通过

Configuration Manager中站点管理的安全性和隐私性

  • 项目

适用于: Configuration Manager(current branch)

本文包含Configuration Manager站点和层次结构的安全和隐私信息。

站点管理安全指南

使用以下指南来帮助保护Configuration Manager站点和层次结构。

从受信任的源运行安装程序并安全通信

若要帮助防止某人篡改源文件,请从受信任的源运行Configuration Manager安装程序。 如果将文件存储在网络上,请保护网络位置。

如果确实从网络位置运行安装程序,为了帮助防止攻击者在通过网络传输文件时篡改文件,请在安装文件的源位置与站点服务器之间使用 IPsec 或 SMB 签名。

如果使用安装程序下载器下载安装程序所需的文件,请确保保护这些文件的存储位置。 运行安装程序时,还要保护此位置的信道。

扩展 Active Directory 架构并将站点发布到域

运行 Configuration Manager 不需要架构扩展,但它们确实会创建更安全的环境。 客户端和站点服务器可以从受信任的源检索信息。

如果客户端位于不受信任的域中,请在客户端的域中部署以下站点系统角色:

  • 管理点

  • 分发点

注意

Configuration Manager的受信任域需要 Kerberos 身份验证。 如果客户端位于另一个林中,而该林与站点服务器的林没有双向林信任,则这些客户端将被视为位于不受信任的域中。 外部信任不足以达到此目的。

使用 IPsec 保护通信

尽管 Configuration Manager 可以保护站点服务器与运行 SQL Server 的计算机之间的通信,但Configuration Manager不会保护站点系统角色和SQL Server之间的通信。 只能将某些站点系统配置为使用 HTTPS 进行站点内通信。

如果不使用其他控件来保护这些服务器到服务器通道,攻击者可能会对站点系统使用各种欺骗和中间人攻击。 无法使用 IPsec 时使用 SMB 签名。

重要

保护站点服务器和包源服务器之间的信道。 此通信使用 SMB。 如果无法使用 IPsec 保护此通信,请使用 SMB 签名来确保在客户端下载和运行文件之前不会篡改这些文件。

不要更改默认安全组

请勿更改Configuration Manager为站点系统通信创建和管理的以下安全组:

  • <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager自动创建和管理这些安全组。 此行为包括在删除站点系统角色时删除计算机帐户。

若要确保服务连续性和最低特权,请不要手动编辑这些组。

管理受信任的根密钥预配过程

如果客户端无法查询全局编录Configuration Manager信息,则必须依赖受信任的根密钥对有效管理点进行身份验证。 受信任的根密钥存储在客户端注册表中。 可以使用组策略或手动配置来设置它。

如果客户端在首次联系管理点之前没有受信任的根密钥的副本,则客户端信任它与之通信的第一个管理点。 若要降低攻击者将客户端错误定向到未经授权的管理点的风险,可以使用受信任的根密钥预先预配客户端。 有关详细信息,请参阅 规划受信任的根密钥

使用非默认端口号

使用非默认端口号可提供额外的安全性。 它们使攻击者更难浏览环境,为攻击做准备。 如果决定使用非默认端口,请在安装Configuration Manager之前对其进行规划。 在层次结构中的所有站点中一致地使用它们。 客户端请求端口和 LAN 唤醒是可以使用非默认端口号的示例。

在站点系统上使用角色分离

尽管可以在一台计算机上安装所有站点系统角色,但这种做法很少在生产网络上使用。 它会创建单一故障点。

减少攻击配置文件

隔离不同服务器上的每个站点系统角色可降低针对一个站点系统上的漏洞攻击针对不同站点系统使用的可能性。 许多角色需要在站点系统上安装 Internet Information Services (IIS) ,这需要增加攻击面。 如果必须组合角色以减少硬件支出,请仅将 IIS 角色与其他需要 IIS 的角色组合在一起。

