• Cikk

Helyfelügyelet biztonsága és adatvédelme a Configuration Manager alkalmazásban

 

Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteMegjegyzés

Ez a témakör itt jelenik meg: a Site Administration for System Center 2012 Configuration Manager (A System Center 2012 Configuration Manager-helyek felügyelete) útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban.

Ez a rész a System Center 2012 Configuration Manager helyeinek és hierarchiájának biztonságával és adatvédelmével kapcsolatos tudnivalókat tartalmazza:

  • A helyfelügyelet legjobb biztonsági megoldásai

    • A helykiszolgálóhoz kapcsolódó ajánlott biztonsági eljárások

    • Az SQL Serverhez kapcsolódó ajánlott biztonsági eljárások

    • Ajánlott biztonsági eljárások az IIS-t futtató helyrendszerekhez

    • Ajánlott biztonsági eljárások a felügyeleti ponthoz

    • Ajánlott biztonsági eljárások a tartalék állapotkezelő ponthoz

    • A helyfelügyelet biztonsági problémái

  • Adatvédelmi tájékoztatás a felderítéshez

A helyfelügyelet legjobb biztonsági megoldásai

A következő legjobb biztonsági megoldások alkalmazásával gondoskodhat a System Center 2012 Configuration Manager-helyek és a hierarchia biztonságáról.

Bevált biztonsági gyakorlat

További információ

A telepítőt csak megbízható forrásból futtassa, és használjon biztonságos kommunikációs csatornát a telepítési adathordozó és a helykiszolgáló között.

A forrásfájlok illetéktelen módosításának megakadályozása érdekében a telepítőt megbízható forrásból futtassa. Ha a fájlokat a hálózatban tárolja, lássa el védelemmel az adott hálózati helyet.

Ha a telepítőt hálózati helyről futtatja, a hálózaton keresztül továbbított fájlokat úgy védheti meg a támadók általi illetéktelen módosításoktól, hogy IPsec protokollt vagy SMB-aláírást használ a telepítőfájlok forráshelye és a helykiszolgáló között.

Ha a telepítő letöltési segédprogramját használja a telepítéshez szükséges fájlok letöltéséhez, a letöltendő fájlok helyének védelméről és az ezzel a hellyel folytatott kommunikáció védelméről is gondoskodnia kell, amikor futtatja a telepítőt.

Terjessze ki a System Center 2012 Configuration Manager Active Directory-sémáját, és tegye közzé a helyeket az Active Directory tartományi szolgáltatásokba.

A sémakiterjesztések nem szükségesek a Microsoft System Center 2012 Configuration Manager futtatásához, de a segítségükkel biztonságosabb környezet alakítható ki, mert a Configuration Manager-ügyfelek és a helykiszolgálók megbízható forrásból tudják lekérni az adatokat.

Ha az ügyfelek nem megbízható tartományban találhatók, telepítse a következő helyrendszerszerepköröket az ügyfelek tartományában:

  • Felügyeleti pont

  • Terjesztési pont

  • Alkalmazáskatalógus weboldal-elérési pontja

System_CAPS_noteMegjegyzés

A Configuration Manager a megbízható tartományokhoz Kerberos-hitelesítést igényel, így ha az ügyfelek olyan másik erdőben találhatók, amelynek nem rendelkeznek kétirányú erdőszintű megbízható kapcsolattal a helykiszolgáló erdőjével, akkor ezek az ügyfelek nem bízható tartományban lévőknek tekintendők. Külső megbízhatósági kapcsolat nem elegendő erre a célra.

A helyrendszer-kiszolgálók és a helyek közötti kommunikáció biztonságossá tételéhez használja az IPsec protokollt.

A Configuration Manager biztonságossá teszi a helykiszolgáló és az SQL Server rendszert futtató számítógépek közötti kommunikációt, azonban a helyrendszerszerepkörök és az SQL Server közötti kommunikáció nincs biztonságossá téve a Configuration Manager által. Csak néhány helyrendszer (a beléptetési pont és az alkalmazáskatalógus webszolgáltatási pontja) állítható be HTTPS használatára a helyen belüli kommunikáció esetében.

