Udostępnij za pośrednictwem


Bezpieczeństwo i ochrona prywatności dotyczące administrowania lokacją w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

W tej części zawarto informacje o zabezpieczeniach i ochronie prywatności w lokacjach i hierarchii programu System Center 2012 Configuration Manager:

  • Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące administrowania lokacją

    • Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące serwera lokacji

    • Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące programu SQL Server

    • Najlepsze rozwiązania w zakresie bezpieczeństwa dotyczące systemów lokacji z uruchomionymi usługami IIS

    • Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące punktu zarządzania

    • Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące rezerwowego punktu stanu

    • Problemy z bezpieczeństwem dotyczące administrowania lokacją

  • Informacje o ochronie prywatności dotyczące odnajdywania

Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące administrowania lokacją

W zabezpieczeniu lokacji i hierarchii programu System Center 2012 Configuration Manager pomoże zastosowanie poniższych najlepszych rozwiązań w zakresie zabezpieczeń.

Najlepsze rozwiązanie w zakresie zabezpieczeń

Więcej informacji

Uruchamiaj Instalatora tylko z zaufanego źródła, zabezpieczając kanał komunikacji między nośnikiem z Instalatorem a serwerem lokacji.

Aby przeciwdziałać naruszeniu plików źródłowych, uruchamiaj Instalatora z zaufanego źródła. W przypadku składowania plików w sieci zabezpiecz lokalizację sieciową.

W razie uruchamiania Instalatora z lokalizacji sieciowej, w celu przeciwdziałania naruszeniu plików przez osobę atakującą w trakcie transmisji plików w sieci, używaj protokołu IPsec lub podpisywania SMB między lokalizacją źródłową plików Instalatora a serwerem lokacji.

Ponadto, jeśli pliki wymagane przez Instalatora są pobierane za pomocą Narzędzia pobierania Instalatora, nie zapomnij zabezpieczyć także lokalizacji, w której pliki są składowane, i kanału komunikacyjnego z tą lokalizacją w czasie uruchamiania Instalatora.

Rozszerz schemat usługi Active Directory dla programu System Center 2012 Configuration Manager i publikuj lokacje w usługach domenowych Active Directory.

Nie wymaga się, aby na rozszerzeniach schematu był uruchamiany program Microsoft System Center 2012 Configuration Manager, ale faktycznie tworzą one bezpieczniejsze środowisko, bo dzięki nim klienci i serwery lokacji programu Menedżer konfiguracji mogą pobierać informacje z zaufanego źródła.

Jeśli klienci znajdują się w domenie niezaufanej, wdróż w ich domenie następujące role systemu lokacji:

  • Punkt zarządzania

  • Punkt dystrybucji

  • Punkt witryny sieci Web katalogu aplikacji

Uwaga

Domena zaufana z perspektywy programu Menedżer konfiguracji wymaga uwierzytelniania Kerberos, tak więc jeśli klienci znajdują się w innym lesie, który nie ma relacji wzajemnego zaufania lasu z lasem serwera lokacji, to uznaje się, że ci klienci przebywają w domenie niezaufanej. Zaufanie zewnętrzne w tym przypadku nie jest wystarczające.

Użyj protokołu IPsec do zabezpieczenia komunikacji między serwerami systemu lokacji a lokacjami.

Choć program Menedżer konfiguracji zabezpiecza komunikację między serwerem lokacji a komputerem z programem SQL Server, to komunikacja między rolami systemu lokacji a programem SQL Server nie jest w programie Menedżer konfiguracji zabezpieczona. Używanie protokołu HTTPS do komunikacji wewnątrz danej lokacji można skonfigurować tylko w niektórych systemach lokacji (w punkcie rejestracji i punkcie usługi sieci Web Katalogu aplikacji).

Jeśli nie zabezpieczy się kanałów serwer-serwer dodatkowymi środkami, osoby atakujące mogą wykorzystać przeciwko systemom lokacji rozmaite rodzaje ataków fałszujących i ataków typu man-in-the-middle. Jeśli nie można użyć protokołu IPsec, należy użyć funkcji podpisywania SMB.

Uwaga

Szczególnie ważne jest zabezpieczenie kanału komunikacyjnego między serwerem lokacji a serwerem źródłowym pakietu. Ta komunikacja wykorzystuje protokół SMB. Jeśli do zabezpieczenia tej komunikacji nie można użyć protokołu IPsec, użyj podpisywania SMB w celu upewnienia się, że pliki nie zostaną przez nikogo naruszone, zanim klienci pobiorą je i uruchomią.

Nie zmieniaj grup zabezpieczeń, które program Menedżer konfiguracji tworzy i którymi zarządza w zakresie komunikacji systemu lokacji:

  • SMS_SiteSystemToSiteServerConnection_MP_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_SMSProv_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_Stat_<SiteCode>

Program Menedżer konfiguracji automatycznie tworzy te grupy zabezpieczeń i zarządza nimi. Obejmuje to między innymi usuwanie kont komputerów wraz z usunięciem roli systemu lokacji.

W celu zapewnienia ciągłości usługi i najniższego stopnia uprawnień nie należy edytować tych grup ręcznie.

