Configuration Manager 客戶端的安全性和隱私權

發行項
03/04/2025

適用於：Configuration Manager (目前的分支)

本文說明 Configuration Manager 客戶端的安全性和隱私權資訊。它也包含由 Exchange Server 連接器管理的行動裝置資訊。

用戶端的安全性指引

Configuration Manager 月臺接受來自執行 Configuration Manager 用戶端之裝置的數據。此行為會造成用戶端可能攻擊網站的風險。例如，它們可能會傳送格式不正確的清查，或嘗試多載月台系統。僅將 Configuration Manager 用戶端部署至您信任的裝置。

使用下列安全性指引來協助保護網站免於遭受惡意或遭入侵的裝置攻擊。

使用公鑰基礎結構 (PKI) 憑證，以與執行 IIS 的站臺系統進行客戶端通訊

作為月臺屬性，僅設定 HTTPS的站臺系統設定。如需詳細資訊，請參閱設定安全性。
使用 UsePKICert CCMSetup 屬性安裝用戶端。
使用CRL) (證書吊銷清單。請確定客戶端和通訊伺服器一律可以存取它。

行動裝置用戶端和某些以因特網為基礎的用戶端需要這些憑證。 Microsoft會針對內部網路上的所有用戶端連線建議這些憑證。

如需在 Configuration Manager 中使用憑證的詳細資訊，請參閱規劃憑證。

重要事項

從 Configuration Manager 2103 版開始，允許 HTTP 用戶端通訊的網站已被取代。設定 HTTPS 或增強式 HTTP 的網站。如需詳細資訊，請參閱啟用僅限 HTTPS 或增強 HTTP 的網站。

自動核准來自受信任網域的用戶端計算機，並手動檢查和核准其他計算機

當您無法使用 PKI 驗證時，核准會識別您信任由 Configuration Manager 管理的計算機。階層有下列選項可設定用戶端核准：

手動
受信任網域中的計算機自動
所有電腦的自動

最安全的核准方法是自動核准屬於受信任網域成員的用戶端。此選項包含已從已連線 Microsoft Entra 租使用者加入雲端網域的用戶端。然後手動檢查並核准所有其他計算機。除非您有其他訪問控制，以防止不受信任的計算機存取您的網路，否則不建議自動核准所有用戶端。

如需如何手動核准計算機的詳細資訊，請參閱從裝置節點管理客戶端。

請勿依賴封鎖來防止用戶端存取 Configuration Manager 階層

Configuration Manager 基礎結構會拒絕封鎖的用戶端。如果用戶端遭到封鎖，就無法與月台系統通訊以下載原則、上傳清查數據，或傳送狀態或狀態消息。

封鎖是針對下列案例所設計：

在您將 OS 部署至客戶端時封鎖遺失或遭入侵的開機媒體
當所有月台系統都接受 HTTPS 用戶端連線時

當月台系統接受 HTTP 用戶端連線時，請勿依賴封鎖來保護 Configuration Manager 階層不受信任的電腦。在此案例中，封鎖的用戶端可以使用新的自我簽署憑證和硬體標識元重新加入網站。

證書吊銷是防範可能遭入侵憑證的主要防禦措施。 CRL) (證書吊銷清單僅適用於支援的公鑰基礎結構 (PKI) 。封鎖 Configuration Manager 中的用戶端提供第二行防禦來保護您的階層。

如需詳細資訊，請參閱決定是否要封鎖用戶端。

使用最安全的用戶端安裝方法，這適用於您的環境

針對網域計算機， 組策略 用戶端安裝和 軟體更新型 用戶端安裝方法比 用戶端推入 安裝更安全。
如果您套用存取控制和變更控制項，請使用映像處理和手動安裝方法。
搭配用戶端推入安裝使用 Kerberos 相互驗證。

在所有用戶端安裝方法中，用戶端推入安裝最不安全，因為它有許多相依性。這些相依性包括本機系統管理許可權、 Admin$ 共用和防火牆例外狀況。這些相依性的數目和類型會增加您的受攻擊面。

