Základy zabezpečení pro Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Tento článek shrnuje následující základní součásti zabezpečení libovolného prostředí Configuration Manager:

Vrstvy zabezpečení

Zabezpečení pro Configuration Manager se skládá z následujících vrstev:

Zabezpečení operačního systému Windows a sítě

První vrstvu poskytují funkce zabezpečení Windows pro operační systém i síť. Tato vrstva zahrnuje následující komponenty:

  • Sdílení souborů pro přenos souborů mezi komponentami Configuration Manager.

  • Access Control Seznamy (ACL), které pomáhají zabezpečit soubory a klíče registru.

  • Protokol IPsec (Internet Protocol Security) pomáhá zabezpečit komunikaci.

  • Zásady skupiny pro nastavení zásad zabezpečení

  • Oprávnění modelu DCOM (Distributed Component Object Model) pro distribuované aplikace, jako je konzola Configuration Manager.

  • Active Directory Domain Services k ukládání objektů zabezpečení.

  • Zabezpečení účtu Windows, včetně některých skupin, které Configuration Manager vytvoří během instalace.

Síťová infrastruktura

Komponenty zabezpečení sítě, jako jsou brány firewall a detekce neoprávněných vniknutí, pomáhají zajistit ochranu celého prostředí. Certifikáty vydané standardními implementacemi infrastruktury veřejných klíčů (PKI) pomáhají zajistit ověřování, podepisování a šifrování.

Configuration Manager bezpečnostních prvků

Ve výchozím nastavení mají oprávnění k souborům a klíčům registru, které konzola Configuration Manager vyžaduje na počítačích, do kterých ji instalujete.

Poskytovatel serveru SMS

Další vrstva zabezpečení je založená na přístupu k poskytovateli serveru SMS. Poskytovatel serveru SMS je komponenta Configuration Manager, která uděluje uživateli přístup k dotazování na informace v databázi lokality. Poskytovatel serveru SMS primárně zpřístupňuje přístup prostřednictvím rozhraní WMI (Windows Management Instrumentation), ale také rozhraní REST API označované jako služba pro správu.

Ve výchozím nastavení je přístup k poskytovateli omezený na členy místní skupiny SPRÁVCI SERVERU SMS . Tato skupina zpočátku obsahuje jenom uživatele, který nainstaloval Configuration Manager. Pokud chcete jiným účtům udělit oprávnění k úložišti modelu CIM (Common Information Model) a poskytovateli serveru SMS, přidejte ostatní účty do skupiny SPRÁVCI SERVERU SMS.

Můžete zadat minimální úroveň ověřování pro přístup správců k Configuration Manager webům. Tato funkce vynucuje, aby se správci přihlásili k Windows s požadovanou úrovní. Další informace najdete v tématu Plánování pro poskytovatele serveru SMS.

Oprávnění databáze lokality

Poslední vrstva zabezpečení je založená na oprávněních k objektům v databázi lokality. Ve výchozím nastavení můžou místní systémový účet a uživatelský účet, který jste použili k instalaci Configuration Manager, spravovat všechny objekty v databázi lokality. Udělte a omezte oprávnění jiným správcům v konzole Configuration Manager pomocí správy na základě rolí.

Správa založená na rolích

Configuration Manager používá správu na základě rolí k zabezpečení objektů, jako jsou kolekce, nasazení a lokality. Tento model správy centrálně definuje a spravuje nastavení zabezpečení přístupu pro celou hierarchii pro všechny lokality a nastavení lokality.

Správce přiřadí role zabezpečení správcům a oprávněním skupiny. Oprávnění jsou připojená k různým typům Configuration Manager objektů, například k vytvoření nebo změně nastavení klienta.

Obory zabezpečení zahrnují konkrétní instance objektů, které správce zodpovídá za správu. Například aplikace, která nainstaluje konzolu Configuration Manager.

Kombinace rolí zabezpečení, oborů zabezpečení a kolekcí definuje objekty, které může správce zobrazit a spravovat. Configuration Manager nainstaluje některé výchozí role zabezpečení pro typické úlohy správy. Vytvořte si vlastní role zabezpečení pro podporu konkrétních obchodních požadavků.

Další informace najdete v tématu Základy správy na základě rolí.

Zabezpečení koncových bodů klienta

Configuration Manager zabezpečuje komunikaci klienta s rolemi systému lokality pomocí certifikátů podepsaných svým držitelem nebo certifikátů PKI nebo tokenů Microsoft Entra. Některé scénáře vyžadují použití certifikátů PKI. Například internetová správa klientů a pro klienty mobilních zařízení.

Role systému lokality, ke kterým se klienti připojují, můžete nakonfigurovat pro komunikaci klientů pomocí protokolu HTTPS nebo HTTP. Klientské počítače vždy komunikují pomocí nejbezpečnější metody, která je k dispozici. Klientské počítače používají méně bezpečnou metodu komunikace pouze v případě, že máte role systémů lokality, které umožňují komunikaci protokolem HTTP.

Důležité

Od Configuration Manager verze 2103 jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.

Další informace najdete v tématu Plánování zabezpečení.

účty a skupiny Configuration Manager

Configuration Manager používá pro většinu operací lokality účet Místního systému. Některé operace lokality umožňují použití účtu služby místo účtu počítače domény serveru lokality. Některé úlohy správy můžou vyžadovat, abyste vytvořili a udržovali další účty. Například pro připojení k doméně během pořadí úkolů nasazení operačního systému.

Configuration Manager během instalace vytvoří několik výchozích skupin a SQL Server rolí. Do výchozích skupin a SQL Server rolí možná budete muset ručně přidat účty počítačů nebo uživatelů.

Další informace najdete v tématu Účty používané v Configuration Manager.

Ochrana osobních údajů

Před implementací Configuration Manager zvažte své požadavky na ochranu osobních údajů. Přestože produkty pro správu podniku nabízejí mnoho výhod, protože dokážou efektivně spravovat velké množství klientů, tento software může mít vliv na ochranu osobních údajů uživatelů ve vaší organizaci. Configuration Manager zahrnuje mnoho nástrojů pro shromažďování dat a monitorování zařízení. Některé nástroje můžou ve vaší organizaci zvyšovat obavy o ochranu osobních údajů.

Když například nainstalujete klienta Configuration Manager, povolí ve výchozím nastavení mnoho nastavení správy. Tato konfigurace způsobí, že klientský software odešle informace do Configuration Manager lokality. Lokalita ukládá informace o klientovi v databázi lokality. Informace o klientovi se neodesílají přímo do Microsoftu. Další informace najdete v tématu Diagnostika a data o využití.

Další kroky

Základy správy na základě rolí

Plánování zabezpečení