Configuration Manager için güvenliğin temelleri
Uygulama hedefi: Configuration Manager (güncel dalı)
Bu makalede, herhangi bir Configuration Manager ortamının aşağıdaki temel güvenlik bileşenleri özetlenmiştir:
- Güvenlik katmanları
- Rol tabanlı yönetim
- İstemci uç noktalarının güvenliğini sağlama
- hesapları ve grupları Configuration Manager
- Gizlilik
Güvenlik katmanları
Configuration Manager güvenliği aşağıdaki katmanlardan oluşur:
- Windows işletim sistemi ve ağ güvenliği
- Ağ altyapısı: güvenlik duvarları, yetkisiz erişim algılama, ortak anahtar altyapısı (PKI)
- güvenlik denetimlerini Configuration Manager
- SMS Sağlayıcısı
- Site veritabanı izinleri
Windows işletim sistemi ve ağ güvenliği
İlk katman, hem işletim sistemi hem de ağ için Windows güvenlik özellikleri tarafından sağlanır. Bu katman aşağıdaki bileşenleri içerir:
dosyaları Configuration Manager bileşenler arasında aktarmak için dosya paylaşımı.
Dosyaların ve kayıt defteri anahtarlarının güvenliğini sağlamaya yardımcı olmak için Listeleri (ACL) Access Control.
İletişimin güvenliğini sağlamaya yardımcı olmak için İnternet Protokolü Güvenliği (IPsec).
Güvenlik ilkesini ayarlamak için grup ilkesi.
Configuration Manager konsolu gibi dağıtılmış uygulamalar için Dağıtılmış Bileşen Nesne Modeli (DCOM) izinleri.
Güvenlik sorumlularını depolamak için Active Directory Domain Services.
Configuration Manager kurulum sırasında oluşturduğu bazı gruplar da dahil olmak üzere Windows hesabı güvenliği.
Ağ altyapısı
Güvenlik duvarları ve yetkisiz erişim algılama gibi ağ güvenlik bileşenleri, ortamın tamamı için savunma sağlamaya yardımcı olur. Endüstri standardı ortak anahtar altyapısı (PKI) uygulamaları tarafından verilen sertifikalar kimlik doğrulaması, imzalama ve şifreleme sağlamaya yardımcı olur.
güvenlik denetimlerini Configuration Manager
Varsayılan olarak, yalnızca yerel yöneticiler, Configuration Manager konsolunun yüklediğiniz bilgisayarlarda gerektirdiği dosyalar ve kayıt defteri anahtarları üzerinde haklara sahiptir.
SMS Sağlayıcısı
Bir sonraki güvenlik katmanı, SMS Sağlayıcısına erişimi temel alır. SMS Sağlayıcısı, kullanıcıya bilgi için site veritabanını sorgulama erişimi veren Configuration Manager bir bileşendir. SMS Sağlayıcısı öncelikli olarak Windows Yönetim Araçları (WMI) üzerinden erişimi, aynı zamanda yönetim hizmeti olarak adlandırılan bir REST API'yi de kullanıma sunar.
Varsayılan olarak, sağlayıcıya erişim yerel SMS Yöneticileri grubunun üyeleriyle sınırlıdır. Bu grup ilk başta yalnızca Configuration Manager yükleyen kullanıcıyı içerir. Ortak Bilgi Modeli (CIM) deposuna ve SMS Sağlayıcısına diğer hesaplara izin vermek için diğer hesapları SMS Yöneticileri grubuna ekleyin.
Yöneticilerin Configuration Manager sitelere erişmesi için en düşük kimlik doğrulama düzeyini belirtebilirsiniz. Bu özellik, yöneticilerin Windows'ta gerekli düzeyle oturum açmasını zorlar. Daha fazla bilgi için bkz. SMS Sağlayıcısını planlama.
Site veritabanı izinleri
Son güvenlik katmanı, site veritabanındaki nesnelere yönelik izinleri temel alır. Varsayılan olarak, Yerel Sistem hesabı ve Configuration Manager yüklemek için kullandığınız kullanıcı hesabı site veritabanındaki tüm nesneleri yönetebilir. Rol tabanlı yönetim kullanarak Configuration Manager konsolundaki diğer yönetici kullanıcılara izin verme ve kısıtlama.
