Säkerhet och sekretess för webbplatsadministration i Configuration Manager

Gäller för: Configuration Manager (aktuell gren)

Den här artikeln innehåller säkerhets- och sekretessinformation för Configuration Manager platser och hierarkin.

Säkerhetsvägledning för webbplatsadministration

Använd följande vägledning för att skydda Configuration Manager platser och hierarkin.

Köra installationsprogrammet från en betrodd källa och säker kommunikation

Om du vill förhindra att någon manipulerar källfilerna kör du Configuration Manager installationsprogrammet från en betrodd källa. Om du lagrar filerna i nätverket skyddar du nätverksplatsen.

Om du kör installationsprogrammet från en nätverksplats, för att förhindra att en angripare manipulerar filerna när de överförs via nätverket, använder du IPsec- eller SMB-signering mellan källplatsen för installationsfilerna och platsservern.

Om du använder installationsnedladdaren för att ladda ned de filer som krävs av installationen kontrollerar du att du skyddar platsen där filerna lagras. Skydda även kommunikationskanalen för den här platsen när du kör installationen.

Utöka Active Directory-schemat och publicera webbplatser till domänen

Schematillägg krävs inte för att köra Configuration Manager, men de skapar en säkrare miljö. Klienter och platsservrar kan hämta information från en betrodd källa.

Om klienterna finns i en obetrodd domän distribuerar du följande platssystemroller i klienternas domäner:

• Hanteringsplats

• Distributionsplats

Obs!

En betrodd domän för Configuration Manager kräver Kerberos-autentisering. Om klienterna finns i en annan skog som inte har ett dubbelriktat skogsförtroende med platsserverns skog, anses dessa klienter vara i en domän som inte är betrodd. Ett externt förtroende räcker inte för det här ändamålet.

Använda IPsec för att skydda kommunikationen

Även om Configuration Manager skyddar kommunikationen mellan platsservern och datorn som kör SQL Server, skyddar Configuration Manager inte kommunikationen mellan platssystemroller och SQL Server. Du kan bara konfigurera vissa platssystem med HTTPS för kommunikation mellan platser.

Om du inte använder ytterligare kontroller för att skydda dessa server-till-server-kanaler kan angripare använda olika förfalsknings- och man-in-the-middle-attacker mot platssystem. Använd SMB-signering när du inte kan använda IPsec.

Viktigt

Skydda kommunikationskanalen mellan platsservern och paketkällservern. Den här kommunikationen använder SMB. Om du inte kan använda IPsec för att skydda den här kommunikationen använder du SMB-signering för att se till att filerna inte manipuleras innan klienterna laddar ned och kör dem.

Ändra inte standardsäkerhetsgrupperna

Ändra inte följande säkerhetsgrupper som Configuration Manager skapar och hanterar för platssystemkommunikation:

• <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager skapar och hanterar säkerhetsgrupperna automatiskt. Det här beteendet omfattar att ta bort datorkonton när en platssystemroll tas bort.

För att säkerställa tjänstkontinuitet och lägsta behörigheter ska du inte redigera dessa grupper manuellt.

Hantera etableringsprocessen för betrodd rotnyckel

Om klienter inte kan fråga den globala katalogen efter Configuration Manager information måste de förlita sig på den betrodda rotnyckeln för att autentisera giltiga hanteringsplatser. Den betrodda rotnyckeln lagras i klientregistret. Den kan anges med hjälp av grupprincip eller manuell konfiguration.

Om klienten inte har en kopia av den betrodda rotnyckeln innan den kontaktar en hanteringsplats för första gången, litar den på den första hanteringsplats som den kommunicerar med. För att minska risken för att en angripare vilseleder klienter till en obehörig hanteringsplats kan du företablera klienterna med den betrodda rotnyckeln. Mer information finns i Planera för den betrodda rotnyckeln.

Använd portnummer som inte är standard

Att använda portnummer som inte är standard kan ge ytterligare säkerhet. De gör det svårare för angripare att utforska miljön inför en attack. Om du bestämmer dig för att använda portar som inte är standard ska du planera för dem innan du installerar Configuration Manager. Använd dem konsekvent på alla platser i hierarkin. Portar för klientbegäran och Wake On LAN är exempel där du kan använda portnummer som inte är standard.

Använda rollavgränsning på platssystem

Även om du kan installera alla platssystemroller på en enda dator används den här metoden sällan i produktionsnätverk. Det skapar en felkritisk felpunkt.

Minska attackprofilen

Om du isolerar varje platssystemroll på en annan server minskar risken för att en attack mot säkerhetsrisker i ett platssystem kan användas mot ett annat platssystem. Många roller kräver installation av IIS (Internet Information Services) på platssystemet, och det här behovet ökar attackytan. Om du måste kombinera roller för att minska maskinvaruutgifterna kombinerar du endast IIS-roller med andra roller som kräver IIS.

Viktigt

Återställningsstatuspunktens roll är ett undantag. Eftersom den här platssystemrollen accepterar oautentiserade data från klienter ska du inte tilldela rollen återställningsstatuspunkt till någon annan Configuration Manager platssystemroll.

Konfigurera statiska IP-adresser för platssystem

Statiska IP-adresser är enklare att skydda mot namnmatchningsattacker.

Statiska IP-adresser gör också konfigurationen av IPsec enklare. Att använda IPsec är en säkerhetsmetod för att skydda kommunikationen mellan platssystem i Configuration Manager.

Installera inte andra program på platssystemservrar

När du installerar andra program på platssystemservrar ökar du attackytan för Configuration Manager. Du riskerar också inkompatibilitetsproblem.

Kräv signering och aktivera kryptering som platsalternativ

Aktivera signerings- och krypteringsalternativen för webbplatsen. Se till att alla klienter har stöd för SHA-256-hashalgoritmen och aktivera sedan alternativet Kräv SHA-256.

Begränsa och övervaka administrativa användare

Bevilja administrativ åtkomst till Configuration Manager endast till användare som du litar på. Ge dem sedan minsta behörigheter med hjälp av de inbyggda säkerhetsrollerna eller genom att anpassa säkerhetsrollerna. Administrativa användare som kan skapa, ändra och distribuera programvara och konfigurationer kan potentiellt styra enheter i Configuration Manager-hierarkin.

Granska regelbundet administrativa användartilldelningar och deras auktoriseringsnivå för att verifiera nödvändiga ändringar.

Mer information finns i Konfigurera rollbaserad administration.

Säkra Configuration Manager säkerhetskopior

När du säkerhetskopierar Configuration Manager innehåller den här informationen certifikat och andra känsliga data som kan användas av en angripare för personifiering.

Använd SMB-signering eller IPsec när du överför dessa data via nätverket och skydda säkerhetskopieringsplatsen.

Säkra platser för exporterade objekt

När du exporterar eller importerar objekt från Configuration Manager-konsolen till en nätverksplats ska du skydda platsen och nätverkskanalen.

Begränsa vem som kan komma åt nätverksmappen.

Om du vill förhindra att en angripare manipulerar exporterade data använder du SMB-signering eller IPsec mellan nätverksplatsen och platsservern. Skydda även kommunikationen mellan den dator som kör Configuration Manager-konsolen och platsservern. Använd IPsec för att kryptera data i nätverket för att förhindra avslöjande av information.

Ta bort certifikat från misslyckade servrar manuellt

Om ett platssystem inte avinstalleras korrekt eller slutar fungera och inte kan återställas tar du manuellt bort Configuration Manager certifikat för den här servern från andra Configuration Manager servrar.

Om du vill ta bort peer-förtroendet som ursprungligen upprättades med platssystem- och platssystemrollerna tar du manuellt bort Configuration Manager certifikat för den misslyckade servern i certifikatarkivet Trusted Personer på andra platssystemservrar. Den här åtgärden är viktig om du återanvänder servern utan att formatera om den.

Mer information finns i Kryptografiska kontroller för serverkommunikation.

Konfigurera inte Internetbaserade platssystem för att överbrygga perimeternätverket

Konfigurera inte platssystemservrar så att de är multi-homed så att de ansluter till perimeternätverket och intranätet. Även om den här konfigurationen tillåter internetbaserade platssystem att acceptera klientanslutningar från Internet och intranätet, eliminerar den en säkerhetsgräns mellan perimeternätverket och intranätet.

Konfigurera platsservern för att initiera anslutningar till perimeternätverk

Om ett platssystem finns i ett ej betrott nätverk, till exempel ett perimeternätverk, konfigurerar du platsservern för att initiera anslutningar till platssystemet.

Som standard initierar platssystem anslutningar till platsservern för att överföra data. Den här konfigurationen kan vara en säkerhetsrisk när anslutningsinitiering sker från ett ej betrott nätverk till det betrodda nätverket. När platssystem accepterar anslutningar från Internet, eller finns i en obetrodd skog, konfigurerar du platssystemalternativet till Kräv att platsservern initierar anslutningar till det här platssystemet. Efter installationen av platssystemet och eventuella roller initieras alla anslutningar av platsservern från det betrodda nätverket.

Använda SSL-bryggning och avslutning med autentisering

Om du använder en webbproxyserver för internetbaserad klienthantering använder du SSL-bryggning till SSL genom att använda avslutning med autentisering.

När du konfigurerar SSL-avslutning på proxywebbservern kontrolleras paket från Internet innan de vidarebefordras till det interna nätverket. Proxywebbservern autentiserar anslutningen från klienten, avslutar den och öppnar sedan en ny autentiserad anslutning till de Internetbaserade platssystemen.

När Configuration Manager klientdatorer använder en proxywebbserver för att ansluta till Internetbaserade platssystem, finns klientidentiteten (GUID) på ett säkert sätt i paketnyttolasten. Hanteringsplatsen anser då inte att proxywebbservern är klienten.

Om proxywebbservern inte stöder kraven för SSL-bryggning stöds även SSL-tunneltrafik. Det här alternativet är mindre säkert. SSL-paketen från Internet vidarebefordras till platssystemen utan avslutning. De kan sedan inte kontrolleras för skadligt innehåll.

Varning

Mobila enheter som har registrerats av Configuration Manager kan inte använda SSL-bryggning. De måste endast använda SSL-tunnlar.

Konfigurationer som ska användas om du konfigurerar platsen för att aktivera datorer för att installera programvara

• Om du använder traditionella aktiveringspaket använder du unicast i stället för undernätsstyrda sändningar.

• Om du måste använda undernätsstyrda sändningar konfigurerar du routrar för att endast tillåta IP-riktade sändningar från platsservern och endast på ett portnummer som inte är standard.

Mer information om de olika Wake On LAN-teknikerna finns i Planera hur du väcker klienter.

Om du använder e-postavisering konfigurerar du autentiserad åtkomst till SMTP-e-postservern

Använd när det är möjligt en e-postserver som stöder autentiserad åtkomst. Använd datorkontot för platsservern för autentisering. Om du måste ange ett användarkonto för autentisering använder du ett konto som har minst behörighet.

Framtvinga LDAP-kanalbindning och LDAP-signering

Säkerheten för Active Directory-domänkontrollanter kan förbättras genom att konfigurera servern så att den avvisar SASL-bindningar (Simple Authentication and Security Layer) som inte begär signering eller avvisar enkla LDAP-bindningar som utförs på en klartextanslutning. Från och med version 1910 stöder Configuration Manager framtvingande av LDAP-kanalbindning och LDAP-signering. Mer information finns i 2020 LDAP-kanalbindning och LDAP-signeringskrav för Windows.

Säkerhetsvägledning för platsservern

Använd följande vägledning för att skydda Configuration Manager-platsservern.

Varning

Nätverksåtkomstkonto – Bevilja inte interaktiva inloggningsrättigheter till det här kontot på SQL-servrar. Ge inte det här kontot behörighet att ansluta datorer till domänen. Om du måste ansluta datorer till domänen under en aktivitetssekvens använder du domänanslutningskontot för aktivitetssekvens..

Installera Configuration Manager på en medlemsserver i stället för en domänkontrollant

Configuration Manager platsservern och platssystemen kräver inte installation på en domänkontrollant. Domänkontrollanter har ingen annan lokal SAM-databas (Security Accounts Management) än domändatabasen. När du installerar Configuration Manager på en medlemsserver kan du underhålla Configuration Manager konton i den lokala SAM-databasen i stället för i domändatabasen.

