Podstawy bezpieczeństwa Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
W tym artykule podsumowano następujące podstawowe składniki zabezpieczeń dowolnego środowiska Configuration Manager:
- Warstwy zabezpieczeń
- Administracja oparta na rolach
- Zabezpieczanie punktów końcowych klienta
- Configuration Manager kont i grup
- Prywatność
Warstwy zabezpieczeń
Zabezpieczenia Configuration Manager składają się z następujących warstw:
- Zabezpieczenia systemu operacyjnego Windows i sieci
- Infrastruktura sieciowa: zapory, wykrywanie włamań, infrastruktura kluczy publicznych (PKI)
- Configuration Manager mechanizmów kontroli zabezpieczeń
- Dostawca programu SMS
- Uprawnienia bazy danych lokacji
Zabezpieczenia systemu operacyjnego Windows i sieci
Pierwsza warstwa jest udostępniana przez funkcje zabezpieczeń systemu Windows zarówno dla systemu operacyjnego, jak i sieci. Ta warstwa zawiera następujące składniki:
Udostępnianie plików w celu transferu plików między składnikami Configuration Manager.
Access Control list (ACL), aby ułatwić zabezpieczanie plików i kluczy rejestru.
Zabezpieczenia protokołu internetowego (IPsec) ułatwiające zabezpieczanie komunikacji.
Zasady grupy, aby ustawić zasady zabezpieczeń.
Uprawnienia modelu obiektów składników rozproszonych (DCOM) dla aplikacji rozproszonych, takich jak konsola Configuration Manager.
Active Directory Domain Services do przechowywania podmiotów zabezpieczeń.
Zabezpieczenia konta systemu Windows, w tym niektóre grupy, które Configuration Manager tworzone podczas instalacji.
Infrastruktura sieciowa
Składniki zabezpieczeń sieci, takie jak zapory i wykrywanie włamań, pomagają zapewnić ochronę całego środowiska. Certyfikaty wystawione przez standardowe implementacje infrastruktury kluczy publicznych (PKI) ułatwiają uwierzytelnianie, podpisywanie i szyfrowanie.
Configuration Manager mechanizmów kontroli zabezpieczeń
Domyślnie tylko administratorzy lokalni mają prawa do plików i kluczy rejestru wymaganych przez konsolę Configuration Manager na komputerach, na których są instalowane.
Dostawca programu SMS
Następna warstwa zabezpieczeń jest oparta na dostępie do dostawcy programu SMS. Dostawca programu SMS to składnik Configuration Manager, który udziela użytkownikowi dostępu do zapytań dotyczących bazy danych lokacji w celu uzyskania informacji. Dostawca programu SMS uwidacznia przede wszystkim dostęp za pośrednictwem instrumentacji zarządzania windows (WMI), ale także interfejsu API REST o nazwie usługa administracyjna.
Domyślnie dostęp do dostawcy jest ograniczony do członków lokalnej grupy Administratorzy programu SMS . Ta grupa na początku zawiera tylko użytkownika, który zainstalował Configuration Manager. Aby przyznać innym kontom uprawnienia do repozytorium Modelu wspólnych informacji (CIM) i dostawcy programu SMS, dodaj inne konta do grupy Administratorzy programu SMS.
Możesz określić minimalny poziom uwierzytelniania dla administratorów, aby uzyskać dostęp do Configuration Manager witryn. Ta funkcja wymusza na administratorach logowanie się do systemu Windows przy użyciu wymaganego poziomu. Aby uzyskać więcej informacji, zobacz Planowanie dostawcy programu SMS.
Uprawnienia bazy danych lokacji
Ostatnia warstwa zabezpieczeń jest oparta na uprawnieniach do obiektów w bazie danych lokacji. Domyślnie konto systemu lokalnego i konto użytkownika użyte do zainstalowania Configuration Manager mogą administrować wszystkimi obiektami w bazie danych lokacji. Udzielanie i ograniczanie uprawnień innym użytkownikom administracyjnym w konsoli Configuration Manager przy użyciu administracji opartej na rolach.