重要

回退状态点角色是一个例外。 由于此站点系统角色接受来自客户端的未经身份验证的数据,因此不要将回退状态点角色分配给任何其他Configuration Manager站点系统角色。

为站点系统配置静态 IP 地址

静态 IP 地址更易于防止名称解析攻击。

静态 IP 地址还可简化 IPsec 的配置。 使用 IPsec 是保护 Configuration Manager 中站点系统之间的通信的安全最佳做法。

不要在站点系统服务器上安装其他应用程序

在站点系统服务器上安装其他应用程序时,会增加Configuration Manager的攻击面。 你还会面临不兼容问题的风险。

需要签名并启用加密作为站点选项

为站点启用签名和加密选项。 确保所有客户端都可以支持 SHA-256 哈希算法,然后启用“ 需要 SHA-256”选项。

限制和监视管理用户

仅向信任的用户授予对Configuration Manager的管理访问权限。 然后,通过使用内置安全角色或通过自定义安全角色来向他们授予最低权限。 可以创建、修改和部署软件和配置的管理用户可以控制Configuration Manager层次结构中的设备。

定期审核管理用户分配及其授权级别,以验证所需的更改。

有关详细信息,请参阅 配置基于角色的管理

保护Configuration Manager备份

备份Configuration Manager时,此信息包括攻击者可用于模拟的证书和其他敏感数据。

通过网络传输此数据时,请使用 SMB 签名或 IPsec,并保护备份位置。

保护导出对象的位置

每当将对象从 Configuration Manager 控制台导出或导入到网络位置时,请保护该位置并保护网络通道。

限制可以访问网络文件夹的人员。

若要防止攻击者篡改导出的数据,请在网络位置和站点服务器之间使用 SMB 签名或 IPsec。 此外,保护运行 Configuration Manager 控制台的计算机与站点服务器之间的通信。 使用 IPsec 加密网络上的数据,以防止信息泄露。

手动从失败的服务器中删除证书

如果站点系统未正确卸载或停止运行且无法还原,请从其他Configuration Manager服务器手动删除此服务器的Configuration Manager证书。

若要删除最初使用站点系统和站点系统角色建立的对等信任,请在其他站点系统服务器上的受信任人员证书存储中手动删除失败服务器的Configuration Manager证书。 如果不重新格式化服务器,则此操作非常重要。

有关详细信息,请参阅 服务器通信的加密控制

不要配置基于 Internet 的站点系统来桥接外围网络

不要将站点系统服务器配置为多宿主,以便它们连接到外围网络和 Intranet。 尽管此配置允许基于 Internet 的站点系统接受来自 Internet 和 Intranet 的客户端连接,但它消除了外围网络与 Intranet 之间的安全边界。

配置站点服务器以启动到外围网络连接

如果站点系统位于不受信任的网络(例如外围网络)上,请将站点服务器配置为启动与站点系统的连接。

默认情况下,站点系统启动与站点服务器的连接以传输数据。 当连接启动从不受信任的网络到受信任的网络时,此配置可能会构成安全风险。 当站点系统接受来自 Internet 的连接或驻留在不受信任的林中时,请将站点系统选项配置为 “要求站点服务器启动到此站点系统的连接”。 安装站点系统和任何角色后,站点服务器将从受信任的网络启动所有连接。

将 SSL 桥接和终止与身份验证配合使用

如果使用 Web 代理服务器进行基于 Internet 的客户端管理,请使用 SSL 桥接到 SSL,方法是使用终止身份验证。

在代理 Web 服务器上配置 SSL 终止时,来自 Internet 的数据包在转发到内部网络之前,会进行检查。 代理 Web 服务器对来自客户端的连接进行身份验证,终止该连接,然后打开与基于 Internet 的站点系统的新经过身份验证的连接。

当Configuration Manager客户端计算机使用代理 Web 服务器连接到基于 Internet 的站点系统时,客户端标识 (GUID) 安全地包含在数据包有效负载中。 然后,管理点不会将代理 Web 服务器视为客户端。

