Configuration Manager'de içerik yönetimi için güvenlik ve gizlilik
Uygulama hedefi: Configuration Manager (güncel dalı)
Bu makale, Configuration Manager içerik yönetimi için güvenlik ve gizlilik bilgilerini içerir.
Güvenlik kılavuzu
İntranet dağıtım noktaları için HTTPS veya HTTP'nin avantajları ve dezavantajları
İntranet üzerindeki dağıtım noktaları için HTTPS veya HTTP kullanmanın avantajlarını ve dezavantajlarını göz önünde bulundurun. Çoğu senaryoda, yetkilendirme için HTTP ve paket erişim hesaplarının kullanılması, HTTPS'yi şifrelemeyle ancak yetkilendirme olmadan kullanmaktan daha fazla güvenlik sağlar. Ancak, içeriğinizde aktarım sırasında şifrelemek istediğiniz hassas verileriniz varsa HTTPS kullanın.
Dağıtım noktası için HTTPS kullandığınızda: Configuration Manager içeriğe erişimi yetkilendirmek için paket erişim hesaplarını kullanmaz. İçerik ağ üzerinden aktarıldığında şifrelenir.
Dağıtım noktası için HTTP kullandığınızda: Yetkilendirme için paket erişim hesaplarını kullanabilirsiniz. İçerik ağ üzerinden aktarıldığında şifrelenmez.
Site için Gelişmiş HTTP'yi etkinleştirmeyi göz önünde bulundurun. Bu özellik istemcilerin bir HTTP dağıtım noktasıyla güvenli bir şekilde iletişim kurmak için Microsoft Entra kimlik doğrulamasını kullanmasına olanak tanır. Daha fazla bilgi için bkz . Gelişmiş HTTP.
Önemli
Configuration Manager sürüm 2103'den başlayarak, HTTP istemci iletişimi sağlayan siteler kullanım dışı bırakılmıştır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırın. Daha fazla bilgi için bkz . Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.
İstemci kimlik doğrulama sertifikası dosyasını koruma
Dağıtım noktası için otomatik olarak imzalanan bir sertifika yerine PKI istemci kimlik doğrulama sertifikası kullanıyorsanız, sertifika dosyasını (.pfx) güçlü bir parolayla koruyun. Dosyayı ağda depolarsanız, dosyayı Configuration Manager içeri aktarırken ağ kanalının güvenliğini sağlayın.
Dağıtım noktasının yönetim noktalarıyla iletişim kurmak için kullandığı istemci kimlik doğrulama sertifikasını içeri aktarmak için parolaya ihtiyacınız olduğunda, bu yapılandırma sertifikayı bir saldırgandan korumaya yardımcı olur. Bir saldırganın sertifika dosyasıyla oynamasını önlemek için, ağ konumu ile site sunucusu arasında sunucu ileti bloğu (SMB) imzalama veya IPsec kullanın.
Dağıtım noktası rolünü site sunucusundan kaldırma
Varsayılan olarak, Configuration Manager kurulumu site sunucusuna bir dağıtım noktası yükler. İstemcilerin site sunucusuyla doğrudan iletişim kurması gerekmez. Saldırı yüzeyini azaltmak için dağıtım noktası rolünü diğer site sistemlerine atayın ve site sunucusundan kaldırın.
Paket erişim düzeyinde güvenli içerik
Dağıtım noktası paylaşımı tüm kullanıcılara okuma erişimi sağlar. hangi kullanıcıların içeriğe erişebileceğini kısıtlamak için, dağıtım noktası HTTP için yapılandırıldığında paket erişim hesaplarını kullanın. Bu yapılandırma, paket erişim hesaplarını desteklemeyen içerik özellikli bulut yönetimi ağ geçitleri için geçerli değildir.
Daha fazla bilgi için bkz . Paket erişim hesapları.
Dağıtım noktası rolünde IIS'yi yapılandırma
Configuration Manager bir dağıtım noktası site sistemi rolü eklediğinizde IIS yüklerse, dağıtım noktası yüklemesi tamamlandığında HTTP yeniden yönlendirmesinive IIS Yönetim Betikleri ve Araçları'nı kaldırın. Dağıtım noktası bu bileşenleri gerektirmez. Saldırı yüzeyini azaltmak için web sunucusu rolü için bu rol hizmetlerini kaldırın.
Dağıtım noktaları için web sunucusu rolüne yönelik rol hizmetleri hakkında daha fazla bilgi için bkz . Site ve site sistemi önkoşulları.
Paketi oluştururken paket erişim izinlerini ayarlama
Paket dosyalarındaki erişim hesaplarında yapılan değişiklikler yalnızca paketi yeniden dağıttığınızda etkili olduğundan, paketi ilk oluşturduğunuzda paket erişim izinlerini dikkatli bir şekilde ayarlayın. Bu yapılandırma, paket büyük olduğunda veya birçok dağıtım noktasına dağıtıldığında ve içerik dağıtımı için ağ bant genişliği kapasitesi sınırlı olduğunda önemlidir.
Önceden hazırlanmış içerik içeren medyayı korumak için erişim denetimleri uygulama
Önceden hazırlanan içerik sıkıştırılır ancak şifrelenmez. Saldırgan, cihazlara indirilen dosyaları okuyabilir ve değiştirebilir. Configuration Manager istemciler üzerinde oynanan içeriği reddeder, ancak yine de indirirler.
