Configuration Manager istemcileri için güvenlik ve gizlilik
Uygulama hedefi: Configuration Manager (güncel dalı)
Bu makalede, Configuration Manager istemcileri için güvenlik ve gizlilik bilgileri açıklanmaktadır. Ayrıca, Exchange Server bağlayıcısı tarafından yönetilen mobil cihazlara yönelik bilgileri de içerir.
İstemciler için güvenlik kılavuzu
Configuration Manager sitesi, Configuration Manager istemcisini çalıştıran cihazlardan verileri kabul eder. Bu davranış, istemcilerin siteye saldırma riskini ortaya ekler. Örneğin, hatalı biçimlendirilmiş envanter gönderebilir veya site sistemlerini aşırı yüklemeye çalışabilirler. Configuration Manager istemcisini yalnızca güvendiğiniz cihazlara dağıtın.
Siteyi sahte veya güvenliği aşılmış cihazlardan korumaya yardımcı olmak için aşağıdaki güvenlik kılavuzunu kullanın.
IIS çalıştıran site sistemleriyle istemci iletişimleri için ortak anahtar altyapısı (PKI) sertifikalarını kullanma
Site özelliği olarak, Yalnızca HTTPS için Site sistem ayarlarını yapılandırın. Daha fazla bilgi için bkz . Güvenliği yapılandırma.
UsePKICert CCMSetup özelliğine sahip istemcileri yükleyin.
Sertifika iptal listesi (CRL) kullanın. İstemcilerin ve iletişim sunucularının her zaman bu sunucuya erişebildiğinden emin olun.
Mobil cihaz istemcileri ve bazı internet tabanlı istemciler bu sertifikaları gerektirir. Microsoft, intranetteki tüm istemci bağlantıları için bu sertifikaları önerir.
Configuration Manager'da sertifikaların kullanımı hakkında daha fazla bilgi için bkz. Sertifikaları planlama.
Önemli
Configuration Manager sürüm 2103'den başlayarak, HTTP istemci iletişimi sağlayan siteler kullanım dışı bırakılmıştır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırın. Daha fazla bilgi için bkz . Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.
Güvenilen etki alanlarından istemci bilgisayarları otomatik olarak onaylama ve diğer bilgisayarları el ile denetleme ve onaylama
PKI kimlik doğrulamasını kullanamıyorsanız onay, Configuration Manager tarafından yönetileceğine güvendiğiniz bir bilgisayarı tanımlar. Hiyerarşi, istemci onayını yapılandırmak için aşağıdaki seçeneklere sahiptir:
- El ile
- Güvenilen etki alanlarındaki bilgisayarlar için otomatik
- Tüm bilgisayarlar için otomatik
En güvenli onay yöntemi, güvenilen etki alanlarının üyesi olan istemcileri otomatik olarak onaylamaktır. Bu seçenek, bağlı Microsoft Entra kiracılarından bulut etki alanına katılmış istemcileri içerir. Ardından diğer tüm bilgisayarları el ile denetleyin ve onaylayın. Güvenilir olmayan bilgisayarların ağınıza erişmesini önlemek için başka erişim denetimleriniz olmadığı sürece tüm istemcilerin otomatik olarak onaylanması önerilmez.
Bilgisayarları el ile onaylama hakkında daha fazla bilgi için bkz. Cihazları düğümünden istemcileri yönetme.
İstemcilerin Configuration Manager hiyerarşisine erişmesini engellemek için engellemeye güvenmeyin
Engellenen istemciler Configuration Manager altyapısı tarafından reddedilir. İstemciler engellenirse, ilkeyi indirmek, envanter verilerini karşıya yüklemek ya da durum veya durum iletileri göndermek için site sistemleriyle iletişim kuramaz.
Engelleme aşağıdaki senaryolar için tasarlanmıştır:
- İstemcilere işletim sistemi dağıtırken kaybolan veya güvenliği aşılmış önyükleme medyasını engellemek için
- Tüm site sistemleri HTTPS istemci bağlantılarını kabul ettiğinde
Site sistemleri HTTP istemci bağlantılarını kabul ettiğinde, Configuration Manager hiyerarşisini güvenilmeyen bilgisayarlardan korumak için engellemeye güvenmeyin. Bu senaryoda engellenen bir istemci, siteye yeni bir otomatik olarak imzalanan sertifika ve donanım kimliğiyle yeniden birleşebilir.