使用用戶端推入時，月臺可能需要 Kerberos 相互驗證，方法是不允許在建立連線之前後援到 NTLM。這項增強功能有助於保護伺服器與客戶端之間的通訊。如需詳細資訊，請參閱如何使用用戶端推入安裝用戶端。

如需不同用戶端安裝方法的詳細資訊，請參閱用戶端安裝方法。

盡可能選取需要 Configuration Manager 中最低安全性許可權的用戶端安裝方法。限制指派安全性角色的系統管理使用者，其許可權可用於用戶端部署以外的用途。例如，設定自動用戶端升級需要 系統高許可權管理員 安全性角色，這會授與系統管理使用者所有安全性許可權。

如需每個用戶端安裝方法所需之相依性和安全性許可權的詳細資訊，請參閱計算機用戶端的必要條件。

如果您必須使用用戶端推入安裝，請保護用戶端推入安裝帳戶

用戶端推入安裝帳戶必須是安裝 Configuration Manager 用戶端之每部計算機上本機 Administrators 群組的成員。請勿將用戶端推入安裝帳戶新增至 Domain Admins 群組。請改為建立全域群組，然後將該全域群組新增至用戶端上的本機 Administrators 群組。建立組策略物件以新增 限制群組 設定，以將用戶端推入安裝帳戶新增至本機 Administrators 群組。

為了提高安全性，請建立多個用戶端推入安裝帳戶，每個帳戶都有有限數量計算機的系統管理存取權。如果一個帳戶遭到入侵，只有該帳戶具有存取權的用戶端計算機會遭到入侵。

在映像處理用戶端之前移除憑證

當您使用 OS 映射部署用戶端時，請一律先移除憑證，再擷取映射。這些憑證包括用於客戶端驗證的 PKI 憑證，以及自我簽署憑證。如果您未移除這些憑證，用戶端可能會彼此模擬。您無法驗證每個客戶端的數據。

如需詳細資訊，請參閱建立工作順序以擷取 OS。

請確定 Configuration Manager 用戶端取得憑證的授權複本

Configuration Manager 受信任的跟證書

當下列兩個語句都成立時，用戶端會依賴 Configuration Manager 受信任的根密鑰來驗證有效的管理點：

您尚未擴充適用於 Configuration Manager 的 Active Directory 架構
用戶端在與管理點通訊時不會使用 PKI 憑證

在此案例中，除非用戶端使用受信任的根密鑰，否則無法驗證階層的管理點是否受信任。如果沒有受信任的根密鑰，技術熟練的攻擊者可能會將客戶端導向至 Rogue 管理點。

當用戶端未使用 PKI 憑證，且無法從 Active Directory 全域目錄下載受信任的根密鑰時，請使用受信任的根密鑰預先佈建用戶端。此動作可確保它們無法導向至 Rogue 管理點。如需詳細資訊，請參閱規劃受信任的根密鑰。

月臺伺服器簽署憑證

用戶端會使用月臺伺服器簽署憑證來確認站臺伺服器已簽署從管理點下載的原則。此憑證由月臺伺服器自我簽署，併發佈至 Active Directory 網域服務。

當客戶端無法從 Active Directory 全域目錄下載此憑證時，預設會從管理點下載此憑證。如果管理點向因特網等不受信任的網路公開，請在用戶端上手動安裝月臺伺服器簽署憑證。此動作可確保他們無法從遭入侵的管理點下載遭竄改的客戶端原則。

若要手動安裝月臺伺服器簽署憑證，請使用 CCMSetup client.msi 屬性 SMSSIGNCERT。

如果用戶端從其聯繫的第一個管理點下載受信任的根密鑰，請勿使用自動月臺指派

若要避免新用戶端從 Rogue 管理點下載受信任根金鑰的風險，請只在下列案例中使用自動月臺指派：

用戶端可以存取 Configuration Manager 發佈至 Active Directory 網域服務的網站資訊。
您可以使用受信任的根金鑰預先佈建用戶端。
您可以使用企業證書頒發機構單位的 PKI 憑證，在用戶端與管理點之間建立信任。

