Sdílet prostřednictvím

Zabezpečení a ochrana soukromí pro správu obsahu v nástroji Configuration Manager

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Poznámka

Toto téma se zobrazuje v příručka Nasazení softwaru a operačních systémů v nástroji System Center 2012 Configuration Manager a v příručce Zabezpečení a ochrana soukromí pro aplikaci System Center 2012 Configuration Manager.

Toto téma obsahuje informace související se zabezpečením a ochranou osobních údajů při správě obsahu v nástroji System Center 2012 Configuration Manager. Přečtěte si je společně s následujícími tématy:

Osvědčené postupy zabezpečení pro správu obsahu

Při správě obsahu používejte následující osvědčené postupy zabezpečení:

Doporučené zabezpečení

Další informace

U distribučních bodů v intranetu zvažte výhody a nevýhody použití protokolů HTTPS a HTTP.

Rozdíly mezi použitím protokolu HTTPS a HTTP u distribučních bodů:

  • Když u distribučního bodu použijete protokol HTTPS, Configuration Manager nepoužívá při autorizaci přístupu k obsahu účty pro přístup k balíčkům, ale obsah je při přenosu sítí šifrován.

  • Když u distribučního bodu použijete protokol HTTP, můžete pro autorizaci použít účty pro přístup k balíčkům, ale obsah není při přenosu sítí šifrován.

Ve většině scénářů představuje protokol HTTP a autorizace pomocí účtů pro přístup k balíčkům lepší zabezpečení než protokol HTTPS s šifrováním, avšak bez autorizace. Jsou-li však součástí obsahu citlivá data, která chcete při přenosu šifrovat, použijte protokol HTTPS.

Používáte-li u distribučního bodu certifikát podepsaný svým držitelem místo certifikátu ověřování klienta PKI, chraňte soubor certifikátu (.pfx) silným heslem. Pokud soubor uchováváte v síti, použijte při jeho importu do nástroje Configuration Manager zabezpečený síťový kanál.

Když při importu certifikátu ověřování klienta používaného v distribučním bodu pro komunikaci s body správy vyžadujete heslo, pomůžete tím certifikát ochránit před případným útočníkem.

Pro komunikaci mezi umístěním v síti a serverem lokality použijte podepisování SMB nebo protokol IPsec. Zabráníte tak případnému útočníkovi v manipulaci se souborem certifikátu.

Odeberte roli distribučního bodu ze serveru lokality.

Ve výchozím nastavení je distribuční bod instalován ve stejném serveru jako server lokality. Klienti nemusí komunikovat přímo se serverem lokality. Pokud tedy přiřadíte roli distribučního bodu jiným systémům lokality a odeberete ji ze serveru lokality, omezíte tím prostor pro možný útok.

Zabezpečte obsah na úrovni přístupu k balíčku.

Poznámka

Toto doporučení se netýká cloudových distribučních bodů v nástroji Configuration Manager SP1, který nepodporuje účty pro přístup k balíčkům.

Sdílená složka distribučního bodu umožňuje všem uživatelům přístup ke čtení. Chcete-li omezit přístup k obsahu jen na některé uživatele a je-li distribuční bod konfigurován pro protokol HTTP, můžete použít účty pro přístup k balíčkům.

Další informace o účtech pro přístup k balíčkům naleznete v části Správa účtů pro přístup k obsahu balíčků v tématu Operace a údržba pro správu obsahu v nástroji Configuration Manager.

Pokud Configuration Manager při přidání role distribučního bodu k systému lokality nainstaluje službu IIS, odeberte po dokončení instalace distribučního bodu následující součásti: Přesměrování protokolu HTTP a Skripty a nástroje správy služby IIS.

Přesměrování protokolu HTTP ani skripty a nástroje správy služby IIS nejsou u distribučního bodu požadovány. Odebráním těchto služeb rolí z role webového serveru (IIS) omezíte prostor pro možný útok.

Další informace o službách rolí webového serveru (IIS) u distribučních bodů naleznete v části v tématu .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Při vytváření balíčku pro něj nastavte přístupová oprávnění.

Při prvním vytváření balíčku je třeba pečlivě nastavit přístupová oprávnění, protože případné změny v účtech pro přístup k souborům balíčku se uplatní pouze při opětovné distribuci balíčku. Je to důležité zejména v následujících scénářích:

  • Balíček je rozsáhlý.

  • Balíček je distribuován do mnoha distribučních bodů.

  • Kapacita šířky pásma pro distribuci obsahu je omezena.

Implementujte řízení přístupu pro ochranu médií obsahujících připravený obsah.

Připravený obsah je komprimován, nikoli však šifrován. Případný útočník by mohl přečíst a změnit soubory, které jsou následně stahovány do zařízení. Klienti nástroje Configuration Manager sice odmítnou obsah, se kterým bylo manipulováno, přesto jej však stáhnou.

