Planera säkerhet i Configuration Manager
Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Obs! |
---|
Det här avsnittet visas i handboken Webbplatsadministration för System Center 2012 Configuration Manager och i handboken Säkerhet och sekretess för System Center 2012 Configuration Manager. |
Använd följande information när du planerar säkerheten i Microsoft System Center 2012 Configuration Manager.
Planera för certifikat (egensignerade certifikat och PKI-certifikat)
Planera för återkallning av PKI-certifikat
Planera för betrodda PKI-rotcertifikat och listan Certifikatutfärdare
Planera för val av PKI-klientcertifikat
Planera en övergångsstrategi för PKI-certifikat och Internetbaserad klienthantering
Planera för den betrodda rotnyckeln
Planera för signering och kryptering
Planera för rollbaserad administration
Se utöver dessa avsnitt Säkerhet och sekretess för platsadministration i Configuration Manager.
Mer information om hur Configuration Manager använder certifikat och kryptografiska kontroller finns i Teknisk referens för kryptografiska kontroller som används i Configuration Manager.
Planera för certifikat (egensignerade certifikat och PKI-certifikat)
Configuration Manager använder en kombination av egensignerade certifikat och PKI-certifikat (public key infrastructure).
Vi rekommenderar att PKI-certifikat används om så är möjligt, eftersom det är bäst ur säkerhetssynpunkt. Mer information om kraven för PKI-certifikat finns i PKI-certifikatkrav för Configuration Manager. När Configuration Manager begär PKI-certifikaten, t.ex. vid registrering av mobila enheter och AMT-etablering, måste du använda Active Directory Domain Services och en utfärdare av företagscertifikat. Alla andra PKI-certifikat måste distribueras och hanteras oberoende från Configuration Manager.
PKI-certifikat krävs även när klientdatorer ansluter till platssystem på internet, och vi rekommenderar att de används om klienterna ansluter till platssystem som kör Internet Information Services (IIS). Mer information om klientkommunikation finns i Planera för klientkommunikation i Configuration Manager.
När du använder en PKI, kan du även använda IPsec för att skydda serverkommunikationen mellan platssystem på en plats och mellan platser, och för alla andra scenarier där data överförs mellan datorer. IPsec konfigureras och implementeras oberoende av Configuration Manager.
Configuration Manager kan skapa egensignerade certifikat automatiskt om inga PKI-certifikat är tillgängliga, och vissa certifikat i Configuration Manager är alltid egensignerade. I de flesta fall hanterar Configuration Manager de egensignerade certifikaten automatiskt, och du behöver inte göra något. Ett möjligt undantag är platsserverns signeringscertifikat. Platsserverns signeringscertifikat är alltid egensignerat, och det garanterar att klientprinciperna som klienterna laddar ned från hanteringsplatsen skickades från platsservern och inte har manipulerats.
Planering för platsserverns signeringscertifikat (egensignerat)
Klienter kan hämta ett exemplar av platsserverns signeringscertifikat säkert från Active Directory Domain Services och via push-installation av klienten. Om klienterna inte kan hämta ett exemplar av platsserverns signeringscertifikat på något av dessa sätt, rekommenderar vi att en kopia av platsserverns signeringscertifikat installeras när klienten installeras. Detta är särskilt viktigt om klientens första anslutning till platsen sker från internet, eftersom hanteringsplatsen är ansluten till ett icke betrott nätverk och därför är sårbar för angrepp. Om du inte vidtar detta ytterligare steg, laddar klienterna automatiskt ned en kopia av platsserverns signeringscertifikat från hanteringsplatsen.
Detta är några scenarier när klienter inte kan hämta ett exemplar av platsservercertifikatet:
Du installerar inte klienten med push-installation, och något av de följande villkoren är uppfyllt:
Active Directory-schemat är inte utökat för Configuration Manager.
Klientens plats har inte publicerats i Active Directory Domain Services.
Klienten kommer från en obetrodd skog eller arbetsgrupp.
Du installerar klienten när den är ute på internet.
Använd proceduren nedan för att installera klienter tillsammans med ett exemplar av platsserverns signeringscertifikat.
Installera klienter med ett exemplar av platsserverns signeringscertifikat
-
Lokalisera platsserverns signeringscertifikat på klientens primära platsserver. Certifikatet lagras i SMS-certifikatarkivet och har namnet Platsserver och det egna namnet Signeringscertifikat för platsserver.
-
Exportera certifikatet utan den privata nyckeln, lagra filen säkert och använd den bara via en säker kanal (t.ex. genom att använda SMB-signering eller IPsec).
-
Installera klienten genom att använda Client.msi-egenskapen SMSSIGNCERT=<fullständig sökväg och filnamn> med CCMSetup.exe.