Den här metoden sänker även attackytan på dina domänkontrollanter.

Installera sekundära platser utan att kopiera filerna via nätverket

När du kör installationen och skapar en sekundär plats väljer du inte alternativet för att kopiera filerna från den överordnade platsen till den sekundära platsen. Använd inte heller någon plats för nätverkskällan. När du kopierar filer över nätverket kan en skicklig angripare kapa installationspaketet för den sekundära platsen och manipulera filerna innan de installeras. Det skulle vara svårt att tajma attacken. Den här attacken kan åtgärdas med hjälp av IPsec eller SMB när du överför filerna.

I stället för att kopiera filerna över nätverket kopierar du källfilerna från mediemappen till en lokal mapp på den sekundära platsservern. När du sedan kör installationsprogrammet för att skapa en sekundär plats går du till sidan Installationskälla och väljer Använd källfilerna på följande plats på den sekundära platsdatorn (säkrast) och anger den här mappen.

Mer information finns i Installera en sekundär plats.

Installationen av platsrollen ärver behörigheter från enhetsroten

Se till att konfigurera systemenhetsbehörigheterna korrekt innan du installerar den första platssystemrollen på valfri server. Till exempel C:\SMS_CCM ärver behörigheter från C:\. Om enhetens rot inte är korrekt skyddad kan användare med låg behörighet komma åt eller ändra innehåll i mappen Configuration Manager.

Säkerhetsvägledning för SQL Server

Configuration Manager använder SQL Server som serverdelsdatabas. Om databasen komprometteras kan angripare kringgå Configuration Manager. Om de kommer åt SQL Server direkt kan de starta attacker via Configuration Manager. Överväg attacker mot SQL Server vara hög risk och minimera på lämpligt sätt.

Använd följande säkerhetsvägledning för att skydda SQL Server för Configuration Manager.

Använd inte Configuration Manager platsdatabasservern för att köra andra SQL Server program

När du ökar åtkomsten till Configuration Manager platsdatabasserver ökar den här åtgärden risken för dina Configuration Manager data. Om Configuration Manager platsdatabasen komprometteras utsätts även andra program på samma SQL Server dator för risker.

Konfigurera SQL Server att använda Windows-autentisering

Även om Configuration Manager kommer åt platsdatabasen med hjälp av ett Windows-konto och Windows-autentisering är det fortfarande möjligt att konfigurera SQL Server att använda SQL Server blandat läge. SQL Server blandat läge ger ytterligare SQL Server inloggningar åtkomst till databasen. Den här konfigurationen krävs inte och ökar attackytan.

Uppdatera SQL Server Express på sekundära platser

När du installerar en primär plats laddar Configuration Manager ned SQL Server Express från Microsoft Download Center. Sedan kopieras filerna till den primära platsservern. När du installerar en sekundär plats och väljer det alternativ som installerar SQL Server Express Configuration Manager installerar den tidigare nedladdade versionen. Den kontrollerar inte om nya versioner är tillgängliga. Kontrollera att den sekundära platsen har de senaste versionerna genom att utföra någon av följande uppgifter:

• När du har installerat den sekundära platsen kör du Windows Update på den sekundära platsservern.

• Innan du installerar den sekundära platsen installerar du SQL Server Express manuellt på den sekundära platsservern. Se till att du installerar den senaste versionen och eventuella programuppdateringar. Installera sedan den sekundära platsen och välj alternativet för att använda en befintlig SQL Server instans.

Kör regelbundet Windows Update för alla installerade versioner av SQL Server. Den här metoden ser till att de har de senaste programuppdateringarna.

Följ allmänna riktlinjer för SQL Server

Identifiera och följ de allmänna riktlinjerna för din version av SQL Server. Tänk dock på följande krav för Configuration Manager:

• Platsserverns datorkonto måste vara medlem i gruppen Administratörer på den dator som kör SQL Server. Om du följer SQL Server rekommendationen "etablera administratörshuvudnamn explicit" måste det konto som du använder för att köra installationsprogrammet på platsservern vara medlem i gruppen SQL Server Användare.

