Zabezpečení a ochrana osobních údajů pro správu lokalit v nástroji Configuration Manager

Instalaci spouštějte pouze z důvěryhodných zdrojů a komunikační kanál mezi instalačním médiem a serverem lokality zabezpečte.

Chcete-li zabránit manipulaci se zdrojovými soubory, spusťte instalaci z důvěryhodného zdroje. Pokud soubory ukládáte na síť, zabezpečte umístění v síti.

Jestliže spouštíte instalaci z umístění v síti, při přenosu souborů sítí použijte protokol IPsec nebo podepisování SMB mezi umístěním zdroje instalačních souborů a serverem lokality, abyste případnému útočníkovi zabránili v manipulaci se soubory.

Kromě toho, pokud pro stahování souborů požadovaných instalačním programem používáte nástroj pro stažení instalačního programu, ujistěte se, zda jste při spouštění instalačního programu také zabezpečili umístění, kde jsou tyto soubory uloženy, a rovněž komunikační kanál pro toto umístění.

Pro zabezpečení komunikace mezi servery systému lokality a lokalitami použijte protokol IPsec.

Přestože Configuration Manager zabezpečuje komunikaci mezi serverem lokality a počítačem, který spouští server SQL, Configuration Manager nezabezpečuje komunikaci mezi rolemi systému lokality a serverem SQL. Pouze některé systémy lokality (bod registrace a bod služeb webu Katalog aplikací) lze nakonfigurovat pro protokol HTTPS pro komunikaci v lokalitě.

Pokud nepoužíváte další kontroly pro zabezpečení těchto kanálů pro komunikaci mezi servery, útočníci mohou používat různé způsoby falšování a útoky prostředníkem proti systémům lokality. Pokud nemůžete použít protokol IPsec, použijte podepisování SMB.

Pokud klienti nemohou zadat dotaz na server globálního katalogu ohledně informací Configuration Manager, spravujte proces zajišťování důvěryhodného kořenového klíče.

Pokud klienti nemohou zadat dotaz na globální katalog ohledně informací Configuration Manager, musí při ověřování platných bodů správy spoléhat na důvěryhodný kořenový klíč. Důvěryhodný kořenový klíč je uložen v registru klienta a lze ho nastavit pomocí zásad skupiny nebo ruční konfigurace.

Pokud klient předtím, než kontaktuje bod správy poprvé, nemá kopii důvěryhodného kořenového klíče, důvěřuje prvnímu bodu správy, se kterým komunikuje. Pro snížení rizika u klientů uvedených v omyl útočníky na neautorizovaný bod správy můžete klientům předem poskytnout důvěryhodný kořenový klíč. Další informace naleznete v části Plánování důvěryhodného kořenového klíče.

Použití rozdělení rolí v systémech lokality.

Přestože všechny role systému lokality můžete instalovat na jeden počítač, tento postup se v produkčních sítích používá zřídka, neboť vytváří jediný bod selhání.

Na všech systémech lokality dodržujte doporučené postupy zabezpečení pro Windows Server a spusťte Průvodce nastavením zabezpečení.

Průvodce nastavením zabezpečení (SCW) pomáhá vytvářet zásady zabezpečení, které můžete použít u jakéhokoli serveru ve vaší síti. Po instalaci šablony System Center 2012 Configuration Manager SCW rozpozná role systému lokality Configuration Manager, služby, porty a aplikace. Potom povolí komunikaci, která je požadována pro Configuration Manager, a blokuje komunikaci, která požadována není.

Průvodce nastavením zabezpečení je součástí sady nástrojů pro System Center 2012 Configuration Manager, kterou můžete stáhnout z centra Stažení softwaru společnosti Microsoft: System Center 2012 – Configuration Manager Component Add-ons and Extensions (System Center 2012 – Doplňky a rozšíření součástí nástroje Configuration Manager).

Na servery systému lokality neinstalujte žádné další aplikace.

Pokud na servery systému lokality nainstalujete další aplikace, zvětšíte tím prostor pro útoky u Configuration Manager a také riziko problémů s nekompatibilitou.

Omezte a monitorujte správce Configuration Manager a používejte správu na základě rolí, abyste těmto uživatelům přidělili minimální oprávnění, která vyžadují.

Udělujte přístup pro správu Configuration Manager pouze uživatelům, kterým důvěřujete, a pak jim přidělte minimální oprávnění za použití předdefinovaných rolí zabezpečení nebo přizpůsobením rolí zabezpečení. Správci, kteří mohou vytvářet, měnit a nasazovat aplikace, pořadí úloh, softwarové aktualizace, položky konfigurace a standardní hodnoty konfigurace, mohou potenciálně ovládat zařízení v hierarchii Configuration Manager.

Pravidelně přiřazení správců a úroveň jejich autorizace auditujte, abyste ověřili požadované změny.

Další informace o konfigurování správy na základě rolí najdete v tématu Konfigurace správy na základě rolí.

Kdykoli exportujete nebo importujete objekty z konzoly Configuration Manager do umístění v síti, zabezpečte umístění a zabezpečte i síťový kanál.