如果代理 Web 服务器无法支持 SSL 桥接的要求,则也支持 SSL 隧道。 此选项不太安全。 来自 Internet 的 SSL 数据包将转发到站点系统,而不会终止。 然后,无法检查它们是否存在恶意内容。

警告

Configuration Manager注册的移动设备无法使用 SSL 桥接。 它们必须仅使用 SSL 隧道。

配置站点以唤醒计算机以安装软件时要使用的配置

  • 如果使用传统的唤醒数据包,请使用单播而不是子网定向广播。

  • 如果必须使用子网定向广播,请将路由器配置为仅允许来自站点服务器且仅允许非默认端口号上的 IP 定向广播。

有关不同 LAN 唤醒技术的详细信息,请参阅 规划如何唤醒客户端

如果使用电子邮件通知,请配置对 SMTP 邮件服务器的身份验证访问权限

尽可能使用支持经过身份验证访问的邮件服务器。 使用站点服务器的计算机帐户进行身份验证。 如果必须指定用于身份验证的用户帐户,请使用具有最低特权的帐户。

强制实施 LDAP 通道绑定和 LDAP 签名

通过将服务器配置为拒绝简单身份验证和安全层, (不请求签名的 SASL) LDAP 绑定或拒绝在明文连接上执行的 LDAP 简单绑定,可以提高 Active Directory 域控制器的安全性。 从版本 1910 开始,Configuration Manager支持强制实施 LDAP 通道绑定和 LDAP 签名。 有关详细信息,请参阅 Windows 的 2020 LDAP 通道绑定和 LDAP 签名要求

站点服务器的安全指南

使用以下指南来帮助保护Configuration Manager站点服务器。

警告

网络访问帐户 - 不要向 SQL Server 上的此帐户授予交互式登录权限。 不要向此帐户授予将计算机加入域的权限。 如果必须在任务序列期间将计算机加入域,请使用任务序列域加入帐户。

在成员服务器上而不是域控制器上安装Configuration Manager

Configuration Manager站点服务器和站点系统不需要在域控制器上安装。 除了域数据库之外,域控制器没有本地安全帐户管理 (SAM) 数据库。 在成员服务器上安装Configuration Manager时,可以在本地 SAM 数据库中而不是域数据库中维护Configuration Manager帐户。

这种做法还会降低域控制器上的攻击面。

安装辅助站点,而无需通过网络复制文件

运行安装程序并创建辅助站点时,不要选择将文件从父站点复制到辅助站点的选项。 也不要使用网络源位置。 通过网络复制文件时,熟练的攻击者可能会在安装文件之前劫持辅助站点安装包并篡改这些文件。 这种攻击的计时将很困难。 传输文件时,可以使用 IPsec 或 SMB 缓解此攻击。

在辅助站点服务器上,将源文件从媒体文件夹复制到本地文件夹,而不是通过网络复制文件。 然后,运行安装程序以创建辅助站点时,在“ 安装源文件” 页上,选择“ 在辅助站点计算机上的以下位置使用源文件 (最安全的) ”,并指定此文件夹。

有关详细信息,请参阅 安装辅助站点

站点角色安装从驱动器根目录继承权限

在将第一个站点系统角色安装到任何服务器之前,请确保正确配置系统驱动器权限。 例如, C:\SMS_CCMC:\继承权限。 如果驱动器的根目录未得到适当的保护,则低权限用户可能能够访问或修改Configuration Manager文件夹中的内容。

SQL Server安全指南

Configuration Manager使用 SQL Server 作为后端数据库。 如果数据库遭到入侵,攻击者可能会绕过Configuration Manager。 如果他们直接访问SQL Server,他们可以通过Configuration Manager发起攻击。 将针对SQL Server的攻击视为高风险并适当缓解。