Planera för återkallning av PKI-certifikat
När du använder PKI-certifikat med Configuration Manager ska du planera hur och huruvida klienter och servrar ska använda en lista över återkallade certifikat (CRL) för att verifiera certifikatet på den anslutande datorn. Listan över återkallade certifikat (CRL) är en fil som skapas och signeras av en certifikatutfärdare och innehåller en lista med certifikat som har utfärdats men återkallats. Certifikaten kan återkallas av en certfikatsutfärdaradministratör, t.ex. om man vet eller misstänker att ett utfärdat certifikat kan ha hamnat i fel händer.
Viktigt |
---|
Eftersom återkallelselistans placering läggs till i certifikatet när det utfärdats av en certifikatutfärdare, måste du planera för listan innan du distribuerar några PKI-certifikat som Configuration Manager ska använda. |
Som standard söker IIS alltid igenom listan med återkallade certifikat efter klientcertifikat, och det går inte att ändra denna konfiguration i Configuration Manager. Som standard söker Configuration Manager-klienter alltid igenom listan med återkallade certifikat efter platssystem, men denna inställning går att inaktivera genom att ange en platsegenskap och egenskapen CCMSetup. Om du hanterar Intel AMT-baserade datorer out-of-band, kan du även aktivera kontroller av listan med återkallade certifikat för out-of-band-serviceplatsen och för datorer som kör konsolen för out-of-band-hantering.
Om datorer kontrollerar huruvida certifikat har återkallats men inte kan hitta listan, beter de sig som om alla certifikat i certifikatkedjan har återkallats, eftersom det inte går att verifiera att de inte finns med på listan. I det här scenariot misslyckas alla anslutningar som kräver certifikat och använder en lista över återkallade certifikat.
Att kontrollera listan över återkallade certifikat varje gång ett certifikat används ger bättre skydd mot att använda ett återkallat certifikat, men anslutningen tar tid, och klienten måste utföra mer arbete. Den här ytterligare säkerhetskontrollen är förmodligen mer angelägen om klienterna finns ute på internet eller i ett obetrott nätverk.
Tala med PKI-administratörerna innan du bestämmer dig för huruvida Configuration Manager-klienterna måste kontrollera listan över återkallade certifikat, och fundera sedan på om alternativet ska vara aktivt i Configuration Manager när bägge de följande villkoren är uppfyllda:
PKI-infrastrukturen stöder en lista över återkallade certifikat, och den publiceras där alla Configuration Manager-klienter kan hitta den. Tänk på att detta kan omfatta klienter på internet om du använder internetbaserad klienthantering, men även klienter i obetrodda skogar.
Kravet på att kontrollera listan över återkallade certifikat för varje anslutning till ett platssystem som är konfigurerat att använda ett PKI-certifikat är viktigare än kravet på snabba anslutningar och effektiv bearbetning på klienten, och är även viktigare än risken för att klienter inte lyckas ansluta till servrar om de inte kan lokalisera listan över återkallade certifikat.
Planera för betrodda PKI-rotcertifikat och listan Certifikatutfärdare
Om IIS-platssystemen använder PKI-klientcertifikat för klientautentisering via HTTP eller för klientautentisering och kryptering via HTTPS, kanske du behöver importera rotcertifikatutfärdarens certifikat i form av en platsegenskap. Detta är de två scenarierna:
Du distribuerar operativsystem med Configuration Manager, och hanteringsplatserna accepterar bara HTTPS-klientanslutningar.
Du använder PKI-klientcertifikat som inte ligger i en kedja till en rotcertifikatutfärdares certifikat som hanteringsplatserna litar på.
Obs! När du utfärdar PKI-klientcertifikat från samma certifikatutfärdarhierarki som utfärdar servercertifikaten som du använder på hanteringsplatserna, behöver du inte ange rotcertifikatsutfärdarens certifikat. Men om du hanterar flera rotcertifikatutfärdarhierarkier och du inte är säker på om de litar på varandra, ska du importera rotcertifikatutfärdaren till klienternas certifikatutfärdarhierarki.
Om du måste importera rotcertifikatutfärdarens certifikat för Configuration Manager, ska du exportera dem från den utfärdande certifikatutfärdaren eller från klientdatorn. Om du exporterar certifikatet från den utfärdande certifikatutfärdaren och den även är rotcertifikatutfärdare, måste du se till att den privata nyckeln inte exporteras. Förvara den exporterade certifikatfilen på en säker plats så att den inte går att manipulera. Du måste kunna komma åt filen när du konfigurerar platsen, så om du hämtar filen via nätverket måste du se till att kommunikationen skyddas genom att använda SMB-signering eller IPsec.
Om något av rotcertifikatutfärdarens certifikat som du importerar förnyas, måste du importera de förnyade certifikaten.
Dessa importerade certfikat för rotcertifikatutfärdaren och certifikatet för rotcertifikatutfärdaren på varje hanteringsplats ger upphov till en lista med certifikatutfärdare som datorer med Configuration Manager kan använda på följande sätt:
När en klient ansluter till en hanteringsplats, verifierar hanteringsplatsen att klientcertifikat går att härleda till ett betrott rotcertifikat på platsens lista med certifikatutfärdare. Om det inte går godkänns certifikatet inte, och PKI-anslutningen misslyckas.
