• Artikel

Beveiliging en privacy voor sitebeheer in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notitie

Dit onderwerp wordt behandeld in de gids Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager) en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).

Deze sectie bevat beveiligings- en privacyinformatie voor System Center 2012 Configuration Manager-sites en de hiërarchie:

  • Aanbevolen beveiligingsprocedures voor sitebeheer

    • Aanbevolen beveiligingsprocedures voor de siteserver

    • Aanbevolen beveiligingsprocedures voor SQL Server

    • Aanbevolen beveiligingsprocedures voor sitesystemen die IIS uitvoeren

    • Aanbevolen beveiligingsprocedures voor het beheerpunt

    • Aanbevolen beveiligingsprocedures voor het terugvalstatuspunt

    • Beveiligingsproblemen voor sitebeheer

  • Privacy-informatie voor detectie

Aanbevolen beveiligingsprocedures voor sitebeheer

Gebruik de volgende aanbevolen beveiligingsprocedures om de System Center 2012 Configuration Manager-sites en de hiërarchie te beveiligen.

Aanbevolen beveiligingsprocedure

Meer informatie

Het installatieprogramma enkel uitvoeren vanuit een vertrouwde bron en het communicatiekanaal tussen de installatiemedia en de siteserver beveiligen.

Het installatieprogramma uitvoeren vanuit een vertrouwde bron om te voorkomen dat er wordt geknoeid met de bronbestanden. Slaat u bestanden op het netwerk op, dan beveiligt u de netwerklocatie.

Wanneer u het installatieprogramma vanuit een netwerklocatie uitvoert, om te voorkomen dat een kwaadwillende persoon zou knoeien met de bestanden bij het overdragen op het netwerk, gebruikt u de IPsec of SMB-ondertekening tussen de bronlocatie van de installatiebestanden en de siteserver.

Gebruikt u het downloadprogramma om de bestanden te downloaden die het installatieprogramma nodig heeft, zorg dan bovendien voor beveiliging van de locatie waar deze bestanden worden opgeslagen en beveilig het communicatiekanaal voor deze locatie wanneer u het installatieprogramma uitvoert.

Breid het Active Directory-schema voor System Center 2012 Configuration Manager uit en publiceer sites naar Active Directory Domain Services.

Schema-uitbreidingen zijn niet vereist om Microsoft System Center 2012 Configuration Manager uit te voeren, maar ze zorgen voor een veiligere omgeving want Configuration Manager clients en siteservers kunnen informatie ophalen van een vertrouwde bron.

Als clients zich in een niet-vertrouwd domein bevinden, implementeert u de volgende sitesysteemrollen in het domein van de client:

  • Beheerpunt

  • Distributiepunt

  • Application Catalog-websitepunt

Notitie

Een vertrouwd domein voor Configuration Manager vereist Kerberos-verificatie. Als de clients zich bevinden in een andere forest dat geen wederzijdse forestvertrouwensrelatie heeft met de forest van de siteserver, wordt begrepen dat deze clients zich in een niet-vertrouwd domein bevinden. Een externe vertrouwensrelatie is niet voldoende voor dit doel.

Gebruik IPsec om communicaties tussen sitesysteemservers en sites te beveiligen.

Hoewel Configuration Manager de communicatie beveiligt tussen de siteserver en de computer die de SQL server uitvoert, beveiligt Configuration Manager de communicatie tussen sitesysteemrollen en de SQL server niet. Slechts enkele sitesystemen (het inschrijvingspunt en het Application Catalog-webservicepunt) kunnen worden geconfigureerd voor HTTPS voor intrasitecommunicatie.

Gebruikt u geen bijkomende controles om deze server-to-server-kanalen te beveiligen, dan kunnen kwaadwillende personen verschillende adresvervalsingen (spoofing) en man-in-the-middle-aanvallen gebruiken tegen sitesystemen. Gebruik de SMB-ondertekening wanneer u IPsec niet kunt gebruiken.

Notitie

Het is van groot belang het communicatiekanaal tussen de siteserver en de bronserver te beveiligen. Deze communicatie maakt gebruik van SMB. Kunt u IPsec niet gebruiken om deze communicatie te beveiligen, dan gebruikt u SMB-ondertekening om te zorgen dat niet aan de bestanden wordt geknoeid voordat clients ze downloaden en uitvoeren.

Voer geen wijzigingen uit aan de beveiligingsgroepen die Configuration Manager maken en beheren voor sitesysteemcommunicatie:

  • SMS_SiteSystemToSiteServerConnection_MP_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_SMSProv_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_Stat_<SiteCode>

Configuration Manager maakt en beheert deze beveiligingsgroepen automatisch. Dit omvat het verwijderen van computeraccounts wanneer een sitesysteemrol wordt verwijderd.

