Teknisk referens för kryptografiska kontroller
Gäller för: Configuration Manager (aktuell gren)
Configuration Manager använder signering och kryptering för att skydda hanteringen av enheterna i Configuration Manager-hierarkin. Om data har ändrats under överföringen med signering ignoreras de. Kryptering hjälper till att förhindra att en angripare läser data med hjälp av ett nätverksprotokollanalysverktyg.
Den primära hashalgoritmen som Configuration Manager använder för signering är SHA-256. När två Configuration Manager-webbplatser kommunicerar med varandra signerar de sin kommunikation med SHA-256.
Från och med version 2107 är den primära krypteringsalgoritmen som Configuration Manager använder AES-256. Kryptering sker huvudsakligen inom följande två områden:
Om du aktiverar platsen för att använda kryptering krypterar klienten sina inventeringsdata och tillståndsmeddelanden som den skickar till hanteringsplatsen.
När klienten laddar ned hemliga principer krypterar hanteringsplatsen alltid dessa principer. Till exempel en aktivitetssekvens för OS-distribution som innehåller lösenord.
Obs!
Om du konfigurerar HTTPS-kommunikation krypteras dessa meddelanden två gånger. Meddelandet krypteras med AES och https-transporten krypteras med AES-256.
När du använder klientkommunikation via HTTPS konfigurerar du din offentliga nyckelinfrastruktur (PKI) för att använda certifikat med maximala hash-algoritmer och nyckellängder. När du använder CNG v3-certifikat stöder Configuration Manager klienter endast certifikat som använder den kryptografiska RSA-algoritmen. Mer information finns i översikten över PKI-certifikatkrav och CNG v3-certifikat.
Allt som använder TLS stöder AES-256 för transportsäkerhet. Det här stödet omfattar när du konfigurerar platsen för förbättrad HTTP (E-HTTP) eller HTTPS. För lokala platssystem kan du styra TLS-chiffersviterna. För molnbaserade roller som molnhanteringsgatewayen (CMG) konfigurerar Configuration Manager chiffersviterna om du aktiverar TLS 1.2.
För de flesta kryptografiska åtgärder med Windows-baserade operativsystem använder Configuration Manager dessa algoritmer från Windows CryptoAPI-biblioteket rsaenh.dll.
Mer information om specifika funktioner finns i Webbplatsåtgärder.
Platsåtgärder
Information i Configuration Manager kan signeras och krypteras. Den stöder dessa åtgärder med eller utan PKI-certifikat.
Principsignering och kryptering
Webbplatsen signerar klientprinciptilldelningar med sitt självsignerade certifikat. Det här beteendet förhindrar att säkerhetsrisken för en komprometterad hanteringsplats skickar manipulerade principer. Om du använder Internetbaserad klienthantering är det här beteendet viktigt eftersom det kräver en Internetuppkopplad hanteringsplats.
När principen innehåller känsliga data, från och med version 2107, krypterar hanteringsplatsen den med AES-256. Princip som innehåller känsliga data skickas endast till auktoriserade klienter. Webbplatsen krypterar inte principer som inte har känsliga data.
När en klient lagrar en princip krypteras principen med hjälp av Windows DPAPI (Data Protection Application Programming Interface).
Principhashning
När en klient begär en princip får den först en principtilldelning. Sedan vet den vilka principer som gäller för den, och den kan bara begära dessa politiska organ. Varje principtilldelning innehåller den beräknade hashen för motsvarande principtext. Klienten laddar ned tillämpliga principorgan och beräknar sedan hashen för varje principtext. Om hashen i principtexten inte matchar hashen i principtilldelningen tar klienten bort principtexten.
Hashalgoritmen för principen är SHA-256.
Innehållshashning
Distributionshanteraren på platsservern hashar innehållsfilerna för alla paket. Principprovidern innehåller hashen i programdistributionsprincipen. När den Configuration Manager klienten laddar ned innehållet återskapar klienten hashen lokalt och jämför den med den som anges i principen. Om hashvärdena matchar ändras inte innehållet och klienten installerar det. Om en enda byte av innehållet ändras matchar inte hashvärdena och klienten installerar inte programvaran. Den här kontrollen hjälper dig att se till att rätt programvara är installerad eftersom det faktiska innehållet jämförs med principen.