Rol tabanlı yönetim
Configuration Manager koleksiyonlar, dağıtımlar ve siteler gibi nesnelerin güvenliğini sağlamaya yardımcı olmak için rol tabanlı yönetim kullanır. Bu yönetim modeli, tüm siteler ve site ayarları için hiyerarşi genelinde güvenlik erişim ayarlarını merkezi olarak tanımlar ve yönetir.
Yönetici, yönetici kullanıcılara ve grup izinlerine güvenlik rolleri atar. İzinler, örneğin istemci ayarlarını oluşturmak veya değiştirmek için farklı Configuration Manager nesne türlerine bağlanır.
Güvenlik kapsamları , yönetici kullanıcının yönetmekle sorumlu olduğu nesnelerin belirli örneklerini içerir. Örneğin, Configuration Manager konsolunu yükleyen bir uygulama.
Güvenlik rollerinin, güvenlik kapsamlarının ve koleksiyonların birleşimi, yönetici kullanıcının görüntüleyip yönetebileceği nesneleri tanımlar. Configuration Manager, tipik yönetim görevleri için bazı varsayılan güvenlik rollerini yükler. Belirli iş gereksinimlerinizi desteklemek için kendi güvenlik rollerinizi oluşturun.
Daha fazla bilgi için bkz. Rol tabanlı yönetimin temelleri.
İstemci uç noktalarının güvenliğini sağlama
Configuration Manager, otomatik olarak imzalanan veya PKI sertifikaları ya da Microsoft Entra belirteçleri kullanarak site sistemi rolleriyle istemci iletişiminin güvenliğini sağlar. Bazı senaryolarda PKI sertifikalarının kullanılması gerekir. Örneğin, İnternet tabanlı istemci yönetimi ve mobil cihaz istemcileri için.
İstemcilerin HTTPS veya HTTP istemci iletişimi için bağlandığı site sistemi rollerini yapılandırabilirsiniz. İstemci bilgisayarlar her zaman kullanılabilen en güvenli yöntemi kullanarak iletişim kurar. İstemci bilgisayarlar yalnızca HTTP iletişimine izin veren site sistemleri rolleriniz varsa daha az güvenli iletişim yöntemini kullanmaya geri döner.
Önemli
Configuration Manager sürüm 2103'den başlayarak, HTTP istemci iletişimi sağlayan siteler kullanım dışı bırakılmıştır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırın. Daha fazla bilgi için bkz . Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.
Daha fazla bilgi için bkz. Güvenlik için planlama.
hesapları ve grupları Configuration Manager
Configuration Manager çoğu site işlemi için Yerel Sistem hesabını kullanır. Bazı site işlemleri, site sunucusunun etki alanı bilgisayar hesabını kullanmak yerine bir hizmet hesabının kullanılmasına izin verir. Bazı yönetim görevleri, başka hesaplar oluşturmanızı ve korumanızı gerektirebilir. Örneğin, işletim sistemi dağıtımı görev dizisi sırasında etki alanına katılmak için.
Configuration Manager, kurulum sırasında çeşitli varsayılan gruplar ve SQL Server rolleri oluşturur. Bilgisayar veya kullanıcı hesaplarını varsayılan gruplara ve SQL Server rollerine el ile eklemeniz gerekebilir.
Daha fazla bilgi için bkz. Configuration Manager kullanılan hesaplar.
Gizlilik
Configuration Manager uygulamadan önce gizlilik gereksinimlerinizi göz önünde bulundurun. Kurumsal yönetim ürünleri birçok müşteriyi etkili bir şekilde yönetebileceğinden birçok avantaj sunsa da, bu yazılım kuruluşunuzdaki kullanıcıların gizliliğini etkileyebilir. Configuration Manager, veri toplamak ve cihazları izlemek için birçok araç içerir. Bazı araçlar kuruluşunuzda gizlilikle ilgili endişelere neden olabilir.
Örneğin, Configuration Manager istemcisini yüklediğinizde, varsayılan olarak birçok yönetim ayarına olanak tanır. Bu yapılandırma, istemci yazılımının Configuration Manager sitesine bilgi göndermesine neden olur. Site, istemci bilgilerini site veritabanında depolar. İstemci bilgileri doğrudan Microsoft'a gönderilmez. Daha fazla bilgi için bkz. Tanılama ve kullanım verileri.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin