Säkerhet och sekretess för innehållshantering i Configuration Manager
Gäller för: Configuration Manager (aktuell gren)
Den här artikeln innehåller säkerhets- och sekretessinformation för innehållshantering i Configuration Manager.
Säkerhetsvägledning
Fördelar och nackdelar med HTTPS eller HTTP för intranätdistributionsplatser
För distributionsplatser i intranätet bör du överväga fördelarna och nackdelarna med att använda HTTPS eller HTTP. I de flesta fall ger användning av HTTP- och paketåtkomstkonton för auktorisering större säkerhet än att använda HTTPS med kryptering men utan auktorisering. Men om du har känsliga data i ditt innehåll som du vill kryptera under överföringen använder du HTTPS.
När du använder HTTPS för en distributionsplats: Configuration Manager inte använder paketåtkomstkonton för att auktorisera åtkomst till innehållet. Innehållet krypteras när det överförs via nätverket.
När du använder HTTP för en distributionsplats: Du kan använda paketåtkomstkonton för auktorisering. Innehållet krypteras inte när det överförs via nätverket.
Överväg att aktivera förbättrad HTTP för webbplatsen. Med den här funktionen kan klienter använda Microsoft Entra autentisering för att kommunicera säkert med en HTTP-distributionsplats. Mer information finns i Förbättrad HTTP.
Viktigt
Från och med Configuration Manager version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller utökad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller utökad HTTP.
Skydda certifikatfilen för klientautentisering
Om du använder ett PKI-klientautentiseringscertifikat i stället för ett självsignerat certifikat för distributionsplatsen ska du skydda certifikatfilen (.pfx) med ett starkt lösenord. Om du lagrar filen i nätverket skyddar du nätverkskanalen när du importerar filen till Configuration Manager.
När du behöver ett lösenord för att importera klientautentiseringscertifikatet som distributionsplatsen använder för att kommunicera med hanteringsplatser hjälper den här konfigurationen till att skydda certifikatet från en angripare. Om du vill förhindra att en angripare manipulerar certifikatfilen använder du signering av servermeddelandeblock (SMB) eller IPsec mellan nätverksplatsen och platsservern.
Ta bort distributionsplatsrollen från platsservern
Som standard installerar Configuration Manager installationsprogrammet en distributionsplats på platsservern. Klienter behöver inte kommunicera direkt med platsservern. Om du vill minska attackytan tilldelar du distributionsplatsrollen till andra platssystem och tar bort den från platsservern.
Skydda innehåll på paketåtkomstnivå
Distributionsplatsresursen ger läsåtkomst till alla användare. Om du vill begränsa vilka användare som kan komma åt innehållet använder du paketåtkomstkonton när distributionsplatsen har konfigurerats för HTTP. Den här konfigurationen gäller inte för innehållsaktiverade molnhanteringsgatewayer som inte stöder paketåtkomstkonton.
Mer information finns i Paketåtkomstkonton.
Konfigurera IIS för distributionsplatsrollen
Om Configuration Manager installerar IIS när du lägger till en platssystemroll för distributionsplatser tar du bort HTTP-omdirigering och IIS-hanteringsskript och -verktyg när distributionsplatsen har installerats. Distributionsplatsen kräver inte dessa komponenter. Om du vill minska attackytan tar du bort rolltjänsterna för webbserverrollen.
Mer information om rolltjänsterna för webbserverrollen för distributionsplatser finns i Krav för plats- och platssystem.
Ange behörigheter för paketåtkomst när du skapar paketet
Eftersom ändringar av åtkomstkontona på paketfilerna bara träder i kraft när du distribuerar om paketet anger du paketåtkomstbehörigheterna noggrant när du först skapar paketet. Den här konfigurationen är viktig när paketet är stort eller distribuerat till många distributionsplatser och när nätverkets bandbreddskapacitet för innehållsdistribution är begränsad.
Implementera åtkomstkontroller för att skydda media som innehåller förinstallerat innehåll
Förinstallerat innehåll komprimeras men krypteras inte. En angripare kan läsa och ändra de filer som laddas ned till enheter. Configuration Manager klienter avvisar innehåll som har manipulerats, men de laddar fortfarande ned det.