Administracja oparta na rolach
Configuration Manager używa administracji opartej na rolach do zabezpieczania obiektów, takich jak kolekcje, wdrożenia i lokacje. Ten model administracji centralnie definiuje ustawienia dostępu do zabezpieczeń w całej hierarchii i zarządza nimi dla wszystkich lokacji i ustawień lokacji.
Administrator przypisuje role zabezpieczeń do użytkowników administracyjnych i uprawnień grupy. Uprawnienia są połączone z różnymi typami obiektów Configuration Manager, na przykład w celu utworzenia lub zmiany ustawień klienta.
Zakresy zabezpieczeń obejmują określone wystąpienia obiektów, które użytkownik administracyjny jest odpowiedzialny za zarządzanie. Na przykład aplikacja, która instaluje konsolę Configuration Manager.
Kombinacja ról zabezpieczeń, zakresów zabezpieczeń i kolekcji definiuje obiekty, które użytkownik administracyjny może wyświetlać i zarządzać nimi. Configuration Manager instaluje niektóre domyślne role zabezpieczeń dla typowych zadań zarządzania. Utwórz własne role zabezpieczeń, aby spełnić określone wymagania biznesowe.
Aby uzyskać więcej informacji, zobacz Podstawy administracji opartej na rolach.
Zabezpieczanie punktów końcowych klienta
Configuration Manager zabezpiecza komunikację klienta z rolami systemu lokacji przy użyciu certyfikatów z podpisem własnym lub PKI albo tokenów Microsoft Entra. Niektóre scenariusze wymagają użycia certyfikatów infrastruktury kluczy publicznych. Na przykład internetowe zarządzanie klientami i dla klientów urządzeń przenośnych.
Można skonfigurować role systemu lokacji, z którymi klienci łączą się w celu komunikacji z klientem HTTPS lub HTTP. Komputery klienckie zawsze komunikują się przy użyciu najbezpieczniejszej dostępnej metody. Komputery klienckie wracają do korzystania z mniej bezpiecznej metody komunikacji tylko wtedy, gdy masz role systemów lokacji, które umożliwiają komunikację HTTP.
Ważna
Począwszy od Configuration Manager wersji 2103, witryny, które zezwalają na komunikację klienta HTTP, są przestarzałe. Skonfiguruj witrynę pod kątem protokołu HTTPS lub rozszerzonego protokołu HTTP. Aby uzyskać więcej informacji, zobacz Włączanie witryny dla protokołu HTTPS lub rozszerzonego protokołu HTTP.
Aby uzyskać więcej informacji, zobacz Planowanie zabezpieczeń.
Configuration Manager kont i grup
Configuration Manager używa konta systemu lokalnego dla większości operacji lokacji. Niektóre operacje lokacji umożliwiają korzystanie z konta usługi zamiast konta komputera domeny serwera lokacji. Niektóre zadania zarządzania mogą wymagać utworzenia i utrzymania innych kont. Na przykład, aby dołączyć do domeny podczas sekwencji zadań wdrażania systemu operacyjnego.
Configuration Manager tworzy kilka domyślnych grup i ról SQL Server podczas instalacji. Może być konieczne ręczne dodanie kont komputerów lub użytkowników do grup domyślnych i SQL Server ról.
Aby uzyskać więcej informacji, zobacz Konta używane w Configuration Manager.
Prywatność
Przed zaimplementowaniem Configuration Manager należy wziąć pod uwagę wymagania dotyczące prywatności. Mimo że produkty do zarządzania przedsiębiorstwem oferują wiele korzyści, ponieważ mogą skutecznie zarządzać wieloma klientami, to oprogramowanie może mieć wpływ na prywatność użytkowników w organizacji. Configuration Manager zawiera wiele narzędzi do zbierania danych i monitorowania urządzeń. Niektóre narzędzia mogą zgłaszać obawy dotyczące prywatności w organizacji.
Na przykład podczas instalowania klienta Configuration Manager domyślnie włącza on wiele ustawień zarządzania. Ta konfiguracja powoduje, że oprogramowanie klienckie wysyła informacje do lokacji Configuration Manager. Witryna przechowuje informacje o kliencie w bazie danych lokacji. Informacje o kliencie nie są wysyłane bezpośrednio do firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dane diagnostyczne i dane użycia.