在 Configuration Manager 中配置安全性

  • 项目

适用于: Configuration Manager(current branch)

使用本文中的信息来帮助你为Configuration Manager设置与安全相关的选项。 在开始之前,请确保已制定 安全计划

重要

从 Configuration Manager 版本 2103 开始,将弃用允许 HTTP 客户端通信的站点。 为 HTTPS 或增强 HTTP 配置站点。 有关详细信息,请参阅 为仅 HTTPS 或增强的 HTTP 启用站点

客户端 PKI 证书

如果要使用公钥基础结构 (PKI) 证书来客户端连接到使用 Internet Information Services (IIS) 的站点系统,请使用以下过程来配置这些证书的设置。

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”节点。 选择要配置的主站点。

  2. 在功能区中,选择“属性”。 然后切换到“ 通信安全 ”选项卡。

  3. 选择使用 IIS 的站点系统的设置。

    • 仅限 HTTPS:分配给站点的客户端在连接到使用 IIS 的站点系统时始终使用客户端 PKI 证书。 例如,管理点和分发点。

    • HTTPS 或 HTTP:不需要客户端使用 PKI 证书。

    • 对 HTTP 站点系统使用Configuration Manager生成的证书:有关此设置的详细信息,请参阅增强型 HTTP

  4. 选择客户端计算机的设置。

    • 使用客户端 PKI 证书 (客户端身份验证功能) (如果可用):如果选择 HTTPS 或 HTTP 站点服务器设置,请选择此选项以使用客户端 PKI 证书进行 HTTP 连接。 客户端使用此证书而不是自签名证书向站点系统进行身份验证。 如果选择 “仅 HTTPS”,则会自动选择此选项。

      当客户端上有多个有效的 PKI 客户端证书可用时,请选择“ 修改 ”以配置客户端证书选择方法。 有关客户端证书选择方法的详细信息,请参阅 规划 PKI 客户端证书选择

    • 客户端检查站点系统的 CRL) (证书吊销列表:为客户端启用此设置,以便为已吊销的证书检查组织的 CRL。 有关客户端的 CRL 检查的详细信息,请参阅 规划 PKI 证书吊销

  5. 若要导入、查看和删除受信任的根证书颁发机构的证书,请选择“ 设置”。 有关详细信息,请参阅 规划 PKI 受信任的根证书和证书颁发者列表

对层次结构中的所有主站点重复此过程。

管理受信任的根密钥

使用这些过程为Configuration Manager客户端预预配和验证受信任的根密钥。

注意

如果客户端可以从Active Directory 域服务或客户端请求获取受信任的根密钥,则无需预先预配。

当客户端使用 HTTPS 与管理点通信时,无需预先预配受信任的根密钥。 它们通过 PKI 证书建立信任。

有关受信任的根密钥的详细信息,请参阅 计划安全性

使用 文件预先预配具有受信任根密钥的客户端

  1. 在站点服务器上,浏览到Configuration Manager安装目录。 在 \bin\<platform> 子文件夹中,在文本编辑器中打开以下文件: mobileclient.tcf

  2. 找到条目 SMSPublicRootKey。 复制该行中的值,并关闭文件而不保存任何更改。

  3. 创建新的文本文件,并粘贴从 mobileclient.tcf 文件复制的键值。

  4. 将文件保存在所有计算机都可以访问它的位置,但该文件可避免篡改。

  5. 使用接受 client.msi 属性的任何安装方法安装客户端。 指定以下属性: SMSROOTKEYPATH=<full path and file name>

    重要

    在客户端安装期间指定受信任的根密钥时,还要指定站点代码。 使用以下 client.msi 属性: SMSSITECODE=<site code>

使用受信任的根密钥预预配客户端,而不使用文件

  1. 在站点服务器上,浏览到Configuration Manager安装目录。 在 \bin\<platform> 子文件夹中,在文本编辑器中打开以下文件: mobileclient.tcf

  2. 找到条目 SMSPublicRootKey。 复制该行中的值,并关闭文件而不保存任何更改。

  3. 使用接受 client.msi 属性的任何安装方法安装客户端。 指定以下 client.msi 属性: SMSPublicRootKey=<key> 其中 <key> 是从 mobileclient.tcf 复制的字符串。

