• Artikel

Säkerhet och sekretess för innehållshantering i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteInformation

Det här avsnittet visas i handboken Distributionsprogramvara och operativsystem i System Center 2012 Configuration Manager och i handboken Säkerhet och sekretess för System Center 2012 Configuration Manager.

Det här avsnittet innehåller information om säkerhet och sekretess för innehållshantering i System Center 2012 Configuration Manager. Läs det tillsammans med följande avsnitt:

Rekommenderade säkerhetsmetoder för innehållshantering

Använd följande rekommenderade säkerhetsmetoder för innehållshantering:

Regelverk för säkerhet

Mer information

För distributionsplatser på intranätet, överväg fördelarna och nackdelarna med att använda HTTPS och HTTP

Skillnader mellan HTTPS och HTTP för distributionsplatser:

  • När du använder HTTPS för en distributionsplats använder Configuration Manager inte paketåtkomstkonton för att godkänna åtkomst till innehållet utan innehållet krypteras när det överförs i nätverket.

  • När du använder HTTP för en distributionsplats kan du använda paketåtkomstkonton för att godkänna åtkomst, men innehållet är inte krypterat när det överförs i nätverket.

I de flesta fall ger HTTP och paketåtkomstkonton för autentisering mer säkerhet än att använda HTTPS med kryptering, men utan autentisering. Om du dock har känsliga data i ditt innehåll som du vill kryptera under överföringen, använd HTTPS.

Om du använder ett PKI-klientautentiseringscertifikat istället för ett självsignerat certifikat för distributionsplatsen, skydda certifikatfilen (.pfx) med ett starkt lösenord. Om du sparar filen i nätverket säkrar du nätverkskanalen när du importerar filen till Configuration Manager.

När du behöver ett lösenord för att importera klientautentiseringscertifikatet som du använder för distributionsplatsen för att kommunicera med hanteringsplatser hjälper detta att skydda certifikatet mot en angripare.

Använd SMB-signering eller IPsec mellan nätverksplatsen och platsservern för att hindra en angripare från att manipulera certifikatfilen.

Ta bort distributionsplatsrollen från platsservern.

Som standard är en distributionsplats installerad på samma server som platsservern. Klienterna behöver inte kommunicera direkt med platsservern, så för att minska attackytan kan du tilldela distributionsplatsrollen till andra platssystem och ta bort den från platsservern.

Säkert innehåll på paketåtkomstnivå.

System_CAPS_noteInformation

Detta gäller inte molnbaserade distributionsplatser på Configuration Manager SP1, som inte stöder paketåtkomstkonton.

Distributionsplatsdelning ger läsbehörighet för alla användare. För att begränsa vilka användare som har tillgång till innehållet kan du använda paketåtkomstkonton när distributionsplatsen konfigureras för HTTP.

Mer information om paketåtkomstkontot finns i avsnittet Hantera konton för att komma åt paketinnehåll i avsnittet Åtgärder och underhåll för innehållshantering i Configuration Manager.

Om Configuration Manager installerar IIS när du lägger till en distributionsplatssystemroll, ta bort HTTP-omdirigering och IIS-hanteringsskript och verktyg när distributionsplatsinstallationen är slutförd

Distributionsplatsen kräver inte HTTP-omdirigering och IIS-hanteringsskript och verktyg. Du kan minska attackytan genom att ta bort de här rolltjänsterna för webbserverrollen (IIS).

Mer information om rolltjänsterna för webbserverrollen (IIS) för distributionsplatser finns i avsnittet i ..c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Ställ in paketåtkomstbehörighet när du skapar paketet

Eftersom ändringar i åtkomstkontona på paketfilerna endast blir effektiva när du omfördelar paketet, ställ in paketåtkomstbehörigheten noggrant när du först skapar paketet. Det är särskilt viktigt i följande scenarion:

  • Paketet är stort.

  • Du distribuerar paketet till många distributionsplatser.

  • Nätverkets bandbreddskapacitet för innehållsdistribution är begränsad.

Implementera åtkomstkontroller för att skydda media som innehåller förinstallerat innehåll

Förinstallerat innehåll komprimeras, men krypteras inte. En angripare kan läsa och ändra filerna som sedan laddas ned till enheterna. Configuration Manager-klienter avvisar innehåll som har manipulerats, men de laddar fortfarande ner det.

Importera förinstallerat innehåll genom att endast använda kommandoradsverktyget ExtractContent (ExtractContent.exe) som levereras med Configuration Manager och kontrollera att det är signerat av Microsoft

För att undvika manipulering och rättighetsökning, använd bara det behöriga kommandoradverktyget som levereras med Configuration Manager.