Importera förinstallerat innehåll med ExtractContent
Importera endast förinstallerat innehåll med hjälp av kommandoradsverktyget ExtractContent.exe. För att undvika manipulering och utökade privilegier använder du endast det auktoriserade kommandoradsverktyget som medföljer Configuration Manager.
Mer information finns i Distribuera och hantera innehåll.
Skydda kommunikationskanalen mellan platsservern och paketkällans plats
Använd IPsec- eller SMB-signering mellan platsservern och paketkällplatsen när du skapar program, paket och andra objekt med innehåll. Den här konfigurationen hjälper till att förhindra att en angripare manipulerar källfilerna.
Ta bort virtuella standardkataloger för anpassad webbplats med distributionsplatsrollen
Om du ändrar platskonfigurationsalternativet till att använda en anpassad webbplats i stället för standardwebbplatsen när du har installerat en distributionsplatsroll tar du bort de virtuella standardkatalogerna. När du växlar från standardwebbplatsen till en anpassad webbplats tar Configuration Manager inte bort de gamla virtuella katalogerna. Ta bort följande virtuella kataloger som Configuration Manager som ursprungligen skapades under standardwebbplatsen:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
Mer information om hur du använder en anpassad webbplats finns i Webbplatser för platssystemservrar.
Skydda din Azure-prenumerationsinformation och dina certifikat för innehållsaktiverade molnhanteringsgatewayer
När du använder innehållsaktiverade molnhanteringsgatewayer (CMG:er) skyddar du följande värdefulla objekt:
- Användarnamnet och lösenordet för din Azure-prenumeration
- De hemliga nycklarna för Azure-appregistreringar
- Certifikatet för serverautentisering
Lagra certifikaten på ett säkert sätt. Om du bläddrar till dem via nätverket när du konfigurerar CMG använder du IPsec- eller SMB-signering mellan platssystemservern och källplatsen.
För tjänstkontinuitet övervakar du förfallodatumet för CMG-certifikaten
Configuration Manager varnar dig inte när de importerade certifikaten för CMG håller på att upphöra att gälla. Övervaka förfallodatum oberoende av Configuration Manager. Kontrollera att du förnyar och sedan importerar de nya certifikaten före förfallodatumet. Den här åtgärden är viktig om du hämtar ett certifikat för serverautentisering från en extern offentlig provider, eftersom du kan behöva mer tid för att skaffa ett förnyat certifikat.
Om ett certifikat upphör att gälla genererar Configuration Manager cloud services manager ett statusmeddelande med ID 9425. Filen CloudMgr.log innehåller en post som anger att certifikatet har upphört att gälla, med utgångsdatumet också loggat i UTC.
Säkerhetshänsyn
Klienter validerar inte innehåll förrän det har laddats ned. Configuration Manager-klienter verifierar hash-värdet för innehåll först när det har laddats ned till klientcachen. Om en angripare manipulerar listan över filer som ska laddas ned eller med själva innehållet kan nedladdningsprocessen ta upp betydande nätverksbandbredd. Sedan tar klienten bort innehållet när det hittar den ogiltiga hashen.
När du använder innehållsaktiverade molnhanteringsgatewayer:
Den begränsar automatiskt åtkomsten till innehållet till din organisation. Du kan inte begränsa det ytterligare till valda användare eller grupper.
Hanteringsplatsen autentiserar först klienten. Sedan använder klienten en Configuration Manager-token för att få åtkomst till molnlagring. Token är giltig i åtta timmar. Det här beteendet innebär att om du blockerar en klient eftersom den inte längre är betrodd kan den fortsätta att ladda ned innehåll från molnlagringen tills denna token upphör att gälla. Hanteringsplatsen utfärdar inte någon annan token för klienten eftersom den är blockerad.
Stoppa molntjänsten för att undvika att en blockerad klient laddar ned innehåll inom det här åttatimmarsfönstret. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer noden Cloud Management Gateway.
Sekretessinformation
Configuration Manager inte innehåller några användardata i innehållsfiler, även om en administrativ användare kan välja att utföra den här åtgärden.