如需受信任根密鑰的詳細資訊，請參閱規劃受信任的根密鑰。

請確定維護期間夠大，足以部署重要的軟體更新

裝置集合的維護期間會限制 Configuration Manager 在這些裝置上安裝軟體的時間。如果您將維護期間設定為太小，用戶端可能不會安裝重要的軟體更新。此行為讓用戶端容易遭受軟體更新降低的任何攻擊。

採取安全性預防措施，以使用寫入篩選器減少 Windows Embedded 裝置上的攻擊面

當您在 Windows Embedded 裝置上啟用寫入篩選時，只會對重疊進行任何軟體安裝或變更。這些變更不會在裝置重新啟動之後保存。如果您使用 Configuration Manager 來停用寫入篩選器，則在這段期間內，內嵌裝置很容易受到所有磁碟區的變更。這些磁碟區包括共享資料夾。

Configuration Manager 在此期間鎖定計算機，讓只有本機系統管理員可以登入。盡可能採取其他安全性預防措施來協助保護計算機。例如，啟用防火牆的限制。

如果您使用維護時段來保存變更，請仔細規劃這些視窗。將停用寫入篩選器的時間降到最低，但使其夠長，以允許軟體安裝和重新啟動完成。

使用最新的用戶端版本搭配軟體更新型用戶端安裝

如果您使用以軟體更新為基礎的用戶端安裝，並在站臺上安裝更新版本的用戶端，請更新已發佈的軟體更新。然後用戶端會從軟體更新點接收最新版本。

當您更新月臺時，發佈至軟體更新點的用戶端部署軟體更新不會自動更新。將 Configuration Manager 用戶端重新發佈至軟體更新點，並更新版本號碼。

如需詳細資訊，請參閱如何使用軟體更新型安裝來安裝 Configuration Manager 用戶端。

只暫停受信任和受限制存取裝置上的 BitLocker PIN 專案

僅針對您信任且具有限制實體存取的計算機，將用戶端設定為 [ 在重新啟動時暫止 BitLocker PIN] 項目 設定為 [ Always ]。

當您將此客戶端設定設定為 [永遠] 時，Configuration Manager 可以完成軟體的安裝。此行為有助於安裝重要的軟體更新並繼續服務。如果攻擊者攔截重新啟動程式，他們可以控制計算機。只有當您信任計算機，以及計算機的實體存取受到限制時，才使用此設定。例如，此設定可能適用於資料中心內的伺服器。

如需此用戶端設定的詳細資訊，請參閱關於客戶端設定。

不要略過 PowerShell 執行原則

如果您將PowerShell執行原則的 Configuration Manager客戶端設定設為略過，則 Windows 允許執行未簽署的 PowerShell 腳本。此行為可能會允許惡意代碼在用戶端電腦上執行。當您的組織需要此選項時，請使用自訂客戶端設定。僅將它指派給必須執行未簽署PowerShell腳本的客戶端電腦。

如需此用戶端設定的詳細資訊，請參閱關於客戶端設定。

行動裝置的安全性指引

在周邊網路中安裝註冊 Proxy 點，並在內部網路中安裝註冊點

針對您使用 Configuration Manager 註冊的因特網型行動裝置，請在周邊網路中安裝註冊 Proxy 點，並在內部網路中安裝註冊點。此角色區隔有助於保護註冊點免於遭受攻擊。如果攻擊者入侵註冊點，他們可以取得憑證進行驗證。他們也可以竊取註冊其行動裝置之用戶的認證。

設定密碼設定以協助保護行動裝置免於未經授權的存取

針對由 Configuration Manager 註冊的行動裝置：使用行動裝置設定專案將密碼複雜度設定為 PIN。至少指定預設的最小密碼長度。

對於未安裝 Configuration Manager 用戶端但由 Exchange Server 連接器管理的行動裝置：設定 Exchange Server 連接器的密碼設定，使密碼複雜度成為 PIN。至少指定預設的最小密碼長度。

只允許由您信任的公司所簽署的應用程式執行

藉由只允許應用程式在您信任的公司簽署時執行，協助防止竄改清查資訊和狀態資訊。不允許裝置安裝未簽署的檔案。

針對由 Configuration Manager 註冊的行動裝置：使用行動裝置設定專案，將 [未簽署的應用程式] 安全性設定設定為 [禁止]。將 未簽署的檔案安裝 設定為受信任的來源。

