
Azure Active Directory
SMS-providerautentisering
Innan du börjar bör du vara bekant med grunderna i säkerhet i Konfigurationshanteraren.
Certifikat
Konfigurationshanteraren använder en kombination av själv signerade och PKI-certifikat (Public Key Infrastructure). Använd PKI-certifikat när det är möjligt. Vissa scenarier kräver PKI-certifikat. När PKI-certifikat inte är tillgängliga genererar webbplatsen automatiskt själv signerade certifikat. I vissa scenarier används alltid själv signerade certifikat.
Mer information finns i Planera för certifikat.
Den betrodda rotnyckeln
Den Konfigurationshanteraren betrodda rotnyckeln ger en mekanism för Konfigurationshanteraren att verifiera att platssystemen tillhör deras hierarki. Varje platsserver genererar en platsutbytesnyckel för kommunikation med andra platser. Platsutbytesnyckeln på den översta platsen i hierarkin kallas den betrodda rotnyckeln.
Funktionen för den betrodda rotnyckeln i Konfigurationshanteraren liknar ett rotcertifikat i en infrastruktur med offentlig nyckel. Allt som signeras av den privata nyckeln för den betrodda rotnyckeln är betrott längre ned i hierarkin. Klienter lagrar en kopia av platsens betrodda rotnyckel i root\ccm\locationservices WMI-namnområdet.
Platsen utfärdar till exempel ett certifikat till hanteringsplatsen som signeras med den privata nyckeln för den betrodda rotnyckeln. Platsen delar den offentliga nyckeln för den betrodda rotnyckeln med klienterna. Klienterna kan sedan skilja mellan hanteringsplatser som finns i deras hierarki och hanteringsplatser som inte finns i deras hierarki.
Klienter får automatiskt den offentliga kopian av den betrodda rotnyckeln med hjälp av två metoder:
Du utökar Active Directory-schemat för Konfigurationshanteraren och publicerar platsen till Active Directory Domain Services. Klienterna hämtar sedan den här platsinformationen från en global katalogserver. Mer information finns i Förbereda Active Directory för platspublicering.
När du installerar klienter med push-installationsmetoden för klienter. Mer information finns i Push-installation av klienter.
Om klienterna inte kan hämta den betrodda rotnyckeln med någon av dessa metoder litar de på den betrodda rotnyckel som tillhandahålls av den första hanteringsplatsen som de kommunicerar med. I det här scenariot kan en klient felaktigt ledas till en angripares hanteringsplats där den får en princip från den falska hanteringsplatsen. Den här åtgärden kräver en sofistikerad angripare. Den här attacken är begränsad till kort tid innan klienten hämtar den betrodda rotnyckeln från en giltig hanteringsplats. För att minska risken för att en angripare felriktar klienter till en falsk hanteringsplats måste klienterna före etableras med den betrodda rotnyckeln.
Mer information och procedurer för att hantera den betrodda rotnyckeln finns i Konfigurera säkerhet.
Signering och kryptering
När du använder PKI-certifikat för all klientkommunikation behöver du inte planera för signering och kryptering för att skydda klientdatakommunikationen. Om du ställer in platssystem som kör IIS för att tillåta HTTP-klientanslutningar bestämmer du hur du ska skydda klientkommunikationen för platsen.
Viktigt
Från och Konfigurationshanteraren version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller Förbättrad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller förbättrad HTTP.
För att skydda de data som klienter skickar till hanteringsplatser kan du kräva att klienter signerar data. Du kan också kräva SHA-256-algoritmen för signering. Den här konfigurationen är säkrare, men kräver inte SHA-256 om inte alla klienter stöder det. Många operativsystem har inbyggt stöd för den här algoritmen, men äldre operativsystem kan kräva en uppdatering eller snabbkorrigering.