Sertifika iptali, güvenliği aşılmış olabilecek sertifikalara karşı birincil savunma hattıdır. Sertifika iptal listesi (CRL) yalnızca desteklenen bir ortak anahtar altyapısından (PKI) kullanılabilir. Configuration Manager'da istemcilerin engellenmesi, hiyerarşinizi korumak için ikinci bir savunma hattı sunar.
Daha fazla bilgi için bkz. İstemcilerin engellenip engellenmeyeceğini belirleme.
Ortamınız için pratik olan en güvenli istemci yükleme yöntemlerini kullanın
Etki alanı bilgisayarları için grup ilkesi istemci yüklemesi ve yazılım güncelleştirme tabanlı istemci yükleme yöntemleri , istemci anında yüklemesinden daha güvenlidir.
Erişim denetimleri ve değişiklik denetimleri uygularsanız görüntüleme ve el ile yükleme yöntemlerini kullanın.
İstemci anında yükleme ile Kerberos karşılıklı kimlik doğrulamayı kullanın.
Tüm istemci yükleme yöntemlerinde, sahip olduğu birçok bağımlılık nedeniyle istemci anında yükleme en az güvenlidir. Bu bağımlılıklar yerel yönetim izinlerini, Admin$
paylaşımı ve güvenlik duvarı özel durumlarını içerir. Bu bağımlılıkların sayısı ve türü saldırı yüzeyinizi artırır.
İstemci gönderimi kullanılırken, site bağlantıyı kurmadan önce NTLM'ye geri dönüşe izin vermeyerek Kerberos karşılıklı kimlik doğrulaması gerektirebilir. Bu geliştirme, sunucu ile istemci arasındaki iletişimin güvenliğinin artırılmasına yardımcı olur. Daha fazla bilgi için bkz. İstemci gönderme ile istemci yükleme.
Farklı istemci yükleme yöntemleri hakkında daha fazla bilgi için bkz. İstemci yükleme yöntemleri.
Mümkün olduğunca, Configuration Manager en az güvenlik izni gerektiren bir istemci yükleme yöntemi seçin. İstemci dağıtımı dışındaki amaçlar için kullanılabilecek izinlerle güvenlik rolleri atanmış yönetici kullanıcıları kısıtlayın. Örneğin, otomatik istemci yükseltmesini yapılandırmak için yönetici kullanıcıya tüm güvenlik izinlerini veren Tam Yönetici güvenlik rolü gerekir.
Her istemci yükleme yöntemi için gereken bağımlılıklar ve güvenlik izinleri hakkında daha fazla bilgi için bkz. Bilgisayar istemcileri için önkoşullar.
İstemci anında yükleme kullanmanız gerekiyorsa istemci anında yükleme hesabının güvenliğini sağlayın
İstemci anında yükleme hesabı, Configuration Manager istemcisini yükleyen her bilgisayarda yerel Yöneticiler grubunun bir üyesi olmalıdır. hiçbir zaman istemci anında yükleme hesabını Domain Admins grubuna eklemeyin. Bunun yerine bir genel grup oluşturun ve ardından bu genel grubu istemcilerinizdeki yerel Yöneticiler grubuna ekleyin. İstemci anında yükleme hesabını yerel Yöneticiler grubuna eklemek için Kısıtlı Grup ayarı eklemek için bir grup ilkesi nesnesi oluşturun.
Daha fazla güvenlik için, her biri sınırlı sayıda bilgisayara yönetici erişimi olan birden çok istemci anında yükleme hesabı oluşturun. Bir hesabın güvenliği aşılırsa, yalnızca bu hesabın erişimi olan istemci bilgisayarlar tehlikeye girer.
İstemcileri görüntülemeden önce sertifikaları kaldırma
İşletim sistemi görüntülerini kullanarak istemcileri dağıttığınızda, görüntüyü yakalamadan önce her zaman sertifikaları kaldırın. Bu sertifikalar, istemci kimlik doğrulaması için PKI sertifikalarını ve otomatik olarak imzalanan sertifikaları içerir. Bu sertifikaları kaldırmazsanız istemciler birbirlerinin kimliğine bürünebilir. Her istemci için verileri doğrulayamazsınız.
Daha fazla bilgi için bkz. İşletim sistemi yakalamak için görev dizisi oluşturma.