Bewerk deze groepen niet handmatig om te zorgen voor de continuïteit van de service en de minimaal benodigde bevoegdheden.

Indien de clients de algemene-catalogusserver niet kunnen verzoeken om Configuration Manager informatie, beheert u het inrichtingsproces van vertrouwde basissleutel.

Indien de clients de algemene catalogus niet kunnen verzoeken om Configuration Manager informatie, dan moeten ze vertrouwen op de vertrouwde basissleutel om geldige beheerpunten te verifiëren. De vertrouwde basissleutel is opgeslagen in het clientregister en kan worden ingesteld door groepsbeleid of handmatige configuratie te gebruiken.

Heeft de client geen kopie van de vertrouwde basissleutel voordat een beheerpunt voor het eerst wordt gecontacteerd, dan wordt het eerste beheerpunt vertrouwd waarmee wordt gecommuniceerd. U kunt de clients vooraf inrichten door gebruik te maken van de vertrouwde basissleutel om het risico te verkleinen dat een aanvaller clients naar een niet-geautoriseerd beheerpunt omleidt. Zie Planning voor de vertrouwde basissleutel voor meer informatie.

Niet-standaardpoortnummers gebruiken.

Het gebruik van niet-standaardpoortnummers kan bijkomende beveiliging bieden want het wordt moeilijker voor kwaadwillende personen om de omgeving in voorbereiding voor een aanval te onderzoeken. Besluit u niet-standaardpoorten te gebruiken, plan ze dan voor de installatie Configuration Manager en gebruik ze consequent doorheen alle sites in de hiërarchie. Door de client aangevraagde poorten en Wake on LAN zijn voorbeelden van het gebruik van niet-standaardpoortnummers.

Functiescheiding op sitesystemen gebruiken.

Hoewel u alle sitesysteemrollen op één enkele computer kunt installeren, wordt deze praktijk zelden gebruikt op productienetwerken aangezien één enkel storingspunt wordt gemaakt.

Verminder de kwetsbaarheid.

Als u elke sitesysteemrol op een verschillende server isoleert, dan verkleint de kans dat een aanval tegen kwetsbaarheden op één sitesysteem kan worden gebruikt tegen een verschillend sitesysteem. Vele sitesysteemrollen vereisen de installatie van IIS (Internet Information Services) op het sitesysteem en dit vergroot de kwetsbaarheid. Moet u de sitesysteemrollen combineren om uitgaven aan hardware te beperken, combineer IIS-sitesysteemrollen enkel met andere sitesysteemrollen die IIS vereisen.

System_CAPS_importantBelangrijk

De rol van het terugvalstatuspunt is een uitzondering: Aangezien deze sitesysteemrol niet-geverifieerde gegevens van clients aanvaardt, mag het terugvalstatuspunt nooit worden toegewezen aan een andere Configuration Manager sitesysteemrol.

Volg de aanbevolen beveiligingsprocedures voor Windows Server en voer de Security Configuration Wizard op alle sitesystemen uit.

De Security Configuration Wizard (SCW) helpt u om een beveiligingsbeleid te maken dat u kunt toepassen op elke server van uw netwerk. Nadat u de System Center 2012 Configuration Manager-sjabloon hebt geïnstalleerd, herkent SCW Configuration Manager sitesysteemrollen, services, poorten en toepassingen. Dan is de communicatie mogelijk die is vereist voor Configuration Manager en wordt de niet-vereiste communicatie geblokkeerd.

De wizard Beveiliging configureren is inbegrepen in de werkset voor System Center 2012 Configuration Manager, die u kunt downloaden via het Microsoft Downloadcentrum: System Center 2012 – Configuration Manager Component Add-ons and Extensions (System Center 2012 – Configuration Manager-onderdeel-invoegtoepassingen en -extensies).

Statische IP-adressen voor sitesystemen configureren.

Statische IP-adressen zijn gemakkelijker te beschermen tegen aanvallen met naamomzetting.

Statische IP-adressen maken ook de configuratie van IPsec gemakkelijker; dit is een aanbevolen beveiligingsprocedure voor het beveiligen van communicatie tussen sitesystemen in Configuration Manager.

Installeer geen andere toepassingen op sitesysteemservers.

Als u andere toepassingen op sitesysteemservers installeert, verhoogt u de kwetsbaarheid voor Configuration Manager en loopt u kans op incompatibiliteitsproblemen.

Ondertekening vereisen en versleuteling inschakelen als een optie van de site.