Jeśli klienci nie mogą wysyłać zapytań do serwera wykazu globalnego o informacje z programu Menedżer konfiguracji, zarządzaj procesem udostępniania zaufanego klucza głównego.

Jeśli klienci nie mogą wysyłać zapytań do wykazu globalnego o informacje z programu Menedżer konfiguracji, to w celu uwierzytelniania ważnych punktów zarządzania muszą polegać na zaufanym kluczu głównym. Zaufany klucz główny, który jest przechowywany w rejestrze klienta, można ustawiać za pomocą zasad grupy lub konfiguracji ręcznej.

Jeśli klient nie ma kopii zaufanego klucza głównego, zanim po raz pierwszy skontaktuje się z punktem zarządzania, to ufa pierwszemu punktowi zarządzania, z którym się komunikuje. W celu ograniczenia ryzyka błędnego skierowania klientów do nieautoryzowanego punktu zarządzania przez osobę postronną można wstępnie udostępnić klientom zaufany klucz główny. Aby uzyskać więcej informacji, zobacz Planowanie zaufanego klucza głównego.

Używaj numerów portów innych niż domyślne.

Używanie numerów portów innych niż domyślne może stanowić dodatkowy poziom zabezpieczeń, ponieważ utrudni potencjalnym osobom atakującym eksplorację środowiska i przygotowanie ataku. Jeśli zdecydujesz się używać portów innych niż domyślne, zaplanuj je przed instalacją programu Menedżer konfiguracji i używaj ich konsekwentnie we wszystkich lokacjach w hierarchii. Miejsca, w których warto użyć numerów portów innych niż domyślne, to na przykład porty żądań klientów i porty funkcji Wake On LAN.

Używaj separacji ról w systemach lokacji.

Choć można by zainstalować wszystkie role systemu lokacji na jednym komputerze, w sieciach produkcyjnych jest to rzadko praktykowane, ponieważ tworzy się w ten sposób pojedynczy punkt awarii.

Zredukuj zasięg potencjalnego ataku.

Izolowanie każdej roli systemu lokacji na innym serwerze zmniejsza ryzyko, że atak wykorzystujący lukę w zabezpieczeniach jednego systemu lokacji zostanie powtórzony na innym systemie lokacji. Wiele ról systemu lokacji wymaga zainstalowania w systemie lokacji usług Internet Information Services (IIS), co zwiększa zasięg ewentualnego ataku. Jeśli w celu zmniejszenia inwestycji w sprzęt zachodzi potrzeba łączenia ze sobą niektórych ról systemu lokacji, należy łączyć role systemu lokacji wymagające usług IIS tylko z innymi rolami systemu lokacji wymagającymi usług IIS.

System_CAPS_importantWażne

Wyjątek stanowi rola rezerwowego punktu stanu: ponieważ ta rola systemu lokacji akceptuje od klientów dane nieuwierzytelnione, rola rezerwowego punktu stanu nie powinna być nigdy przypisywana do żadnej innej roli systemu lokacji programu Menedżer konfiguracji.

Stosuj najlepsze rozwiązania w zakresie zabezpieczeń dotyczące systemu Windows Server i we wszystkich systemach lokacji uruchamiaj Kreatora konfiguracji zabezpieczeń.

Kreator konfiguracji zabezpieczeń pomaga utworzyć zasady zabezpieczeń, które można zastosować do dowolnego serwera w danej sieci. Po zainstalowaniu szablonu programu System Center 2012 Configuration Manager Kreator konfiguracji zabezpieczeń rozpoznaje role systemu lokacji, usługi, porty i aplikacje programu Menedżer konfiguracji. Następnie kreator dopuszcza komunikację wymaganą przez program Menedżer konfiguracji i blokuje komunikację niewymaganą.

Kreator konfiguracji zabezpieczeń to element zestawu narzędzi dla programu System Center 2012 Configuration Manager, które można pobrać z Centrum pobierania Microsoft: System Center 2012 – Configuration Manager Component Add-ons and Extensions (System Center 2012 — dodatki i rozszerzenia składnika Configuration Manager).

Skonfiguruj dla systemów lokacji statyczne adresy IP.

Statyczne adresy IP jest łatwiej chronić przed atakami polegającymi na rozpoznawaniu nazw.

Statyczne adresy IP ułatwiają także konfigurację protokołu IPsec, który jest jednym z najlepszych rozwiązań zabezpieczeń w zakresie zabezpieczania komunikacji między systemami lokacji w programie Menedżer konfiguracji.

Nie instaluj innych aplikacji na serwerach systemu lokacji.

Instalowanie innych aplikacji na serwerach systemu lokacji zwiększa obszar programu Menedżer konfiguracji narażony na ataki.

Wymagaj podpisywania i włącz szyfrowanie jako opcję lokacji.

Włącz dla lokacji opcje podpisywania i szyfrowania. Upewnij się, że wszyscy klienci mogą obsłużyć algorytm wyznaczania wartości skrótu SHA-256, po czym włącz opcję Algorytm SHA-256 wymagany.

Ograniczaj uprawnienia i monitoruj użytkowników administracyjnych programu Menedżer konfiguracji, a za pomocą administracji opartej na rolach przyznawaj im minimum wymaganych uprawnień.

Przyznawaj dostęp administracyjny do programu Menedżer konfiguracji tylko tym użytkownikom, którym ufasz, a przy tym nadawaj im minimum uprawnień, posługując się wbudowanymi rolami zabezpieczeń lub dostosowując je. Użytkownicy administracyjni, którzy mogą tworzyć, modyfikować i wdrażać aplikacje, sekwencje zadań, aktualizacje oprogramowania, elementy konfiguracji oraz linie bazowe konfiguracji, mogą potencjalnie sterować urządzeniami w hierarchii programu Menedżer konfiguracji.

Przeprowadzaj okresowe inspekcje przypisań użytkowników administracyjnych oraz ich poziomu autoryzacji i weryfikuj wymagane zmiany.

Więcej informacji na temat konfigurowania administracji opartej na rolach znajduje się w temacie Konfigurowanie administracji opartej na rolach.

Zabezpieczaj tworzenie kopii zapasowych programu Menedżer konfiguracji oraz kanał komunikacyjny używany podczas tworzenia i przywracania kopii zapasowych.

Podczas tworzenia kopii zapasowych programu Menedżer konfiguracji informacje tego typu obejmują certyfikaty i inne dane poufne, które osoba atakująca mogłaby wykorzystać do podszywania się pod użytkownika.

Używaj podpisywania protokołu SMB lub protokołu IPsec podczas transferu tych danych w sieci, a ponadto zabezpiecz lokalizację kopii zapasowych.

Podczas każdego eksportu lub importu obiektów z konsoli programu Menedżer konfiguracji do lokalizacji sieciowej zabezpieczaj zarówno samą lokalizację, jak i kanał sieciowy.

Ogranicz dostęp użytkowników do danego folderu sieciowego.

Aby zapobiec naruszeniu wyeksportowanych danych przez osobę atakującą, korzystaj z podpisywania protokołu SMB lub protokołu IPsec między lokalizacją sieciową a serwerem lokacji oraz między komputerem z uruchomioną konsolą programu Menedżer konfiguracji a serwerem lokacji. Używaj protokołu IPsec do szyfrowania danych w sieci, aby zapobiec ujawnieniu informacji.

Jeśli któregoś z systemów lokacji nie można odinstalować lub jeśli przestanie on działać i nie uda się go przywrócić, ręcznie usuń certyfikaty programu Menedżer konfiguracji dla tego serwera z innych serwerów programu Menedżer konfiguracji.

Aby usunąć zaufanie elementów równorzędnych, ustanowione początkowo za pomocą systemu lokacji i ról systemu lokacji, usuń ręcznie certyfikaty programu Menedżer konfiguracji dla serwera, który uległ awarii, w magazynie certyfikatów Zaufane osoby na innych serwerach systemu lokacji. Jest to szczególnie istotne, jeśli zmienia się przeznaczenie serwera bez ponownego formatowania go.

Więcej informacji o certyfikatach znajduje się w sekcji Formanty kryptograficzne komunikacji z serwerem w temacie Informacje techniczne dotyczące formantów kryptograficznych używanych w programie Configuration Manager.

Nie konfiguruj w internetowych systemach lokacji łączenia sieci obwodowej z intranetem.

Nie konfiguruj serwerów systemu lokacji jako wieloadresowych, tak by mogły się łączyć i z siecią obwodową, i z intranetem. Choć tego typu konfiguracja pozwala internetowym systemom lokacji na akceptowanie połączeń klienckich zarówno z Internetu, jak i z intranetu, to eliminuje równocześnie granicę zabezpieczeń między siecią obwodową i intranetem.

Jeśli serwer systemu lokacji znajduje się w sieci niezaufanej (takiej jak sieć obwodowa), skonfiguruj serwer lokacji do inicjowania połączeń z systemem lokacji.

Domyślnie to systemy lokacji inicjują połączenia z serwerem lokacji w celu transferu danych, co może stanowić zagrożenie bezpieczeństwa, kiedy inicjowanie połączenia następuje z sieci niezaufanej do zaufanej. W przypadku gdy systemy lokacji akceptują połączenia przychodzące z Internetu lub znajdują się w lesie niezaufanym, skonfiguruj opcję systemu lokacji Wymagaj inicjowania przez serwer lokacji połączeń z tym systemem lokacji tak, aby po instalacji systemu lokacji i ewentualnych ról systemu lokacji wszystkie połączenia były inicjowane z sieci zaufanej.

W przypadku korzystania z serwera proxy sieci Web do internetowego zarządzania klientami stosuj mostkowanie SSL, które obejmuje kończenie żądań SSL z uwierzytelnianiem.

Po skonfigurowaniu kończenia żądań SSL na serwerze proxy sieci Web pakiety z Internetu są poddawane inspekcji przed przekazaniem ich do sieci wewnętrznej. Serwer proxy sieci web uwierzytelnia połączenie nawiązywane przez klienta, kończy je, a następnie nawiązuje nowe uwierzytelnione połączenie z internetowymi systemami lokacji.

Gdy komputery klienckie programu Menedżer konfiguracji korzystają z serwera proxy sieci Web, tożsamość klienta (jego identyfikator GUID) jest bezpiecznie przechowywana w ładunku pakietu, dzięki czemu punkt zarządzania nie traktuje serwera proxy sieci Web jako klienta. Jeśli dany serwer proxy sieci Web nie spełnia wymagań pozwalających na obsługę mostkowania SSL, obsługiwane jest także tunelowanie SSL. To mniej bezpieczna opcja, ponieważ pakiety SSL z Internetu są przekazywane do systemów lokacji bez zakończenia żądań SSL, a tym samym nie można przeprowadzić ich inspekcji pod kątem złośliwej zawartości.

Jeśli dany serwer proxy sieci Web nie spełnia wymagań pozwalających na obsługę mostkowania SSL, możesz zastosować tunelowanie SSL. To jednak mniej bezpieczna opcja, ponieważ pakiety SSL z Internetu są przekazywane do systemów lokacji bez zakończenia żądań SSL, a tym samym nie można przeprowadzić ich inspekcji pod kątem złośliwej zawartości.

System_CAPS_warningOstrzeżenie

Urządzenia przenośne zarejestrowane w programie Menedżer konfiguracji nie mogą korzystać z mostkowania SSL i muszą ograniczyć się do użycia tunelowania SSL.

W przypadku skonfigurowania lokacji do wznawiania komputerów w celu instalacji oprogramowania:

  • Zamiast tradycyjnych pakietów wznawiania używaj poleceń zasilania AMT.

  • Jeśli już stosujesz tradycyjne pakiety wznawiania, używaj emisji pojedynczych, a nie emisji skierowanych do podsieci.

  • Jeśli nie da się uniknąć użycia emisji skierowanych do podsieci, skonfiguruj routery tak, by zezwalały na emisje skierowane do adresu IP tylko z serwera lokacji i tylko do portu o numerze innym niż domyślny.

Więcej informacji o różnych technologiach Wake On LAN znajduje się w temacie Planowanie komunikacji z klientem w programie Configuration Manager.

W przypadku używania powiadomień e-mail należy skonfigurować dostęp uwierzytelniony do serwera poczty SMTP.

Gdy to możliwe, użyj serwera poczty obsługującego dostęp uwierzytelniony oraz konta komputera serwera lokacji do uwierzytelniania. W przypadku konieczności określenia konta użytkownika do uwierzytelniania należy użyć konta o najniższych uprawnieniach.

Uwaga

Począwszy od programu Menedżer konfiguracji SP1, powiadomienia e-mail nie są ograniczone tylko do ochrony punktu końcowego.

Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące serwera lokacji

Aby zabezpieczyć serwer lokacji programu Menedżer konfiguracji, należy stosować poniższe najlepsze rozwiązania w zakresie zabezpieczeń.

Najlepsze rozwiązanie w zakresie zabezpieczeń

Więcej informacji

Zainstaluj program Menedżer konfiguracji na serwerze członkowskim, a nie w kontrolerze domeny.

Serwer lokacji i systemu lokacji programu Menedżer konfiguracji nie wymagają instalacji w kontrolerze domeny. Kontrolery domeny nie mają innej bazy danych domeny niż lokalna baza danych zarządzania kontami zabezpieczeń (SAM). Instalując program Menedżer konfiguracji na serwerze członkowskim, można zachować konta programu Menedżer konfiguracji w lokalnej bazie danych SAM zamiast w bazie danych domeny.

Takie rozwiązanie zmniejsza również obszar kontrolerów domeny narażony na ataki.

Zainstaluj lokacje dodatkowe, unikając kopiowania plików na serwer lokacji dodatkowej za pośrednictwem sieci.

Po uruchomieniu Instalatora i utworzeniu lokacji dodatkowej nie należy wybierać opcji kopiowania plików z lokacji nadrzędnej do lokacji dodatkowej ani używać sieciowej lokalizacji źródłowej. Podczas kopiowania plików za pośrednictwem sieci doświadczona osoba atakująca może przejąć pakiet instalacyjny lokacji dodatkowej i naruszyć pliki przed ich zainstalowaniem, mimo że synchronizacja takiego ataku jest trudna. Aby zapobiec takim atakom, należy użyć protokołu IPsec lub SMB podczas przesyłania plików.

Zamiast kopiować pliki na serwer lokacji dodatkowej za pośrednictwem sieci skopiuj pliki źródłowe z nośnika do folderu lokalnego. Następnie po uruchomieniu Instalatora w celu dodania lokacji dodatkowej wybierz na stronie Źródłowe pliki instalacji opcję Użyj plików źródłowych w następującej lokalizacji na komputerze lokacji dodatkowej (najbezpieczniejsza opcja) i określ ten folder.

Więcej informacji znajduje się w sekcji Instalacja lokacji dodatkowej w temacie Instalowanie lokacji i tworzenie hierarchii programu Configuration Manager.

Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące programu SQL Server

Program Menedżer konfiguracji używa programu SQL Server jako wewnętrznej bazy danych. W przypadku złamania zabezpieczeń bazy danych osoby atakujące mogą obejść program Menedżer konfiguracji i uzyskać bezpośredni dostęp do programu SQL Server w celu przeprowadzania ataków za pośrednictwem programu Menedżer konfiguracji. Istnieje bardzo duże ryzyko ataków na program SQL Server i należy odpowiednio mu zapobiegać.

Aby zabezpieczyć program SQL Server w ramach programu Menedżer konfiguracji, należy stosować poniższe najlepsze rozwiązania w zakresie zabezpieczeń.

Najlepsze rozwiązanie w zakresie zabezpieczeń

Więcej informacji

Nie należy używać serwera bazy danych lokacji programu Menedżer konfiguracji do uruchamiania innych aplikacji SQL Server.

Wraz ze zwiększeniem dostępu do serwera bazy danych lokacji programu Menedżer konfiguracji wzrasta zagrożenie danych programu Menedżer konfiguracji. W przypadku złamania zabezpieczeń bazy danych lokacji Menedżer konfiguracji zagrożone będą również inne aplikacje na tym samym komputerze z programem SQL Server.

Skonfiguruj program SQL Server, aby używał uwierzytelniania systemu Windows.

Mimo że program Menedżer konfiguracji uzyskuje dostęp do bazy danych lokacji przy użyciu konta i uwierzytelniania systemu Windows, można skonfigurować program SQL Server, aby używał trybu mieszanego. Tryb mieszany programu SQL Server umożliwia uzyskanie dostępu do bazy danych z poziomu dodatkowych kont logowania SQL, co nie jest wymagane i zwiększa obszar narażony na ataki.

Wykonaj dodatkowe czynności, aby zainstalować w lokacjach dodatkowych używających programu SQL Server Express najnowsze aktualizacje oprogramowania.

Po zainstalowaniu lokacji głównej program Menedżer konfiguracji pobiera z Centrum pobierania Microsoft program SQL Server Express i kopiuje pliki na serwer lokacji głównej. Po zainstalowaniu lokacji dodatkowej i wybraniu opcji instalacji programu SQL Server Express program Menedżer konfiguracji przeprowadza instalację wcześniej pobranej wersji, nie sprawdzając, czy są dostępne nowe wersje. Aby upewnić się, że w lokacji dodatkowej są zainstalowane najnowsze wersje, wykonaj jedną z następujących czynności:

  • Po zainstalowaniu lokacji dodatkowej uruchom na serwerze tej lokacji usługę Windows Update.

  • Przed zainstalowaniem lokacji dodatkowej ręcznie zainstaluj najnowszą wersję programu SQL Server Express i wszystkie dostępne aktualizacje oprogramowania na komputerze obsługującym serwer lokacji dodatkowej. Następnie zainstaluj lokację dodatkową i wybierz opcję, aby używać istniejącego wystąpienia programu SQL Server.

Okresowo uruchamiaj usługę Windows Update w ramach tych lokacji i wszystkich zainstalowanych wersji programu SQL Server w celu upewnienia się, że mają zainstalowane najnowsze aktualizacje oprogramowania.

Stosuj najlepsze rozwiązania w zakresie programu SQL Server.

Określ i stosuj najlepsze rozwiązania dla używanej wersji programu SQL Server. Należy jednak wziąć pod uwagę następujące wymagania dotyczące programu Menedżer konfiguracji:

  • Konto komputera serwera lokacji musi być członkiem grupy administratorów na komputerze z programem SQL Server. W przypadku stosowania się do zalecenia jawnego udostępniania podmiotów zabezpieczeń administratora konto używane do uruchamiania Instalatora na serwerze lokacji musi być członkiem grupy użytkowników SQL.

  • W przypadku instalowania programu SQL Server przy użyciu konta użytkownika domeny należy się upewnić, że konto komputera serwera lokacji ma skonfigurowaną główną nazwę usługi (SPN) publikowaną w usługach domenowych Active Directory. Bez nazwy SPN uwierzytelnianie przy użyciu protokołu Kerberos nie będzie możliwe i działanie Instalatora programu Menedżer konfiguracji zakończy się niepowodzeniem.

Najlepsze rozwiązania w zakresie bezpieczeństwa dotyczące systemów lokacji z uruchomionymi usługami IIS

Niektóre role systemu lokacji w programie Menedżer konfiguracji wymagają usług IIS. Zabezpieczenie usług IIS umożliwia prawidłowe działanie programu Menedżer konfiguracji i zmniejsza zagrożenie bezpieczeństwa. Ogranicz liczbę serwerów wymagających usług IIS, gdy jest to możliwe. Uruchamiaj na przykład tylko punkty zarządzania niezbędne do obsługi bazy klientów, biorąc pod uwagę wysoką dostępność i izolację sieciową internetowego zarządzania klientami.

Aby zabezpieczyć systemy lokacji z uruchomionymi usługami IIS, należy stosować poniższe najlepsze rozwiązania w zakresie zabezpieczeń.

Najlepsze rozwiązanie w zakresie zabezpieczeń

Więcej informacji

Wyłącz niepotrzebne funkcje usług IIS.

Zainstaluj tylko minimalną wymaganą liczbę funkcji usług IIS w ramach instalowanej roli systemu lokacji. Aby uzyskać więcej informacji, zobacz sekcję w temacie .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Skonfiguruj role systemu lokacji, aby wymagały połączenia za pośrednictwem protokołu HTTPS.

Gdy klienci łączą się z systemem lokacji za pośrednictwem protokołu HTTP, a nie HTTPS, używają uwierzytelniania systemu Windows, co może spowodować powrót do uwierzytelniania przy użyciu protokołu NTLM zamiast protokołu Kerberos. W przypadku uwierzytelniania przy użyciu protokołu NTLM klienci mogą połączyć się z nieautoryzowanym serwerem.

Wyjątkiem od tego najlepszego rozwiązania w zakresie bezpieczeństwa mogą być punkty dystrybucji, ponieważ konta dostępu do pakietów nie działają w przypadku skonfigurowania dla punktu dystrybucji połączeń za pośrednictwem protokołu HTTPS. Konta dostępu do pakietów zapewniają autoryzację zawartości, dzięki czemu można określić użytkowników z uprawnieniami dostępu do danej zawartości. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące zarządzania zawartością.

Skonfiguruj w usługach IIS listę zaufania certyfikatów (CTL) dla następujących ról systemu lokacji:

  • Punkt dystrybucji skonfigurowany do połączeń przy użyciu protokołu HTTPS.

  • Zarządzanie skonfigurowane do połączeń przy użyciu protokołu HTTPS z możliwością obsługi urządzeń przenośnych.

Lista zaufania certyfikatów (CTL) to zdefiniowana lista zaufanych głównych urzędów certyfikacji. Lista CTL używana wraz z zasadami grupy i wdrożeniem PKI umożliwia uzupełnienie istniejących zaufanych, głównych urzędów certyfikacji skonfigurowanych w sieci, takich jak instalowane automatycznie w systemie Microsoft Windows lub dodane przez główne urzędy certyfikacji przedsiębiorstwa w systemie Windows. Jednak w przypadku skonfigurowania listy CTL w usługach IIS definiuje ona podzestaw tych zaufanych głównych urzędów certyfikacji.

Ten podzestaw zapewnia większą kontrolę zabezpieczeń, ponieważ lista CTL ogranicza akceptowane certyfikaty klienta wyłącznie do certyfikatów wystawionych przez urzędy certyfikacji znajdujące się na liście CTL. Na przykład system Windows jest dostarczany z certyfikatami od dobrze znanych urzędów certyfikacji innych firm, takich jak VeriSign i Thawte. Domyślnie komputer z uruchomionymi usługami IIS ufa certyfikatom powiązanym z tymi dobrze znanymi urzędami certyfikacji. Jeżeli w usługach IIS nie zostanie skonfigurowana lista CTL dla ról systemu lokacji, każde urządzenie z certyfikatem klienta wystawionym przez te urzędy certyfikacji będzie akceptowane jako prawidłowy klient programu Menedżer konfiguracji. Konfigurowanie w usługach IIS listy CTL nie obejmującej tych urzędów certyfikacji spowoduje odrzucenie połączeń klienta, gdy jego certyfikat jest powiązany z tymi urzędami certyfikacji. Aby klienci programu Menedżer konfiguracji byli akceptowani w ramach ról systemu lokacji na liście, należy skonfigurować w usługach IIS listę CTL określającą urzędy certyfikacji używane przez klientów programu Menedżer konfiguracji.

Uwaga

Tylko role systemu lokacji na liście wymagają skonfigurowania w usługach IIS listy CTL; lista wystawców certyfikatów używana przez program Menedżer konfiguracji w ramach punktów zarządzania pełni taką samą funkcję na komputerach klienckich, gdy łączą się z punktami zarządzania za pośrednictwem protokołu HTTPS.

Więcej informacji o sposobie konfigurowania listy zaufanych urzędów certyfikacji w usługach IIS znajduje się w dokumentacji usług IIS.

Nie umieszczaj serwera lokacji na komputerze z usługami IIS.

Rozdziele ról pozwala ograniczyć obszar narażony na ataki i ułatwia odzyskiwanie. Ponadto konto komputera serwera lokacji zwykle ma przypisane uprawnienia administracyjne we wszystkich rolach systemu lokacji (również w klientach programu Menedżer konfiguracji w przypadku używania instalacji wypychanej klienta).

Użyj dedykowanych serwerów usług IIS dla programu Menedżer konfiguracji.

Na serwerach usług IIS można hostować wiele aplikacji sieci web używanych również przez program Menedżer konfiguracji, ale takie rozwiązanie znacznie zwiększa obszar narażony na ataki. Gdy aplikacja jest nieprawidłowo skonfigurowana, osoba atakująca może przejąć kontrolę nad systemem lokacji programu Menedżer konfiguracji, a tym samym nad hierarchią.

W razie konieczności uruchomienia w systemach lokacji programu Menedżer konfiguracji innych aplikacji sieci web należy utworzyć niestandardową witrynę sieci web dla systemów lokacji programu Menedżer konfiguracji.

Użyj niestandardowej witryny sieci web.

W systemach lokacji z uruchomionymi usługami IIS można skonfigurować program Menedżer konfiguracji, aby używał w ramach usług IIS niestandardowej witryny sieci web zamiast domyślnej. W razie konieczności uruchomienia w systemie lokacji innych aplikacji sieci web należy użyć niestandardowej witryny sieci web. To ustawienie obejmuje całą lokację, a nie tylko określony system lokacji.

Oprócz zapewnienia większego poziomu zabezpieczeń, niestandardowej witryny sieci web należy użyć w przypadku uruchamiania w systemie lokacji innych aplikacji sieci Web.

Jeśli po zainstalowaniu roli punktu dystrybucji zostanie wybrana niestandardowa witryna sieci web zamiast domyślnej, usuń domyślne katalogi wirtualne.

W przypadku zmiany z domyślnej witryny sieci web na niestandardową program Menedżer konfiguracji nie usuwa starych katalogów wirtualnych. Należy usunąć katalogi wirtualne, które program Menedżer konfiguracji utworzył jako domyślne witryny sieci web.

Należy na przykład usunąć następujące katalogi wirtualne punktu dystrybucji:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Stosuj najlepsze rozwiązania w zakresie serwera usług IIS.

Określ i stosuj najlepsze rozwiązania dla używanej wersji serwera usług IIS. Należy jednak wziąć pod uwagę wszystkie wymagania programu Menedżer konfiguracji dotyczące określonych ról systemu lokacji. Więcej informacji znajduje się w sekcji w temacie .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące punktu zarządzania

Punkty zarządzania stanowią podstawowy interfejs między urządzeniami a programem Menedżer konfiguracji. Istnieje bardzo duże ryzyko ataków na punkt zarządzania oraz uruchomiony w nim serwer i należy odpowiednio mu zapobiegać. Zastosuj wszystkie odpowiednie najlepsze rozwiązania w zakresie zabezpieczeń i monitoruj działanie pod kątem nieprawidłowości.

Aby zabezpieczyć punkt zarządzania w programie Menedżer konfiguracji, należy stosować poniższe najlepsze rozwiązania w zakresie zabezpieczeń.

Najlepsze rozwiązanie w zakresie zabezpieczeń

Więcej informacji

Po zainstalowaniu klienta programu Menedżer konfiguracji w punkcie zarządzania przypisz go do lokacji tego punktu.

Nie należy przypisywać klienta programu Menedżer konfiguracji należącego do systemu lokacji punktu zarządzania do innej lokacji niż lokacja tego punktu zarządzania.

W przypadku migracji z programu Configuration Manager 2007 do System Center 2012 Configuration Manager należy jak najszybciej dokonać migracji klienta programu Configuration Manager 2007 do programu System Center 2012 Configuration Manager.

Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące rezerwowego punktu stanu

W przypadku zainstalowania w programie Menedżer konfiguracji rezerwowego punktu stanu należy stosować poniższe najlepsze rozwiązania w zakresie zabezpieczeń.

Więcej informacji dotyczących zabezpieczeń w przypadku instalowania rezerwowego punktu stanu znajduje się w temacie Określanie, czy jest wymagany rezerwowy punkt stanu.

Najlepsze rozwiązanie w zakresie zabezpieczeń

Więcej informacji

Nie uruchamiaj w systemie lokacji innych ról i nie instaluj go w kontrolerze domeny.

Rezerwowy punkt stanu umożliwia akceptowanie nieuwierzytelnionych połączeń z każdego komputera, dlatego uruchomienie tej roli systemu lokacji z innymi rolami lub w kontrolerze domeny znacznie zwiększa zagrożenie serwera.

W przypadku używania do komunikacji z klientem w programie Menedżer konfiguracji certyfikatów PKI należy zainstalować rezerwowy punkt stanu przed zainstalowaniem klientów.

Jeżeli systemy lokacji programu Menedżer konfiguracji nie akceptują połączeń z klientem przy użyciu protokołu HTTP, wykrycie braku zarządzania klientami może być niemożliwe ze względu na problemy dotyczące certyfikatu PKI. Te problemy dotyczące certyfikatu zostaną jednak zgłoszone przez rezerwowy punkt stanu, gdy klienci są do niego przypisani.

Ze względów bezpieczeństwa nie można przypisać rezerwowego punktu stanu do klientów po ich zainstalowaniu; tę rolę można przypisać tylko podczas instalacji klienta.

Unikaj korzystania z rezerwowego punkt stanu w sieci obwodowej.

Zgodnie ze swoim przeznaczeniem rezerwowy punkt stanu akceptuje dane od każdego klienta. Mimo że rezerwowy punkt stanu w sieci obwodowej może ułatwiać rozwiązywanie problemów z klientami internetowymi, musisz również wziąć pod uwagę ryzyko akceptowania przez system lokacji nieuwierzytelnionych danych w publicznie dostępnej sieci.

Jeśli zainstalujesz rezerwowy punkt stanu w sieci obwodowej lub dowolnej niezaufanej sieci, skonfiguruj serwer lokacji tak, aby to on inicjował transfer danych. Dzięki temu zostanie anulowane domyślne ustawienie, które pozwala rezerwowemu punktowi stanu inicjować połączenie z serwerem lokacji.