Säkra kommunikationskanalen mellan platsservern och paketets källplats

Använd IPsec- eller SMB-signering mellan platsservern och paketets källplats när du skapar program och paket. Det hjälper till att hindra en angripare från att manipulera källfilerna.

Om du ändrar platskonfigurationsalternativet till att använda en anpassad webbplats istället för standardwebbplatsen efter att eventuella distributionsplatsroller har installerats, bör du ta bort de virtuella katalogerna.

När du byter från att ha använt standardwebbplatsen till en anpassad webbplats tas inte gamla virtuella kataloger bort i Configuration Manager. Ta bort de virtuella kataloger som Configuration Manager ursprungligen skapade under standardwebbplatsen.

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

För molnbaserade distributionsplatser som är tillgängliga från och med Configuration Manager SP1: Skydda dina prenumerationsdetaljer och certifikat

När du använder molnbaserade distributionsplatser, skydda följande högvärdesobjekt:

  • Användarnamnet och lösenordet för din Windows Azure-prenumeration.

  • Windows Azure-hanteringscertifikatet.

  • Den molnbaserade distributionsplatsens tjänstcertifikat.

Lagra certifikaten säkert och om du bläddrar till dem via nätverket när du konfigurerar den molnbaserade distributionsplatsen, använd IPsec- eller SMB-signering mellan platssystemservern och källplatsen.

För molnbaserade distributionsplatser som är tillgängliga från och med Configuration Manager SP1: För att undvika störningar i tjänsten, övervaka certifikatens utgångsdatum

Configuration Manager varnar dig inte när de importerade certifikaten för hantering av den molnbaserade distributionsplatstjänsten håller på att gå ut. Du måste övervaka utgångsdatumen oberoende av Configuration Manager och se till att du förnyar och därefter importerar det nya certifikatet före utgångsdatum. Det är särskilt viktigt om du köper ett Configuration Manager molnbaserat tjänstcertifikat för distributionsplatsen från en extern certifikatutfärdare (CA), eftersom du kan behöva mer tid att skaffa ett förnyat certifikat.

System_CAPS_noteInformation

Om något av certifikaten går ut genererar Cloud Services Manager statusmeddelandet med ID 9425 och CloudMgr.log-filen innehåller en post som indikerar att certifikatet is in expired state med utgångsdatum angivet med UTC.

Säkerhetsproblem för innehållshantering

Innehållshantering innebär följande säkerhetsproblem:

  • Klienterna validerar inte innehåll förrän efter att det har laddats ned

    Configuration Manager-klienter validerar hashvärdet för innehåll endast efter att det har laddats ner till klientcachen. Om en angripare manipulerar listan med filer som ska laddas ner eller själv innehållet kan nedladdningsprocessen uppta betydande nätverksbandbredd för klienten för att sedan kasta innehållet när den stöter på det ogiltiga hashvärdet.

  • Du kan inte begränsa åtkomsten till innehåll på molnbaserade distributionsplatser till användare eller grupper

    Från och med Configuration Manager SP1 begränsas åtkomsten till innehållet när du använder molnbaserade distributionsplatser automatiskt till ditt företag och du kan inte begränsa det ytterligare till valda användare eller grupper.

  • En blockerad klient kan fortsätta att ladda ner innehåll från en molnbaserad distributionsplats i upp till 8 timmar

    Från och med Configuration Manager SP1 autentiseras klienterna av hanteringsplatsen när du använder molnbaserade distributionsplatser och därefter används en Configuration Manager-token för att komma åt molnbaserade distributionsplatser. Denna token är giltig i 8 timmar, så om du blockerar en klient på grund av att den inte längre är betrodd kan den fortsätta att a ladda ner innehåll från en molnbaserad distributionsplats tills giltighetsperioden för denna token går ut. Vid det här tillfället utfärdar hanteringsplatsen inte någon annan token för klienten eftersom klienten är blockerad.

    För att undvika att en blockerad klient laddar ner innehåll under den här 8-timmarsperioden kan du stoppa montjänsten från noden Moln, Hierarkikonfiguration i arbetsytan Administration i Configuration Manager-konsolen. Mer information finns i Hantera molntjänster för Configuration Manager.

Sekretessinformation för innehållshantering

Configuration Manager innefattar inte några användardata i innehållsfiler, men en administrativ användare kan välja att göra det.

Innan du konfigurerar innehållshantering bör du tänka igenom dina sekretesskrav.