Configuration Manager istemcisinin sertifikaların yetkili bir kopyasını aldığından emin olun
Configuration Manager güvenilen kök anahtar sertifikası
Aşağıdaki deyimlerin her ikisi de doğru olduğunda, istemciler geçerli yönetim noktalarının kimliğini doğrulamak için Configuration Manager güvenilen kök anahtarı kullanır:
- Active Directory şemasını Configuration Manager için uzatmadınız
- İstemciler yönetim noktalarıyla iletişim kurarken PKI sertifikalarını kullanmaz
Bu senaryoda istemciler, güvenilen kök anahtarı kullanmadıkları sürece yönetim noktasının hiyerarşi için güvenilir olduğunu doğrulamanın hiçbir yolu yoktur. Güvenilir kök anahtar olmadan, yetenekli bir saldırgan istemcileri sahte bir yönetim noktasına yönlendirebilir.
İstemciler PKI sertifikalarını kullanmadığında ve Active Directory genel kataloğundan güvenilir kök anahtarı indiremiyorsa, istemcileri güvenilir kök anahtarla önceden sağlayın. Bu eylem, bunların sahte bir yönetim noktasına yönlendirilememelerini sağlar. Daha fazla bilgi için bkz . Güvenilen kök anahtarı planlama.
Site sunucusu imzalama sertifikası
İstemciler, site sunucusunun bir yönetim noktasından indirilen ilkeyi imzalandığını doğrulamak için site sunucusu imzalama sertifikasını kullanır. Bu sertifika site sunucusu tarafından otomatik olarak imzalanır ve Active Directory Domain Services'da yayımlanır.
İstemciler bu sertifikayı Active Directory genel kataloğundan indiremiyorsa, varsayılan olarak bu sertifikayı yönetim noktasından indirir. Yönetim noktası İnternet gibi güvenilmeyen bir ağa açıksa, istemcilere site sunucusu imzalama sertifikasını el ile yükleyin. Bu eylem, üzerinde oynanmış istemci ilkelerini güvenliği aşılmış bir yönetim noktasından indirememelerini sağlar.
Site sunucusu imzalama sertifikasını el ile yüklemek için SMSSIGNCERT CCMSetup client.msi özelliğini kullanın.
İstemci, güvenilen kök anahtarı iletişim kurarken kullandığı ilk yönetim noktasından indirirse otomatik site ataması kullanmayın
Yeni bir istemcinin güvenilir kök anahtarı sahte bir yönetim noktasından indirme riskini önlemek için aşağıdaki senaryolarda yalnızca otomatik site atamasını kullanın:
İstemci, Active Directory Domain Services'da yayımlanan Configuration Manager site bilgilerine erişebilir.
İstemciyi güvenilen kök anahtarla önceden hazırlarsınız.
İstemci ile yönetim noktası arasında güven oluşturmak için bir kuruluş sertifika yetkilisinden PKI sertifikaları kullanırsınız.
Güvenilen kök anahtar hakkında daha fazla bilgi için bkz . Güvenilen kök anahtarı planlama.
Bakım pencerelerinin kritik yazılım güncelleştirmelerini dağıtacak kadar büyük olduğundan emin olun
Cihaz koleksiyonları için bakım pencereleri, Configuration Manager bu cihazlara yazılım yükleme sürelerini kısıtlar. Bakım penceresini çok küçük olacak şekilde yapılandırdıysanız, istemci kritik yazılım güncelleştirmelerini yüklemeyebilir. Bu davranış, istemciyi yazılım güncelleştirmesinin azalttığını tüm saldırılara karşı savunmasız bırakır.
Yazma filtreleri ile Windows Embedded cihazlarda saldırı yüzeyini azaltmak için güvenlik önlemleri alın
Windows Embedded cihazlarda yazma filtrelerini etkinleştirdiğinizde, tüm yazılım yüklemeleri veya değişiklikler yalnızca katmanda yapılır. Cihaz yeniden başlatıldıktan sonra bu değişiklikler kalıcı olmaz. Yazma filtrelerini devre dışı bırakmak için Configuration Manager kullanırsanız, bu süre boyunca katıştırılmış cihaz tüm birimlerdeki değişikliklere karşı savunmasızdır. Bu birimler paylaşılan klasörleri içerir.
Configuration Manager, yalnızca yerel yöneticilerin oturum açabilmesi için bu süre boyunca bilgisayarı kilitler. Mümkün olduğunda, bilgisayarı korumaya yardımcı olmak için diğer güvenlik önlemlerini alın. Örneğin, güvenlik duvarı üzerindeki kısıtlamaları etkinleştirin.
Değişiklikleri kalıcı hale getirmek için bakım pencereleri kullanıyorsanız, bu pencereleri dikkatli bir şekilde planlayın. Yazma filtrelerinin devre dışı bırakıldığını en aza indirin, ancak bunları yazılım yüklemelerinin ve yeniden başlatmalarının tamamlanmasına izin verecek kadar uzun hale getirin.