Ha nem használ további megoldásokat a kiszolgálók közötti csatornák védelmére, a támadók különböző hamisítási és betolakodó illetéktelen személyek általi támadásokkal veszélyeztethetik a helyrendszereket. Ha nem tudja használni az IPsec protokollt, használja az SMB-aláírást.

System_CAPS_noteMegjegyzés

A helykiszolgáló és a csomagok forrásaként működő kiszolgáló közötti kommunikációs csatorna védelme rendkívül fontos. Ez a kommunikáció az SMB protokollt használja. Ha nem tudja az IPsec protokollt használni a kommunikáció védelméhez, az SMB-aláírás segítségével akadályozhatja meg a fájlok illetéktelen módosítását, mielőtt az ügyfelek letöltik és futtatják azokat.

Ne változtassa meg azokat a biztonsági csoportokat, amelyeket a Configuration Manager hoz létre és felügyel a helyrendszer kommunikációjának védelméhez:

  • SMS_SiteSystemToSiteServerConnection_MP_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_SMSProv_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_Stat_<SiteCode>

A Configuration Manager automatikusan hozza létre és felügyeli ezeket a biztonsági csoportokat. Ebbe beletartozik a számítógépfiókok eltávolítása is a helyrendszerszerepkörök eltávolításakor.

A szolgáltatás folytonosságának és a minimálisan szükséges jogosultságok biztosításához ne szerkessze kézzel ezeket a csoportokat.

Ha az ügyfelek nem tudják lekérdezni a globális katalógus kiszolgálójától a Configuration Manager adatait, a megbízható legfelső szintű kulcs létesítésének folyamatát kell használnia.

Ha az ügyfelek nem tudják lekérdezni a globális katalógusból a Configuration Manager adatait, a megbízható legfelső szintű kulcsot kell alkalmazniuk az érvényes felügyeleti pontok hitelesítéséhez. A megbízható legfelső szintű kulcsot az ügyfél beállításjegyzéke tárolja, és csoportházirend használatával vagy kézi konfigurálással állítható be.

Ha az ügyfél nem rendelkezik a megbízható legfelső szintű kulcs példányával, mielőtt első alkalommal csatlakozik egy felügyeleti ponthoz, megbízhatónak fogja tekinteni az első felügyeleti pontot, amellyel kommunikál. Ha csökkenteni kívánja annak kockázatát, hogy a támadók nem hitelesített felügyeleti pontra irányítják át az ügyfeleket, előzetesen elláthatja az ügyfeleket a megbízható legfelső szintű kulccsal. További információ: A megbízható legfelső szintű kulcs tervezése.

Használjon nem alapértelmezett portszámokat.

A nem alapértelmezett portszámok használatával növelheti a biztonságot, mert ezzel megnehezíti a támadók számára a környezet felderítését a támadás előkészítésekor. Ha a nem alapértelmezett portok használata mellett dönt, tervezze meg ezt körültekintően a Configuration Manager telepítése előtt, és használja ezeket a portokat következesen a hierarchiában lévő összes helyen. Például az ügyfélkérelmek és a hálózati ébresztés esetében használhat nem alapértelmezett portszámokat.

Különítse el a szerepköröket a helyrendszereken.

Bár az összes helyrendszerszerepkört telepítheti ugyanarra a számítógépre, ezt a megoldást ritkán alkalmazzák a munkakörnyezeti hálózatokban, mivel ez hibalehetőséget teremt.

Csökkentse a támadható felületet.

Ha különböző kiszolgálókon elkülönítve használja az egyes helyrendszerszerepköröket, csökkentheti annak lehetőségét, hogy az egyik helyrendszer sebezhető pontjai utat nyitnak a többi helyrendszer elleni támadásoknak. Több helyrendszerszerepkör az IIS (Internet Information Services) telepítését igényli a helyrendszeren, és ez megnöveli a támadható felületet. Ha a hardverrel kapcsolatos költségek csökkentése érdekében kombináltan kell alkalmaznia a helyrendszerszerepköröket, az IIS helyrendszerszerepkört csak olyan más helyrendszerszerepkörökkel kombinálja, amelyek igénylik az IIS használatát.

System_CAPS_importantFontos!