Omezte přístup k síťové složce neoprávněným uživatelům.

Podepisování SMB nebo protokol IPsec mezi umístěním v síti a serverem lokality, a mezi počítačem, který spouští konzolu Configuration Manager a server lokality, aby zabránil útočníkovi v manipulaci s exportovanými daty. Pro šifrování dat na síti používejte protokol IPsec, abyste zabránili odhalení informací.

Nekonfigurujte internetové systémy lokality, abyste přemostili hraniční síť a intranet.

Nekonfigurujte servery systému lokality, aby byly vícedomé a byly připojeny k hraniční síti a intranetu. I když tato konfigurace umožňuje, aby internetové systémy lokality přijaly připojení klienta z internetu a intranetu, eliminuje hranice zabezpečení mezi hraniční sítí a intranetem.

Pokud používáte webový proxy server pro internetovou správu klientů, použijte přemostění SSL-to-SSL, a to za použití ukončení s ověřením.

Při konfiguraci ukončení protokolu SSL na webovém proxy serveru se pakety z internetu před předáním na interní síť podrobují kontrole. Webový proxy server ověří připojení z klienta, ukončí ho, a pak otevře nové ověřené připojení k internetovým systémům lokality.

Pokud počítače klienta Configuration Manager používají webový proxy server pro připojení k internetovým systémům lokality, identita klienta (identifikátor GUID) je bezpečně obsažena v datové části paketu, takže bod správy nepovažuje webový proxy server za klienta. Pokud váš webový proxy server nepodporuje požadavky na přemostění SSL, je podporováno také tunelování SSL. To je méně bezpečná možnost, neboť pakety SSL z internetu se předávají do systémů lokality bez ukončení, a tak nemohou být prověřovány na škodlivý obsah.

Pokud váš webový proxy server nepodporuje požadavky na přemostění SSL, můžete použít tunelování SSL. To je však méně bezpečná možnost, neboť pakety SSL z internetu se předávají do systémů lokality bez ukončení, a tak nemohou být prověřovány na škodlivý obsah.

Upozornění
Mobilní zařízení, která jsou zaregistrována Configuration Manager, nemohou používat přemostění SSL a musí používat pouze tunelování SSL.

Pokud používáte e-mailové oznámení, nakonfigurujte ověřený přístup k poštovnímu serveru SMTP.

Je-li to možné, používejte poštovní server, který podporuje ověřený přístup a používání počítačového účtu k ověření. Pokud je nutné určit uživatelský účet pro ověření, použijte účet s nejnižšími oprávněními.

Nainstalujte nástroj Configuration Manager na členský server místo řadiče domény.

Server lokality nástroje Configuration Manager a systémy lokality nevyžadují instalaci řadiče domény. Řadiče domény nemusí mít místní databázi SAM (Security Accounts Management) jinou než databázi domény. Pokud instalujete nástroj Configuration Manager na členský server, je možné uchovávat účty nástroje Configuration Manager v místní databázi SAM místo databáze domény.

Tento postup také zmenšuje prostor pro útoky v řadičích domény.

Nepoužívejte server databáze lokality nástroje Configuration Manager ke spuštění jiných aplikací SQL Server.

Pokud zvýšíte přístup k serveru databáze lokality nástroje Configuration Manager, zvyšuje se ohrožení dat nástroje Configuration Manager. Pokud dojde k ohrožení databáze lokality Configuration Manager, budou ohroženy také další aplikace na stejném počítači se systémem SQL Server.

Proveďte další kroky, chcete-li zajistit, že sekundární lokality se systémem SQL Server Express budou mít nejnovější aktualizace softwaru.

Při instalaci primární lokality nástroj Configuration Manager stáhne systém SQL Server Express z webu Microsoft Download Center a zkopíruje soubory na server primární lokality. Při instalaci sekundární lokality a výběru možnosti, která nainstaluje systém SQL Server Express, nástroj Configuration Manager nainstaluje předchozí stažené verze a nekontroluje dostupnost nových verzí. Chcete-li zajistit, že sekundární lokalita bude mít k dispozici nejnovější verze, proveďte jeden z následujících postupů:

• Po instalaci sekundární lokality spusťte službu Windows Update na server sekundární lokality.

• Před instalací sekundární lokality ručně nainstalujte systém SQL Server Express do počítače, který bude spouštět server sekundární lokality, a ujistěte se, že instalujete nejnovější verzi a všechny aktualizace softwaru. Poté nainstalujte sekundární lokalitu a vyberte možnost použití existující instance systému SQL Server.

Pravidelně spouštějte službu Windows Update pro tyto lokality a nainstalované verze systému SQL Server, čímž zajistíte, že budete mít k dispozici nejnovější aktualizace softwaru.

Zakažte funkce IIS, které nepožadujete.

Nainstalujte pouze minimální počet funkcí IIS pro roli systému lokality, kterou instalujete. Další informace najdete v části v tématu .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Proveďte konfiguraci seznamu důvěryhodných certifikátů (CTL) ve službě IIS pro následující role systému lokality:

• Distribuční bod, který je konfigurován pro protokol HTTPS.