Standardhashalgoritmen för innehåll är SHA-256.
Alla enheter har inte stöd för innehållshashning. Undantagen omfattar:
- Windows-klienter när de strömmar App-V-innehåll.
Inventeringssignering och -kryptering
När en klient skickar maskin- eller programvaruinventering till en hanteringsplats signeras alltid inventeringen. Det spelar ingen roll om klienten kommunicerar med hanteringsplatsen via E-HTTP eller HTTPS. Om de använder E-HTTP kan du också välja att kryptera dessa data, vilket rekommenderas.
Kryptering för tillståndsmigrering
När en aktivitetssekvens samlar in data från en klient för OS-distribution krypteras alltid data. I version 2103 och senare kör aktivitetssekvensen USMT (User State Migration Tool) med krypteringsalgoritmen AES-256 .
Kryptering för multicast-paket
För varje OS-distributionspaket kan du aktivera kryptering när du använder multicast. Den här krypteringen använder AES-256-algoritmen . Om du aktiverar kryptering krävs ingen annan certifikatkonfiguration. Den multicast-aktiverade distributionsplatsen genererar automatiskt symmetriska nycklar för att kryptera paketet. Varje paket har en annan krypteringsnyckel. Nyckeln lagras på den multicast-aktiverade distributionsplatsen med hjälp av standard-Windows-API:er.
När klienten ansluter till multicast-sessionen sker nyckelutbytet via en krypterad kanal. Om klienten använder HTTPS använder den det PKI-utfärdade klientautentiseringscertifikatet. Om klienten använder E-HTTP använder den det självsignerade certifikatet. Klienten lagrar endast krypteringsnyckeln i minnet under multicast-sessionen.
Kryptering för distributionsmedia för operativsystem
När du använder media för att distribuera operativsystem bör du alltid ange ett lösenord för att skydda mediet. Med ett lösenord krypteras miljövariablerna för aktivitetssekvensen med AES-128. Andra data på media, inklusive paket och innehåll för program, krypteras inte.
Kryptering för molnbaserat innehåll
När du aktiverar en molnhanteringsgateway (CMG) för att lagra innehåll krypteras innehållet med AES-256. Innehållet krypteras när du uppdaterar det. När klienter laddar ned innehållet krypteras det och skyddas av HTTPS-anslutningen.
Logga in programuppdateringar
Alla programuppdateringar måste signeras av en betrodd utgivare för att skydda mot manipulering. På klientdatorer söker Windows Update Agent (WUA) efter uppdateringarna från katalogen. Uppdateringen installeras inte om den inte kan hitta det digitala certifikatet i arkivet Betrodda utgivare på den lokala datorn.
När du publicerar programuppdateringar med System Center Uppdateringar Publisher signerar ett digitalt certifikat programuppdateringarna. Du kan antingen ange ett PKI-certifikat eller konfigurera Uppdateringar Publisher för att generera ett självsignerat certifikat för att signera programuppdateringen. Om du använder ett självsignerat certifikat för att publicera uppdateringskatalogen, till exempel självsignerade WSUS-utgivare, måste certifikatet också finnas i certifikatarkivet Betrodda rotcertifikatutfärdare på den lokala datorn. WUA kontrollerar också om grupprincipinställningen Tillåt signerat innehåll från Microsoft Update-tjänstens intranät är aktiverad på den lokala datorn. Den här principinställningen måste vara aktiverad för att WUA ska kunna söka efter uppdateringar som har skapats och publicerats med System Center Uppdateringar Publisher.
Signerade konfigurationsdata för kompatibilitetsinställningar
När du importerar konfigurationsdata verifierar Configuration Manager filens digitala signatur. Om filerna inte är signerade eller om signaturkontrollen misslyckas varnar konsolen dig om att fortsätta med importen. Importera endast konfigurationsdata om du uttryckligen litar på utgivaren och filernas integritet.