對於未安裝 Configuration Manager 用戶端，但由 Exchange Server 連接器管理的行動裝置：設定 Exchange Server 連接器的應用程式設定，以禁止安裝未簽署的檔案和未簽署的應用程式。

不在使用中時鎖定行動裝置

在未使用行動裝置時鎖定行動裝置，協助防止特權提升攻擊。

針對由 Configuration Manager 註冊的行動裝置：使用行動裝置設定專案，在鎖定行動裝置前幾分鐘設定 [空閒時間] 密碼設定。

對於未安裝 Configuration Manager 用戶端，但由 Exchange Server 連接器管理的行動裝置：設定 Exchange Server 連接器的密碼設定，以在鎖定行動裝置之前幾分鐘內設定閑置時間。

限制可註冊其行動裝置的使用者

藉由限制可註冊其行動裝置的用戶，協助防止提高許可權。使用自定義客戶端設定，而非預設用戶端設定，只允許授權的用戶註冊其行動裝置。

行動裝置的用戶裝置親和性指引

在下列案例中，請勿將應用程式部署到 Configuration Manager 註冊行動裝置的使用者：

超過一個人會使用行動裝置。
系統管理員會代表用戶註冊裝置。
裝置會轉移給另一個人，而不會淘汰，然後重新註冊裝置。

裝置註冊會建立使用者裝置親和性關聯性。此關聯性會將註冊的用戶對應至行動裝置。如果其他使用者使用行動裝置，他們可以執行部署至原始使用者的應用程式，這可能會導致提高許可權。同樣地，如果系統管理員為用戶註冊行動裝置，部署至使用者的應用程式就不會安裝在行動裝置上。相反地，可能會安裝部署到系統管理員的應用程式。

保護 Configuration Manager 月臺伺服器與 Exchange Server 之間的連線

如果 Exchange Server 內部部署，請使用 IPsec。託管的 Exchange 會使用 HTTPS 自動保護連線。

針對 Exchange 連接器使用最低許可權原則

如需 Exchange Server 連接器所需的最小 Cmdlet 清單，請參閱使用 Configuration Manager 和 Exchange 管理行動裝置。

macOS 裝置的安全性指引

從安全的位置儲存和存取用戶端來源檔案

在 macOS 電腦上安裝或註冊用戶端之前，Configuration Manager 不會確認這些用戶端來源檔案是否遭到竄改。從可信任的來源下載這些檔案。安全地儲存和存取它們。

監視及追蹤憑證的有效期間

監視及追蹤您用於macOS電腦之憑證的有效期間。 Configuration Manager 不支持自動更新此憑證，或警告您憑證即將到期。一般有效期間為一年。

如需如何更新憑證的詳細資訊，請參閱手動更新 macOS 用戶端憑證。

僅針對 SSL 設定受信任的跟證書

若要協助防止提高許可權，請設定受信任跟證書授權單位的憑證，使其只受 SSL 通訊協定信任。

當您註冊 Mac 計算機時，系統會自動安裝管理 Configuration Manager 客戶端的用戶憑證。此用戶憑證在其信任鏈結中包含受信任的跟證書。若只要將此跟證書的信任限制為 SSL 通訊協定，請使用下列程式：

在Mac電腦上，開啟終端機視窗。
輸入下列命令： sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
在 [ 金鑰鏈存取] 對話方塊的 [ 金鑰鏈] 區 段中，選取 [ 系統]。然後在 [ 類別] 區 段中，選取 [ 憑證]。
找出並開啟 Mac 用戶端憑證的根 CA 憑證。
在根 CA 憑證的對話框中，展開 [ 信任 ] 區段，然後進行下列變更：
1. 使用此憑證時：將 [ 永遠信任] 設定變更為 [使用系統預設值]。
2. 安全套接字層 (SSL) ： 未將指定的值 變更為 永遠信任。
關閉對話框。出現提示時，輸入系統管理員的密碼，然後選取 [ 更新設定]。