• Správa, která je konfigurována pro protokol HTTPS a povoluje podporu mobilních zařízení.

Seznam důvěryhodných certifikátů (CTL) je definovaný seznam úřadů vydávajících důvěryhodné kořenové certifikáty. Pokud používáte seznam CTL se zásadou skupiny a nasazením PKI, seznam CTL umožňuje doplnit existující úřady pro vydávání důvěryhodných kořenových certifikátů konfigurované v síti, například automaticky instalované se systémem Microsoft Windows nebo přidané prostřednictvím kořenová CA rozlehlé sítě systému Windows. Pokud je seznam CTL konfigurován ve službě IIS, seznam CTL definuje podsadu úřadů pro vydávání důvěryhodných kořenových certifikátů.

Tato podsada vám nabízí větší kontrolu nad zabezpečením, protože seznam CTL omezuje klientské certifikáty pouze na ty, které jsou vydávány ze seznamu certifikačních autorit v seznamu CTL. Například systém Windows je dodáván s řadou známých certifikátů certifikačních autorit třetích stran, jako je například VeriSign a Thawte. Ve výchozím nastavení počítač, ve kterém je spuštěna služba IIS, důvěřuje certifikátům, které jsou spojeny se známými certifikačními autoritami. Pokud službu IIS nenakonfigurujete se seznamem CTL pro uvedené role systému lokality, jakékoli zařízení, které má klientský certifikát vydaný certifikačními autoritami, bude přijato jako platný klient nástroje Configuration Manager. Pokud službu IIS nakonfigurujete se seznamem CTL, který neobsahuje tyto certifikační autority, připojení klienta bude odmítnuto, pokud se certifikát váže k těmto certifikačním autoritám. Aby však mohli být klienti nástroje Configuration Manager přijaty pro uvedené role systému lokality, je třeba službu IIS konfigurovat se seznamem CTL, který určuje certifikační autority používané klienty nástroje Configuration Manager.

Další informace o konfiguraci seznamu úřadů pro vydávání důvěryhodných certifikátů ve službě IIS najdete v dokumentaci ke službě IIS.

Pro nástroj Configuration Manager použijte vyhrazené servery IIS.

Ačkoli je možné hostovat několik webových aplikací na serveru IIS, které používá také nástroj Configuration Manager, tento postup může značně zvýšit prostor pro útoky. Nesprávně konfigurovaná aplikace by mohla útočníka dovolit také převzít kontrolu nad systémem lokality nástroje Configuration Manager, díky útočník může převzít kontrolu nad hierarchií.

Pokud je nutné spustit další webové aplikace v systémech lokality nástroje Configuration Manager, vytvořte vlastní webovou stránku pro systémy lokality nástroje Configuration Manager.

Pokud po instalaci libovolných rolí distribučních bodů přejdete z výchozího webu na vlastní web, odstraňte výchozí virtuální adresáře.

Když změníte nastavení, aby se místo výchozího webu používal vlastní web, nástroj Configuration Manager neodebere staré virtuální adresáře. Odeberte virtuální adresáře, které nástroj Configuration Manager původně vytvořil v rámci výchozího webu.

Virtuální adresáře pro odebrání distribučního bodu jsou například následující:

• SMS_DP_SMSPKG$

• SMS_DP_SMSSIG$

• NOCERT_SMS_DP_SMSPKG$

• NOCERT_SMS_DP_SMSSIG$

Při instalaci klienta nástroje Configuration Manager do bodu správy jej přiřaďte k lokalitě bodu správy.

Vyhýbejte se situacím, kdy je klient nástroje Configuration Manager v systému lokality bodu správy přiřazen jiné lokalitě než lokalitě bodu správy.

Pokud provádíte migraci z verze Configuration Manager 2007 na verzi System Center 2012 Configuration Manager, proveďte co nejdříve migraci klienta verze Configuration Manager 2007 na verzi System Center 2012 Configuration Manager.

Role systému lokality nespouštějte v systému lokality a neinstalujte je do řadiče domény.

Protože záložní stavový bod je nastaven na přijímání neověřené komunikace z libovolného počítače, spuštění této role systému lokality s jinými rolemi systému lokality nebo v řadiči domény výrazně zvyšuje ohrožení daného serveru.

Vyhněte se používání bodu stavu pro použití náhradní lokality v hraniční síti.

Konstrukce umožňuje, aby bod stavu pro použití náhradní lokality přijímal data od kteréhokoliv klienta. I když bod záložního stavu v hraniční síti může pomoci při odstraňování poruch internetových klientů, musíte vyvážit výhody plynoucí z takového odstraňování poruch s rizikem systému lokality, že ve veřejně přístupné síti dojde k příjmu neověřených dat.

Pokud nainstalujete bod záložního stavu do hraniční sítě nebo nějaké nedůvěryhodné sítě, nakonfigurujte server lokality tak, aby inicializoval přenosy dat namísto výchozího nastavení, ve kterém je možné, aby bod záložního stavu inicializoval připojení k serveru lokality.