Schakel de ondertekenings- en versleutelingsopties voor de site in. Zorg dat alle clients het hash-algoritme SHA-256 kunnen ondersteunen en schakel dan de optie Vereis SHA-256 in.

Beperk en controleer Configuration Manager gebruikers met beheerdersrechten en gebruik het op rollen gebaseerde beheer om deze gebruikers de minimale machtigingen te verlenen die ze nodig hebben.

Verleen beheerderstoegang tot Configuration Manager enkel aan gebruikers die u vertrouwt en verleen hen minimale machtigingen door de ingebouwde beveiligingsrollen te gebruiken of door de beveiligingsrollen aan te passen. Gebruikers met beheerdersrechten die toepassingen, takenreeks, software-updates, configuratie-items en configuratiebasislijnen maken, wijzigen en implementeren, kunnen mogelijk apparaten controleren in de Configuration Manager-hiërarchie.

Controleer regelmatig de toewijzingen van gebruikers met beheerdersrechten en hun autorisatieniveau om de vereiste wijzigingen te verifiëren.

Zie Configureer beheer op basis van rollen voor meer informatie over het configureren van beheer op basis van rollen.

Beveilig Configuration Manager-back-ups en beveilig het communicatiekanaal waar u de back-up maakt en herstelt.

Als u een back-up maakt Configuration Manager, omvat deze informatie certificaten en overige gevoelige gegevens die door een kwaadwillende persoon zouden kunnen worden aangewend voor imitatie.

Gebruik SMB-ondertekening of IPsec wanneer u gegevens via het netwerk overdraagt en beveilig de locatie van back-up.

Wanneer u objecten exporteert of importeert van de Configuration Manager-console naar een netwerklocatie, beveilig de locatie en beveilig het netwerkkanaal.

Beperk wie toegang heeft tot de netwerkmap.

Gebruik SMB-ondertekening of IPsec tussen de netwerklocatie en de siteserver en tussen de computer die de Configuration Manager-console uitvoert en de siteserver om te voorkomen dat een kwaadwillende persoon knoeit met de geëxporteerde gegevens. Gebruik IPsec om de gegevens op het netwerk te versleutelen om openbaarmaking van informatie te voorkomen.

Als een sitesysteem er niet in slaagt te verwijderen of niet meer werkt en niet kan worden hersteld, verwijdert u handmatig de Configuration Manager-certificaten voor deze server van andere Configuration Manager-servers.

U verwijdert handmatig de Configuration Manager-certificaten voor de server met een fout in het vertrouwde personen-certificaatarchief op andere sitesysteemservers, om de PeerTrust te verwijderen die aanvankelijk was ingesteld met het sitesysteem en de sitesysteemrollen Dit is in het bijzonder belangrijk als u het doel van de server wijzigt maar hem niet opnieuw opmaakt.

Zie de sectie cryptografische besturingselementen voor servercommunicatie in Technische naslaginformatie voor gebruikte cryptografische besturingselementen in Configuration Manager voor meer informatie inzake deze certificaten.

Configureer geen sitesystemen op internet om het perimeternetwerk en het intranet te overbruggen.

Configureer geen multihomed sitesysteemservers, zodat ze verbinding maken op het perimeternetwerk en het intranet. Hoewel deze configuratie het de sitesystemen op internet toestaat om clientverbindingen via internet en intranet te aanvaarden, wordt hierdoor een beveiligingsgrens tussen het perimeternetwerk en het intranet verwijderd.

Als de sitesysteemserver zich op een niet-vertrouwd netwerk bevindt (zoals een perimeternetwerk), configureert u de siteserver om verbindingen naar het sitesysteem te starten.

Standaard starten sitesystemen de verbindingen naar de siteserver om gegevens over te dragen; dit kan een veiligheidsrisico inhouden wanneer de initialisatie van de verbinding loopt van een niet-vertrouwd naar het vertrouwde netwerk. Wanneer sitesystemen verbindingen aanvaarden van het internet of zich bevinden in een niet-vertrouwd forest, configureert u de sitesysteemoptie De siteserver moet verbindingen met dit sitesysteem initiëren zodat na de installatie van het sitesysteem en sitesysteemrollen, alle verbindingen geïnitieerd worden vanuit het vertrouwde netwerk.

Als u een webproxyserver gebruikt voor clientbeheer via het internet, gebruikt u SSL-bridging naar SSL, door beëindiging met verificatie aan te wenden.

Als u SSL-beëindiging aan de proxywebserver configureert, zijn pakketten van het internet onderhevig aan inspectie voordat ze worden doorgestuurd naar het interne netwerk. De proxywebserver verifieert de verbinding van de client, beëindigt deze, en opent vervolgens een nieuwe geverifieerde verbinding naar de sitesystemen op internet.