Připravený obsah importujte výhradně pomocí nástroje příkazového řádku ExtractContent (ExtractContent.exe) dodávaného s nástrojem Configuration Manager. Zkontrolujte, zda je podepsán společností Microsoft.

Používejte pouze autorizovaný nástroj příkazového řádku dodávaný s nástrojem Configuration Manager. Zabráníte tak možné manipulaci s obsahem a zvyšování oprávnění.

Zabezpečte komunikační kanál mezi serverem lokality a zdrojovým umístěním balíčku.

Při vytváření aplikací a balíčků použijte podepisování SMB nebo protokol IPsec mezi serverem lokality a zdrojovým umístěním balíčku. Zabráníte tak případnému útočníkovi v manipulaci se zdrojovými soubory.

Změníte-li po instalaci rolí distribučních bodů možnost konfigurace lokality tak, aby se místo výchozího webu používal vlastní web, odeberte výchozí virtuální adresáře.

Když změníte nastavení, aby se místo výchozího webu používal vlastní web, nástroj Configuration Manager neodebere staré virtuální adresáře. Odeberte virtuální adresáře, které nástroj Configuration Manager původně vytvořil v rámci výchozího webu:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

U cloudových distribučních bodů, které jsou k dispozici od verze Configuration Manager SP1, zajistěte ochranu svých podrobností předplatného a certifikátů.

Při používání cloudových distribučních bodů zajistěte ochranu citlivých položek, jako jsou následující:

  • Uživatelské jméno a heslo předplatného Windows Azure.

  • Certifikát správy Windows Azure.

  • Certifikát služby cloudového distribučního bodu.

Certifikáty bezpečně uložte a pokud k nim při konfiguraci cloudového distribučního bodu přistupujete přes síť, použijte při komunikaci mezi systémovým serverem lokality a zdrojovým umístěním protokol IPsec nebo podepisování SMB.

U cloudových distribučních bodů, které jsou k dispozici od verze Configuration Manager SP1, sledujte datum vypršení certifikátů, abyste zabránili výpadkům z provozu.

Configuration Manager neupozorňuje na blížící se datum vypršení platnosti importovaných certifikátů služby cloudového distribučního bodu. Data vypršení platnosti je třeba sledovat nezávisle na nástroji Configuration Manager a zajistit včasné obnovení a opětovný import nových certifikátů. To je důležité zvláště tehdy, když máte certifikát služby cloudového distribučního bodu nástroje Configuration Manager zakoupený od externí certifikační autority (CA), protože získání obnoveného certifikátu může určitou dobu trvat.

Poznámka

Pokud některý z certifikátů vyprší, Cloud Services Manager vygeneruje ID stavové zprávy 9425 a přidá do souboru CloudMgr.log položku s údajem o certifikátu is in expired state a datem vypršení platnosti v čase UTC.

Problémy se zabezpečením při správě obsahu

Při správě obsahu se vyskytují následující problémy se zabezpečením:

  • Klienti neověřují obsah před stažením

    Klienti nástroje Configuration Manager ověřují hash obsahu až po jeho stažení do své mezipaměti. Pokud útočník pozmění seznam stahovaných souborů nebo jejich obsah, klient po dokončení stahování zjistí neplatný hash a obsah vyřadí. Vlastní stahování však může spotřebovat značnou část šířky pásma sítě.

  • Přístup k obsahu, jehož hostitelem jsou cloudové distribuční body, nelze omezit na určité uživatele nebo skupiny.

    Od verze Configuration Manager SP1 platí, že pokud používáte cloudové distribuční body, přístup k obsahu je automaticky omezen na váš podnik a nelze jej dále omezit na vybrané uživatele nebo skupiny.

  • Blokovaný klient může pokračovat ve stahování obsahu z cloudového distribučního bodu, a to po dobu až 8 hodin

    Od verze Configuration Manager SP1 platí, že pokud používáte cloudové distribuční body, klienti jsou ověřováni bodem správy a následně používají token nástroje Configuration Manager pro přístup ke cloudovým distribučním bodům. Token je platný po dobu 8 hodin. Pokud tedy zablokujete klienta z důvodu jeho nedůvěryhodnosti, může tento klient nadále stahovat obsah z cloudového distribučního bodu, dokud nevyprší doba platnosti tokenu. Poté již bod správy nevydá blokovanému klientovi další token.

    Chcete-li blokovanému klientovi zabránit ve stahování obsahu v průběhu těchto 8 hodin, můžete zastavit službu cloudu v uzlu Cloud položky Konfigurace hierarchie v pracovním prostoru Správa v konzole nástroje Configuration Manager. Další informace naleznete v tématu Správa cloudových služeb pro Správce konfigurace.

Ochrana osobních údajů při správě obsahu

Configuration Manager nezařazuje do souborů obsahu žádná data uživatelů, pokud se správce nerozhodne jinak.

Před konfigurací správy obsahu zvažte své požadavky na ochranu osobních údajů.

Viz také

Správa obsahu v produktu Configuration Manager