Yazılım güncelleştirme tabanlı istemci yüklemesiyle en son istemci sürümünü kullanma
Yazılım güncelleştirme tabanlı istemci yüklemesini kullanıyorsanız ve siteye istemcinin daha sonraki bir sürümünü yüklüyorsanız, yayımlanan yazılım güncelleştirmesini güncelleştirin. Ardından istemciler yazılım güncelleştirme noktasından en son sürümü alır.
Siteyi güncelleştirdiğinizde, yazılım güncelleştirme noktasında yayımlanan istemci dağıtımı için yazılım güncelleştirmesi otomatik olarak güncelleştirilmez. Configuration Manager istemcisini yazılım güncelleştirme noktasına yeniden yayımlayın ve sürüm numarasını güncelleştirin.
Daha fazla bilgi için bkz. Yazılım güncelleştirme tabanlı yükleme kullanarak Configuration Manager istemcilerini yükleme.
Yalnızca güvenilen ve kısıtlı erişimli cihazlarda BitLocker PIN girişini askıya alma
İstemci ayarını yalnızca güvendiğiniz ve fiziksel erişimi kısıtlanmış bilgisayarlar için Yeniden başlatmada BitLocker PIN girişiniAlways olarak askıya al olarak yapılandırın.
Bu istemci ayarını Her Zaman olarak ayarladığınızda, Configuration Manager yazılım yüklemesini tamamlayabilir. Bu davranış kritik yazılım güncelleştirmelerinin yüklenmesine ve hizmetleri sürdürmeye yardımcı olur. Bir saldırgan yeniden başlatma işlemini durdurursa bilgisayarın denetimini ele alabilir. Bu ayarı yalnızca bilgisayara güvendiğinizde ve bilgisayara fiziksel erişim kısıtlandığında kullanın. Örneğin, bu ayar bir veri merkezindeki sunucular için uygun olabilir.
Bu istemci ayarı hakkında daha fazla bilgi için bkz. İstemci ayarları hakkında.
PowerShell yürütme ilkesini atlama
PowerShell yürütme ilkesi için Configuration Manager istemci ayarını Atla olarak yapılandırdıysanız, Windows imzasız PowerShell betiklerinin çalışmasına izin verir. Bu davranış, kötü amaçlı yazılımların istemci bilgisayarlarda çalışmasına izin verebilir. Kuruluşunuz bu seçeneği gerektirdiğinde özel bir istemci ayarı kullanın. Bunu yalnızca imzalanmamış PowerShell betiklerini çalıştırması gereken istemci bilgisayarlara atayın.
Bu istemci ayarı hakkında daha fazla bilgi için bkz. İstemci ayarları hakkında.
Mobil cihazlar için güvenlik kılavuzu
Kayıt proxy noktasını bir çevre ağına ve kayıt noktasını intranete yükleme
Configuration Manager ile kaydettiğiniz İnternet tabanlı mobil cihazlar için, kayıt proxy noktasını bir çevre ağına ve kayıt noktasını intranete yükleyin. Bu rol ayrımı, kayıt noktasının saldırıdan korunmasına yardımcı olur. Bir saldırgan kayıt noktasının güvenliğini ihlal ederse, kimlik doğrulaması için sertifikalar alabilir. Ayrıca mobil cihazlarını kaydeden kullanıcıların kimlik bilgilerini de çalabilir.
Mobil cihazların yetkisiz erişime karşı korunmasına yardımcı olmak için parola ayarlarını yapılandırma
Configuration Manager tarafından kaydedilen mobil cihazlar için: Parola karmaşıklığını PIN olarak yapılandırmak için bir mobil cihaz yapılandırma öğesi kullanın. En azından varsayılan en düşük parola uzunluğunu belirtin.
Configuration Manager istemcisi yüklü olmayan ancak Exchange Server bağlayıcısı tarafından yönetilen mobil cihazlar için: Exchange Server bağlayıcısınınParola Ayarlarını parola karmaşıklığı PIN olacak şekilde yapılandırın. En azından varsayılan en düşük parola uzunluğunu belirtin.
Yalnızca güvendiğiniz şirketler tarafından imzalanan uygulamaların çalışmasına izin ver
Uygulamaların yalnızca güvendiğiniz şirketler tarafından imzalandığında çalıştırılmasına izin vererek envanter bilgilerinin ve durum bilgilerinin kurcalanmasını önlemeye yardımcı olun. Cihazların imzalanmamış dosyaları yüklemesine izin verme.