A tartalék állapotkezelő pont szerepköre kivétel ez alól. Mivel ez a helyrendszerszerepkör elfogadja a nem hitelesített adatokat az ügyfelektől, a tartalék állapotkezelő pont szerepkörét soha ne rendelje hozzá a Configuration Manager más helyrendszerszerepköreihez.

Alkalmazza a Windows Server legjobb biztonsági megoldásait, és futtassa a Biztonság beállítása varázslót az összes helyrendszeren.

A Biztonság beállítása varázsló segítségével létrehozhat egy olyan biztonsági házirendet, amelyet a hálózatban lévő bármelyik kiszolgálón alkalmazhat. Miután telepítette a System Center 2012 Configuration Manager sablonját, a Biztonság beállítása varázsló felismeri a Configuration Manager helyrendszerszerepköreit, szolgáltatásait, portjait és alkalmazásait. Ezután engedélyezi a Configuration Manager számára szükséges kommunikációt, és letiltja azt a kommunikációt, amelyre nincs szükség.

A Biztonság beállítása varázslót a System Center 2012 Configuration Manager eszközkészlete tartalmazza, amely a Microsoft letöltőközpontból tölthető le: System Center 2012 – Configuration Manager Component Add-ons and Extensions.

Állítson be statikus IP-címeket a helyrendszerekhez.

A statikus IP-címeket könnyebb védeni a névfeloldásos támadások ellen.

A statikus IP-címek megkönnyítik az IPsec konfigurációját is, ami bevált biztonsági megoldásként használható a Configuration Manager helyrendszerei közötti kommunikáció biztonságossá tételéhez.

Ne telepítsen más alkalmazásokat a helyrendszer-kiszolgálókra.

Ha más alkalmazásokat is telepít a helyrendszer-kiszolgálókra, megnöveli a Configuration Manager támadható felületét és a kompatibilitási problémák kockázatát.

Írja elő helybeállításként az aláírást és engedélyezze a titkosítást.

Engedélyezze az aláírási és a titkosítási beállításokat a helyre vonatkozóan. Győződjön meg arról, hogy az összes ügyfél támogatja az SHA-256 kivonatoló algoritmust, majd engedélyezze az SHA-256 megkövetelése beállítást.

Korlátozza és figyelje a Configuration Manager rendszergazda felhasználóit, és szerepalapú felügyelet használatával adja meg számukra a minimálisan szükséges engedélyeket.

Csak a megbízható felhasználóknak adjon rendszergazdai hozzáférést a Configuration Manager alkalmazáshoz, és csak a minimálisan szükséges engedélyeket adja meg számukra a beépített biztonsági szerepkörök használatával vagy a biztonsági szerepkörök testreszabásával. Azok a rendszergazda jogosultságú felhasználók, akik létrehozhatják, módosíthatják és telepíthetik az alkalmazásokat, a feladatütemezéseket, a szoftverfrissítéseket, a konfigurációelemeket és az alapkonfigurációkat, a Configuration Manager hierarchiájában található eszközöket is vezérelhetik.

Rendszeres időközönként ellenőrizze a rendszergazdai jogosultságok kiosztását és a jogosultsági szinteket, és vizsgálja meg, hogy nincs-e szükség változtatásokra.

További információ a szerepköralapú felügyelet konfigurálásáról: Szerepkör alapú felügyelet konfigurálása.

Tegye biztonságossá a Configuration Manager biztonsági mentéseit és a biztonsági mentéshez és a visszaállításhoz használt kommunikációs csatornát.

A Configuration Manager biztonsági mentésének végrehajtásakor ezek az adatok tanúsítványokat és más bizalmas adatokat is tartalmaznak, amelyeket a támadók a személyek azonosítására használhatnak fel.

Használjon SMB-aláírást vagy az IPsec protokollt, amikor a hálózaton keresztül küldi ezeket az adatokat, és lássa el megfelelő védelemmel a biztonsági mentést tároló helyet.

Amikor objektumokat exportál vagy importál a Configuration Manager konzolon egy hálózati helyre, tegye biztonságossá a helyet és a hálózati csatornát.

Korlátozza a hálózati mappához hozzáférő felhasználók körét.