• Om du installerar SQL Server med ett domänanvändarkonto kontrollerar du att platsserverns datorkonto är konfigurerat för ett tjänsthuvudnamn (SPN) som har publicerats till Active Directory Domain Services. Utan SPN misslyckas Kerberos-autentiseringen och Configuration Manager installationen misslyckas.

Säkerhetsvägledning för platssystem som kör IIS

Flera platssystemroller i Configuration Manager kräver IIS. Processen för att skydda IIS gör det möjligt för Configuration Manager att fungera korrekt och minskar risken för säkerhetsattacker. När det är praktiskt möjligt minimerar du antalet servrar som kräver IIS. Kör till exempel bara det antal hanteringsplatser som du behöver för att stödja klientbasen, med hänsyn till hög tillgänglighet och nätverksisolering för internetbaserad klienthantering.

Använd följande vägledning för att skydda de platssystem som kör IIS.

Inaktivera IIS-funktioner som du inte behöver

Installera endast de minsta IIS-funktionerna för den platssystemroll som du installerar. Mer information finns i Krav för plats- och platssystem.

Konfigurera platssystemrollerna för att kräva HTTPS

När klienter ansluter till ett platssystem med http i stället för https använder de Windows-autentisering. Det här beteendet kan återgå till att använda NTLM-autentisering i stället för Kerberos-autentisering. När NTLM-autentisering används kan klienter ansluta till en falsk server.

Undantaget till den här vägledningen kan vara distributionsplatser. Paketåtkomstkonton fungerar inte när distributionsplatsen har konfigurerats för HTTPS. Paketåtkomstkonton ger auktorisering till innehållet, så att du kan begränsa vilka användare som kan komma åt innehållet. Mer information finns i Säkerhetsvägledning för innehållshantering.

Viktigt

Från och med Configuration Manager version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller utökad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller utökad HTTP.

Konfigurera en lista över betrodda certifikat (CTL) i IIS för platssystemroller

Platssystemroller:

• En distributionsplats som du konfigurerar för HTTPS

• En hanteringsplats som du konfigurerar för HTTPS och aktiverar för att stödja mobila enheter

En CTL är en definierad lista över betrodda rotcertifikatutfärdare (CA). När du använder en ctl med grupprincip och en distribution av PKI (Public Key Infrastructure) kan du använda en ctl för att komplettera befintliga betrodda rotcertifikatutfärdare som har konfigurerats i nätverket. Till exempel certifikatutfärdare som installeras automatiskt med Microsoft Windows eller läggs till via Windows enterprise-rotcertifikatutfärdare. När en ctl har konfigurerats i IIS definierar den en delmängd av dessa betrodda rotcertifikatutfärdare.

Den här delmängden ger dig mer kontroll över säkerheten. Ctl begränsar de klientcertifikat som godkänns till endast de certifikat som utfärdas från listan över certifikatutfärdare i ctl. Windows levereras till exempel med ett antal välkända ca-certifikat från tredje part.

Som standard litar den dator som kör IIS på certifikat som länkas till dessa välkända certifikatutfärdare. När du inte konfigurerar IIS med en CTL för de listade platssystemrollerna godkänner webbplatsen som en giltig klient alla enheter som har ett certifikat utfärdat från dessa certifikatutfärdare. Om du konfigurerar IIS med en ctl som inte inkluderade dessa certifikatutfärdare nekar platsen klientanslutningar om certifikatet kedjar till dessa certifikatutfärdare. För att Configuration Manager klienter ska accepteras för platssystemrollerna i listan måste du konfigurera IIS med en ctl som anger de certifikatutfärdare som används av Configuration Manager klienter.

Obs!

Endast de listade platssystemrollerna kräver att du konfigurerar en ctl i IIS. Listan över certifikatutfärdare som Configuration Manager använder för hanteringsplatser innehåller samma funktioner för klientdatorer när de ansluter till HTTPS-hanteringsplatser.

Mer information om hur du konfigurerar en lista över betrodda certifikatutfärdare i IIS finns i IIS-dokumentationen.

Placera inte platsservern på en dator med IIS

Rollseparering bidrar till att minska attackprofilen och förbättra återställningsbarheten. Platsserverns datorkonto har vanligtvis administratörsbehörighet för alla platssystemroller. Den kan också ha dessa behörigheter på Configuration Manager klienter om du använder push-installation av klienter.