När klienter väljer ett PKI-certifikat och har tillgång till en lista med certifikatutfärdare, väljer de ett certifikat som går att härleda till ett betrott rotcertifikat i listan med certifikatutfärdare. Om inget sådant går att hitta, väljer klienten inte ett PKI-certifikat. Mer information om klientcertifikatprocessen finns i avsnittet Planera för val av PKI-klientcertifikat i det här ämnet.
Oberoende av platskonfigurationen kanske du även behöver importera en certifikatutfärdares rotcertifikat när du registrerar mobila enheter eller Mac-datorer, samt när du etablerar Intel AMT-baserade datorer i trådlösa nätverk.
Planera för val av PKI-klientcertifikat
Om IIS-platssystemen använder PKI-klientcertifikat för klientautentisering via HTTP eller för klientautentisering och kryptering via HTTPS, måste du planera hur Windows-baserade klienter ska välja vilket certifikat som ska användas för Configuration Manager.
Obs! |
---|
Alla enheter stöder inte en certifikaturvalsmetod, utan väljer i stället automatiskt det första certifikatet som uppfyller certifikatkravet. T.ex. stöder klienter på Mac-datorer och mobila enheter inte någon certifikaturvalsmetod. |
I många fall räcker standardkonfigurationen och standardbeteendet. Configuration Manager-klienten på Windows-datorer filtrerar flera certifikat med hjälp av följande kriterier:
Listan med certifikatutfärdare: Certifikatet går att härleda till en rotcertifikatutfärdare som hanteringsplatsen litar på.
Certifikatet finns i standardcertifikatarkivet Personligt.
Certifikatet är giltigt, inte återkallat och har inte upphört att gälla. Giltighetskontrollen omfattar att verifiera att den privata nyckeln är tillgänglig och att certifikatet inte har skapats med en certifikatmall av version 3, som inte är kompatibel med Configuration Manager.
Certifikatet har klientautentiseringskapacitet, eller är utfärdat till datornamnet.
Certifikatet har den längsta giltighetsperioden.
Klienterna kan ställas in så att de använder listan med certifikatutfärdare med dessa mekanismer:
Den är publicerad i form av Configuration Manager-platsinformation i Active Directory Domain Services.
Klienterna installerats via push-installation.
Klienterna hämtar den från hanteringsplatsen efter att de har tilldelats sin plats.
Den anges under installationen av klienten med hjälp av egenskapen CCMCERTISSUERS till CCMSetup client.msi.
Om klienterna inte har tillgång till listan med certifikatutfärdare när de installeras och ännu inte har tilldelats platsen, hoppar de över den här kontrollen. Valet av certifikat misslyckas om de får tillgång till listan med certifikatutfärdare, men inte har något PKI-certifikat som går att härleda till ett betrott rotcertifikat i listan med certifikatutfärdare, och klienterna går inte vidare med de övriga kriterierna för val av certifikat.
I de flesta fall identifierar Configuration Manager-klienten ett unikt och lämpligt PKI-certifikat som den kan använda. Men om så inte är fallet, kan du konfigurera två alternativa metoder i stället för att välja certifikatet på grundval av klientautentiseringskapaciteten:
En partiell strängmatchning av klientcertifikatets namn på certifikatmottagaren. Versaler och gemener spelar ingen roll, och detta är lämpligt om du använder det fullständigt bestämda domännamnet för en dator i namnfältet och vill att certifikatet ska väljas utifrån domänsuffixet, t.ex. contoso.com. Men du kan använda denna urvalsmetod för att identifiera en sträng med sekventiella tecken i certifikatets namn på certifikatmottagen som gör att certifikatet skiljer sig åt från de andra i klientcertifikatarkivet.
Obs! Du kan inte använda den delvisa strängmatchningen med certifikatmottagarens alternativa namn som platsinställning. Du kan ange en delvis strängmatchning för certifikatmottagarens alternativa namn med hjälp av CCMSetup, men den skrivs över av platsegenskaperna i följande situationer:
Klienterna hämtar platsinformation som är publicerad i Active Directory Domain Services.
Klienterna har installerats via push-installation.
Använd bara en delvis strängmatchning i certifikatmottagarens alternativa namn när du installerar klienter manuellt och när de inte hämtar platsinformation från Active Directory Domain Services. Följande villkor gäller exempelvis endast Internetklienter.
En matchning på attributvärdena för klientcertifikatmottagarnamnet eller attributvärdena för certifikatmottagarens alternativa namn. Det här är en skiftlägeskänslig matchning som är lämplig om du använder ett unikt X500-namn eller motsvarande objektidentifierare som följer RFC 3280-algoritmen, och du vill att certifikaturvalet ska baseras på attributvärdena. Du kan välja att bara ange de attribut och värden som du vill ska identifieras unikt eller verifiera certifikatet och särskilja det certifikatet från andra i certifikatarkivet.
