在 Configuration Manager 中管理內容的安全性和隱私權
適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") 注意事項 |
|---|
本主題顯示於在 System Center 2012 Configuration Manager 中部署軟體和作業系統指南和 System Center 2012 Configuration Manager 的安全性和隱私權指南中。 |
本主題包含 System Center 2012 Configuration Manager 中內容管理的安全性與隱私權資訊。 請搭配下列主題閱讀:
內容管理的安全性最佳作法
利用下列安全性最佳作法進行內容管理:
安全性最佳作法 |
詳細資訊 |
||
|---|---|---|---|
對於內部網路上的發佈點,請考慮使用 HTTPS 和 HTTP 的優缺點 |
發佈點使用 HTTPS 和 HTTP 的差異:
在大部分案例中,與使用具加密但沒有授權的 HTTPS 相較之下,使用 HTTP 和套件存取帳戶進行授權可提供更高的安全性。 不過,如果您的內容中包含機密資料,而您想要在傳送時加密資料,請使用 HTTPS。 |
||
如果您對發佈點使用 PKI 用戶端驗證憑證,而不是自我簽署的憑證,請用強式密碼保護憑證檔案 (.pfx)。 如果您在網路上儲存檔案,在將檔案匯入 Configuration Manager 時,請保護網路通道的安全。 |
如果您需要密碼才能匯入用於發佈點與管理點進行通訊的用戶端驗證憑證,這就有助於保護憑證不受攻擊者利用。 在網路位置和站台伺服器之間使用 SMB 簽署或 IPsec,以防止攻擊者竄改憑證檔案。 |
||
從站台伺服器移除發佈點角色。 |
根據預設,發佈點會與站台伺服器安裝在相同的伺服器上。 用戶端不需要直接與站台伺服器進行通訊,因此若要減少攻擊層面,請將發佈點角色指派至其他站台系統,並且從站台伺服器中移除。 |
||
保護套件存取層級的內容。
|
發佈點共用允許所有使用者的 Read 存取權。 若要限制哪些使用者可存取內容,針對 HTTP 設定發佈點時,請使用套件存取帳戶。 如需封裝存取帳戶的詳細資訊,請參閱在 Configuration Manager 中進行內容管理的操作和維護主題中的管理帳戶以存取套件內容一節。 |
||
當您新增發佈點站台系統角色時,如果 Configuration Manager 安裝 IIS,請在發佈點安裝完成時移除 HTTP 重新導向和 IIS 管理指令碼及工具。 |
發佈點不需要 HTTP 重新導向和 IIS 管理指令碼及工具。 若要減少攻擊層面,請移除 Web 伺服器 (IIS) 角色的這些角色服務。 如需發佈點上 Web 伺服器 (IIS) 角色之角色服務的詳細資訊,請參閱主題中的一節。c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReqNo text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty. |
||
建立套件時設定套件存取權限 |
由於對套件檔案上存取帳戶的變更只有在重新發佈套件時才會生效,因此初次建立套件時,務必小心設定套件存取權限。 這對下列案例尤其重要:
|
||
實作存取控制以保護包含預先設置內容的媒體 |
預先設置內容經過壓縮,但未加密。 攻擊者就可以讀取及修改之後下載到裝置的檔案。Configuration Manager 用戶端會拒絕遭竄改的內容,但仍會下載它。 |
||
務必僅使用 Configuration Manager 所提供的 ExtractContent 命令列工具 (ExtractContent.exe) 匯入預先設置的內容,並請確定經過 Microsoft 簽署 |
為避免竄改及提高權限,務必僅使用 Configuration Manager 所提供授權的命令列工具。 |
||
保護站台伺服器與套件來源位置之間通訊通道的安全 |
當您建立應用程式和套件時,在站台伺服器與套件來源位置之間使用 IPsec 或 SMB 簽署。 這樣有助於避免攻擊者竄改來源檔案。 |
||
如果您在安裝任何發佈點角色之後,將站台設定選項變更為使用自訂網站,而不是預設網站,請移除預設虛擬目錄 |
從使用預設網站變更為使用自訂網站時,Configuration Manager 不會移除舊的虛擬目錄。 移除 Configuration Manager 原本在預設網站下建立的虛擬目錄:
|
||
對於從 Configuration Manager SP1 開始可用的雲端架構的發佈點:保護您的訂閱詳細資料及憑證 |
當您使用雲端架構的發佈點時,請保護下列高價值的項目:
安全保存憑證,如果設定雲端架構的發佈點時要透過網路瀏覽憑證,請在站台系統伺服器與來源位置之間使用 IPsec 或 SMB 簽署。 |
||
對於從 Configuration Manager SP1 開始可用的雲端架構的發佈點:為了服務連續性,請監視憑證的到期日 |
Configuration Manager 不會在管理雲端架構發佈點服務的匯入憑證即將到期時警告您。 您必須在 Configuration Manager 之外另行監控到期日,並請確定在到期日之前更新並匯入新憑證。 如果您向外部憑證授權單位 (CA) 購買 Configuration Manager 雲端架構的發佈點服務憑證,這點就相當重要,因為您可能需要額外的時間來取得更新的憑證。
|
內容管理的安全性問題
內容管理有下列安全性問題:
用戶端下載內容後才會進行驗證。
Configuration Manager 用戶端只有在內容下載到其用戶端快取後,才會驗證內容上的雜湊。 如果攻擊者竄改下載的檔案清單或內容本身,則下載程序可能佔用相當大的網路頻寬,使得用戶端在遭遇無效的雜湊時捨棄內容。
您無法將雲端架構之發佈點裝載的內容存取限於使用者或群組
從 Configuration Manager SP1 開始,當您使用雲端架構的發佈點時,內容存取會自動限制於您的企業,無法進一步限制於選取的使用者或群組。
封鎖的用戶端可繼續從雲端架構的發佈點下載內容達 8 小時
從 Configuration Manager SP1 開始,當您使用雲端架構的發佈點時,管理點會驗證用戶端,然後用戶端會使用 Configuration Manager 權杖存取雲端架構的發佈點。 權杖有效時間為 8 小時,因此如果某個用戶端因為不再受信任而遭到封鎖,它可繼續從雲端架構的發佈點下載內容,直到此權杖的有效期間到期。 這種情況下,管理點不會對用戶端發出另一個權杖,因為用戶端遭到封鎖。
若要防止封鎖的用戶端在 8 小時內下載內容,您可以從 Configuration Manager 主控台中 [管理] 工作區之 [階層組;態] 的 [雲端] 節點,停止雲端服務。 如需詳細資訊,請參閱管理 Configuration Manager 的雲端服務。
內容管理的隱私權資訊
Configuration Manager 不會在內容檔案中包含任何使用者資料,雖然管理使用者可能選擇這樣做。
在您設定內容管理之前,請先考慮隱私權需求。