使用以下安全指南来帮助保护Configuration Manager SQL Server。

请勿使用Configuration Manager站点数据库服务器运行其他SQL Server应用程序

增加对Configuration Manager站点数据库服务器的访问权限时,此操作会增加Configuration Manager数据的风险。 如果Configuration Manager站点数据库遭到入侵,则同一SQL Server计算机上的其他应用程序也会面临风险。

配置SQL Server以使用Windows 身份验证

尽管Configuration Manager使用 Windows 帐户和Windows 身份验证访问站点数据库,但仍可以将SQL Server配置为使用SQL Server混合模式。 SQL Server混合模式允许其他SQL Server登录访问数据库。 此配置不是必需的,会增加攻击面。

更新辅助站点SQL Server Express

安装主站点时,Configuration Manager从 Microsoft 下载中心下载SQL Server Express。 然后,它将文件复制到主站点服务器。 安装辅助站点并选择安装SQL Server Express的选项时,Configuration Manager安装以前下载的版本。 它不会检查新版本是否可用。 若要确保辅助站点具有最新版本,请执行以下任务之一:

  • 安装辅助站点后,在辅助站点服务器上运行 Windows 更新。

  • 在安装辅助站点之前,请在辅助站点服务器上手动安装SQL Server Express。 请确保安装最新版本和任何软件更新。 然后安装辅助站点,并选择使用现有SQL Server实例的选项。

为所有已安装版本的SQL Server定期运行Windows 更新。 这种做法可确保他们具有最新的软件更新。

遵循SQL Server的一般指南

确定并遵循SQL Server版本的常规指南。 但是,请注意以下Configuration Manager要求:

  • 站点服务器的计算机帐户必须是运行 SQL Server 的计算机上的 Administrators 组的成员。 如果遵循“显式预配管理员主体”SQL Server建议,则用于在站点服务器上运行安装程序的帐户必须是 SQL Server 用户组的成员。

  • 如果使用域用户帐户安装 SQL Server,请确保为发布到 Active Directory 域服务 的服务主体名称 (SPN) 配置站点服务器计算机帐户。 如果没有 SPN,Kerberos 身份验证将失败,Configuration Manager设置失败。

运行 IIS 的站点系统的安全指南

Configuration Manager中的多个站点系统角色需要 IIS。 保护 IIS 的过程使Configuration Manager能够正常运行,并降低安全攻击的风险。 如果可行,请尽量减少需要 IIS 的服务器数。 例如,仅运行支持客户端群所需的管理点数,同时考虑基于 Internet 的客户端管理的高可用性和网络隔离。

使用以下指南来帮助保护运行 IIS 的站点系统。

禁用不需要的 IIS 函数

仅为安装的站点系统角色安装最低 IIS 功能。 有关详细信息,请参阅 站点和站点系统先决条件

将站点系统角色配置为需要 HTTPS

当客户端使用 HTTP 而不是 HTTPS 连接到站点系统时,它们使用 Windows 身份验证。 此行为可能会回退到使用 NTLM 身份验证,而不是 Kerberos 身份验证。 使用 NTLM 身份验证时,客户端可能会连接到恶意服务器。

本指南的例外情况可能是分发点。 为 HTTPS 配置分发点时,包访问帐户不起作用。 包访问帐户为内容提供授权,以便你可以限制哪些用户可以访问内容。 有关详细信息,请参阅 内容管理的安全指南

重要

从 Configuration Manager 版本 2103 开始,将弃用允许 HTTP 客户端通信的站点。 为 HTTPS 或增强 HTTP 配置站点。 有关详细信息,请参阅 为仅 HTTPS 或增强的 HTTP 启用站点

在 IIS 中为站点系统角色配置证书信任列表 (CTL)

站点系统角色:

  • 为 HTTPS 配置的分发点

  • 为 HTTPS 配置并启用以支持移动设备的管理点

CTL 是受信任的根证书颁发机构 (CA) 定义的列表。 将 CTL 与组策略和公钥基础结构 (PKI) 部署结合使用时,CTL 使你能够补充网络上配置的现有受信任的根 CA。 例如,随 Microsoft Windows 自动安装或通过 Windows 企业根 CA 添加的 CA。 在 IIS 中配置 CTL 时,它将定义这些受信任的根 CA 的子集。