    重要

    在客户端安装期间指定受信任的根密钥时,还要指定站点代码。 使用以下 client.msi 属性: SMSSITECODE=<site code>

在客户端上验证受信任的根密钥

  1. 以管理员身份打开Windows PowerShell控制台。

  2. 运行以下命令:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey

返回的字符串是受信任的根密钥。 验证它是否与站点服务器上的 mobileclient.tcf 文件中的 SMSPublicRootKey 值匹配。

删除或替换受信任的根密钥

使用 client.msi 属性 RESETKEYINFORMATION = TRUE从客户端中删除受信任的根密钥。

若要替换受信任的根密钥,请将客户端与新的受信任的根密钥一起重新安装。 例如,使用客户端推送,或指定 client.msi 属性 SMSPublicRootKey

有关这些安装属性的详细信息,请参阅 关于客户端安装参数和属性

签名和加密

为站点系统配置最安全的签名和加密设置,站点中的所有客户端都可以支持这些设置。 当你允许客户端通过 HTTP 使用自签名证书与站点系统通信时,这些设置尤其重要。

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”节点。 选择要配置的主站点。

  2. 在功能区中,选择“ 属性”,然后切换到“ 签名和加密 ”选项卡。

    此选项卡仅在主站点上可用。 如果未看到“ 签名和加密 ”选项卡,请确保未连接到管理中心站点或辅助站点。

  3. 配置客户端与站点通信的签名和加密选项。

    • 需要签名:客户端在将数据发送到管理点之前对数据进行签名。

    • 需要 SHA-256:客户端在对数据进行签名时使用 SHA-256 算法。

      警告

      无需先确认所有客户端都支持此哈希算法,则 不需要 SHA-256 。 这些客户端包括将来可能分配给站点的客户端。

      如果选择此选项,并且具有自签名证书的客户端不能支持 SHA-256,Configuration Manager拒绝它们。 SMS_MP_CONTROL_MANAGER组件记录消息 ID 5443。

    • 使用加密:客户端在发送到管理点之前加密客户端清单数据和状态消息。

对层次结构中的所有主站点重复此过程。

基于角色的管理

基于角色的管理结合了安全角色、安全作用域和分配的集合,以定义每个管理用户的管理范围。 范围包括用户可以在控制台中查看的对象,以及与他们有权执行的对象相关的任务。 基于角色的管理配置在层次结构中的每个站点上应用。

有关详细信息,请参阅 配置基于角色的管理。 本文详细介绍了以下操作:

  • 创建自定义安全角色

  • 配置安全角色

  • 为对象配置安全作用域

  • 配置集合以管理安全性

  • 创建新的管理用户

  • 修改管理用户的管理范围

重要

你自己的管理范围定义在为另一个管理用户配置基于角色的管理时可以分配的对象和设置。 有关规划基于角色的管理的信息,请参阅 基于角色的管理的基础知识

管理帐户

Configuration Manager支持 Windows 帐户执行许多不同的任务和用途。 若要查看为不同任务配置的帐户,并管理Configuration Manager用于每个帐户的密码,请使用以下过程:

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“安全性”,然后选择“帐户”节点。

  2. 若要更改帐户的密码,请在列表中选择该帐户。 然后在功能区中选择 “属性 ”。

  3. 选择 “设置 ”以打开 “Windows 用户帐户 ”对话框。 指定Configuration Manager用于此帐户的新密码。

    注意

    指定的密码必须与 Active Directory 中此帐户的密码匹配。

有关详细信息,请参阅 Configuration Manager 中使用的帐户

Microsoft Entra ID

将 Configuration Manager 与 Microsoft Entra ID 集成,以简化和启用云环境。 允许站点和客户端使用Microsoft Entra ID 进行身份验证。

有关详细信息,请参阅配置 Azure 服务中的云管理服务

SMS 提供程序身份验证

可以指定管理员访问Configuration Manager站点的最低身份验证级别。 此功能强制管理员在访问Configuration Manager之前使用所需的级别登录到 Windows。 有关详细信息,请参阅 规划 SMS 提供程序身份验证

重要

此配置是层次结构范围的设置。 在更改此设置之前,请确保所有Configuration Manager管理员可以使用所需的身份验证级别登录到 Windows。

若要配置此设置,请使用以下步骤:

  1. 首先使用预期的身份验证级别登录到 Windows。

  2. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”节点。

  3. 在功能区中选择 “层次结构设置 ”。

  4. 切换到“ 身份验证 ”选项卡。选择所需的 身份验证级别,然后选择“ 确定”。

    • 仅在必要时,选择“ 添加 ”以排除特定用户或组。 有关详细信息,请参阅 排除项。

排除项

在“层次结构设置”的“ 身份验证 ”选项卡中,还可以排除某些用户或组。 请谨慎使用此选项。 例如,当特定用户需要访问 Configuration Manager 控制台,但无法在所需级别向 Windows 进行身份验证时。 对于在系统帐户的上下文中运行的自动化或服务,可能还需要它。

后续步骤