Configuration Manager tarafından kaydedilen mobil cihazlar için: İmzasız uygulamalar güvenlik ayarını Yasaklanmış olarak yapılandırmak için bir mobil cihaz yapılandırma öğesi kullanın. İmzalanmamış dosya yüklemelerini güvenilir bir kaynak olacak şekilde yapılandırın.
Configuration Manager istemcisi yüklü olmayan ancak Exchange Server bağlayıcısı tarafından yönetilen mobil cihazlar için: Exchange Server bağlayıcısı için Uygulama Ayarlarınıİmzasız dosya yüklemesi ve İmzasız uygulamalarYasak olacak şekilde yapılandırın.
Kullanımda olmayan mobil cihazları kilitleme
Kullanılmadığında mobil cihazı kilitleyerek ayrıcalık saldırılarının yükseltilmesini önlemeye yardımcı olun.
Configuration Manager tarafından kaydedilen mobil cihazlar için: Mobil cihaz kilitlenmeden birkaç dakika önce boşta kalma süresi parola ayarını yapılandırmak için bir mobil cihaz yapılandırma öğesi kullanın.
Configuration Manager istemcisi yüklü olmayan ancak Exchange Server bağlayıcısı tarafından yönetilen mobil cihazlar için: mobil cihaz kilitlenmeden birkaç dakika önce Boşta kalma süresini ayarlamak için Exchange Server bağlayıcısının Parola Ayarlarını yapılandırın.
Mobil cihazlarını kaydedebilecek kullanıcıları kısıtlama
Mobil cihazlarını kaydedebilecek kullanıcıları kısıtlayarak ayrıcalıkların yükseltilmesini önlemeye yardımcı olun. Yalnızca yetkili kullanıcıların mobil cihazlarını kaydetmesine izin vermek için varsayılan istemci ayarları yerine özel bir istemci ayarı kullanın.
Mobil cihazlar için kullanıcı cihaz benzinim kılavuzu
Aşağıdaki senaryolarda Configuration Manager tarafından kaydedilmiş mobil cihazları olan kullanıcılara uygulama dağıtmayın:
Mobil cihaz birden fazla kişi tarafından kullanılır.
Cihaz, kullanıcı adına bir yönetici tarafından kaydedilir.
Cihaz, devre dışı bırakmadan ve sonra yeniden kaydetmeden başka bir kişiye aktarılır.
Cihaz kaydı, bir kullanıcı cihazı benzite ilişkisi oluşturur. Bu ilişki, kaydı yapan kullanıcıyı mobil cihaza eşler. Başka bir kullanıcı mobil cihazı kullanıyorsa, özgün kullanıcıya dağıtılan uygulamaları çalıştırabilir ve bu da ayrıcalıkların yükseltilmesine neden olabilir. Benzer şekilde, bir yönetici mobil cihazı bir kullanıcı için kaydederse, kullanıcıya dağıtılan uygulamalar mobil cihaza yüklenmez. Bunun yerine, yöneticiye dağıtılan uygulamalar yüklenebilir.
Configuration Manager site sunucusu ile Exchange Server arasındaki bağlantıyı koruma
Exchange Server şirket içindeyse IPsec kullanın. Barındırılan Exchange, HTTPS ile bağlantının güvenliğini otomatik olarak sağlar.
Exchange bağlayıcısı için en az ayrıcalık ilkesini kullanma
Exchange Server bağlayıcısının gerektirdiği en düşük cmdlet'lerin listesi için bkz. mobil cihazları Configuration Manager ve Exchange ile yönetme.
macOS cihazları için güvenlik kılavuzu
İstemci kaynak dosyalarını güvenli bir konumdan depolama ve bu dosyalara erişme
İstemciyi bir macOS bilgisayara yüklemeden veya kaydetmeden önce, Configuration Manager bu istemci kaynak dosyalarının üzerinde oynanıp oynanmadığını doğrulamaz. Bu dosyaları güvenilir bir kaynaktan indirin. Bunları güvenli bir şekilde depolayın ve bunlara erişin.
Sertifikanın geçerlilik süresini izleme ve izleme
macOS bilgisayarlar için kullandığınız sertifikaların geçerlilik süresini izleyin ve izleyin. Configuration Manager bu sertifikanın otomatik olarak yenilenmesini desteklemez veya sertifikanın süresinin dolmak üzere olduğu konusunda sizi uyarır. Tipik bir geçerlilik süresi bir yıldır.
Sertifikayı yenileme hakkında daha fazla bilgi için bkz. macOS istemci sertifikasını el ile yenileme.