Als Configuration Manager-clients een proxywebserver gebruiken om aan te sluiten op sitesystemen op internet, is de clientidentiteit (client-GUID) beveiligd in de pakketlading zodat het beheerpunt de proxywebserver niet als de client beschouwt. Als uw proxywebserver de vereisten voor SSL-bridging niet kan ondersteunen, wordt ook SSL-tunneling ondersteund. Dit is een minder veilige optie omdat de SSL-pakketten van het internet worden doorgestuurd naar de sitesystemen zonder beëindiging. Op die manier kunnen ze niet worden geïnspecteerd op schadelijke inhoud.

Als uw proxywebserver de vereisten voor SSL-bridging niet kan ondersteunen, kunt u SSL-tunneling gebruiken. Dit is echter een minder veilige optie omdat de SSL-pakketten van het internet worden doorgestuurd naar de sitesystemen zonder beëindiging. Op die manier kunnen ze niet worden geïnspecteerd op schadelijke inhoud.

System_CAPS_warningWaarschuwing

Mobiele apparaten die zijn geregistreerd door Configuration Manager kunnen SSL-bridging niet gebruiken en moeten enkel SSL-tunneling gebruiken.

Als u de site configureert om computers te activeren om software te installeren:

  • AMT-inschakelopdrachten in plaats van traditionele ontwaakpakketten gebruiken

  • Als u traditionele ontwaakpakketten gebruikt, gebruikt u unicast in plaats van subnet gerichte broadcasts

  • Als u subnet gerichte broadcast moet gebruiken, configureert u routers die IP-gerichte broadcasts enkel van de siteserver en enkel met niet-standaardpoortnummer toestaan

Zie, voor meer informatie inzake de verschillende wake on LAN technologieën, Clientcommunicatie plannen in Configuration Manager.

Configureer geverifieerde toegang naar de SMTP-mailserver als u e-mailmeldingen gebruikt.

Gebruik, indien mogelijk, een mailserver die geverifieerde toegang ondersteunt en gebruik het computeraccount van de siteserver voor verificatie. Gebruik het account met de minste bevoegdheden als u een gebruikersaccount moet opgeven voor verificatie.

Notitie

Vanaf Configuration Manager SP1 SP1 zijn e-mailmeldingen niet langer beperkt tot Endpoint Protection.

Aanbevolen beveiligingsprocedures voor de siteserver

Gebruik de volgende aanbevolen beveiligingsprocedures om te helpen de Configuration Manager-siteserver te beveiligen.

Aanbevolen beveiligingsprocedure

Meer informatie

Installeer Configuration Manager op een lidserver in plaats van een domeincontroller.

Voor de Configuration Manager-siteserver en -sitesystemen is er geen installatie vereist op een domeincontroller. Domeincontrollers hebben geen lokale SAM-database (Security Accounts Management) naast de domeindatabase. Wanneer u Configuration Manager installeert op een lidserver, kunt u Configuration Manager-accounts in de lokale SAM-database behouden in plaats van de domeindatabase.

Deze procedure verlaagt ook de kwetsbaarheid op uw domeincontrollers.

Installeer secundaire sites door te vermijden om de bestanden te kopiëren naar de secundaire siteserver over het netwerk.

Wanneer u Setup uitvoert en een secundaire site maakt, selecteer dan de optie niet om de bestanden te kopiëren van de bovenliggende site naar de secundaire site, of gebruik een netwerkbronlocatie. Wanneer u bestanden over het netwerk kopieert, zou een ervaren aanvaller het installatiepakket van de secundaire site kunnen overnemen en knoeien met de bestanden voordat ze worden geïnstalleerd. Het plannen van een dergelijke aanval is echter moeilijk. Deze aanval kan worden voorkomen door IPsec of SMB te gebruiken voor de bestandsoverdracht.

Kopieer, op de secundaire siteserver, de bronbestanden van media naar een lokale map, in plaats van het kopiëren van de bestanden over het netwerk. Als u vervolgens Setup uitvoert om een secundaire site te maken, selecteert u De bronbestanden op de volgende locatie op de secundaire sitecomputer gebruiken (veiligst) op de pagina Bronbestanden voor installatie en specificeert u deze map.

Zie het gedeelte Een secundaire site installeren in het onderwerp Sites installeren en een hiërarchie maken voor Configuration Manager voor meer informatie.