I följande tabell visas de attributvärden som stöds i Configuration Manager för urvalsvillkoren för klientcertifikat.
Objektidentifierarattribut |
Attribut för unikt namn |
Attributdefinition |
---|---|---|
0.9.2342.19200300.100.1.25 |
DC |
Domänkomponent |
1.2.840.113549.1.9.1 |
E eller E-mail |
E-postadress |
2.5.4.3 |
CN |
Eget namn |
2.5.4.4 |
SN |
Mottagarnamn |
2.5.4.5 |
SERIALNUMBER |
Serienummer |
2.5.4.6 |
C |
Landskod |
2.5.4.7 |
L |
Plats |
2.5.4.8 |
S eller ST |
Namn på region |
2.5.4.9 |
STREET |
Gatuadress |
2.5.4.10 |
O |
Organisationens namn |
2.5.4.11 |
OU |
Organisationsenhet |
2.5.4.12 |
T eller Title |
Titel |
2.5.4.42 |
G eller GN eller GivenName |
Tilltalsnamn |
2.5.4.43 |
I eller Initials |
Initialer |
2.5.29.17 |
(inget värde) |
Alternativt namn för certifikatmottagare |
Om fler än ett lämpligt certifikat hittas när urvalsvillkoren har tillämpats kan du åsidosätta standardkonfigurationen som väljer certifikatet med längst giltighetstid, och i stället ange att inget certifikat har valts. I det här scenariot kan klienten inte kommunicera med IIS-platssystemen med ett PKI-certifikat. Klienten skickar ett felmeddelande till den tilldelade återställningsplatsen för att varna om att certifikaturvalet misslyckades så att du kan ändra urvalsvillkoren. Klientens funktionssätt därefter beror på om den felande anslutningen skedde över HTTPS eller HTTP:
Om den felande anslutningen skedde över HTTPS: Klienten försöker göra en anslutning över HTTP och använder det självsignerade klientcertifikatet.
Om den felande anslutningen skedde över HTTP: Klienten försöker upprätta en annan anslutning över HTTP genom att använda det självsignerade klientcertifikatet.
Du kan också underlätta identifieringen av ett unikt PKI-klientcertifikat genom att ange ett eget arkiv i stället för det personliga standardarkivet på datorn. Det egna arkivet måste dock skapas separat från Configuration Manager och du måste kunna distribuera certifikat till det här arkivet och förnya dem innan de går ut.
Information om hur du gör inställningar för klientcertifikat finns i avsnittet Konfigurera inställningar för klient-PKI-certifikat i ämnet Konfigurera säkerhet för Configuration Manager.
Planera en övergångsstrategi för PKI-certifikat och Internetbaserad klienthantering
Med de flexibla konfigurationsalternativen i Configuration Manager kan du gradvis överföra klienter och platsen till att använda PKI-certifikat för att skydda slutpunkter på klienter. PKI-certifikat ger bättre säkerhet och gör att klienterna kan hanteras när de är på Internet.
På grund av de många konfigurationsalternativen och valen i Configuration Manager finns det inte ett enskilt sätt att omvandla en plats så att alla klienter använder HTTPS-anslutningar. De här stegen är avsedda som vägledning:
Installera Configuration Manager-platsen och konfigurera den så att platssystemen godkänner klientanslutningar över HTTPS och HTTP.
Konfigurera fliken Klientdatorkommunikation i platsegenskaperna så att Inställningar för platssystem är HTTP eller HTTPS och markera kryssrutan Använd PKI-klientcertifikat (klientautentiseringsfunktioner) om tillgängligt. Konfigurera andra inställningar på fliken efter behov. Mer information finns i avsnittet Konfigurera inställningar för klient-PKI-certifikat i artikeln Konfigurera säkerhet för Configuration Manager.
Gör en testkörning av PKI-certifikat för klienter. Ett exempel på distribution finns i avsnittet Distribuera klientcertifikatet för Windows-datorer i ämnet Detaljerat distributionsexempel av PKI-certifikaten för Configuration Manager: Windows Server 2008 certifikatutfärdare.
Installera klienter via push-installationsmetoden. Mer information finns i avsnittet Så här installerar du Configuration Manager-klienter med push-installation i artikeln Installera klienter på Windows-baserade datorer i Configuration Manager.
Övervaka klientdistribution och status genom rapporterna och informationen i Configuration Manager-konsolen.
Spåra hur många klienter som använder ett PKI-klientcertifikat genom att titta i kolumnen Klientcertifikat i arbetsytan Tillgångar och efterlevnad, noden Enheter.
Du kan också distribuera utvärderingsvertyget för HTTPS-beredskap i Configuration Manager (cmHttpsReadiness.exe) på datorer och använda rapporterna för att se hur många datorer som kan använda ett PKI-klientcertifikat med Configuration Manager.
