在 Configuration Manager 中规划安全性
适用于: Configuration Manager(current branch)
本文介绍在规划 Configuration Manager 实现安全性时要考虑的以下概念:
(自签名证书和 PKI)
受信任的根密钥
签名和加密
基于角色的管理
Microsoft Entra ID
SMS 提供程序身份验证
在开始之前,请确保熟悉 Configuration Manager 中安全性的基础知识。
证书
Configuration Manager 结合使用自签名基础结构和公钥基础结构 (PKI) 数字证书。 尽可能使用 PKI 证书。 某些方案需要 PKI 证书。 PKI 证书不可用时,站点会自动生成自签名证书。 某些方案始终使用自签名证书。
有关详细信息,请参阅 规划证书。
受信任的根密钥
Configuration Manager 受信任的根密钥为 Configuration Manager 客户端提供了一种机制,用于验证站点系统是否属于其层次结构。 每个站点服务器都会生成站点交换密钥以与其他站点通信。 层次结构中顶级站点中的站点交换密钥称为受信任的根密钥。
Configuration Manager 中受信任的根密钥的功能类似于公钥基础结构中的根证书。 受信任的根密钥的私钥签名的任何内容在层次结构中都受到进一步信任。 客户端将站点的受信任根密钥的副本存储在 WMI 命名空间中 root\ccm\locationservices
。
例如,站点向管理点颁发证书,管理点使用受信任的根密钥的私钥进行签名。 站点与客户端共享其受信任的根密钥的公钥。 然后,客户端可以区分其层次结构中的管理点和不在层次结构中的管理点。
客户端使用两种机制自动获取受信任的根密钥的公共副本:
扩展 Configuration Manager 的 Active Directory 架构,并将站点发布到 Active Directory 域服务。 然后,客户端从全局编录服务器检索此站点信息。 有关详细信息,请参阅 准备 Active Directory 进行网站发布。
使用客户端请求安装方法安装客户端时。 有关详细信息,请参阅 客户端请求安装。
如果客户端无法使用这些机制之一获取受信任的根密钥,则它们信任与其通信的第一个管理点提供的受信任的根密钥。 在此方案中,客户端可能会错误地定向到攻击者的管理点,该管理点将从恶意管理点接收策略。 此操作需要一个老练的攻击者。 此攻击仅限于客户端从有效管理点检索受信任的根密钥之前的短时间。 若要降低攻击者将客户端错误定向到恶意管理点的这种风险,请使用受信任的根密钥预配客户端。
有关管理受信任根密钥的详细信息和过程,请参阅 配置安全性。
签名和加密
将 PKI 证书用于所有客户端通信时,无需规划签名和加密来帮助保护客户端数据通信。 如果将运行 IIS 的任何站点系统设置为允许 HTTP 客户端连接,请决定如何帮助保护站点的客户端通信。
重要
从 Configuration Manager 版本 2103 开始,将弃用允许 HTTP 客户端通信的站点。 为 HTTPS 或增强 HTTP 配置站点。 有关详细信息,请参阅 为仅 HTTPS 或增强的 HTTP 启用站点。
为了帮助保护客户端发送到管理点的数据,可以要求客户端对数据进行签名。 还可以要求 SHA-256 算法进行签名。 此配置更安全,但不需要 SHA-256,除非所有客户端都支持它。 许多操作系统原生支持此算法,但较旧的操作系统可能需要更新或修补程序。
虽然签名有助于防止数据被篡改,但加密有助于保护数据免受信息泄露。 可以为客户端发送到站点中的管理点的清单数据和状态消息启用加密。 无需在客户端上安装任何更新来支持此选项。 客户端和管理点需要更多 CPU 使用率来加密和解密。
注意
为了加密数据,客户端使用管理点加密证书的公钥。 只有管理点具有相应的私钥,因此只有它才能解密数据。
客户端使用管理点的签名证书启动此证书,该证书使用站点的受信任根密钥启动。 确保在客户端上安全地预配受信任的根密钥。 有关详细信息,请参阅 受信任的根密钥。
有关如何配置签名和加密设置的详细信息,请参阅 配置签名和加密。
有关用于签名和加密的加密算法的详细信息,请参阅 加密控制技术参考。
基于角色的管理
使用 Configuration Manager,可以使用基于角色的管理来保护管理用户使用 Configuration Manager 所需的访问权限。 还可以保护对所管理的对象(如集合、部署和站点)的访问。
使用安全角色、安全作用域和集合的组合,可以隔离满足组织要求的管理分配。 它们一起使用,可定义用户的 管理范围 。 此管理范围控制管理用户在 Configuration Manager 控制台中查看的对象,并控制用户对这些对象拥有的权限。
有关详细信息,请参阅基于角色的管理基础。
Microsoft Entra ID
Configuration Manager 与 Microsoft Entra ID 集成,使站点和客户端能够使用新式身份验证。
有关Microsoft Entra ID 的详细信息,请参阅 Microsoft Entra 文档。
使用 Microsoft Entra ID 加入站点支持以下 Configuration Manager 方案:
客户端方案
服务器方案
SMS 提供程序身份验证
可以指定管理员访问 Configuration Manager 站点的最低身份验证级别。 此功能强制管理员在访问 Configuration Manager 之前使用所需的级别登录到 Windows。 它适用于访问 SMS 提供程序的所有组件。 例如,Configuration Manager 控制台、SDK 方法和 Windows PowerShell cmdlet。
Configuration Manager 支持以下身份验证级别:
Windows 身份验证:需要使用 Active Directory 域凭据进行身份验证。 此设置是以前的行为和当前的默认设置。
证书身份验证:要求使用受信任的 PKI 证书颁发机构颁发的有效证书进行身份验证。 未在 Configuration Manager 中配置此证书。 Configuration Manager 要求管理员使用 PKI 登录到 Windows。
Windows Hello 企业版身份验证:要求使用绑定到设备并使用生物识别或 PIN 的强双因素身份验证进行身份验证。 有关详细信息,请参阅 Windows Hello 企业版。
重要
选择此设置时,SMS 提供程序和管理服务要求用户的身份验证令牌包含来自 Windows Hello 企业版的 MFA) 声明 (多重身份验证。 换句话说,主机、SDK、PowerShell 或管理服务的用户必须使用其 Windows Hello 企业版 PIN 或生物识别功能向 Windows 进行身份验证。 否则,站点将拒绝用户的操作。
此行为适用于 Windows Hello 企业版,而不是 Windows Hello。
有关如何配置此设置的详细信息,请参阅 配置 SMS 提供程序身份验证。