Kryptering och hashning för klientmeddelande
Om du använder klientmeddelanden använder all kommunikation TLS och de högsta algoritmerna som servern och klienten kan förhandla om. Samma förhandling sker för hashning av paket som överförs under klientmeddelandet, som använder SHA-2.
Certifikat
En lista över PKI-certifikat (Public Key Infrastructure) som kan användas av Configuration Manager, eventuella särskilda krav eller begränsningar samt hur certifikaten används finns i PKI-certifikatkrav. Den här listan innehåller de hash-algoritmer och nyckellängder som stöds. De flesta certifikat stöder nyckellängden SHA-256 och 2048 bitar.
De flesta Configuration Manager åtgärder som använder certifikat stöder även v3-certifikat. Mer information finns i översikten över CNG v3-certifikat.
Obs!
Alla certifikat som Configuration Manager använder får endast innehålla en byte-tecken i ämnesnamnet eller alternativt ämnesnamn.
Configuration Manager kräver PKI-certifikat för följande scenarier:
När du hanterar Configuration Manager klienter på Internet
När du använder en molnhanteringsgateway (CMG)
För de flesta andra kommunikationer som kräver certifikat för autentisering, signering eller kryptering använder Configuration Manager automatiskt PKI-certifikat om det är tillgängligt. Om de inte är tillgängliga genererar Configuration Manager självsignerade certifikat.
Hantering av mobila enheter och PKI-certifikat
Obs!
Sedan nov 2021 har vi upphört att hantera mobila enheter och vi rekommenderar kunder att avinstallera den här rollen.
Os-distribution och PKI-certifikat
När du använder Configuration Manager för att distribuera operativsystem, och en hanteringsplats kräver HTTPS-klientanslutningar, behöver klienten ett certifikat för att kommunicera med hanteringsplatsen. Det här kravet är även när klienten är i en övergångsfas, till exempel start från aktivitetssekvensmedia eller en PXE-aktiverad distributionsplats. För att stödja det här scenariot skapar du ett PKI-klientautentiseringscertifikat och exporterar det med den privata nyckeln. Importera den sedan till platsserverns egenskaper och lägg även till hanteringsplatsens betrodda rotcertifikatutfärdarcertifikat.
Om du skapar startbara media importerar du certifikatet för klientautentisering när du skapar det startbara mediet. För att skydda den privata nyckeln och andra känsliga data som konfigurerats i aktivitetssekvensen konfigurerar du ett lösenord på det startbara mediet. Varje dator som startar från det startbara mediet använder samma certifikat med hanteringsplatsen som krävs för klientfunktioner som att begära klientprincip.
Om du använder PXE importerar du klientautentiseringscertifikatet till den PXE-aktiverade distributionsplatsen. Det använder samma certifikat för varje klient som startar från den PXE-aktiverade distributionsplatsen. För att skydda den privata nyckeln och andra känsliga data i aktivitetssekvenserna behöver du ett lösenord för PXE.
Om något av dessa klientautentiseringscertifikat komprometteras blockerar du certifikaten i noden Certifikat på arbetsytan Administration , noden Säkerhet . Om du vill hantera dessa certifikat behöver du behörighet att hantera distributionscertifikat för operativsystem.
När Configuration Manager distribuerar operativsystemet installerar klienten kräver klienten ett eget PKI-klientautentiseringscertifikat för HTTPS-klientkommunikation.
ISV-proxylösningar och PKI-certifikat
Oberoende programvaruleverantörer (ISV: er) kan skapa program som utökar Configuration Manager. En ISV kan till exempel skapa tillägg för att stödja icke-Windows-klientplattformar. Men om platssystemen kräver HTTPS-klientanslutningar måste dessa klienter också använda PKI-certifikat för kommunikation med platsen. Configuration Manager omfattar möjligheten att tilldela ett certifikat till ISV-proxyn som möjliggör kommunikation mellan ISV-proxyklienter och hanteringsplatsen. Om du använder tillägg som kräver ISV-proxycertifikat läser du dokumentationen för produkten.
Om ISV-certifikatet komprometteras blockerar du certifikatet i noden Certifikat på arbetsytan Administration , noden Säkerhet .