Obs! När Configuration Manager-klienten installeras på klientdatorer installeras cmHttpsReadiness.exe-verktyget i mappen %windir%\CCM. När du kör det här verktyget på klienter kan du ange följande alternativ:
/Store:
När du är säker på att det finns tillräckligt många klienter som kan använda PKI-klientcertifikatet för autentisering över HTTP, gör du följande:
Distribuera ett PKI-webbservercertifikat på en medlemsserver som ska köra ytterligare en hanteringsplats för platsen, och konfigurera det certifikatet i IIS. Mer information finns i avsnittet Distribuera webbservercertifikatet för platssystem som kör IIS i artikeln Detaljerat distributionsexempel av PKI-certifikaten för Configuration Manager: Windows Server 2008 certifikatutfärdare.
Installera hanteringsplatsrollen på den här servern och konfigurera alternativet Klientanslutningar i hanteringsplatsegenskaperna för HTTPS.
Övervaka och kontrollera att klienterna som har ett PKI-certifikat använder den nya hanteringsplatsen via HTTPS. Du kan kontrollera det här med IIS-loggning eller prestandaräknare.
Konfigurera om andra platssystemroller för användning av HTTPS-klientanslutningar. Om du vill hantera klienter på Internet måste du se till att platssystemen har ett fullständigt domännamn för Internet och konfigurera enskilda hanteringsplatser och distributionsplatser så att de godkänner klientanslutningar från Internet.
Viktigt Innan du konfigurerar platssystemroller för att godkänna anslutningar från Internet granskar du planeringsinformationen och förkraven för Internetbaserad klienthantering. Mer information finns i avsnittet Planera för internetbaserad klienthantering i artikeln Planera kommunikation i Configuration Manager.
Utöka PKI-certifikatimplementeringen för klienter och platssystem som kör IIS och konfigurera platssystemrollerna för HTTPS-klientanslutningar och Internetanslutningar.
För bästa säkerhet: När du är säker på att alla klienter använder ett PKI-klientcertifikat för autentisering och kryptering, ändrar du platsegenskaperna till att bara använda HTTPS.
Active Directory-schemat utökas för Configuration Manager, platsen publiceras på Active Directory Domain Services, och klienter kan hämta platsinformation från en global katalogserver.
Klienterna installerats via push-installation.
Företablera en klient med den betrodda rotnyckeln genom att använda en fil.
Företablera en klient med den betrodda rotnyckeln utan att använda en fil.
Kontrollera den betrodda rotnyckeln på en klient.
-
Öppna filen <Configuration Manager-katalog>\bin\mobileclient.tcf i ett textredigeringsprogram.
-
Leta upp posten SMSPublicRootKey=, kopiera nyckeln från den raden och stäng filen utan att göra några ändringar.
-
Skapa en ny textfil och klistra in nyckelinformationen som du kopierade från filen mobileclient.tcf.
-
Spara filen och lägg den någonstans där alla datorer har åtkomst till den men där filen är säker för förhindra manipulering.
-
Installera klienten genom en installationsmetod som godkänner Client.msi-egenskaper och ange Client.msi-egenskapen SMSROOTKEYPATH=<Fullständig sökväg och filnamn>.
Viktigt När du anger den betrodda rotnyckeln för ytterligare säkerhet under klientinstallationen, måste du också ange platskoden med Client.msi-egenskapen SMSSITECODE=
Företablera en klient med den betrodda rotnyckeln utan att använda någon fil
-
Öppna filen <Configuration Manager-katalog>\bin\mobileclient.tcf i ett textredigeringsprogram.
-
Leta upp posten SMSPublicRootKey=, skriv upp nyckeln på den raden eller kopiera den till Urklipp och stäng sedan filen utan att göra några ändringar.
-
Installera klienten med en installationsmetod som godkänner Client.msi-egenskaper och ange Client.msi-egenskapen SMSPublicRootKey=<nyckel>, där*<nyckel>* är den sträng du kopierade från mobileclient.tcf.
Viktigt När du anger den betrodda rotnyckeln för ytterligare säkerhet under klientinstallationen, måste du också ange platskoden med Client.msi-egenskapen SMSSITECODE=
Kontrollera den betrodda rotnyckeln på en klient
-
Gå till Start-menyn, klicka på Kör och skriv Wbemtest.
-
I dialogrutan Testprogram för Windows Management Instrumentation klickar du på Anslut.
-
I dialogrutan Anslut i rutan Namnrymd skriver du root\ccm\locationservices och klickar sedan på Anslut.
-
I dialogrutan Testprogram för Windows Management Instrumentation under IWbemServices klickar du på Räkna upp klasser.
-
I dialogrutan Information om superklass väljer du Rekursivt och klickar sedan på OK.
-
I fönstret Frågeresultat går du till slutet av listan och dubbelklickar på TrustedRootKey ().
-
I dialogrutan Objektredigerare till TrustedRootKey klickar du på Instanser.