Güvenilen kök sertifikayı yalnızca SSL için yapılandırma
Ayrıcalıkların yükseltilmesine karşı korunmaya yardımcı olmak için, güvenilen kök sertifika yetkilisinin sertifikasını yalnızca SSL protokolü için güvenilir olacak şekilde yapılandırın.
Mac bilgisayarları kaydettiğinizde, Configuration Manager istemcisini yönetmek için bir kullanıcı sertifikası otomatik olarak yüklenir. Bu kullanıcı sertifikası, güven zincirinde güvenilen kök sertifikaları içerir. Bu kök sertifikanın güvenini yalnızca SSL protokolüyle kısıtlamak için aşağıdaki yordamı kullanın:
Mac bilgisayarda bir terminal penceresi açın.
Aşağıdaki komutu girin:
sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
Anahtarlık Erişimi iletişim kutusundaki Anahtarlıklar bölümünde Sistem'i seçin. Ardından Kategori bölümünde Sertifikalar'ı seçin.
Mac istemci sertifikasının kök CA sertifikasını bulun ve açın.
Kök CA sertifikasının iletişim kutusunda Güven bölümünü genişletin ve ardından aşağıdaki değişiklikleri yapın:
Bu sertifikayı kullanırken: Her Zaman Güven ayarını Sistem Varsayılanlarını Kullan olarak değiştirin.
Güvenli Yuva Katmanı (SSL):Belirtilmemiş değeriHer Zaman Güven olarak değiştirin.
İletişim kutusunu kapatın. İstendiğinde yönetici parolasını girin ve Ardından Ayarları Güncelleştir'i seçin.
Bu yordamı tamamladıktan sonra kök sertifikaya yalnızca SSL protokolünü doğrulamak için güvenilir. Bu kök sertifikaya güvenilmeyen diğer protokoller arasında Güvenli Posta (S/MIME), Genişletilebilir Kimlik Doğrulaması (EAP) veya kod imzalama sayılabilir.
Not
İstemci sertifikasını Configuration Manager'dan bağımsız olarak yüklediyseniz de bu yordamı kullanın.
İstemciler için güvenlik sorunları
Aşağıdaki güvenlik sorunlarının risk azaltması yoktur:
Durum iletilerinin kimliği doğrulanmamış
Yönetim noktası durum iletilerinin kimliğini doğrulamaz. Bir yönetim noktası HTTP istemci bağlantılarını kabul ettiğinde, herhangi bir cihaz yönetim noktasına durum iletileri gönderebilir. Yönetim noktası yalnızca HTTPS istemci bağlantılarını kabul ederse, bir cihazın geçerli bir istemci kimlik doğrulama sertifikasına sahip olması gerekir, ancak herhangi bir durum iletisi de gönderebilir. Yönetim noktası, istemciden alınan geçersiz durum iletisini atar.
Bu güvenlik açığına karşı birkaç olası saldırı vardır:
- Saldırgan, durum iletisi sorgularını temel alan bir koleksiyonda üyelik kazanmak için sahte bir durum iletisi gönderebilir.
- Herhangi bir istemci, durum iletileriyle dolup taşarak yönetim noktasına karşı bir hizmet reddi başlatabilir.
- Durum iletileri durum iletisi filtre kurallarında eylemleri tetikliyorsa, bir saldırgan durum iletisi filtre kuralını tetikleyebilir.
- Saldırgan, raporlama bilgilerini yanlış işleyebilecek durum iletisi gönderebilir.
İlkeler hedeflenmemiş istemcilere yeniden hedeflenebilir
Saldırganların bir istemciyi hedefleyen bir ilkeyi tamamen farklı bir istemciye uygulamak için kullanabileceği çeşitli yöntemler vardır. Örneğin, güvenilen istemcideki bir saldırgan, bilgisayarın ait olmaması gereken bir koleksiyona eklenmesi için yanlış envanter veya bulma bilgileri gönderebilir. Bu istemci daha sonra bu koleksiyona yapılan tüm dağıtımları alır.
Saldırganların ilkeyi doğrudan değiştirmesini önlemeye yardımcı olmak için denetimler vardır. Ancak saldırganlar, bir işletim sistemini yeniden biçimlendiren ve yeniden dağıtan ve farklı bir bilgisayara gönderen mevcut bir ilkeyi alabilir. Bu yeniden yönlendirilen ilke bir hizmet reddi oluşturabilir. Bu tür saldırılar için kesin zamanlama ve Configuration Manager altyapısı hakkında kapsamlı bilgi gerekir.
