Configuration Manager中內容管理的安全性和隱私權
適用於:Configuration Manager (目前的分支)
本文包含Configuration Manager中內容管理的安全性和隱私權資訊。
安全性指引
內部網路發佈點 HTTPS 或 HTTP 的優缺點
針對內部網路上的發佈點,請考慮使用 HTTPS 或 HTTP 的優缺點。 在大部分情況下,使用 HTTP 和 套件存取帳戶 進行授權可提供比使用 HTTPS 加密但不使用授權更多的安全性。 不過,如果您的內容中有想要在傳輸期間加密的敏感性資料,請使用 HTTPS。
當您針對發佈點使用HTTPS時:Configuration Manager不會使用套件存取帳戶來授權內容的存取權。 內容在透過網路傳輸時會加密。
當您針對發佈點使用 HTTP 時:您可以使用套件存取帳戶進行授權。 透過網路傳輸內容時,內容不會加密。
請考慮為網站啟用 增強式 HTTP 。 此功能可讓用戶端使用Microsoft Entra驗證安全地與 HTTP 發佈點通訊。 如需詳細資訊,請參閱 增強 HTTP。
重要事項
從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站。
保護用戶端驗證憑證檔案
如果您使用 PKI 用戶端驗證憑證,而不是發佈點的自我簽署憑證,請使用強式密碼保護憑證檔案 (.pfx) 。 如果您將檔案儲存在網路上,請在將檔案匯入Configuration Manager時保護網路通道。
當您需要密碼來匯入發佈點用來與管理點通訊的用戶端驗證憑證時,此設定有助於保護憑證不受攻擊者攻擊。 若要防止攻擊者竄改憑證檔案,請在網路位置與月臺伺服器之間使用伺服器訊息區 (SMB) 簽署或 IPsec。
從月臺伺服器移除發佈點角色
根據預設,Configuration Manager安裝程式會在月臺伺服器上安裝發佈點。 用戶端不需要直接與月臺伺服器通訊。 若要減少受攻擊面,請將發佈點角色指派給其他月臺系統,並將其從月臺伺服器中移除。
保護套件存取層級的內容
發佈點共用允許所有使用者的讀取權限。 若要限制哪些使用者可以存取內容,請在為 HTTP 設定發佈點時使用套件存取帳戶。 此設定不適用於已啟用內容的雲端管理閘道,不支援套件存取帳戶。
如需詳細資訊,請參閱 套件存取帳戶。
在發佈點角色上設定 IIS
如果Configuration Manager在新增發佈點月臺系統角色時安裝 IIS,請在發佈點安裝完成時移除HTTP 重新導向和 IIS 管理腳本和工具。 發佈點不需要這些元件。 若要減少受攻擊面,請移除 Web 服務器角色的這些角色服務。
如需發佈點之網頁伺服器角色角色服務的詳細資訊,請參閱 月臺和月臺系統必要條件。
建立套件時設定套件存取權限
因為只有當您重新發佈套件時,套件檔案上的存取帳戶變更才會生效,所以當您第一次建立套件時,請仔細設定套件存取權限。 當套件很大或散發到許多發佈點,以及內容發佈的網路頻寬容量受到限制時,此設定很重要。
實作存取控制以保護包含預先設置內容的媒體
預先設置的內容 會壓縮,但不會加密。 攻擊者可以讀取和修改下載到裝置的檔案。 Configuration Manager用戶端拒絕遭到竄改的內容,但仍會下載內容。
使用 ExtractContent 匯入預先設置的內容
只使用 ExtractContent.exe 命令列工具匯入預先設置的內容。 若要避免竄改和提高許可權,請只使用Configuration Manager隨附的授權命令列工具。
如需詳細資訊,請 參閱部署和管理內容。
保護月臺伺服器與套件來源位置之間的通道
當您使用內容建立應用程式、套件和其他物件時,請在月臺伺服器與套件來源位置之間使用 IPsec 或 SMB 簽署。 此設定有助於防止攻擊者竄改來源檔案。
移除具有發佈點角色之自訂網站的預設虛擬目錄
如果您在安裝發佈點角色之後,將月臺組態選項變更為使用自訂網站,而不是預設網站,請移除預設虛擬目錄。 當您從預設網站切換至自訂網站時,Configuration Manager不會移除舊的虛擬目錄。 移除Configuration Manager原先在預設網站下建立的下列虛擬目錄:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
如需使用自訂網站的詳細資訊,請參閱 網站系統伺服器的網站。
針對已啟用內容的雲端管理閘道,保護您的 Azure 訂用帳戶詳細資料和憑證
當您使用啟用內容的雲端管理閘道 (CMG) 時,請保護下列高價值專案:
- Azure 訂用帳戶的使用者名稱和密碼
- Azure 應用程式註冊的秘密金鑰
- 伺服器驗證憑證
安全地儲存憑證。 如果您在設定 CMG 時透過網路流覽至它們,請在月臺系統伺服器與來源位置之間使用 IPsec 或 SMB 簽署。
如需服務持續性,請監視 CMG 憑證的到期日
Configuration Manager不會在 CMG 匯入的憑證即將過期時警告您。 從Configuration Manager獨立監視到期日。 請確定您已續約,然後在到期日之前匯入新的憑證。 如果您從外部公用提供者取得伺服器驗證憑證,這個動作很重要,因為您可能需要更多時間來取得更新的憑證。
如果憑證過期,Configuration Manager雲端服務管理員會產生識別碼為 9425的狀態訊息。 CloudMgr.log 檔案包含一個專案,指出憑證 處於過期狀態,且到期日也以 UTC 登入。
安全考量
在下載內容之前,用戶端不會驗證內容。 Configuration Manager用戶端只有在內容下載到其用戶端快取之後,才會驗證其雜湊。 如果攻擊者竄改要下載的檔案清單或內容本身,下載程式可能會佔用相當長的網路頻寬。 然後用戶端會在找到不正確雜湊時捨棄內容。
當您使用已啟用內容的雲端管理閘道時:
它會自動限制對貴組織內容的存取。 您無法進一步將它限制為選取的使用者或群組。
管理點會先驗證用戶端。 然後用戶端會使用Configuration Manager權杖來存取雲端儲存體。 權杖的有效期為八小時。 此行為表示,如果您因為不再信任用戶端而封鎖用戶端,它可以繼續從雲端儲存體下載內容,直到此權杖過期為止。 管理點不會為用戶端發出另一個權杖,因為它已被封鎖。
若要避免封鎖的用戶端在此八小時內下載內容,請停止雲端服務。 在 Configuration Manager 主控台中,移至 [系統管理] 工作區,展開[雲端服務],然後選取[雲端管理閘道] 節點。
隱私權資訊
Configuration Manager不會在內容檔案中包含任何使用者資料,不過系統管理使用者可能會選擇執行此動作。