Problemy z bezpieczeństwem dotyczące administrowania lokacją

Zapoznaj się z następującymi problemami dotyczącymi zabezpieczeń programu Menedżer konfiguracji:

  • Program Menedżer konfiguracji nie ma funkcji chroniącej przed autoryzowanym użytkownikiem administracyjnym, który używa programu Menedżer konfiguracji w celu przeprowadzania ataków na sieć. Nieautoryzowani użytkownicy administracyjni reprezentują bardzo poważne ryzyko bezpieczeństwa i mogą uruchamiać wiele ataków. Niektóre z nich wymieniono poniżej:

    • Użycie funkcji wdrażania oprogramowania do automatycznego zainstalowania i uruchomienia złośliwego oprogramowania na wszystkich komputerach klienckich programu Menedżer konfiguracji w przedsiębiorstwie

    • Użycie funkcji zdalnej kontroli w celu przejęcia zdalnej kontroli nad klientem programu Menedżer konfiguracji bez pozwolenia użytkownika

    • Konfigurowanie krótkich interwałów sondowania i bardzo dużych magazynów w celu przeprowadzenia ataku typu „odmowa usługi” na klientów i serwery

    • Użycie jednej lokacji w hierarchii do zapisania danych w usłudze Active Directory w innej hierarchii

    Hierarchia lokacji to granica bezpieczeństwa. Lokacje traktuj wyłącznie jako granice zarządzania.

    Nadzoruj wszystkie aktywności użytkowników administracyjnych i okresowo sprawdzaj dzienniki inspekcji. Wymagaj, aby przed zatrudnieniem wszyscy użytkownicy administracyjni programu Menedżer konfiguracji zostali dokładnie sprawdzeni oraz wymagaj kolejnych okresowych kontroli w ramach umowy o pracę.

  • W przypadku złamania zabezpieczeń punktu rejestracyjnego osoba atakująca może uzyskać certyfikaty służące do uwierzytelniania i skraść poświadczenia użytkowników, którzy rejestrują swoje urządzenia przenośne.

    Punkt rejestracji komunikuje się z urzędem certyfikacji i może tworzyć, modyfikować i usuwać obiekty usługi Active Directory. Nigdy nie instaluj punktu rejestracyjnego w sieci obwodowej oraz monitoruj go pod kątem nietypowej aktywności.

  • Jeśli zezwalasz na zasady użytkowników w ramach internetowego zarządzania klientami lub konfigurujesz punkt witryny sieci Web katalogu aplikacji dla użytkowników połączonych z Internetem, zwiększasz obszar narażony na ataki.

    Oprócz używania certyfikatów PKI z połączeniami klient-serwer, te konfiguracje wymagają uwierzytelniania systemu Windows, co może spowodować powrót do uwierzytelniania przy użyciu protokołu NTLM zamiast protokołu Kerberos. Uwierzytelnianie NTLM jest narażone na podszywanie się i ataki przeprowadzane za pomocą metody powtórzeń. Aby pomyślnie uwierzytelnić użytkownika w Internecie, musisz zezwolić na połączenia z serwera internetowego systemu lokacji do kontrolera domeny.

  • Na serwerach systemu lokacji jest wymagany udział Admin$.

    Serwer lokacji programu Menedżer konfiguracji używa udziału Admin$ do łączenia się z systemami lokacji i wykonywania na nich operacji usługi. Nie wyłączaj ani usuwaj udziału Admin$.

  • Program Menedżer konfiguracji używa usług rozpoznawania nazw w celu łączenia się z innymi komputerami. Te usługi trudno ochronić przed takimi atakami, jak podszywanie się, naruszanie zawartości, możliwość wyparcia się, ujawnienie informacji, odmowa usługi i podniesienie uprawnień.

    Zidentyfikuj najlepsze rozwiązania z zakresu bezpieczeństwa dotyczące wersji systemów DNS oraz WINS używanych z funkcją rozpoznawania nazw i przestrzegaj ich.

Informacje o ochronie prywatności dotyczące odnajdywania

Odnajdywanie tworzy rekordy dotyczące zasobów sieciowych i przechowuje je w bazie danych programu System Center 2012 Configuration Manager. Rekordy danych odnajdywania zawierają takie informacje o komputerze, jak adres IP, system operacyjny i nazwa komputera. Metody odnajdowania dostępne w usłudze Active Directory można również skonfigurować do odnajdywania dowolnych informacji przechowywanych w usługach domenowych Active Directory.

Jedyna metoda odnajdowania włączona domyślnie to metoda odnajdywania pulsu, jednak pozwala ona odnajdywać tylko te komputery, na których jest zainstalowane oprogramowanie klienckie programu System Center 2012 Configuration Manager.

Informacje odnajdywania nie są wysyłane do firmy Microsoft. Informacje odnajdywania są przechowywane w bazie danych programu Menedżer konfiguracji. Informacje są przechowywane w bazie danych, aż do ich usunięcia przez uruchamiane co 90 dni zadanie konserwacji lokacji Usuń przestarzałe dane wykrywania. Możesz skonfigurować interwał usuwania.

Przed skonfigurowaniem dodatkowych metod odnajdowania lub rozszerzenia metod odnajdowania w usłudze Active Directory należy wziąć pod uwagę wymogi związane z ochroną prywatności.