Aanbevolen beveiligingsprocedures voor SQL Server

Configuration Manager gebruikt SQL Server als de back-enddatabase. Als de database is aangetast, kunnen aanvallers mogelijk Configuration Manager omzeilen en rechtstreeks toegang krijgen tot SQL Server om aanvallen uit te voeren via Configuration Manager. Beschouw aanvallen tegen de SQL Server als een zeer hoog risico en deze aanvallen dienen op de juiste manier worden aangepakt.

Gebruik de volgende aanbevolen beveiligingsprocedures om u te helpen SQL Server te beveiligen voor Configuration Manager.

Aanbevolen beveiligingsprocedure

Meer informatie

Gebruik de Configuration Manager-sitedatabase niet om andere SQL Servertoepassingen uit te voeren.

Wanneer u de toegang tot de Configuration Manager-sitedatabaseserver verhoogt, lopen uw Configuration Manager-gegevens een hoger risico. Als de Configuration Manager-sitedatabase is aangetast, is er ook een risico voor andere toepassingen op dezelfde SQL Servercomputer

SQL Server voor het gebruik van Windows-verificatie configureren.

Hoewel Configuration Manager de sitedatabase opent door gebruik te maken van een Windows-account en Windows-verificatie, is het nog steeds mogelijk om SQL Server te configureren om de gemengde modus van SQL Server te gebruiken. De gemengde modus van SQL Server staat bijkomende SQL-aanmeldingen toe om toegang te hebben tot de database; dit is niet vereist en het verhoogt de kwetsbaarheid.

Neem bijkomende stappen om ervoor te zorgen dat secundaire sites die SQL Server Express gebruiken, beschikken over de meest recente software-updates.

Als u een primaire site installeert, downloadt Configuration Manager SQL Server Express uit het Microsoft Downloadcentrum en kopieert het de bestanden naar de primaire siteserver.Configuration Manager installeert de eerder gedownloade versie van SQL Server Express en controleert niet of er nieuwe versies beschikbaar zijn als u een secundaire site installeert en de optie selecteert om SQL Server Express te installeren. Voer een van de volgende procedures uit om ervoor te zorgen dat de secundaire site de meest recente versies heeft:

  • Voer Windows Update opnieuw uit op de secundaire siteserver nadat de secundaire site is geïnstalleerd.

  • Voordat u de secundaire site installeert, installeert u SQL Server Express handmatig op de computer waarop de secundaire siteserver zal worden uitgevoerd. Zorg er ook voor dat u de meest recente versie en eventuele software-updates installeert. Installeer vervolgens de secundaire site en selecteer de optie om een bestaand SQL Server-exemplaar te gebruiken.

Voer Windows Update periodiek uit voor deze sites en alle geïnstalleerde versies van SQL Server om ervoor te zorgen dat ze beschikken over de meest recente software-updates.

Volg de aanbevolen procedures voor SQL Server.

Achterhaal en volg de aanbevolen procedures voor uw versie van SQL Server. Houd echter ook rekening met de volgende vereisten voor Configuration Manager:

  • Het computeraccount van de siteserver moet lid zijn van de groep Beheerders op de computer waar SQL Server op wordt uitgevoerd. Als u de aanbeveling van SQL Server 'beheerdersprincipals expliciet inrichten' volgt, moet het account dat u gebruikt om Setup uit te voeren op de siteserver, lid zijn van de groep SQL-gebruikers.

  • Als u SQL Server installeert met een domeingebruikersaccount, zorg er dan voor dat het account van de siteservercomputer is geconfigureerd voor de principal-naam van de service (SPN-naam) die is gepubliceerd naar Active Directory Domain Services. Zonder de SPN-naam mislukken de Kerberos-verificatie en de Configuration Manager Setup.

Aanbevolen beveiligingsprocedures voor sitesystemen die IIS uitvoeren

IIS is vereist voor verschillende sitesysteemrollen in Configuration Manager. Als u IIS beveiligt, kan Configuration Manager correct functioneren en dit verlaagt het risico op beveiligingsaanvallen. Houdt het aantal servers die IIS vereisen zo laag mogelijk als dit praktisch haalbaar is. Voer bijvoorbeeld alleen het aantal beheerpunten uit dat u nodig hebt om uw clients te ondersteunen en houdt rekening met de hoge beschikbaarheid en netwerkisolatie voor clientbeheer via het internet.

Gebruik de volgende aanbevolen beveiligingsprocedures om te helpen de sitesystemen die IIS uitvoeren, te beveiligen.

Aanbevolen beveiligingsprocedure.

Meer informatie

Schakel IIS-functies uit die u niet nodig hebt.

Installeer alleen de IIS-functies die u nodig hebt voor de sitesysteemrol die u installeert. Zie de sectie in het onderwerp voor meer informatie.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Configureer de sitesysteemrollen om HTTPS te gebruiken.

