Configuration Manager'da güvenlik planı

Uygulama hedefi: Configuration Manager (güncel dalı)

Bu makalede Configuration Manager uygulamanızla güvenlik planlaması yaparken göz önünde bulundurmanız gereken aşağıdaki kavramlar açıklanmaktadır:

  • Sertifikalar (otomatik olarak imzalanan ve PKI)

  • Güvenilen kök anahtar

  • İmzalama ve şifreleme

  • Rol tabanlı yönetim

  • Microsoft Entra ID

  • SMS Sağlayıcısı kimlik doğrulaması

Başlamadan önce Configuration Manager'da güvenliğin temellerini bildiğinizden emin olun.

Sertifikalar

Configuration Manager, otomatik olarak imzalanan ve ortak anahtar altyapısı (PKI) dijital sertifikalarının bir birleşimini kullanır. Mümkün olduğunda PKI sertifikalarını kullanın. Bazı senaryolarda PKI sertifikaları gerekir. PKI sertifikaları kullanılamadığında site otomatik olarak otomatik olarak imzalanan sertifikalar oluşturur. Bazı senaryolarda her zaman otomatik olarak imzalanan sertifikalar kullanılır.

Daha fazla bilgi için bkz. Sertifikaları planlama.

Güvenilen kök anahtar

Configuration Manager güvenilen kök anahtarı, Configuration Manager istemcileri için site sistemlerinin hiyerarşilerine ait olduğunu doğrulamak için bir mekanizma sağlar. Her site sunucusu, diğer sitelerle iletişim kurmak için bir site değişim anahtarı oluşturur. Hiyerarşideki en üst düzey siteden site değişim anahtarına güvenilen kök anahtar adı verilir.

Configuration Manager'daki güvenilen kök anahtarın işlevi, ortak anahtar altyapısındaki bir kök sertifikaya benzer. Güvenilen kök anahtarın özel anahtarı tarafından imzalanan her şeye hiyerarşinin daha aşağısı için güvenilir. İstemciler, sitenin güvenilen kök anahtarının bir kopyasını WMI ad alanında root\ccm\locationservices depolar.

Örneğin, site yönetim noktasına güvenilen kök anahtarın özel anahtarıyla imzaladığı bir sertifika sağlar. Site, istemcilerle güvenilen kök anahtarının ortak anahtarını paylaşır. Daha sonra istemciler hiyerarşilerindeki yönetim noktalarıyla hiyerarşilerinde olmayan yönetim noktaları arasında ayrım yapabilir.

İstemciler, iki mekanizma kullanarak güvenilen kök anahtarın ortak kopyasını otomatik olarak alır:

  • Configuration Manager için Active Directory şemasını genişletir ve siteyi Active Directory Etki Alanı Hizmetleri'nde yayımlarsınız. Ardından istemciler bu site bilgilerini genel katalog sunucusundan alır. Daha fazla bilgi için bkz. Active Directory'yi site yayımlamaya hazırlama.

  • İstemci gönderme yükleme yöntemini kullanarak istemcileri yüklediğinizde. Daha fazla bilgi için bkz. İstemci anında yükleme.

İstemciler bu mekanizmalardan birini kullanarak güvenilen kök anahtarı alamazsa, iletişim kurdıkları ilk yönetim noktası tarafından sağlanan güvenilir kök anahtara güvenir. Bu senaryoda, istemci bir saldırganın yönetim noktasına yanlış yönlendirilebilir ve burada ilkeyi yanlış yönetim noktasından alabilir. Bu eylem karmaşık bir saldırgan gerektirir. Bu saldırı, istemcinin geçerli bir yönetim noktasından güvenilen kök anahtarı almasından önceki kısa süreyle sınırlıdır. Bir saldırganın istemcileri hatalı bir yönetim noktasına yönlendirme riskini azaltmak için istemcilere güvenilir kök anahtarı önceden sağlayın.

Güvenilen kök anahtarı yönetmeye yönelik daha fazla bilgi ve yordam için bkz. Güvenliği yapılandırma.

İmzalama ve şifreleme

Tüm istemci iletişimleri için PKI sertifikalarını kullandığınızda, istemci veri iletişiminin güvenliğini sağlamaya yardımcı olmak için imzalama ve şifreleme planlamanız gerekmez. IIS çalıştıran herhangi bir site sistemini HTTP istemci bağlantılarına izin verecek şekilde ayarlarsanız, site için istemci iletişiminin güvenliğini sağlamaya nasıl yardımcı olun gerektiğine karar verin.

Önemli

Configuration Manager sürüm 2103'den başlayarak, HTTP istemci iletişimi sağlayan siteler kullanım dışıdır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırın. Daha fazla bilgi için bkz . Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.

İstemcilerin yönetim noktalarına gönderdiği verilerin korunmasına yardımcı olmak için istemcilerin verileri imzalamasını gerektirebilirsiniz. İmzalama için SHA-256 algoritması da gerekebilir. Bu yapılandırma daha güvenlidir, ancak tüm istemciler desteklemediği sürece SHA-256 gerektirmez. Birçok işletim sistemi bu algoritmayı yerel olarak destekler, ancak eski işletim sistemleri bir güncelleştirme veya düzeltme gerektirebilir.

