Protezione e privacy per la gestione dei contenuti in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Procedure ottimali di protezione per la gestione dei contenuti

Utilizzare le seguenti procedure ottimali di protezione per la gestione dei contenuti:

Procedura di sicurezza consigliata

Altre informazioni

Per i punti di distribuzione in Intranet, considerare i vantaggi e gli svantaggi dell'utilizzo di HTTPS e HTTP

Differenze tra HTTPS e HTTP per i punti di distribuzione:

  • Quando si utilizza HTTPS per un punto di distribuzione, Configuration Manager non utilizza gli account di accesso al pacchetto per autorizzare l'accesso al contenuto, ma il contenuto viene crittografato durante il trasferimento in rete.

  • Quando si utilizza HTTP per un punto di distribuzione, è possibile utilizzare gli account di accesso al pacchetto per l'autorizzazione, ma il contenuto non viene crittografato durante il trasferimento in rete.

Nella maggior parte degli scenari, l'utilizzo di HTTP e degli account di accesso al pacchetto per l'autorizzazione fornisce una maggiore protezione rispetto all'utilizzo di HTTPS con la crittografia senza autorizzazione. Se tuttavia sono presenti dati sensibili nel contenuto da crittografare durante il trasferimento, utilizzare HTTPS.

Se si utilizza un certificato di autenticazione client PKI al posto di un certificato autofirmato per il punto di distribuzione, proteggere il file del certificato (con estensione PFX) con una password complessa. Se si archivia il file in rete, proteggere il canale di rete durante l'importazione del file in Configuration Manager.

Impostando la richiesta di una password per importare il certificato di autenticazione client utilizzato per la comunicazione tra il punto di distribuzione e i punti di gestione, il certificato viene protetto da potenziali attacchi.

Utilizzare la firma SMB o IPsec tra il percorso di rete e il server del sito per impedire all'autore di un attacco di manomettere il file di certificato.

Rimuovere il ruolo del punto di distribuzione dal server del sito.

Per impostazione predefinita, un punto di distribuzione viene installato nello stesso server del server del sito. I client non devono comunicare direttamente con il server del sito, perciò, per ridurre la superficie di attacco. assegnare il ruolo del punto di distribuzione ad altri sistemi del sito e rimuoverlo dal server del sito.

Proteggere il contenuto a livello di accesso al pacchetto.

Nota

Questa opzione non viene applicata ai punti di distribuzione basati sul cloud in Configuration Manager SP1, che non supporta gli account di accesso al pacchetto.

La condivisione del punto di distribuzione consente l'accesso in lettura a tutti gli utenti. Per limitare gli utenti che possono accedere al contenuto, utilizzare gli account di accesso al pacchetto durante la configurazione del punto di distribuzione per HTTP.

Per altre informazioni sull'account di accesso al pacchetto, vedere la sezione Gestione degli account per accedere al contenuto del pacchetto dell'argomento Operazioni e manutenzione per la gestione dei contenuti in Configuration Manager.

Se Configuration Manager installa IIS durante l'aggiunta di un ruolo del sistema del sito del punto di distribuzione, rimuovere Reindirizzamento HTTP e Strumenti e script di gestione IIS quando l'installazione del punto di distribuzione è completata

Il punto di distribuzione non richiede Reindirizzamento HTTP e Strumenti e script di gestione IIS. Per ridurre la superficie di attacco, rimuovere questi servizi ruolo per il ruolo server Web (IIS).

Per altre informazioni sui servizi ruolo per il ruolo server Web (IIS) per i punti di distribuzione, vedere la sezione nell'argomento .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Impostare le autorizzazioni di accesso al pacchetto durante la creazione del pacchetto

Poiché le modifiche apportate agli account di accesso nei file del pacchetto diventano effettive solo quando il pacchetto viene ridistribuito, impostare con attenzione le autorizzazioni di accesso al pacchetto durante la creazione del pacchetto. Ciò è particolarmente importante per i seguenti scenari:

  • Il pacchetto è di grandi dimensioni.

  • Si distribuisce il pacchetto a molti punti di distribuzione.

  • La capacità della larghezza di banda di rete per la distribuzione del contenuto è limitata.

Implementare i controlli di accesso per proteggere i supporti che contengono il contenuto pre-installato

Il contenuto pre-installato viene compresso ma non crittografato. L'autore di un attacco potrebbe leggere e modificare i file che vengono scaricati dai dispositivi. I client di Configuration Manager rifiuteranno il contenuto manomesso, ma lo scaricano comunque.

Importare il contenuto pre-installato utilizzando solo lo strumento della riga di comando ExtractContent (ExtractContent.exe) fornito con Configuration Manager e verificare che sia firmato da Microsoft

Per evitare la manomissione e l'aumento di privilegi, utilizzare solo lo strumento della riga di comando autorizzato fornito con Configuration Manager.

