Yapılandırma Yöneticisi'da güvenlik Yapılandırma Yöneticisi

  • Makale
  • Okumak için 5 dakika

Uygulama: Yapılandırma Yöneticisi (geçerli dal)

Bu makalede, uygulamanıza yönelik güvenlik planlaması yapmak için göz önünde bulundurarak aşağıdaki Yapılandırma Yöneticisi açıklanmıştır:

  • Sertifikalar (otomatik olarak imzalanan ve PKI)

  • Güvenilen kök anahtar

  • İmzalama ve şifreleme

  • Rol tabanlı yönetim

  • Azure Active Directory

  • SMS Sağlayıcısı kimlik doğrulaması

Başlamadan önce, Yapılandırma Yöneticisi'da güvenlikle ilgili temel bilgi sahibi Yapılandırma Yöneticisi.

Sertifikalar

Yapılandırma Yöneticisi otomatik olarak imzalanan ve ortak anahtar altyapısı (PKI) dijital sertifikalarının bir birleşimini kullanır. Mümkün olduğunca PKI sertifikalarını kullanın. Bazı senaryolar PKI sertifikaları gerektirir. PKI sertifikaları kullanılabilir olduğunda, site otomatik olarak otomatik olarak imzalanan sertifikalar üretir. Bazı senaryolarda her zaman otomatik olarak imzalanan sertifikalar kullanılır.

Daha fazla bilgi için bkz. Sertifikaları planlama.

Güvenilen kök anahtar

Güvenilir Yapılandırma Yöneticisi anahtarı, istemcilerin site sistemlerinin hiyerarşilerine ait olduğunu Yapılandırma Yöneticisi için bir mekanizma sağlar. Her site sunucusu, diğer sitelerle iletişim kurmak için bir site değişim anahtarı oluşturur. Hiyerarşideki üst düzey siteden site değişim anahtarına, güvenilir kök anahtar adı verilir.

içinde güvenilen kök anahtarın işlevi Yapılandırma Yöneticisi ortak anahtar altyapısında yer alan bir kök sertifikaya benzer. Güvenilen kök anahtarın özel anahtarı tarafından imzalanan her şeye hiyerarşinin daha aşağısı güvenilir. İstemciler, sitenin güvenilen kök anahtarının bir kopyasını WMI ad root\ccm\locationservices alanına depolar.

Örneğin, site yönetim noktasına güvenilen kök anahtarın özel anahtarıyla imzasını alan bir sertifika sağlar. Site, istemcilerle güvenilir kök anahtarının ortak anahtarını paylaşıyor. Ardından istemciler, kendi hiyerarşilerinde yer alan yönetim noktaları ile kendi hiyerarşilerinde olmayan yönetim noktaları arasında ayrımlar olabilir.

İstemciler iki mekanizma kullanarak güvenilen kök anahtarın genel kopyasını otomatik olarak elde eder:

İstemciler bu mekanizmalardan birini kullanarak güvenilen kök anahtarı alamasa da iletişim kuracakları ilk yönetim noktası tarafından sağlanan güvenilen kök anahtara güvenir. Bu senaryoda, bir istemci, yanlış yönetim noktasından ilke alacak bir saldırganın yönetim noktasına yanlış yönlendirilmiş olabilir. Bu işlem için gelişmiş bir saldırgan gerekir. Bu saldırı, istemcinin geçerli bir yönetim noktasından güvenilen kök anahtarı alma süresiyle sınırlıdır. Bir saldırganın istemcileri yanlış bir yönetim noktasına yanlış yönlendirerek bu riskini azaltmak için, istemcileri güvenilen kök anahtarla önceden sağlama.

Güvenilen kök anahtarı yönetme hakkında daha fazla bilgi ve yordam için bkz. Güvenliği yapılandırma.

İmzalama ve şifreleme

Tüm istemci iletişimleri için PKI sertifikalarını kullanırken, istemci veri iletişiminin güvenliğini sağlamak için imzalama ve şifrelemeyi planlamanıza gerek olmaz. HTTP istemci bağlantılarına izin vermek için IIS'yi çalıştıran herhangi bir site sistemi ayarsanız, site için istemci iletişiminin güvenliğinin nasıl güvenli hale olduğuna karar verin.

Önemli

2103 Yapılandırma Yöneticisi başlayarak, HTTP istemci iletişimini sağlayan siteler kullanım dışıdır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırma. Daha fazla bilgi için bkz. Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.

İstemcilerin yönetim noktalarına göndermesi gereken verilerin korunmasına yardımcı olmak için istemcilerin verileri imzalamasını gerekli bulundurabilirsiniz. Ayrıca imzalama için SHA-256 algoritması da gerekli olabilir. Bu yapılandırma daha güvenlidir, ancak tüm istemciler desteklemediği sürece SHA-256 gerektirmez. Birçok işletim sistemi bu algoritmayı yerel olarak destekler, ancak eski işletim sistemleri için bir güncelleştirme veya düzeltme gerekli olabilir.