İstemci günlükleri kullanıcı erişimine izin verir
Tüm istemci günlük dosyaları Okuma erişimine sahip Kullanıcılar grubuna ve veri yazma erişimi olan özel Etkileşimli kullanıcıya izin verir. Ayrıntılı günlüğe kaydetmeyi etkinleştirirseniz, saldırganlar uyumluluk veya sistem güvenlik açıkları hakkında bilgi aramak için günlük dosyalarını okuyabilir. İstemcinin bir kullanıcının bağlamında yüklediği yazılım gibi işlemler, düşük haklara sahip bir kullanıcı hesabıyla günlüklere yazmalıdır. Bu davranış, bir saldırganın düşük hak hesabıyla günlüklere de yazabileceği anlamına gelir.
En ciddi risk, bir saldırganın günlük dosyalarındaki bilgileri kaldırabileceğidir. Bir yöneticinin denetim ve yetkisiz erişim algılaması için bu bilgilere ihtiyacı olabilir.
Bir bilgisayar, mobil cihaz kaydı için tasarlanmış bir sertifika almak için kullanılabilir
Configuration Manager bir kayıt isteğini işlediğinde, isteğin bilgisayardan değil mobil cihazdan geldiğini doğrulayamaz. İstek bir bilgisayardan geliyorsa, Configuration Manager ile kaydolmasına izin veren bir PKI sertifikası yükleyebilir.
Bu senaryoda ayrıcalık yükseltme saldırısını önlemeye yardımcı olmak için, yalnızca güvenilen kullanıcıların mobil cihazlarını kaydetmesine izin verin. Sitedeki cihaz kayıt etkinliklerini dikkatle izleyin.
Engellenen bir istemci yönetim noktasına ileti göndermeye devam edebilir
Artık güvenmediğiniz ancak istemci bildirimi için bir ağ bağlantısı kurduğunda, Configuration Manager oturumun bağlantısını kesmez. Engellenen istemci, istemci ağ bağlantısı kesilene kadar paketleri yönetim noktasına göndermeye devam edebilir. Bu paketler yalnızca küçük, canlı tutma paketleridir. Bu istemci engeli kaldırılana kadar Configuration Manager tarafından yönetilemez.
Otomatik istemci yükseltmesi yönetim noktasını doğrulamaz
Otomatik istemci yükseltmesini kullandığınızda, istemci kaynak dosyalarını indirmek için istemci bir yönetim noktasına yönlendirilebilir. Bu senaryoda istemci, yönetim noktasını güvenilir bir kaynak olarak doğrulamaz.
Kullanıcılar macOS bilgisayarları ilk kaydettiklerinde DNS kimlik sahtekarlığına karşı risk altındadır
MacOS bilgisayarı kayıt sırasında kayıt proxy noktasına bağlandığında, macOS bilgisayarın güvenilir kök CA sertifikasına zaten sahip olması olası değildir. Bu noktada macOS bilgisayarı sunucuya güvenmez ve kullanıcıdan devam etmelerini ister. Bir sahte DNS sunucusu, kayıt proxy noktasının tam etki alanı adını (FQDN) çözümlerse, güvenilmeyen bir kaynaktan sertifika yüklemek için macOS bilgisayarı sahte bir kayıt proxy noktasına yönlendirebilir. Bu riski azaltmaya yardımcı olmak için ortamınızda kimlik sahtekarlığına karşı DNS yönergelerini izleyin.
macOS kaydı sertifika isteklerini sınırlamaz
Kullanıcılar macOS bilgisayarlarını her yeni istemci sertifikası istediğinde yeniden kaydedebilir. Configuration Manager birden çok isteği denetlemez veya tek bir bilgisayardan istenen sertifika sayısını sınırlamaz. Düzenbaz bir kullanıcı, komut satırı kayıt isteğini yineleyen bir betik çalıştırabilir. Bu saldırı ağda veya sertifika veren yetkilide (CA) hizmet reddine neden olabilir. Bu riski azaltmaya yardımcı olmak için, bu tür şüpheli davranışlar için sertifika veren CA'yı dikkatle izleyin. Configuration Manager hiyerarşisinden bu davranış desenini gösteren herhangi bir bilgisayarı hemen engelleyin.
Temizleme onayı, cihazın başarıyla silindiğini doğrulamaz
Mobil cihaz için bir temizleme eylemi başlattığınızda ve silmeyi onaylayan Configuration Manager doğrulama, Configuration Manager iletiyi başarıyla gönderdiğidir. Cihazın istek üzerine hareket ettiğini doğrulamaz.