完成此程序之後，跟證書只會受信任來驗證 SSL 通訊協定。目前不受此跟證書信任的其他通訊協定包括 Secure Mail (S/MIME) 、可延伸驗證 (EAP) 或程式代碼簽署。

注意事項

如果您在 Configuration Manager 中獨立安裝客戶端憑證，也請使用此程式。

用戶端的安全性問題

下列安全性問題沒有緩和措施：

狀態消息未通過驗證

管理點不會驗證狀態消息。當管理點接受 HTTP 用戶端連線時，任何裝置都可以將狀態消息傳送至管理點。如果管理點只接受 HTTPS 用戶端連線，則裝置必須具有有效的客戶端驗證憑證，但也可以傳送任何狀態消息。管理點會捨棄從用戶端收到的任何無效狀態消息。

針對此弱點有一些潛在的攻擊：

攻擊者可能會傳送假的狀態消息，以取得以狀態消息查詢為基礎的集合成員資格。
任何用戶端都可以對管理點啟動阻斷服務，方法是將狀態消息充入管理點。
如果狀態消息觸發狀態消息篩選規則中的動作，攻擊者可能會觸發狀態消息篩選規則。
攻擊者可能會傳送會使報告資訊不正確的狀態消息。

原則可以複位為非目標用戶端

攻擊者可以使用數種方法，將以一個用戶端為目標的原則套用至完全不同的用戶端。例如，受信任客戶端的攻擊者可能會傳送錯誤清查或探索資訊，讓計算機新增至不應所屬的集合。該客戶端接著會接收該集合的所有部署。

控件的存在可協助防止攻擊者直接修改原則。不過，攻擊者可能會採用重新格式化並重新部署OS的現有原則，並將其傳送至不同的電腦。此重新導向原則可能會建立阻斷服務。這些類型的攻擊需要精確的時機和廣泛的 Configuration Manager 基礎結構知識。

用戶端記錄允許使用者存取

所有客戶端記錄檔都允許具有讀取許可權的使用者群組，以及具有寫入數據存取權的特殊互動式使用者。如果您啟用詳細資訊記錄，攻擊者可能會讀取記錄檔，以尋找合規性或系統弱點的相關信息。用戶端在用戶內容中安裝的軟體等程式必須寫入低許可權用戶帳戶的記錄。此行為表示攻擊者也可以使用低許可權帳戶寫入記錄。

最嚴重的風險是攻擊者可能會移除記錄檔中的資訊。系統管理員可能需要此資訊來進行稽核和入侵偵測。

計算機可用來取得專為行動裝置註冊而設計的憑證

當 Configuration Manager 處理註冊要求時，它無法確認要求源自行動裝置，而不是來自計算機。如果要求來自計算機，它可以安裝 PKI 憑證，然後允許它向 Configuration Manager 註冊。

為了協助防止在此案例中提高許可權攻擊，只允許信任的用戶註冊其行動裝置。仔細監視站台中的裝置註冊活動。

封鎖的用戶端仍然可以將訊息傳送至管理點

當您封鎖不再信任的用戶端，但已建立用戶端通知的網路連線時，Configuration Manager 不會中斷會話的連線。封鎖的用戶端可以繼續將封包傳送至其管理點，直到客戶端與網路中斷連線為止。這些封包只是小型的保持連線封包。在解除封鎖之前，Configuration Manager 無法管理此用戶端。

自動客戶端升級不會驗證管理點

當您使用自動用戶端升級時，可以將客戶端導向管理點以下載用戶端來源檔案。在此案例中，用戶端不會將管理點驗證為受信任的來源。

當使用者第一次註冊 macOS 計算機時，他們面臨 DNS 詐騙的風險

當macOS電腦在註冊期間連線到註冊 Proxy 點時，macOS 計算機不太可能已經有受信任的根 CA 憑證。此時，macOS 計算機不信任伺服器，並提示用戶繼續。如果 rogue DNS 伺服器 (註冊 Proxy 點的 FQDN) 解析完整功能變數名稱，則可能會將macOS電腦導向至 Rogue 註冊 Proxy 點，以從不受信任的來源安裝憑證。若要協助降低此風險，請遵循 DNS 指引，以避免在您的環境中詐騙。

macOS 註冊不會限制憑證要求

每次要求新的用戶端憑證時，使用者都可以重新註冊其macOS電腦。 Configuration Manager 不會檢查多個要求，也不會限制從單一計算機要求的憑證數目。惡意使用者可以執行重複命令行註冊要求的腳本。此攻擊可能會導致網路或頒發證書頒發機構單位 (CA) 拒絕服務。若要協助降低此風險，請仔細監視發行 CA 是否有這種類型的可疑行為。在 Configuration Manager階層中立即封鎖任何顯示此行為模式的計算機。