Proteggere il canale di comunicazione tra il server del sito e il percorso di origine del pacchetto

Utilizzare la firma SMB o IPsec tra il server del sito e il percorso di origine del pacchetto quando si creano applicazioni e pacchetti. In questo modo è possibile impedire all'autore di un attacco di manomettere i file di origine.

Se si modifica l'opzione di configurazione del sito per utilizzare un sito Web personalizzato al posto del sito Web predefinito dopo l'installazione di punti di distribuzione, rimuovere le directory virtuali predefinite

Quando si passa dall'utilizzo del sito Web predefinito all'utilizzo di un sito Web personalizzato, Configuration Manager non rimuove le vecchie directory virtuali. Rimuovere le directory virtuali create in origine da Configuration Manager nel sito Web predefinito:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Per i punti di distribuzione basati sul cloud disponibili a partire da Configuration Manager SP1: Proteggere i certificati e i dettagli di sottoscrizione

Quando si utilizzano i punti di distribuzione basati sul cloud, proteggere i seguenti elementi di alto valore:

  • Il nome utente e la password per la sottoscrizione a Windows Azure.

  • Il certificato di gestione di Windows Azure.

  • Il certificato di servizio del punto di distribuzione basato sul cloud.

Archiviare i certificati in modo protetto e se vengono selezionati dalla rete durante la configurazione del punto di distribuzione basato sul cloud, utilizzare la firma SMB o IPsec tra il server del sistema del sito e il percorso di origine.

Per i punti di distribuzione basati sul cloud disponibili a partire da Configuration Manager SP1: Per la continuità del servizio, monitorare la data di scadenza dei certificati

Configuration Manager non avvisa l'utente quando i certificati importati per la gestione del servizio del punto di distribuzione basato sul cloud sta per scadere. È necessario monitorare le date di scadenza indipendentemente da Configuration Manager e assicurarsi di effettuare il rinnovo e quindi importare il nuovo certificato prima della data di scadenza. Questa operazione è importante specialmente se si acquista un certificato di servizio del punto di distribuzione basato sul cloud di Configuration Manager da un'autorità di certificazione (CA) esterna, perché potrebbe richiedere ulteriore tempo per ottenere un certificato rinnovato.

Nota

Se un certificato scade, Gestione servizi cloud genera l'ID messaggio di stato 9425 e il file CloudMgr.log contiene una voce per indicare che il certificato is in expired state, con la data di scadenza registrata in base all'ora UTC.

Problemi di protezione per la gestione dei contenuti

La gestione dei contenuti presenta i seguenti problemi di protezione:

  • I client convalidano il contenuto solo dopo che è stato scaricato

    I client di Configuration Manager convalidano l'hash nel contenuto solo dopo che è stato scaricato nella cache del client. Se l'autore di un attacco manomette l'elenco dei file da scaricare o il contenuto stesso, il processo di download può richiedere una larghezza di banda di rete considerevole affinché il client scarti il contenuto quando incontra l'hash non valido.

  • È impossibile limitare l'accesso al contenuto ospitato da punti di distribuzione basati sul cloud per utenti o gruppi

    A partire da Configuration Manager SP1, quando si utilizzano i punti di distribuzione basati sul cloud, l'accesso al contenuto viene automaticamente limitato all'azienda ed è impossibile limitarlo ulteriormente per gruppi o utenti selezionati.

  • Un client bloccato può continuare a scaricare il contenuto da un punto di distribuzione basato sul cloud per un massimo di 8 ore

    A partire da Configuration Manager SP1, quando si utilizzano i punti di distribuzione basati sul cloud, i client vengono autenticati dal punto di gestione e quindi utilizzano un token di Configuration Manager per accedere ai punti di distribuzione basati sul cloud. Il token è valido per 8 ore, perciò anche se si blocca un client perché non è più attendibile, può continuare a scaricare il contenuto da un punto di distribuzione basato sul cloud finché il periodo di validità del token non scade. Al termine di questo periodo, il punto di gestione non creerà un altro token per il client perché il client è bloccato.

    Per evitare che un client bloccato scarichi il contenuto in questo periodo di 8 ore, è possibile arrestare il servizio cloud dal nodo Cloud, Configurazione della gerarchia, nell'area di lavoro Amministrazione della console di Configuration Manager. Per altre informazioni, vedere Gestire i servizi cloud per Configuration Manager.

Informazioni sulla privacy per la gestione dei contenuti

Configuration Manager non include dati utente nei file di contenuto, tuttavia un utente amministratore può scegliere di inserirli.

Prima di configurare la gestione dei contenuti, considerare i requisiti sulla privacy.