Plánování zabezpečení v nástroji Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Tento článek popisuje následující koncepty, které byste měli zvážit při plánování zabezpečení s implementací nástroje Configuration Manager:

  • Certifikáty (podepsané svým držitelem a PKI)

  • Důvěryhodný kořenový klíč

  • Podepisování a šifrování

  • Správa založená na rolích

  • Microsoft Entra ID

  • Ověřování poskytovatele serveru SMS

Než začnete, ujistěte se, že jste obeznámeni se základy zabezpečení v Nástroji Configuration Manager.

Certifikáty

Configuration Manager používá kombinaci digitálních certifikátů infrastruktury veřejných klíčů podepsaných svým držitelem (PKI). Používejte certifikáty PKI, kdykoli je to možné. Některé scénáře vyžadují certifikáty PKI. Pokud certifikáty PKI nejsou k dispozici, lokalita automaticky vygeneruje certifikáty podepsané svým držitelem. V některých scénářích se vždy používají certifikáty podepsané svým držitelem.

Další informace najdete v tématu Plánování certifikátů.

Důvěryhodný kořenový klíč

Důvěryhodný kořenový klíč nástroje Configuration Manager poskytuje klientům nástroje Configuration Manager mechanismus pro ověření, že systémy lokality patří do jejich hierarchie. Každý server lokality generuje klíč výměny lokality pro komunikaci s jinými lokalitami. Klíč výměny lokality z lokality nejvyšší úrovně v hierarchii se nazývá důvěryhodný kořenový klíč.

Funkce důvěryhodného kořenového klíče v nástroji Configuration Manager se podobá kořenovému certifikátu v infrastruktuře veřejných klíčů. Cokoli podepsané privátním klíčem důvěryhodného kořenového klíče je důvěryhodné dále v hierarchii. Klienti ukládají kopii důvěryhodného kořenového klíče lokality v root\ccm\locationservices oboru názvů rozhraní WMI.

Lokalita například vydá certifikát bodu správy, který podepíše privátním klíčem důvěryhodného kořenového klíče. Lokalita sdílí s klienty veřejný klíč svého důvěryhodného kořenového klíče. Klienti pak můžou rozlišovat mezi body správy, které jsou v jejich hierarchii, a body správy, které nejsou v jejich hierarchii.

Klienti automaticky získají veřejnou kopii důvěryhodného kořenového klíče pomocí dvou mechanismů:

  • Rozšíříte schéma služby Active Directory pro nástroj Configuration Manager a publikujete lokalitu do služby Active Directory Domain Services. Klienti pak načtou informace o této lokalitě ze serveru globálního katalogu. Další informace najdete v tématu Příprava služby Active Directory pro publikování webů.

  • Při instalaci klientů pomocí metody nabízené instalace klienta. Další informace najdete v tématu Klientská nabízená instalace.

Pokud klienti nemůžou získat důvěryhodný kořenový klíč pomocí některého z těchto mechanismů, důvěřují důvěryhodnému kořenovému klíči poskytovanému prvním bodem správy, se kterým komunikují. V tomto scénáři může být klient nesprávně přesměrován na bod správy útočníka, kde by obdržel zásady z podvodného bodu správy. Tato akce vyžaduje sofistikovaného útočníka. Tento útok je omezen na krátkou dobu, než klient načte důvěryhodný kořenový klíč z platného bodu správy. Pokud chcete snížit riziko, že útočník chybně nasměruje klienty do podvodného bodu správy, předem zřiďte klienty s důvěryhodným kořenovým klíčem.

Další informace a postupy pro správu důvěryhodného kořenového klíče najdete v tématu Konfigurace zabezpečení.

Podepisování a šifrování

Pokud používáte certifikáty PKI pro veškerou komunikaci klientů, nemusíte plánovat podepisování a šifrování, které pomáhá zabezpečit datovou komunikaci klientů. Pokud nastavíte jakékoli systémy lokality se službou IIS tak, aby umožňovaly připojení klientů HTTP, rozhodněte se, jak pomoct zabezpečit komunikaci klienta pro lokalitu.

Důležité

Od verze 2103 nástroje Configuration Manager jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.

Pokud chcete lépe chránit data, která klienti odesílají do bodů správy, můžete vyžadovat, aby klienti data podepsali. K podepisování můžete také vyžadovat algoritmus SHA-256. Tato konfigurace je bezpečnější, ale nevyžaduje SHA-256, pokud ji nepodporují všichni klienti. Mnoho operačních systémů nativně podporuje tento algoritmus, ale starší operační systémy můžou vyžadovat aktualizaci nebo opravu hotfix.