ExtractContent ile önceden hazırlanmış içeriği içeri aktarma
Önceden hazırlanan içeriği yalnızca ExtractContent.exe komut satırı aracını kullanarak içeri aktarın. Ayrıcalıkların kurcalanmasını ve yükseltilmesini önlemek için yalnızca Configuration Manager ile birlikte gelen yetkili komut satırı aracını kullanın.
Daha fazla bilgi için bkz. İçeriği dağıtma ve yönetme.
Site sunucusu ile paket kaynağı konumu arasındaki iletişim kanalının güvenliğini sağlama
İçerik içeren uygulamalar, paket ve diğer nesneleri oluştururken site sunucusu ile paket kaynağı konumu arasında IPsec veya SMB imzalama kullanın. Bu yapılandırma, saldırganın kaynak dosyaları kurcalamasını önlemeye yardımcı olur.
Dağıtım noktası rolüyle özel web sitesi için varsayılan sanal dizinleri kaldırma
Dağıtım noktası rolünü yükledikten sonra site yapılandırma seçeneğini varsayılan web sitesi yerine özel bir web sitesi kullanacak şekilde değiştirirseniz, varsayılan sanal dizinleri kaldırın. Varsayılan web sitesinden özel bir web sitesine geçiş yaptığınızda Configuration Manager eski sanal dizinleri kaldırmaz. İlk olarak varsayılan web sitesi altında oluşturulan Configuration Manager aşağıdaki sanal dizinleri kaldırın:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
Özel bir web sitesi kullanma hakkında daha fazla bilgi için bkz . Site sistemi sunucuları için web siteleri.
İçerik özellikli bulut yönetimi ağ geçitleri için Azure aboneliğinizin ayrıntılarını ve sertifikalarını koruyun
İçerik etkin bulut yönetimi ağ geçitlerini (CMG) kullandığınızda, aşağıdaki yüksek değerli öğeleri koruyun:
- Azure aboneliğinizin kullanıcı adı ve parolası
- Azure uygulama kayıtları için gizli anahtarlar
- Sunucu kimlik doğrulama sertifikası
Sertifikaları güvenli bir şekilde depolayın. CMG'yi yapılandırırken ağ üzerinden bunlara göz atarsanız, site sistem sunucusu ile kaynak konum arasında IPsec veya SMB imzalamayı kullanın.
Hizmet sürekliliği için CMG sertifikalarının süre sonu tarihini izleyin
Configuration Manager, CMG için içeri aktarılan sertifikaların süresi dolmak üzere olduğunda sizi uyarmaz. Süre sonu tarihlerini Configuration Manager bağımsız olarak izleyin. Yenilediğinizden emin olun ve son kullanma tarihinden önce yeni sertifikaları içeri aktarın. Yenilenen bir sertifikayı almak için daha fazla zamana ihtiyacınız olabileceğinden, dış, genel sağlayıcıdan bir sunucu kimlik doğrulama sertifikası alırsanız bu eylem önemlidir.
Sertifikanın süresi dolarsa, Configuration Manager bulut hizmetleri yöneticisi 9425 kimliğine sahip bir durum iletisi oluşturur. CloudMgr.log dosyası, sertifikanın süresi dolmuş durumda olduğunu ve bitiş tarihinin utc olarak da günlüğe kaydedildiğini belirten bir girdi içerir.
Güvenlikle ilgili dikkat edilmesi gerekenler
İstemciler, indirilene kadar içeriği doğrulamaz. Configuration Manager istemcileri içerik üzerindeki karmayı yalnızca istemci önbelleklerine indirildikten sonra doğrular. Bir saldırgan, indirilmesi gereken dosyaların listesiyle veya içeriğin kendisiyle oynanırsa, indirme işlemi önemli ölçüde ağ bant genişliğine sahip olabilir. Ardından istemci geçersiz karmayı bulduğunda içeriği atar.
İçerik etkin bulut yönetimi ağ geçitlerini kullandığınızda:
İçeriğin kuruluşunuza erişimini otomatik olarak kısıtlar. Seçili kullanıcılar veya gruplar için daha fazla kısıtlama yapamazsınız.
Yönetim noktası önce istemcinin kimliğini doğrular. Ardından istemci, bulut depolamaya erişmek için bir Configuration Manager belirteci kullanır. Belirteç sekiz saat geçerlidir. Bu davranış, artık güvenilir olmadığı için bir istemciyi engellerseniz, bu belirtecin süresi dolana kadar bulut depolama alanından içerik indirmeye devam edebilir. Yönetim noktası, engellendiği için istemci için başka bir belirteç vermez.
Engellenen bir istemcinin bu sekiz saatlik süre içinde içerik indirmesini önlemek için bulut hizmetini durdurun. Configuration Manager konsolunda Yönetim çalışma alanına gidin, Cloud Services genişletin ve Bulut Yönetimi Ağ Geçidi düğümünü seçin.
Gizlilik bilgileri
Configuration Manager içerik dosyalarına kullanıcı verileri dahil değildir, ancak yönetici kullanıcı bu eylemi yapmayı seçebilir.