-
I det nya fönstret Frågeresultat som visar instanserna av TrustedRootKey, dubbelklickar du på TrustedRootKey=@
-
I dialogrutan Objektredigerare till TrustedRootKey=@ under Avsnitt går du ned till TrustedRootKey CIM_STRING. Strängen i den högra kolumnen är den betrodda rotnyckeln. Kontrollera att den matchar SMSPublicRootKey-värdet i filen <Configuration Manager-katalog>\bin\mobileclient.tcf.
Planera för signering och kryptering
Om du använder PKI-certifikat för all klientkommunikation behöver du inte planera för att skydda kommunikationen med signering och kryptering. Däremot måste du bestämma hur du ska skydda platsens klientkommunikation, om du konfigurerar att platssystem som kör IIS ska tillåta HTTP-klientanslutningar.
Om du vill skydda information som klienter skickar till hanteringspunkter kan du kräva att informationen signeras. Du kan också kräva signering av alla data från klienter som använder HTTP, genom att använda SHA-256-algoritmen. Det är en säkrare inställning men aktivera den endast om alla klienter har stöd för SHA-256. Många operativsystem har inbyggt stöd för SHA-256, men för äldre operativsystem kanske du måste installera en uppdatering eller snabbkorrigering. Till exempel måste den snabbkorrigering som anges i KB-artikel 938397 installeras på datorer som kör Windows Server 2003 SP2.
Signering förhindrar otillåtna ändringar av data, medan kryptering förhindrar att data röjs. Du kan aktivera 3DES-kryptering för inventeringsdata och tillståndsmeddelanden som klienter skickar till hanteringsplatser i platsen. Du behöver inte installera uppdateringar på klienter för att ge stöd för alternativet men kom ihåg att kryptering och dekryptering ger upphov till ökad processorbelastning på klienterna och hanteringsplatsen.
Information om hur du gör inställningar för signering och kryptering finns i avsnittet Konfigurera signering och kryptering i ämnet Konfigurera säkerhet för Configuration Manager.
Planera för rollbaserad administration
Med rollbaserad administration kan du utforma och använda administrativ säkerhet för System Center 2012 Configuration Manager-hierarkin, med något eller samtliga av följande alternativ:
Säkerhetsroller
Samlingar
Säkerhetsomfattningar
Du kan kombinera inställningarna för att definiera en administrativ omfattning för en administrativ användare. Den administrativa omfattningen avgör vilka objekt en administrativ användare kan visa i Configuration Manager-konsolen och vilka behörigheter användaren har för de olika objekten. Konfigurationer för rollbaserad administration replikeras som globala data till varje plats i hierarkin, och används sedan för alla administrativa anslutningar.
Viktigt Fördröjningar vid replikering mellan platser kan förhindra att en plats tar emot ändringar för rollbaserad administration. Information om hur du övervakar databasreplikering mellan platser finns i avsnittet Så här övervakar du databasreplikeringslänkar och replikeringsstatusen i ämnet Övervaka platser och hierarki i Configuration Manager.
Planera för säkerhetsroller
Använd säkerhetsroller för att tilldela administrativa användare säkerhetsbehörigheter. Säkerhetsroller är grupper av säkerhetsbehörigheter som du tilldelar administrativa användare, så att de kan utföra administrationsuppgifter. Säkerhetsbehörigheterna definierar vilka administrativa åtgärder som en administrativ användare kan utföra, och behörigheterna kan tilldelas för separata objekt. Som säkerhetsrutin bör du tilldela säkerhetsroller som ger minsta möjliga behörighet.
System Center 2012 Configuration Manager har flera inbyggda säkerhetsroller som stöder vanliga kategorier av administrativa uppgifter, och du kan skapa egna säkerhetsroller för specifika krav i företaget. Exempel på inbyggda säkerhetsroller:
Fullständig administratör: Rollen ger alla behörigheter i Configuration Manager.
Tillgångsanalytiker: Den här rollen ger den administrativa användaren behörighet att visa data som har samlats in för tillgångsanalys, programvaruinventering, maskinvaruinventering och programavläsning. Den administrativa användaren kan skapa mätregler och tillgångsinformationskategorier, familjer och etiketter.
Programuppdateringshanteraren: Den här säkerhetsrollen ger behörighet att definiera och distribuera programvaruuppdateringar. Administrativa användare som är kopplade till den här rollen kan skapa samlingar, programuppdateringsgrupper, distributioner och mallar, och aktivera programuppdateringar för Network Access Protection (NAP).
Tips Du kan visa listan med inbyggda säkerhetsroller och egna säkerhetsroller som du skapar, inklusive beskrivningar, i Configuration Manager-konsolen. Det gör du genom att expandera Säkerhet på arbetsytan Administration och sedan välja Säkerhetsroller.