Als clients verbinden met een sitesysteem via HTTP in plaats van HTTPS, gebruiken ze Windows-verificatie, en met deze methode is het mogelijk dat ze terugschakelen naar NTLM-verificatie in plaats van Kerberos-verificatie. Als NTLM-verificatie wordt gebruikt, is het mogelijk dat clients verbinden met een rogue server.

Distributiepunten zijn een mogelijke uitzondering op deze aanbevolen beveiligingsprocedure, omdat pakkettoegangsaccounts niet werken wanneer het distributiepunt is geconfigureerd voor HTTPS. Pakkettoegangsaccounts geven goedkeuring aan de inhoud; zo kunt u beperken welke gebruikers toegang hebben tot de inhoud. Zie Aanbevolen beveiligingsprocedures voor inhoudsbeheer voor meer informatie.

Configureer een certificaatvertrouwenslijst (CTL) in IIS voor de volgende sitesysteemrollen:

  • Een distributiepunt dat is geconfigureerd voor HTTPS.

  • Een beheer dat is geconfigureerd voor HTTPS en ingeschakeld om mobiele apparaten te ondersteunen.

Een certificaatvertrouwenslijst (CTL) is een gedefinieerde lijst van vertrouwde basiscertificeringsinstanties. Wanneer u een CTL gebruikt met groepsbeleid en een PKI-implementatie, kunt u met een CTL de bestaande vertrouwde basiscertificeringsinstanties die op uw netwerk zijn geconfigureerd, aanvullen. Deze basiscertificeringsinstanties kunnen automatisch met Microsoft Windows zijn geïnstalleerd of zijn toegevoegd via de Windows-basiscertificeringsinstanties van de onderneming. Als er echter een CTL in IIS is geconfigureerd, definieert een CTL een subset van die vertrouwde basiscertificeringsinstanties.

Deze subset geeft u meer controle over beveiliging omdat CTL de clientcertificaten die worden geaccepteerd, beperkt tot alleen deze die worden verleend uit de lijst certificeringsinstanties in de CTL. Windows wordt bijvoorbeeld geleverd met een aantal bekende certificaten van certificeringsinstanties van derden, zoals VeriSign en Thawte. Standaard vertrouwt de computer die IIS uitvoert, certificaten die zijn gekoppeld aan deze bekende certificeringsinstanties. Als u IIS niet configureert met een CTL voor de vermelde sitesysteemrollen, wordt elk apparaat met een clientcertificaat dat is verleend door deze certificeringsinstanties, geaccepteerd als een geldige Configuration Manager-client. Als u IIS configureert met een CTL dat deze certificeringsinstanties niet bevat, worden clientverbindingen geweigerd als het certificaat aan deze certificeringsinstellingen is gekoppeld. Opdat Configuration Manager-clients echter kunnen worden geaccepteerd voor de vermelde sitesysteemrollen, dient u IIS te configureren met een CTL dat de certificeringsinstanties opgeven die worden gebruikt door Configuration Manager-clients.

Notitie

U dient alleen een CTL in IIS te configureren voor de vermelde sitesysteemrollen. De lijst met certificaatverleners die Configuration Manager gebruikt voor beheerpunten, bieden dezelfde functionaliteit voor clientcomputers wanneer ze verbinden met HTTPS-beheerpunten.

Raadpleeg uw IIS-documentatie voor meer informatie over het configureren van een lijst met vertrouwde certificeringsinstanties in IIS.

Plaats de siteserver niet op een computer met IIS.

Functiescheiding helpt de kwetsbaarheid te verlagen en de herstelmogelijkheden te verbeteren. Het computeraccount van de siteserver heeft doorgaans beheerdersbevoegdheden op alle sitesysteemrollen (en mogelijk op Configuration Manager-clients als u gebruik maakt van clientpushinstallatie).

Gebruik toegewijde IIS-servers voor Configuration Manager.

Hoewel u meerdere webtoepassingen kunt hosten op de IIS-servers die ook door Configuration Manager worden gebruikt, kan deze praktijk uw kwetsbaarheid aanzienlijk verhogen. Door een slecht geconfigureerde toepassing is het mogelijk dat een aanvaller controle krijgt over een Configuration Manager-sitesysteem, waardoor deze aanvaller mogelijk controle kan krijgen over de hele hiërarchie.

Als u webtoepassingen moet uitvoeren op Configuration Manager-sitesystemen, dient u een aangepaste website te maken voor Configuration Manager-sitesystemen.

Gebruik een aangepaste website.