Kopiera GUID för ISV-proxycertifikat
Från och med version 2111, för att förenkla hanteringen av dessa ISV-proxycertifikat, kan du nu kopiera dess GUID i Configuration Manager-konsolen.
I Configuration Manager-konsolen går du till arbetsytan Administration.
Expandera Säkerhet och välj noden Certifikat .
Sortera listan över certifikaten efter kolumnen Typ .
Välj ett certifikat av typen ISV-proxy.
I menyfliksområdet väljer du Kopiera certifikat-GUID.
Den här åtgärden kopierar det här certifikatets GUID, till exempel: aa05bf38-5cd6-43ea-ac61-ab101f943987
Tillgångsinformation och certifikat
Obs!
Sedan nov 2021 har vi föråldrat Tillgångsinformation och vi rekommenderar kunder att avinstallera den här rollen.
Azure-tjänster och -certifikat
Molnhanteringsgatewayen (CMG) kräver certifikat för serverautentisering. Med dessa certifikat kan tjänsten tillhandahålla HTTPS-kommunikation till klienter via Internet. Mer information finns i CMG-serverautentiseringscertifikat.
Klienter kräver en annan typ av autentisering för att kommunicera med en CMG och den lokala hanteringsplatsen. De kan använda Microsoft Entra ID, ett PKI-certifikat eller en platstoken. Mer information finns i Konfigurera klientautentisering för molnhanteringsgateway.
Klienter kräver inte ett PKI-klientcertifikat för att använda molnbaserad lagring. När de har autentiserats till hanteringsplatsen utfärdar hanteringsplatsen en Configuration Manager åtkomsttoken till klienten. Klienten presenterar denna token för CMG för att få åtkomst till innehållet. Token är giltig i åtta timmar.
CRL-kontroll för PKI-certifikat
En lista över återkallade PKI-certifikat (CRL) ökar den övergripande säkerheten, men kräver en del administrations- och bearbetningskostnader. Om du aktiverar CRL-kontroll, men klienterna inte kan komma åt listan över återkallade certifikat, misslyckas PKI-anslutningen.
IIS aktiverar CRL-kontroll som standard. Om du använder en CRL med din PKI-distribution behöver du inte konfigurera de flesta platssystem som kör IIS. Undantaget gäller programuppdateringar, vilket kräver ett manuellt steg för att aktivera CRL-kontroll för att verifiera signaturerna för programuppdateringsfiler.
När en klient använder HTTPS aktiveras CRL-kontroll som standard.
Följande anslutningar stöder inte CRL-kontroll i Configuration Manager:
- Server-till-server-anslutningar
Serverkommunikation
Configuration Manager använder följande kryptografiska kontroller för serverkommunikation.
Serverkommunikation på en plats
Varje platssystemserver använder ett certifikat för att överföra data till andra platssystem på samma Configuration Manager plats. Vissa platssystemroller använder också certifikat för autentisering. Om du till exempel installerar registreringsproxyplatsen på en server och registreringsplatsen på en annan server kan de autentisera varandra med hjälp av det här identitetscertifikatet.
När Configuration Manager använder ett certifikat för den här kommunikationen, om det finns ett PKI-certifikat tillgängligt med funktioner för serverautentisering, använder Configuration Manager det automatiskt. Annars genererar Configuration Manager ett självsignerat certifikat. Det här självsignerade certifikatet har funktioner för serverautentisering, använder SHA-256 och har en nyckellängd på 2 048 bitar. Configuration Manager kopierar certifikatet till arkivet Trusted Personer på andra platssystemservrar som kan behöva lita på platssystemet. Platssystem kan sedan lita på varandra med hjälp av dessa certifikat och PeerTrust.
Förutom det här certifikatet för varje platssystemserver genererar Configuration Manager ett självsignerat certifikat för de flesta platssystemroller. När det finns fler än en instans av platssystemrollen på samma plats delar de samma certifikat. Du kan till exempel ha flera hanteringsplatser på samma plats. Det här självsignerade certifikatet använder SHA-256 och har en nyckellängd på 2 048 bitar. Den kopieras till trusted Personer Store på platssystemservrar som kan behöva lita på den. Följande platssystemroller genererar det här certifikatet:
Synkroniseringsplats för tillgångsinformation
Slutpunktsskyddspunkt
Återställningsstatuspunkt
Hanteringsplats
Multicast-aktiverad distributionsplats
Reporting Services-plats
Programuppdateringsplats
Tillståndsmigreringsplats
Configuration Manager genererar och hanterar certifikaten automatiskt.