Varje säkerhetsroll har specifika behörigheter för olika objekttyper. Till exempel har säkerhetsrollen Programadministratör följande behörigheter för program: Godkänn, Skapa, Ta bort, Ändra, Ändra mapp, Flytta objekt, Läsa/distribuera, Ange säkerhetsomfattningar. Du kan inte ändra behörigheter för inbyggda säkerhetsroller, men du kan kopiera rollen, göra ändringar och sedan spara ändringarna som en ny, anpassad säkerhetsroll. Du kan även importera säkerhetsroller som du har exporterat från en annan hierarki (till exempel från ett testnätverk). Läs igenom informationen om säkerhetsroller och deras behörigheter så att du kan bestämma om du vill använda de inbyggda säkerhetsrollerna eller skapa egna roller.
Använd följande steg för att planera säkerhetsroller:
Identifiera de uppgifter som administrativa användare utför i System Center 2012 Configuration Manager. Uppgifterna kan ingå i en eller flera hanteringskategorier, och exempel på uppgifter är att distribuera program och paket, distribuera operativsystem och inställningar för kompatibilitet, konfigurera platser och säkerhet, utföra revisioner, fjärrkontrollera datorer och samla in inventeringsdata.
Koppla de administrativa uppgifterna till en eller flera av de inbyggda säkerhetsrollerna.
Om det finns administrativa användare som utför flera säkerhetsrollers uppgifter kan du tilldela sådana användare flera säkerhetsroller, i stället för att skapa en ny säkerhetsroll där uppgifterna kombineras.
Om de identifierade uppgifterna inte överensstämmer med de inbyggda säkerhetsrollerna, skapar och testar du nya säkerhetsroller.
Information om hur du skapar och konfigurerar säkerhetsroller för rollbaserad administration finns i avsnittet Skapa anpassade säkerhetsroller i ämnet Konfigurera säkerhetsroller.
Planera för samlingar
Med samlingar specificeras de användar- och datorresurser som en administrativ användare kan visa eller hantera. Till exempel måste en administrativ användare som ska distribuera program eller fjärrstyra datorer, tilldelas en säkerhetsroll som ger åtkomst till en samling innehållande resurserna. Du kan välja samlingar av användare och enheter.
Mer information om samlingar finns i Introduktion till samlingar i Configuration Manager.
Innan du konfigurerar rollbaserad administration ska du kontrollera om du måste skapa nya samlingar av något av följande skäl:
Funktionell organisation. Till exempel separata samlingar av servrar och arbetsstationer.
Geografisk position. Till exempel separata samlingar för Nordamerika och Europa.
Säkerhetskrav och affärsprocesser. Till exempel separata samlingar för produktionsdatorer respektive testdatorer.
Organisatorisk anpassning. Till exempel separata samlingar för varje affärsenhet.
Information om hur du konfigurerar samlingar för rollbaserad administration finns i avsnittet Konfigurera samlingar för att hantera säkerhet i ämnet Konfigurera säkerhet för Configuration Manager.
Planera för säkerhetsomfattningar
Använd säkerhetomfattningar för att ge administrativa användare åtkomst till skyddsbara objekt. Säkerhetsomfattningar är namngivna uppsättningar av skyddsbara objekt som tilldelas administratörsanvändare gruppvis. Alla säkerhetsobjekt måste tilldelas en eller flera säkerhetsomfattningar. Configuration Manager har två inbyggda säkerhetsomfattningar:
Alla: Den här inbyggda säkerhetsomfattning ger åtkomst till alla omfattningar. Den här säkerhetomfattningen kan inte tilldelas objekt.
Standard: Den här inbyggda säkerhetsomfattningen används som standard för alla objekt. Direkt efter att du har installerat System Center 2012 Configuration Manager är alla objekt tilldelade den här säkerhetsomfattningen.
Om du vill begränsa vilka objekt som administrativa användare kan visa och hantera, måste du skapa och använda egna säkerhetsomfattningar. Säkerhetsomfattningar har inte stöd för en hierarkisk struktur och kan inte kapslas. Säkerhetsomfattningar kan innehålla en eller flera objekttyper, till exempel följande:
Aviseringsprenumerationer
Program
Startavbildningar
Gränsgrupper
Konfigurationsobjekt
Anpassade klientinställningar
Distributionsplatser och distributionsplatsgrupper
Drivrutinspaket
Globala villkor
Migreringsjobb
Operativsystemavbildningar
Paket för operativsystemsinstallation
Paket
Frågor
Platser
Regler för avläsning av programvara
Programuppdateringsgrupper
Programuppdateringspaket
Aktivitetssekvenspaket
Inställningsobjekt och paket för Windows CE-enheter
Det finns även objekt som inte går att inkludera i säkerhetsomfattningar eftersom de endast skyddas av säkerhetsroller. Administrativ åtkomst till sådana objekt kan inte begränsas till en delmängd av de tillgängliga objekten. Till exempel kanske det finns en administrativ användare som skapar gränsgrupper som används för en specifik plats. Eftersom gränsobjektet inte har stöd för säkerhetsomfattningar kan du inte tilldela användaren en säkerhetsomfattning som ger åtkomst till endast de gränser som används för platsen. När du kopplar en användare till en säkerhetsroll som ger åtkomst till gränsobjekt, får användaren åtkomst till alla gränser i hierarkin, eftersom ett gränsobjekt inte kan associeras till en säkerhetsomfattning.