Voor sitesystemen waar IIS op wordt uitgevoerd, kunt u Configuration Manager configureren om een aangepaste website te gebruiken in plaats van de standaardwebsite voor IIS. Als u andere webtoepassingen moet uitvoeren op het sitesysteem, moet u een aangepaste website gebruiken. Deze instelling is een algemene site-instelling in plaats van een instelling voor een specifiek sitesysteem.

Naast het bieden van bijkomende beveiliging, moet u een aangepaste website gebruiken als u andere webtoepassingen op het sitesysteem uitvoert.

Verwijder de standaard virtuele mappen als u overschakelt van de standaardwebsite naar een aangepaste website na het installeren van distributiepunten.

Configuration Manager verwijdert de oude virtuele mappen niet als u overschakelt van de standaardwebsite naar een aangepaste website. Verwijder de virtuele mappen die Configuration Manager oorspronkelijk maakte bij de standaardwebsite.

Dit zijn de virtuele mappen die u bijvoorbeeld moet verwijderen voor een distributiepunt:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Volg de aanbevolen procedures voor IIS Server.

Achterhaal en volg de aanbevolen procedures voor uw versie van IIS Server. Houd echter ook rekening met de vereisten van Configuration Manager voor specifieke sitesysteemrollen. Zie het gedeelte in het onderwerp voor meer informatie.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Aanbevolen beveiligingsprocedures voor het beheerpunt

Beheerpunten zijn de primaire interface tussen apparaten en Configuration Manager. Houd rekening met aanvallen tegen het beheerpunt en de server en zorg ervoor dat hoge risico's worden vermeden en opgelost. Pas alle aanbevolen beveiligingsprocedures toe en controleer het systeem op ongewone activiteit.

Gebruik de volgende aanbevolen beveiligingsprocedures om u te helpen een beheerpunt te beveiligen in Configuration Manager.

Aanbevolen beveiligingsprocedure

Meer informatie

Wanneer u een Configuration Manager-client op het beheerpunt installeert, dient u deze toe te wijzen aan de site van dat beheerpunt.

Vermijd een scenario waarbij een Configuration Manager-client die zich op een sitesysteem van een beheerpunt bevindt, is toegewezen aan een andere site dan de site van het beheerpunt.

Als u migreert van Configuration Manager 2007 naar System Center 2012 Configuration Manager, dient u de Configuration Manager 2007-client zo snel mogelijk te migreren naar System Center 2012 Configuration Manager.

Aanbevolen beveiligingsprocedures voor het terugvalstatuspunt

Gebruik de volgende aanbevolen beveiligingsprocedures als u een terugvalstatuspunt installeert in Configuration Manager.

Zie Bepalen of u een terugvalstatuspunt nodig hebt voor meer informatie over de beveiligingsoverwegingen wanneer u een terugvalstatuspunt installeert.

Aanbevolen beveiligingsprocedure

Meer informatie

Voer geen andere sitesysteemrollen uit op het sitesysteem en installeer het terugvalstatuspunt niet op een domeincontroller.

Omdat het terugvalstatuspunt is ontwikkeld om niet-geverifieerde communicatie van eender welke computer te accepteren, vormt het uitvoeren van deze sitesysteemrol met andere sitesysteemrollen of op een domeincontroller een aanzienlijk hoger risico voor die server.

Installeer het terugvalstatuspunt voordat u de clients installeert als u PKI-certificaten gebruikt voor clientcommunicatie in Configuration Manager.

Als Configuration Manager-sitesystemen geen HTTP-clientcommunicatie accepteren, bent u mogelijk niet op de hoogte dat clients niet-beheerd zijn door aan PKI gerelateerde certificaatproblemen. Als clients echter aan een terugvalstatuspunt zijn toegewezen, zullen deze certificaatproblemen worden gerapporteerd door het terugvalstatuspunt.

Uit veiligheidsoverwegingen kunt u geen terugvalstatuspunt toewijzen aan clients nadat ze zijn geïnstalleerd. U kunt deze rol alleen tijdens clientinstallatie toewijzen.

Vermijd het gebruik van het terugvalstatuspunt in het perimeternetwerk.

Het terugvalstatuspunt is bedoeld om gegevens van elke client te accepteren. Hoewel een terugvalstatuspunt in het perimeternetwerk u hulp kan bieden bij foutopsporing voor clients op internet, moet u de voordelen voor foutopsporing afwegen tegen het risico van een sitesysteem dat niet-geverifieerde gegevens accepteert in een vrij toegankelijk netwerk.