İmzalama, verilerin kurcalanmaya karşı korunmasına yardımcı olurken şifreleme, verilerin bilgilerin açığa çıkmasından korunmasına yardımcı olur. İstemcilerin sitenin yönetim noktalarına göndermekte olduğu envanter verileri ve durum iletileri için şifrelemeyi etkinleştirebilirsiniz. Bu seçeneği desteklemek için istemcilere güncelleştirme yüklemenize gerek yok. İstemciler ve yönetim noktaları, şifreleme ve şifre çözme için daha fazla CPU kullanımı gerektirir.

Not

İstemci, verileri şifrelemek için yönetim noktasının şifreleme sertifikasının ortak anahtarını kullanır. Yalnızca yönetim noktası karşılık gelen özel anahtara sahip olduğundan yalnızca verilerin şifresini çözebilir.

İstemci, yönetim noktasının imzalama sertifikasıyla bu sertifikayı önyükler ve sitenin güvenilen kök anahtarıyla önyükler. İstemciler üzerinde güvenilen kök anahtarı güvenli bir şekilde sağlamayı emin olun. Daha fazla bilgi için bkz. Güvenilen kök anahtar.

İmzalama ve şifreleme ayarlarını yapılandırma hakkında daha fazla bilgi için bkz. İmzalama ve şifrelemeyi yapılandırma.

İmzalama ve şifreleme için kullanılan şifreleme algoritmaları hakkında daha fazla bilgi için bkz. Şifreleme denetimleri teknik başvurusu.

Rol tabanlı yönetim

Bu Yapılandırma Yöneticisi, yönetim kullanıcılarının yönetim kullanıcıları için gereken erişimin güvenliğini sağlamak için rol tabanlı yönetimi Yapılandırma Yöneticisi. Ayrıca koleksiyonlar, dağıtımlar ve siteler gibi yönetilen nesnelere erişimin güvenliğini de sağlar.

Güvenlik rolleri, güvenlik kapsamları ve koleksiyonların birleşimiyle, kuruluş gereksinimlerini karşılayacak yönetim atamalarını yalıttırnız. Birlikte kullanılır, bir kullanıcının yönetim kapsamını tanımlar. Bu yönetim kapsamı, bir yönetici kullanıcının Yapılandırma Yöneticisi konsolunda görüntülemesi gereken nesneleri ve kullanıcının bu nesneler üzerinde sahip olduğu izinleri kontrol eder.

Daha fazla bilgi için bkz. Rol tabanlı yönetimin temelleri.

Azure Active Directory

Yapılandırma Yöneticisi sitenin ve istemcilerin modern Azure Active Directory kullanmalarını sağlamak için Azure Active Directory (Azure AD) ile tümleştirilmiştir.

Azure AD hakkında daha fazla bilgi için bkz. Azure Active Directory.

Sitenizi Azure AD'ye ekleme aşağıdaki Yapılandırma Yöneticisi destekler:

İstemci senaryoları

Sunucu senaryoları

SMS Sağlayıcısı kimlik doğrulaması

Yöneticilerin sitelere erişmesi için en düşük kimlik doğrulama Yapılandırma Yöneticisi belirtebilirsiniz. Bu özellik, yöneticilerin Windows önce gerekli düzeyde oturum açmasını Yapılandırma Yöneticisi. SMS Sağlayıcısına erişen tüm bileşenler için geçerlidir. Örneğin, Yapılandırma Yöneticisi, SDK yöntemleri ve Windows PowerShell cmdlet'leri.

Yapılandırma Yöneticisi aşağıdaki kimlik doğrulama düzeylerini destekler:

  • Windows doğrulaması: Active Directory etki alanı kimlik bilgileriyle kimlik doğrulaması gerektir. Bu ayar önceki davranış ve geçerli varsayılan ayardır.

  • Sertifika kimlik doğrulaması: Güvenilen bir PKI sertifika yetkilisi tarafından verilen geçerli bir sertifika ile kimlik doğrulaması gerektir. Bu sertifikayı Yapılandırma Yöneticisi. Yapılandırma Yöneticisi yöneticinin PKI kullanarak oturum Windows gerekir.

  • Windows Hello kimlik doğrulaması için: Bir cihaza bağlı ve biyometri veya PIN kullanan güçlü iki faktörlü kimlik doğrulaması ile kimlik doğrulaması gerektir. Daha fazla bilgi için bkz. Windows Hello için.

    Önemli

    Bu ayarı seçerek SMS Sağlayıcısı ve yönetim hizmeti, kullanıcının kimlik doğrulama belirteci için İş için'den çok faktörlü kimlik doğrulaması (MFA) talebi Windows Hello gerektirir. Başka bir deyişle, konsol, SDK, PowerShell veya yönetim hizmetinin kullanıcılarının İş PIN'i veya biyometrik Windows kimlik doğrulaması Windows Hello kimlik doğrulaması yapmaları gerekir. Aksi takdirde site kullanıcının eylemlerini reddeder.

    Bu davranış, Windows Hello için değil İş Windows Hello.

Bu ayarı yapılandırma hakkında daha fazla bilgi için bkz. SMS Sağlayıcısı kimlik doğrulamasını yapılandırma.

Sonraki adımlar