Följande objekt begränsas inte av säkerhetsomfattningar:
Active Directory-skogar
Administrativa användare
Aviseringar
Principer för skadlig kod
Gränser
Datorkopplingar
Standardklientinställningar
Distributionsmallar
Enhetsdrivrutiner
Exchange Server-anslutning
Mappningar för migrering mellan platser
Profiler för mobilenhetsregistrering
Säkerhetsroller
Säkerhetsomfattningar
Platsadresser
Platssystemroller
Programvarutitlar
Programuppdateringar
Statusmeddelanden
Mappningar mellan användare och enheter
Skapa säkerhetsomfattningar när du vill begränsa åtkomsten till separata instanser av objekt. Exempel:
Anta att du har en grupp av administrativa användare som måste kunna visa produktionsprogram men inte testprogram. Skapa en säkerhetsomfattning för produktionsprogram och en annan omfattning för testprogrammen.
Olika administrativa användare behöver olika åtkomst till instanser av en objekttyp. Till exempel kanske en viss grupp av administrativa användare behöver behörigheten Läsa för vissa programuppdateringsgrupper, medan en annan grupp av administrativa användare behöver behörigheterna Ändra och Ta bort för andra programuppdateringsgrupper. Skapa olika säkerhetsomfattningar för de olika programuppdateringsgrupperna.
Information om hur du konfigurerar säkerhetsomfattningar för rollbaserad administration finns i avsnittet Konfigurera säkerhetsomfattningar för ett objekt i ämnet Konfigurera säkerhet för Configuration Manager.
-
-
Med den här planen för en gradvis övergång till PKI-certifikat, först för endast autentisering över HTTP och sedan för autentisering och kryptering över HTTPS, minskas risken för att klienterna blir ohanterade. Dessutom får du den bästa säkerheten som Configuration Manager stöder.
Planera för den betrodda rotnyckeln
Med den betrodda rotnyckeln i Configuration Manager kan Configuration Manager-klienter kontrollera att platssystem tillhör deras hierarki. Varje platsserver genererar en platsutbytesnyckel för kommunikation med andra platser. Platsutbytesnyckeln på den översta platsen i hierarkin kallas den betrodda rotnyckeln.
Funktionen för den betrodda rotnyckeln i Configuration Manager liknar ett rotcertifikat i en offentlig nyckelinfrastruktur på så vis att allt som signeras av den privata nycken i den betrodda rotnyckeln godkänns längre ned i hierarkin. Om exempelvis hanteringsplatscertifikatet signeras med den privata nyckeln i det betrodda rotnyckelparet och den offentliga nyckeln i det betrodda rotnyckelparet görs tillgänglig för klienterna via en kopia, kan klienterna skilja på hanteringsplatser i en den egna hierarkin och hanteringsplatser i en annan hierarki. Klienter använder WMI för att spara en kopia av den betrodda rotnyckeln i namnrymden root\ccm\locationservices.
Klienter kan automatiskt hämta en offentlig kopia av den betrodda rotnyckeln på två sätt:
Om klienterna inte kan hämta den betrodda rotnyckeln på något av dessa sätt betror de den betrodda rotnyckeln från den första hanteringsplatsen som de kommunicerar med. I det här scenariot kan en klient omdirigeras till en angripares hanteringsplats där den kan få principer från den falska hanteringsplatsen. Det här kan bara ske under en begränsad tid innan klienten hämtar den betrodda rotnyckeln från en giltig hanteringsplats. Men för att minska risken för att en angripare dirigerar klienter till en falsk hanteringsplats kan du företablera klienterna genom att använda den betrodda rotnyckeln.
Företablera och kontrollera den betrodda rotnyckeln för en Configuration Manager-klient på följande sätt:
Obs! Du behöver inte företablera klienter med den betrodda rotnyckeln om de kan hämta den från Active Directory Domain Services eller om de har installerats via push-installation. Du behöver inte heller företablera klienter när de använder HTTPS-kommunikation till hanteringsplatser eftersom förtroende upprättats genom användning av PKI-certifikaten.
Du kan ta bort den betrodda rotnyckeln från en klient med hjälp av Client.msi-egenskapen RESETKEYINFORMATION = TRUE med CCMSetup.exe. Du ersätter den betrodda rotnyckeln genom att installera om klienten tillsammans med den nya betrodda rotnyckeln, till exempel genom att använda push-installation, eller genom att ange Client.msi-egenskapen SMSPublicRootKey med CCMSetup.exe.
Företablera en klient med den betrodda rotnyckeln genom att använda en fil