此子集提供对安全性的更多控制。 CTL 将接受的客户端证书限制为仅从 CTL 中的 CA 列表中颁发的证书。 例如,Windows 附带许多已知的第三方 CA 证书。

默认情况下,运行 IIS 的计算机信任链接到这些已知 CA 的证书。 如果不为列出的站点系统角色配置 CTL 的 IIS,则站点接受具有从这些 CA 颁发的证书的任何设备作为有效的客户端。 如果使用不包含这些 CA 的 CTL 配置 IIS,则如果证书链接到这些 CA,则站点将拒绝客户端连接。 若要为列出的站点系统角色接受Configuration Manager客户端,必须使用 CTL 配置 IIS,该 CTL 指定Configuration Manager客户端使用的 CA。

注意

只有列出的站点系统角色需要你在 IIS 中配置 CTL。 Configuration Manager用于管理点的证书颁发者列表在连接到 HTTPS 管理点时为客户端计算机提供相同的功能。

有关如何在 IIS 中配置受信任 CA 列表的详细信息,请参阅 IIS 文档。

不要将站点服务器放在具有 IIS 的计算机上

角色分离有助于减少攻击配置文件并提高可恢复性。 站点服务器的计算机帐户通常对所有站点系统角色具有管理权限。 如果使用客户端请求安装,它还可能具有Configuration Manager客户端的这些特权。

将专用 IIS 服务器用于Configuration Manager

尽管可以在Configuration Manager也使用的 IIS 服务器上托管多个基于 Web 的应用程序,但这种做法可能会显著增加攻击面。 配置不当的应用程序可能允许攻击者控制Configuration Manager站点系统。 此漏洞可能允许攻击者控制层次结构。

如果必须在Configuration Manager站点系统上运行其他基于 Web 的应用程序,请为Configuration Manager站点系统创建自定义网站。

使用自定义网站

对于运行 IIS 的站点系统,请将Configuration Manager配置为使用自定义网站而不是默认网站。 如果必须在站点系统上运行其他 Web 应用程序,则必须使用自定义网站。 此设置是站点范围的设置,而不是特定站点系统的设置。

使用自定义网站时,请删除默认虚拟目录

从使用默认网站更改为使用自定义网站时,Configuration Manager不会删除旧的虚拟目录。 删除Configuration Manager最初在默认网站下创建的虚拟目录。

例如,删除分发点的以下虚拟目录:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

遵循 IIS 服务器安全指南

确定并遵循 IIS 服务器版本的一般指南。 考虑Configuration Manager对特定站点系统角色的任何要求。 有关详细信息,请参阅 站点和站点系统先决条件

配置 IIS 自定义标头

配置以下自定义标头以禁用 MIME 探查:

x-content-type-options: nosniff

有关详细信息,请参阅 自定义标头

如果其他服务使用相同的 IIS 实例,请确保这些自定义标头兼容。

管理点的安全指南

管理点是设备和Configuration Manager之间的主要接口。 将针对管理点及其上运行的服务器的攻击视为高风险,并适当缓解。 应用所有适当的安全指南并监视异常活动。

使用以下指南来帮助保护 Configuration Manager 中的管理点。

将管理点上的客户端分配到同一站点

避免将管理点上的Configuration Manager客户端分配给管理点站点以外的站点的情况。

如果从早期版本迁移到当前分支Configuration Manager,请尽快将管理点上的客户端迁移到新站点。

回退状态点的安全指南

如果在 Configuration Manager 中安装回退状态点,请使用以下安全指南:

有关安装回退状态点时的安全注意事项的详细信息,请参阅 确定是否需要回退状态点

不要在同一站点系统上运行任何其他角色

回退状态点旨在接受来自任何计算机的未经身份验证的通信。 如果使用其他角色或域控制器运行此站点系统角色,则会大大增加该服务器的风险。

安装回退状态点,然后再安装具有 PKI 证书的客户端

如果Configuration Manager站点系统不接受 HTTP 客户端通信,则可能不知道客户端因 PKI 相关的证书问题而不受管理。 如果将客户端分配到回退状态点,则它们通过回退状态点报告这些证书问题。

出于安全原因,安装客户端后,无法向客户端分配回退状态点。 只能在客户端安装期间分配此角色。

避免在外围网络中使用回退状态点

根据设计,回退状态点接受来自任何客户端的数据。 尽管外围网络中的回退状态点可以帮助你对基于 Internet 的客户端进行故障排除,但要平衡故障排除优势与站点系统在可公开访问的网络中接受未经身份验证数据的风险。

如果在外围网络或任何不受信任的网络中安装回退状态点,请将站点服务器配置为启动数据传输。 不要使用允许回退状态点启动到站点服务器的连接的默认设置。

站点管理的安全问题

查看Configuration Manager的以下安全问题:

  • Configuration Manager无法防范使用Configuration Manager攻击网络的授权管理用户。 未经授权的管理用户存在很高的安全风险。 他们可能会发起许多攻击,其中包括以下策略:

    • 使用软件部署在组织中的每台Configuration Manager客户端计算机上自动安装和运行恶意软件。

    • 在没有客户端权限的情况下远程控制Configuration Manager客户端。

    • 配置快速轮询间隔和极端数量的库存。 此操作会针对客户端和服务器创建拒绝服务攻击。

    • 使用层次结构中的一个站点将数据写入另一个站点的 Active Directory 数据。

    站点层次结构是安全边界。 将站点视为仅管理边界。

    审核所有管理用户活动,并定期查看审核日志。 要求所有Configuration Manager管理用户在被雇用之前都经过后台检查。 要求定期重新检查作为雇佣条件。

  • 如果注册点遭到入侵,攻击者可能会获取用于身份验证的证书。 他们可能会窃取注册其移动设备的用户的凭据。

    注册点与 CA 通信。 它可以创建、修改和删除 Active Directory 对象。 切勿在外围网络中安装注册点。 始终监视异常活动。

  • 如果允许基于 Internet 的客户端管理的用户策略,则会增加攻击配置文件。

    除了将 PKI 证书用于客户端到服务器连接之外,这些配置还需要Windows 身份验证。 它们可能会回退到使用 NTLM 身份验证而不是 Kerberos。 NTLM 身份验证容易受到模拟和重播攻击。 若要在 Internet 上成功对用户进行身份验证,需要允许从基于 Internet 的站点系统到域控制器的连接。

  • 站点系统服务器上需要 管理员$ 共享。

    Configuration Manager站点服务器使用 管理员$ 共享来连接站点系统并在站点系统上执行服务操作。 请勿禁用或删除此共享。

  • Configuration Manager使用名称解析服务连接到其他计算机。 这些服务很难抵御以下安全攻击:

    • 网络钓鱼
    • 篡改
    • 否认
    • 信息泄露
    • 拒绝服务
    • 特权提升

    确定并遵循用于名称解析的 DNS 版本的任何安全指南。

用于发现的隐私信息

发现创建网络资源的记录,并将其存储在Configuration Manager数据库中。 发现数据记录包含计算机信息,例如 IP 地址、OS 版本和计算机名称。 还可以配置 Active Directory 发现方法,以返回组织存储在 Active Directory 域服务 中的任何信息。

默认情况下,Configuration Manager启用的唯一发现方法是检测信号发现。 此方法仅发现已安装 Configuration Manager 客户端软件的计算机。

发现信息不会直接发送到 Microsoft。 它存储在 Configuration Manager 数据库中。 Configuration Manager在删除数据之前保留数据库中的信息。 网站维护任务 “删除过期的发现数据”每隔 90 天发生一次此过程。