Om du vill skicka statusmeddelanden från distributionsplatsen till hanteringsplatsen använder Configuration Manager ett certifikat för klientautentisering. När du konfigurerar hanteringsplatsen för HTTPS krävs ett PKI-certifikat. Om hanteringsplatsen accepterar E-HTTP-anslutningar kan du använda ett PKI-certifikat. Det kan också använda ett självsignerat certifikat med klientautentiseringskapacitet, använder SHA-256 och har en nyckellängd på 2 048 bitar.
Serverkommunikation mellan platser
Configuration Manager överför data mellan platser med hjälp av databasreplikering och filbaserad replikering. Mer information finns i Dataöverföringar mellan webbplatser och Kommunikation mellan slutpunkter.
Configuration Manager konfigurerar automatiskt databasreplikeringen mellan platser. Om det är tillgängligt används PKI-certifikat med funktioner för serverautentisering. Om det inte är tillgängligt skapar Configuration Manager självsignerade certifikat för serverautentisering. I båda fallen autentiserar den mellan platser med hjälp av certifikat i arkivet Betrodda Personer som använder PeerTrust. Det använder det här certifikatarkivet för att se till att endast den Configuration Manager hierarkin SQL-servrar deltar i plats-till-plats-replikering.
Platsservrar upprättar plats-till-plats-kommunikation med hjälp av ett säkert nyckelutbyte som sker automatiskt. Den sändande platsservern genererar en hash och signerar den med sin privata nyckel. Den mottagande platsservern kontrollerar signaturen med hjälp av den offentliga nyckeln och jämför hashen med ett lokalt genererat värde. Om de matchar accepterar den mottagande webbplatsen replikerade data. Om värdena inte matchar avvisar Configuration Manager replikeringsdata.
Databasreplikering i Configuration Manager använder SQL Server Service Broker för att överföra data mellan platser. Den använder följande mekanismer:
SQL Server att SQL Server: Den här anslutningen använder Windows-autentiseringsuppgifter för serverautentisering och självsignerade certifikat med 1 024 bitar för att signera och kryptera data med AES-algoritmen. Om det är tillgängligt används PKI-certifikat med funktioner för serverautentisering. Den använder bara certifikat i datorns personliga certifikatarkiv.
SQL Service Broker: Den här tjänsten använder självsignerade certifikat med 2 048 bitar för autentisering och för att signera och kryptera data med AES-algoritmen. Den använder bara certifikat i den SQL Server huvuddatabasen.
Filbaserad replikering använder SMB-protokollet (Server Message Block). Den använder SHA-256 för att signera data som inte är krypterade och som inte innehåller några känsliga data. Om du vill kryptera dessa data använder du IPsec, som du implementerar oberoende av Configuration Manager.
Klienter som använder HTTPS
När platssystemroller accepterar klientanslutningar kan du konfigurera dem att acceptera HTTPS- och HTTP-anslutningar, eller endast HTTPS-anslutningar. Platssystemroller som accepterar anslutningar från Internet accepterar endast klientanslutningar via HTTPS.
Klientanslutningar via HTTPS ger en högre säkerhetsnivå genom att integrera med en infrastruktur för offentliga nycklar (PKI) för att skydda kommunikation mellan klienter och servrar. Men att konfigurera HTTPS-klientanslutningar utan en grundlig förståelse för PKI-planering, distribution och åtgärder kan ändå göra dig sårbar. Om du till exempel inte skyddar din rotcertifikatutfärdare kan angripare äventyra förtroendet för hela PKI-infrastrukturen. Om du inte distribuerar och hanterar PKI-certifikaten med hjälp av kontrollerade och skyddade processer kan det leda till ohanterade klienter som inte kan ta emot kritiska programuppdateringar eller paket.