İmzalama, verilerin kurcalanmaya karşı korunmasına yardımcı olurken, şifreleme de verilerin bilgilerin açığa çıkmasına karşı korunmasına yardımcı olur. İstemcilerin sitedeki yönetim noktalarına gönderdiği envanter verileri ve durum iletileri için şifrelemeyi etkinleştirebilirsiniz. Bu seçeneği desteklemek için istemcilere güncelleştirme yüklemeniz gerekmez. İstemciler ve yönetim noktaları şifreleme ve şifre çözme için daha fazla CPU kullanımı gerektirir.

Not

İstemci, verileri şifrelemek için yönetim noktasının şifreleme sertifikasının ortak anahtarını kullanır. Yalnızca yönetim noktası ilgili özel anahtara sahip olduğundan verilerin şifresini yalnızca çözebilir.

İstemci bu sertifikayı yönetim noktasının imzalama sertifikasıyla önyükler ve bu sertifikayı sitenin güvenilen kök anahtarıyla önyükler. İstemcilerde güvenilir kök anahtarı güvenli bir şekilde sağladığından emin olun. Daha fazla bilgi için bkz . Güvenilen kök anahtar.

İmzalama ve şifreleme ayarlarını yapılandırma hakkında daha fazla bilgi için bkz. İmzalama ve şifrelemeyi yapılandırma.

İmzalama ve şifreleme için kullanılan şifreleme algoritmaları hakkında daha fazla bilgi için bkz . Şifreleme denetimleri teknik başvurusu.

Rol tabanlı yönetim

Configuration Manager ile, yönetici kullanıcıların Configuration Manager'ı kullanması gereken erişimin güvenliğini sağlamak için rol tabanlı yönetim kullanırsınız. Ayrıca koleksiyonlar, dağıtımlar ve siteler gibi yönettiğiniz nesnelere erişimin güvenliğini de sağlarsınız.

Güvenlik rolleri, güvenlik kapsamları ve koleksiyonların birleşimiyle, kuruluşunuzun gereksinimlerini karşılayan yönetim atamalarını ayırırsınız. Birlikte kullanıldığında, kullanıcının yönetim kapsamını tanımlar. Bu yönetim kapsamı, bir yönetici kullanıcının Configuration Manager konsolunda görüntülediği nesneleri denetler ve bir kullanıcının bu nesneler üzerinde sahip olduğu izinleri denetler.

Daha fazla bilgi için bkz. Rol tabanlı yönetimin temelleri.

Microsoft Entra ID

Configuration Manager, sitenin ve istemcilerin modern kimlik doğrulamasını kullanmasını sağlamak için Microsoft Entra Id ile tümleşir.

Microsoft Entra Id hakkında daha fazla bilgi için Bkz. Microsoft Entra belgeleri.

Sitenizi Microsoft Entra ID ile eklemek aşağıdaki Configuration Manager senaryolarını destekler:

İstemci senaryoları

Sunucu senaryoları

SMS Sağlayıcısı kimlik doğrulaması

Yöneticilerin Configuration Manager sitelerine erişmesi için en düşük kimlik doğrulama düzeyini belirtebilirsiniz. Bu özellik yöneticilerin Configuration Manager'a erişebilmeleri için gerekli düzeyle Windows'ta oturum açmalarını zorunlu kılabilir. SMS Sağlayıcısına erişen tüm bileşenler için geçerlidir. Örneğin Configuration Manager konsolu, SDK yöntemleri ve Windows PowerShell cmdlet'leri.

Configuration Manager aşağıdaki kimlik doğrulama düzeylerini destekler:

  • Windows kimlik doğrulaması: Active Directory etki alanı kimlik bilgileriyle kimlik doğrulaması gerektirir. Bu ayar önceki davranıştır ve geçerli varsayılan ayardır.

  • Sertifika kimlik doğrulaması: Güvenilir bir PKI sertifika yetkilisi tarafından verilen geçerli bir sertifikayla kimlik doğrulaması gerektirir. Bu sertifikayı Configuration Manager'da yapılandırmazsınız. Configuration Manager, yöneticinin PKI kullanarak Windows'ta oturum açmasını gerektirir.

  • İş İçin Windows Hello kimlik doğrulaması: Bir cihaza bağlı ve biyometri veya PIN kullanan güçlü iki faktörlü kimlik doğrulaması ile kimlik doğrulaması gerektirir. Daha fazla bilgi için bkz. İş İçin Windows Hello.

    Önemli

    Bu ayarı seçtiğinizde SMS Sağlayıcısı ve yönetim hizmeti, kullanıcının kimlik doğrulama belirtecinin İş İçin Windows Hello'dan çok faktörlü kimlik doğrulaması (MFA) talebi içermesini gerektirir. Başka bir deyişle, konsol, SDK, PowerShell veya yönetim hizmeti kullanıcısının İş İçin Windows Hello PIN'i veya biyometrik ile Windows'ta kimlik doğrulaması gerçekleştirmesi gerekir. Aksi takdirde site kullanıcının eylemini reddeder.

    Bu davranış İş İçin Windows Hello'ya yöneliktir, Windows Hello'ya yönelik değildir.

Bu ayarı yapılandırma hakkında daha fazla bilgi için bkz. SMS Sağlayıcısı kimlik doğrulamasını yapılandırma.

Sonraki adımlar