Använda dedikerade IIS-servrar för Configuration Manager

Även om du kan vara värd för flera webbaserade program på de IIS-servrar som också används av Configuration Manager, kan den här metoden avsevärt öka din attackyta. Ett dåligt konfigurerat program kan göra det möjligt för en angripare att få kontroll över ett Configuration Manager platssystem. Det här intrånget kan göra det möjligt för en angripare att få kontroll över hierarkin.

Om du måste köra andra webbaserade program på Configuration Manager platssystem skapar du en anpassad webbplats för Configuration Manager platssystem.

Använda en anpassad webbplats

För platssystem som kör IIS konfigurerar du Configuration Manager att använda en anpassad webbplats i stället för standardwebbplatsen. Om du måste köra andra webbprogram på platssystemet måste du använda en anpassad webbplats. Den här inställningen är en platsomfattande inställning snarare än en inställning för ett visst platssystem.

När du använder anpassade webbplatser tar du bort de virtuella standardkatalogerna

När du ändrar från att använda standardwebbplatsen till att använda en anpassad webbplats tar Configuration Manager inte bort de gamla virtuella katalogerna. Ta bort de virtuella kataloger som Configuration Manager ursprungligen skapade under standardwebbplatsen.

Ta till exempel bort följande virtuella kataloger för en distributionsplats:

• SMS_DP_SMSPKG$

• SMS_DP_SMSSIG$

• NOCERT_SMS_DP_SMSPKG$

• NOCERT_SMS_DP_SMSSIG$

Följ säkerhetsvägledningen för IIS Server

Identifiera och följ de allmänna riktlinjerna för din version av IIS Server. Ta hänsyn till eventuella krav som Configuration Manager har för specifika platssystemroller. Mer information finns i Krav för plats- och platssystem.

Konfigurera anpassade IIS-huvuden

Konfigurera följande anpassade rubriker för att inaktivera MIME-sniffning:

x-content-type-options: nosniff

Mer information finns i Anpassade rubriker.

Om andra tjänster använder samma IIS-instans kontrollerar du att dessa anpassade huvuden är kompatibla.

Säkerhetsvägledning för hanteringsplatsen

Hanteringsplatser är det primära gränssnittet mellan enheter och Configuration Manager. Överväg attacker mot hanteringsplatsen och den server som den körs på för att vara hög risk och minimera på lämpligt sätt. Tillämpa all lämplig säkerhetsvägledning och övervaka ovanliga aktiviteter.

Använd följande vägledning för att skydda en hanteringsplats i Configuration Manager.

Tilldela klienten på en hanteringsplats till samma plats

Undvik scenariot där du tilldelar Configuration Manager-klienten som finns på en hanteringsplats till en annan plats än hanteringsplatsens plats.

Om du migrerar från en tidigare version till Configuration Manager aktuell gren migrerar du klienten på hanteringsplatsen till den nya platsen så snart som möjligt.

Säkerhetsvägledning för återställningsstatuspunkten

Om du installerar en återställningsstatuspunkt i Configuration Manager använder du följande säkerhetsvägledning:

Mer information om säkerhetsöverväganden när du installerar en återställningsstatuspunkt finns i Avgöra om du behöver en återställningsstatuspunkt.

Kör inga andra roller i samma platssystem

Återställningsstatuspunkten är utformad för att acceptera oautentiserad kommunikation från alla datorer. Om du kör den här platssystemrollen med andra roller eller en domänkontrollant ökar risken för servern avsevärt.

Installera återställningsstatusplatsen innan du installerar klienter med PKI-certifikat

Om Configuration Manager platssystem inte accepterar HTTP-klientkommunikation kanske du inte vet att klienterna är ohanterade på grund av PKI-relaterade certifikatproblem. Om du tilldelar klienter till en återställningsstatuspunkt rapporterar de dessa certifikatproblem via återställningsstatuspunkten.

Av säkerhetsskäl kan du inte tilldela en återställningsstatuspunkt till klienter när de har installerats. Du kan bara tilldela den här rollen under klientinstallationen.