Viktigt
PKI-certifikaten som Configuration Manager använder för klientkommunikation skyddar endast kommunikationen mellan klienten och vissa platssystem. De skyddar inte kommunikationskanalen mellan platsservern och platssystemen eller mellan platsservrar.
Okrypterad kommunikation när klienter använder HTTPS
När klienter kommunicerar med platssystem via HTTPS krypteras den mesta trafiken. I följande situationer kommunicerar klienter med platssystem utan att använda kryptering:
Klienten kan inte upprätta en HTTPS-anslutning på intranätet och återgår till att använda HTTP när platssystem tillåter den här konfigurationen.
Kommunikation till följande platssystemroller:
Klienten skickar tillståndsmeddelanden till återställningsstatuspunkten.
Klienten skickar PXE-begäranden till en PXE-aktiverad distributionsplats.
Klienten skickar meddelandedata till en hanteringsplats.
Du konfigurerar Reporting Services-platser att använda HTTP eller HTTPS oberoende av klientkommunikationsläget.
Klienter som använder E-HTTP
När klienter använder E-HTTP-kommunikation till platssystemroller kan de använda PKI-certifikat för klientautentisering eller självsignerade certifikat som Configuration Manager genererar. När Configuration Manager genererar självsignerade certifikat har de en anpassad objektidentifierare för signering och kryptering. Dessa certifikat används för att unikt identifiera klienten. Dessa självsignerade certifikat använder SHA-256 och har en nyckellängd på 2 048 bitar.
OS-distribution och självsignerade certifikat
När du använder Configuration Manager för att distribuera operativsystem med självsignerade certifikat måste klienten också ha ett certifikat för att kommunicera med hanteringsplatsen. Det här kravet gäller även om datorn är i en övergångsfas, till exempel start från aktivitetssekvensmedia eller en PXE-aktiverad distributionsplats. För att stödja det här scenariot för E-HTTP-klientanslutningar genererar Configuration Manager självsignerade certifikat som har en anpassad objektidentifierare för signering och kryptering. Dessa certifikat används för att unikt identifiera klienten. Dessa självsignerade certifikat använder SHA-256 och har en nyckellängd på 2 048 bitar. Om dessa självsignerade certifikat komprometteras förhindrar du att angripare använder dem för att personifiera betrodda klienter. Blockera certifikaten i noden Certifikat på arbetsytan Administration , noden Säkerhet .
Klient- och serverautentisering
När klienter ansluter via E-HTTP autentiserar de hanteringsplatserna med hjälp av antingen Active Directory Domain Services eller med hjälp av den Configuration Manager betrodda rotnyckeln. Klienter autentiserar inte andra platssystemroller, till exempel tillståndsmigreringsplatser eller programuppdateringsplatser.
När en hanteringsplats först autentiserar en klient med hjälp av det självsignerade klientcertifikatet ger den här mekanismen minimal säkerhet eftersom alla datorer kan generera ett självsignerat certifikat. Använd klientgodkännande för att förbättra den här processen. Godkänn endast betrodda datorer, antingen automatiskt genom Configuration Manager eller manuellt av en administrativ användare. Mer information finns i Hantera klienter.
Om SSL-sårbarheter
Gör följande för att förbättra säkerheten för dina Configuration Manager klienter och servrar:
Aktivera TLS 1.2 för alla enheter och tjänster. Information om hur du aktiverar TLS 1.2 för Configuration Manager finns i Aktivera TLS 1.2 för Configuration Manager.
Inaktivera SSL 3.0, TLS 1.0 och TLS 1.1.
Ändra ordning på de TLS-relaterade chiffersviterna.
Mer information finns i följande artiklar:
- Begränsa användningen av vissa kryptografiska algoritmer och protokoll i Schannel.dll
- Prioritera Schannel chiffersviter
Dessa procedurer påverkar inte Configuration Manager funktioner.
Obs!
Uppdateringar för att Configuration Manager ladda ned från Azures nätverk för innehållsleverans (CDN), som har krav på chiffersviter. Mer information finns i Vanliga frågor och svar om Azure Front Door: TLS-konfiguration.