Zatímco podepisování pomáhá chránit data před manipulací, šifrování pomáhá chránit data před zpřístupněním informací. Můžete povolit šifrování pro data inventáře a stavové zprávy, které klienti odesílají do bodů správy v lokalitě. Pokud chcete tuto možnost podporovat, nemusíte na klienty instalovat žádné aktualizace. Klienti a body správy vyžadují větší využití procesoru pro šifrování a dešifrování.

Poznámka

K šifrování dat klient používá veřejný klíč šifrovacího certifikátu bodu správy. Odpovídající privátní klíč má jenom bod správy, takže data může dešifrovat jenom bod správy.

Klient tento certifikát spustí pomocí podpisového certifikátu bodu správy, který se spustí pomocí důvěryhodného kořenového klíče lokality. Ujistěte se, že jste na klientech bezpečně zřídili důvěryhodný kořenový klíč. Další informace najdete v tématu Důvěryhodný kořenový klíč.

Další informace o konfiguraci nastavení pro podepisování a šifrování najdete v tématu Konfigurace podepisování a šifrování.

Další informace o kryptografických algoritmech používaných k podepisování a šifrování najdete v tématu Technické reference k kryptografickým ovládacím prvkům.

Správa založená na rolích

V nástroji Configuration Manager používáte správu na základě rolí k zabezpečení přístupu, který správci potřebují k používání nástroje Configuration Manager. Zabezpečíte také přístup k objektům, které spravujete, jako jsou kolekce, nasazení a weby.

Kombinací rolí zabezpečení, rozsahů zabezpečení a kolekcí oddělujete přiřazení správy, která splňují požadavky vaší organizace. Společně definují obor správy uživatele. Tento obor správy řídí objekty, které správce zobrazí v konzole nástroje Configuration Manager, a řídí oprávnění, která má uživatel k těmto objektům.

Další informace najdete v tématu Základy správy na základě rolí.

Microsoft Entra ID

Configuration Manager se integruje s ID Microsoft Entra, aby lokalita a klienti mohli používat moderní ověřování.

Další informace o Microsoft Entra ID najdete v dokumentaci k Microsoft Entra.

Onboarding webu pomocí ID Microsoft Entra podporuje následující scénáře Configuration Manageru:

Klientské scénáře

Serverové scénáře

Ověřování poskytovatele serveru SMS

Můžete zadat minimální úroveň ověřování pro přístup správců k lokalitám nástroje Configuration Manager. Tato funkce vynucuje, aby se správci přihlásili k Windows s požadovanou úrovní, než budou moct získat přístup ke Configuration Manageru. Vztahuje se na všechny komponenty, které přistupuje k poskytovateli serveru SMS. Například konzola nástroje Configuration Manager, metody sady SDK a rutiny prostředí Windows PowerShell.

Configuration Manager podporuje následující úrovně ověřování:

  • Ověřování Systému Windows: Vyžaduje ověření pomocí přihlašovacích údajů domény služby Active Directory. Toto nastavení představuje předchozí chování a aktuální výchozí nastavení.

  • Ověřování certifikátu: Vyžaduje ověření pomocí platného certifikátu vydaného důvěryhodnou certifikační autoritou PKI. Tento certifikát nenakonfigurujete v Nástroji Configuration Manager. Configuration Manager vyžaduje, aby byl správce přihlášený k Windows pomocí infrastruktury veřejných klíčů.

  • Ověřování Ve Windows Hello pro firmy: Vyžaduje ověření pomocí silného dvojúrovňového ověřování, které je vázané na zařízení a používá biometriku nebo PIN kód. Další informace najdete v článku Windows Hello pro firmy.

    Důležité

    Když vyberete toto nastavení, poskytovatel serveru SMS a služba pro správu vyžadují, aby ověřovací token uživatele obsahoval deklaraci vícefaktorového ověřování (MFA) z Windows Hello pro firmy. Jinými slovy, uživatel konzoly, sady SDK, PowerShellu nebo služby pro správu se musí ověřit ve Windows pomocí pin kódu nebo biometriky Windows Hello pro firmy. V opačném případě web odmítne akci uživatele.

    Toto chování se používá pro Windows Hello pro firmy, ne Pro Windows Hello.

Další informace o konfiguraci tohoto nastavení najdete v tématu Konfigurace ověřování poskytovatele serveru SMS.

Další kroky