Exchange Server bağlayıcısı tarafından yönetilen mobil cihazlar için temizleme onayı, komutun cihaz tarafından değil Exchange tarafından alındığını doğrular.
Windows Embedded cihazlarda değişiklikleri işlemek için seçenekleri kullanırsanız, hesaplar beklenenden daha erken kilitlenebilir
Windows Embedded cihazı Windows 7'den önceki bir işletim sistemi sürümünü çalıştırıyorsa ve yazma filtreleri Configuration Manager tarafından devre dışı bırakılırken kullanıcı oturum açmayı denerse, Windows hesap kilitlenmeden önce yapılandırılmış hatalı deneme sayısının yalnızca yarısına izin verir.
Örneğin, Hesap kilitleme eşiği için etki alanı ilkesini altı deneme olarak yapılandırabilirsiniz. Kullanıcı parolasını üç kez yanlış yazar ve hesap kilitlenir. Bu davranış etkili bir şekilde hizmet reddi oluşturur. Bu senaryoda kullanıcıların ekli cihazlarda oturum açması gerekiyorsa, kullanıcıları azaltılmış kilitleme eşiği olasılığı konusunda uyarın.
müşteriler için gizlilik bilgileri
Configuration Manager istemcisini dağıttığınızda, Configuration Manager özellikleri için istemci ayarlarını etkinleştirirsiniz. Özellikleri yapılandırmak için kullandığınız ayarlar Configuration Manager hiyerarşisindeki tüm istemcilere uygulanabilir. Bu davranış, iç ağa doğrudan bağlı, uzak bir oturum aracılığıyla veya İnternet'e bağlı olsalar da aynıdır.
İstemci bilgileri SQL Server Configuration Manager site veritabanında depolanır ve Microsoft'a gönderilmez. Bilgiler, 90 günde bir Eski Bulma Verilerini Sil site bakım görevi tarafından silinene kadar veritabanında tutulur. Silme aralığını yapılandırabilirsiniz.
Bazı özetlenmiş veya toplu tanılama ve kullanım verileri Microsoft'a gönderilir. Daha fazla bilgi için bkz. Tanılama ve kullanım verileri.
Microsoft'un veri toplama ve kullanma hakkında daha fazla bilgiyi Microsoft Gizlilik Bildirimi'nde bulabilirsiniz.
İstemci durumu
Configuration Manager istemcilerin etkinliğini izler. Configuration Manager istemcisini düzenli aralıklarla değerlendirir ve istemciyle ve bağımlılıklarıyla ilgili sorunları düzeltebilir. İstemci durumu varsayılan olarak etkindir. İstemci etkinlik denetimleri için sunucu tarafı ölçümleri kullanır. İstemci durumu, kendi kendine denetimler, düzeltmeler ve siteye istemci durumu bilgileri göndermek için istemci tarafı eylemleri kullanır. İstemci, kendi kendine denetimleri yapılandırdığınız bir zamanlamaya göre çalıştırır. İstemci, denetimlerin sonuçlarını Configuration Manager sitesine gönderir. Bu bilgiler aktarım sırasında şifrelenir.
İstemci durum bilgileri SQL Server Configuration Manager veritabanında depolanır ve Microsoft'a gönderilmez. Bilgiler site veritabanında şifrelenmiş biçimde depolanmaz. Bu bilgiler, aşağıdaki gün sayısı istemci durumu ayarı için İstemci durum geçmişini koru ayarı için yapılandırılan değere göre silinene kadar veritabanında tutulur. Bu ayarın varsayılan değeri 31 günde birdir.
Exchange Server Bağlayıcısı için gizlilik bilgileri
Exchange Server Bağlayıcısı, ActiveSync protokolunu kullanarak şirket içi veya barındırılan Exchange Server bağlanan cihazları bulur ve yönetir. Exchange Server Bağlayıcısı tarafından bulunan kayıtlar, SQL Server Configuration Manager veritabanında depolanır. Bilgiler Exchange Server toplanır. Mobil cihazların Exchange Server ne gönderdiğine ilişkin ek bilgiler içermez.
Mobil cihaz bilgileri Microsoft'a gönderilmez. Mobil cihaz bilgileri, SQL Server Configuration Manager veritabanında depolanır. Bilgiler, 90 günde bir Eski Bulma Verilerini Sil site bakım görevi tarafından silinene kadar veritabanında tutulur. Silme aralığını yapılandırabilirsiniz.
Microsoft'un veri toplama ve kullanma hakkında daha fazla bilgiyi Microsoft Gizlilik Bildirimi'nde bulabilirsiniz.