抹除通知不會確認裝置已成功抹除

當您啟動行動裝置的抹除動作，且 Configuration Manager 認可抹除時，驗證是 Configuration Manager 成功傳送訊息。它不會驗證裝置是否對要求 採取動作 。

針對由 Exchange Server 連接器管理的行動裝置，抹除通知會確認該命令是由 Exchange 所接收，而不是由裝置接收。

如果您使用選項在 Windows Embedded 裝置上認可變更，帳戶可能會比預期更快鎖定

如果 Windows Embedded 裝置執行的作系統版本早於 Windows 7，且使用者在寫入篩選器已由 Configuration Manager 停用時嘗試登入，則 Windows 在鎖定帳戶之前，只允許一半設定的不正確嘗試次數。

例如，您將 帳戶鎖定閾值 的網域原則設定為六次嘗試。使用者輸入錯誤的密碼三次，而且帳戶已鎖定。此行為會有效地建立阻斷服務。如果用戶必須在此案例中登入內嵌裝置，請注意鎖定閾值降低的可能性。

用戶端的隱私權資訊

當您部署 Configuration Manager 用戶端時，您會啟用 Configuration Manager 功能的客戶端設定。您用來設定功能的設定可以套用至 Configuration Manager 階層中的所有用戶端。無論是直接連線到內部網路、透過遠端會話連線，或連線到因特網，此行為都相同。

用戶端資訊會儲存在您 SQL Server Configuration Manager 月臺資料庫中，且不會傳送至Microsoft。資訊會保留在資料庫中，直到月台維護工作每隔 90 天刪除一次過時探索數據為止。您可以設定刪除間隔。

某些摘要或匯總的診斷和使用方式數據會傳送至Microsoft。如需詳細資訊，請參閱診斷和使用方式數據。

您可以在Microsoft 隱私聲明中深入瞭解Microsoft的數據收集和使用。

用戶端狀態

Configuration Manager 監視客戶端的活動。它會定期評估 Configuration Manager 用戶端，並可補救用戶端及其相依性的問題。默認會啟用客戶端狀態。它會使用伺服器端計量進行客戶端活動檢查。客戶端狀態會使用用戶端動作進行自我檢查、補救，以及將客戶端狀態資訊傳送至月臺。用戶端會根據您設定的排程執行自我檢查。用戶端會將檢查結果傳送至 Configuration Manager 網站。這項資訊會在傳輸期間加密。

客戶端狀態資訊會儲存在您 SQL Server 的 Configuration Manager 資料庫中，而且不會傳送至Microsoft。資訊不會以加密格式儲存在月臺資料庫中。此資訊會保留在資料庫中，直到根據針對 [保留客戶端狀態歷程記錄] 設定的值刪除，直到客戶端狀態設定的 下列天數 。此設定的預設值為每 31 天一次。

Exchange Server 連接器的隱私權資訊

Exchange Server 連接器會使用 ActiveSync 通訊協定來尋找及管理連線到內部部署或裝載 Exchange Server 的裝置。 Exchange Server 連接器找到的記錄會儲存在 SQL Server 的 Configuration Manager 資料庫中。資訊會從 Exchange Server 收集。它不包含行動裝置傳送至 Exchange Server的任何其他資訊。

行動裝置資訊不會傳送至Microsoft。行動裝置資訊會儲存在您 SQL Server 的 Configuration Manager 資料庫中。資訊會保留在資料庫中，直到月台維護工作每隔 90 天刪除一次過時探索數據為止。您可以設定刪除間隔。