Undvik att använda återställningsstatuspunkten i perimeternätverket

Efter design accepterar återställningsstatuspunkten data från alla klienter. Även om en återställningsstatuspunkt i perimeternätverket kan hjälpa dig att felsöka Internetbaserade klienter kan du balansera felsökningsfördelarna med risken för ett platssystem som accepterar oautentiserade data i ett offentligt tillgängligt nätverk.

Om du installerar återställningsstatuspunkten i perimeternätverket eller något ej betrott nätverk konfigurerar du platsservern för att initiera dataöverföringar. Använd inte standardinställningen som gör att återställningsstatuspunkten kan initiera en anslutning till platsservern.

Säkerhetsproblem för webbplatsadministration

Granska följande säkerhetsproblem för Configuration Manager:

• Configuration Manager har inget skydd mot en behörig administrativ användare som använder Configuration Manager för att attackera nätverket. Obehöriga administrativa användare är en hög säkerhetsrisk. De kan starta många attacker, bland annat följande strategier:

  • Använd programdistribution för att automatiskt installera och köra skadlig programvara på varje Configuration Manager klientdator i organisationen.

  • Fjärrstyr en Configuration Manager-klient utan klientbehörighet.

  • Konfigurera snabba avsökningsintervall och extrema lagermängder. Den här åtgärden skapar överbelastningsattacker mot klienter och servrar.

  • Använd en plats i hierarkin för att skriva data till en annan plats Active Directory-data.

  Platshierarkin är säkerhetsgränsen. Tänk dig att webbplatser endast är hanteringsgränser.

  Granska all administrativ användaraktivitet och granska granskningsloggarna rutinmässigt. Kräv att alla Configuration Manager administrativa användare genomgår en bakgrundskontroll innan de anställs. Kräv periodiska återkontroller som ett anställningsvillkor.

• Om registreringsplatsen komprometteras kan en angripare hämta certifikat för autentisering. De kan stjäla autentiseringsuppgifterna för användare som registrerar sina mobila enheter.

  Registreringsplatsen kommunicerar med en certifikatfärdare. Den kan skapa, ändra och ta bort Active Directory-objekt. Installera aldrig registreringsplatsen i perimeternätverket. Övervaka alltid för ovanlig aktivitet.

• Om du tillåter användarprinciper för Internetbaserad klienthantering ökar du din attackprofil.

  Förutom att använda PKI-certifikat för klient-till-server-anslutningar kräver dessa konfigurationer Windows-autentisering. De kan återgå till att använda NTLM-autentisering i stället för Kerberos. NTLM-autentisering är sårbart för personifierings- och uppspelningsattacker. Om du vill autentisera en användare på Internet måste du tillåta en anslutning från det Internetbaserade platssystemet till en domänkontrollant.

• Den Admin$-resursen krävs på platssystemservrar.

  Configuration Manager-platsservern använder Admin$-resursen för att ansluta till och utföra tjänståtgärder på platssystem. Inaktivera eller ta inte bort resursen.

• Configuration Manager använder namnmatchningstjänster för att ansluta till andra datorer. Dessa tjänster är svåra att skydda mot följande säkerhetsattacker:

  • Kapning
  • Manipulering
  • Avståndstagande
  • Avslöjande av information
  • Denial of Service
  • Utökade privilegier

  Identifiera och följ eventuella säkerhetsriktlinjer för den version av DNS som du använder för namnmatchning.

Sekretessinformation för identifiering

Identifiering skapar poster för nätverksresurser och lagrar dem i Configuration Manager-databasen. Identifieringsdataposter innehåller datorinformation som IP-adresser, OS-versioner och datornamn. Du kan också konfigurera Active Directory-identifieringsmetoder för att returnera all information som din organisation lagrar i Active Directory Domain Services.

Den enda identifieringsmetod som Configuration Manager aktiverar som standard är Pulsslagsidentifiering. Den här metoden identifierar bara datorer som redan har Configuration Manager-klientprogramvara installerad.

Identifieringsinformation skickas inte direkt till Microsoft. Den lagras i Configuration Manager-databasen. Configuration Manager behåller information i databasen tills den tar bort data. Den här processen sker var 90:e dag av platsunderhållsaktiviteten Ta bort föråldrade identifieringsdata.