När signering hjälper till att skydda data från manipulering hjälper kryptering till att skydda data från avslöjande av information. Du kan aktivera kryptering för inventeringsdata och tillståndsmeddelanden som klienter skickar till hanteringsplatser på platsen. Du behöver inte installera några uppdateringar på klienter för att stödja det här alternativet. Klienter och hanteringsplatser kräver mer processoranvändning för kryptering och dekryptering.
Anteckning
För att kryptera data använder klienten den offentliga nyckeln för hanteringsplatsens krypteringscertifikat. Endast hanteringsplatsen har motsvarande privata nyckel, så endast den kan dekryptera data.
Klienten startar certifikatet med hanteringsplatsens signeringscertifikat, som startas med platsens betrodda rotnyckel. Se till att etablera den betrodda rotnyckeln på klienter på ett säkert sätt. Mer information finns i Den betrodda rotnyckeln.
Mer information om hur du konfigurerar inställningarna för signering och kryptering finns i Konfigurera signering och kryptering.
Mer information om de kryptografiska algoritmer som används för signering och kryptering finns i Teknisk referens för kryptografiska kontroller.
Rollbaserad administration
Med Konfigurationshanteraren använder du rollbaserad administration för att skydda den åtkomst som administrativa användare behöver för att använda Konfigurationshanteraren. Du skyddar också åtkomsten till de objekt som du hanterar, till exempel samlingar, distributioner och platser.
Med kombinationen av säkerhetsroller, säkerhetsomfattningar och samlingar åtser du de administrativa tilldelningar som uppfyller organisationens krav. Tillsammans definierar de den administrativa omfattningen för en användare. Det här administrativa omfånget styr de objekt som en administrativ användare visar i Konfigurationshanteraren konsolen och styr de behörigheter som en användare har för dessa objekt.
Mer information finns i Fundamentals of role-based administration (Grunderna i rollbaserad administration).
Azure Active Directory
Konfigurationshanteraren integreras med Azure Active Directory (Azure AD) så att platsen och klienterna kan använda modern autentisering.
Mer information om Azure AD finns i Azure Active Directory dokumentationen.
Registrering av din webbplats med Azure AD stöder följande Konfigurationshanteraren scenarier:
Klientscenarier
Serverscenarier
SMS-providerautentisering
Du kan ange den lägsta autentiseringsnivån för administratörer att komma åt Konfigurationshanteraren webbplatser. Den här funktionen kräver att administratörer loggar in på Windows med den nivå som krävs innan de kan komma åt Konfigurationshanteraren. Den gäller för alla komponenter som har åtkomst till SMS-providern. Till exempel kan Konfigurationshanteraren, SDK-metoder och Windows PowerShell cmdlets.
Konfigurationshanteraren stöder följande autentiseringsnivåer:
Windows autentisering: Kräv autentisering med Autentiseringsuppgifter för Active Directory-domän. Den här inställningen är det tidigare beteendet och den aktuella standardinställningen.
Certifikatautentisering: Kräv autentisering med ett giltigt certifikat som utfärdats av en betrodd PKI-certifikatutfärdare. Du konfigurerar inte det här certifikatet i Konfigurationshanteraren. Konfigurationshanteraren kräver att administratören är inloggad på Windows med PKI.
Windows Hello för företagsautentisering: Kräv autentisering med stark tvåfaktorsautentisering som är kopplad till en enhet och använder biometrik eller PIN-kod. Mer information finns i Windows Hello för företag.
Viktigt
När du väljer den här inställningen kräver SMS-providern och administrationstjänsten att användarens autentiseringstoken innehåller ett MFA-anspråk (Multi-Factor Authentication) från Windows Hello for Business. Med andra ord måste en användare av konsolen, SDK, PowerShell eller administrationstjänsten autentiseras för att kunna Windows med sina Windows Hello PIN-kod eller biometrik för företag. Annars avvisar webbplatsen användarens åtgärd.
Det här beteendet är Windows Hello för företag, inte Windows Hello.
Mer information om hur du konfigurerar den här inställningen finns i Konfigurera SMS-providerautentisering.