Configureer, als u het terugvalstatuspunt in het perimeternetwerk of een niet-vertrouwd netwerk wel installeert, de siteserver om gegevensoverdrachten te initiëren in plaats van de standaardinstelling waarin het terugvalstatuspunt een verbinding met de siteserver mag initiëren.

Beveiligingsproblemen voor sitebeheer

Bekijk de volgende beveiligingsproblemen voor Configuration Manager:

  • Configuration Manager bevat geen beveiliging tegen een geautoriseerde gebruiker met beheerdersrechten die gebruikmaakt van Configuration Manager om het netwerk aan te vallen. Niet-geautoriseerde gebruikers met beheerdersrechten vormen een hoog beveiligingsrisico en kunnen talrijke aanvallen doen, waaronder de volgende:

    • Met behulp van software-implementatie automatisch schadelijke software installeren en uitvoeren op elke Configuration Manager-clientcomputer in de onderneming.

    • Via extern beheer een Configuration Manager-client zonder toestemming op afstand beheren.

    • Snelle pollingintervallen en buitensporige hoeveelheden inventaris configureren om DoS-aanvallen te doen tegen de clients en servers.

    • Eén site in de hiërarchie gebruiken om gegevens naar Active Directory-gegevens van een andere site te schrijven.

    De hiërarchie van de site is de beveiligingsgrens; bedenk dat sites alleen beheergrenzen vormen.

    Controleer de gehele activiteit van gebruikers met beheerdersrechten en controleer regelmatig de controlelogboeken. Eis van alle Configuration Manager-gebruikers met beheerdersrechten dat zij een achtergrondcontrole ondergaan voordat zij worden aangenomen en eis periodieke hercontroles als arbeidsvoorwaarde.

  • Als het inschrijvingspunt in het geding komt, zou een kwaadwillend persoon certificaten voor verificatie kunnen verkrijgen en de referenties kunnen stelen van gebruikers die hun mobiele apparaten inschrijven.

    Het inschrijvingspunt communiceert met een certificeringinstantie en kan Active Directory-objecten maken, aanpassen en verwijderen. Installeer het inschrijvingspunt nooit in het perimeternetwerk en controleer het op ongewone activiteiten.

  • Als u beleidsregels van gebruikers toestaat voor clientbeheer op internet of het Application Catalog-websitepunt voor gebruikers configureert wanneer zij op het internet zijn, vergroot u uw beveiligingsrisico voor een aanval.

    Naast het gebruik van PKI-certificaten voor verbindingen tussen client en server vereisen deze configuraties Windows-verificatie, wat mogelijk erop neerkomt dat u NTLM-verificatie gebruikt in plaats van Kerberos. NTLM-verificatie is kwetsbaar voor imitatie- en replayaanvallen. Als u een gebruiker op het internet wilt verifiëren, moet u een verbinding toestaan van de sitesysteemserver op internet met een domeincontroller.

  • De Admin$-share is vereist op sitesysteemservers.

    De Configuration Manager-siteserver gebruikt de Admin$-share om verbinding te maken met sitesystemen en servicebewerkingen erop uit te voeren. U dient de Admin$-share niet uit te schakelen of te verwijderen.

  • Configuration Manager maakt gebruik van naamomzettingsservices om verbinding te maken met andere computers; het is lastig om deze services te beveiligen tegen een aanval op de beveiliging, zoals vervalsing, knoeien,ontkenning, openbaarmaking van informatie, DoS (Denial of Service),verhoogde bevoegdheden

    Stel de aanbevolen procedures voor beveiliging vast voor de DNS- en WINS-versie die u voor naamomzetting gebruikt.

Privacy-informatie voor detectie

Er worden door detectie records gemaakt voor netwerkbronnen die in de System Center 2012 Configuration Manager-database worden opgeslagen. Records van detectiegegevens bevatten computergegevens zoals IP-adres, besturingssysteem en computernaam. U kunt Active Directory-detectiemethoden tevens zodanig configureren, dat in Active Directory Domain Services opgeslagen informatie wordt gedetecteerd.

De enige detectiemethode die standaard is ingeschakeld is Heartbeat Discovery, maar deze methode detecteert alleen computers waarop de System Center 2012 Configuration Manager-clientsoftware al is geïnstalleerd.

Er wordt geen detectie-informatie naar Microsoft verzonden. Detectie-informatie wordt in de Configuration Manager-database opgeslagen. Informatie wordt in de database bewaard tot deze om de 90 dagen door de siteonderhoudstaak Verouderde detectiegegevens verwijderen wordt verwijderd. U kunt het verwijderingsinterval configureren.

Bedenk goed wat uw privacyvereisten zijn, voordat u extra detectiemethoden configureert of de Active Directory-detectie uitbreidt,