Használjon SMB-aláírást vagy az IPsec protokollt a hálózati hely és a helykiszolgáló között, valamint a Configuration Manager konzolt futtató számítógép és a helykiszolgáló között az exportált adatok illetéktelen módosításának megakadályozására. Használja az IPsec protokollt az adatok titkosításához a hálózatban az információ felfedésének megakadályozására.

Ha nem sikerül egy helyrendszer eltávolítása, vagy ha leáll a működése, és nem állítható helyre, kézzel távolítsa el a Configuration Manager ehhez a kiszolgálóhoz tartozó tanúsítványait a többi Configuration Manager-kiszolgálóról.

A helyrendszer és a helyrendszerszerepkörökkel eredetileg létrehozott megbízható társkapcsolat eltávolításához kézzel törölje a Configuration Manager meghibásodott kiszolgálóhoz tartozó tanúsítványait a többi helyrendszer-kiszolgáló Megbízható személyek tanúsítványtárolójából. Ez különösen fontos, ha újbóli formázás nélkül kívánja újból használni a kiszolgálót.

További információ ezekről a tanúsítványokról: Titkosítási funkciók kiszolgálói kommunikációhoz című rész, Műszaki útmutató a Configuration Managerben használt titkosítási funkciókhoz.

Ne konfiguráljon internetes helyrendszereket hídként a szegélyhálózathoz és az intranethez.

Ne konfigurálja többhelyűnek a helyrendszer-kiszolgálókat, hogy csatlakozzanak a szegélyhálózathoz és az intranethez. Bár ez a konfiguráció lehetővé teszi, hogy az internetes helyrendszerek fogadják az internetről és az intranetről érkező ügyfélkapcsolatokat, de kiiktatja a biztonsági határt a szegélyhálózat és az intranet között.

Ha a helyrendszer-kiszolgáló nem megbízható hálózatban található (például szegélyhálózatban), állítsa be a helykiszolgálót úgy, hogy kapcsolatokat kezdeményezzen a helyrendszerrel.

Alapértelmezés szerint a helyrendszerek kezdeményeznek kapcsolatokat a helykiszolgálóhoz az adatok átvitele céljából, ami biztonsági kockázatot jelenthet, amikor a kezdeményezett kapcsolat nem megbízható hálózatból irányul a megbízható hálózatba. Amikor a helyrendszerek fogadják az internetről érkező kapcsolatokat vagy nem megbízható erdőben találhatók, adja meg a Kapcsolatok kezdeményezésének megkövetelése a helykiszolgálótól ehhez a helyrendszerhez helyrendszer-beállítást, hogy a helyrendszer és a helyrendszerszerepkörök telepítése után minden kapcsolat kezdeményezése a megbízható hálózatból történjen.

Ha proxy-webkiszolgálót használ az internetes ügyfélfelügyelethez, használja az SSL-hídképzést az SSL-hez lezárásos hitelesítéssel.

Amikor beállítja az SSL-lezárást a proxy-webkiszolgálón, a rendszer megvizsgálja az internetről érkező csomagokat, mielőtt továbbítja azokat a belső hálózatba. A proxy-webkiszolgáló hitelesíti az ügyféltől érkező kapcsolatot, lezárja azt, majd új hitelesített kapcsolatot nyit az internetes helyrendszerek felé.

Amikor a Configuration Manager ügyfélszámítógépei proxy-webkiszolgáló használatával csatlakoznak az internetes helyrendszerekhez, az ügyfél azonosítójának (GUID) tárolása biztonságosan történik csomagszinten, így a felügyeleti pont nem tekinti a proxy-webkiszolgálót az ügyfélnek. Ha a proxy-webkiszolgáló nem támogatja az SSL-hídképzés követelményeit, az SSL protokollbújtatás is használható. Ez kevésbé biztonságos megoldás, mert a rendszer lezárás nélkül továbbítja az internetről érkező SSL-csomagokat a helyrendszerekbe, így nem vizsgálható meg, hogy nem tartalmaznak-e rosszindulatú tartalmat.

Ha a proxy-webkiszolgáló nem támogatja az SSL-hídképzés követelményeit, az SSL-protokollbújtatás is használható. Ez azonban kevésbé biztonságos megoldás, mert a rendszer lezárás nélkül továbbítja az internetről érkező SSL-csomagokat a helyrendszerekbe, így nem vizsgálható meg, hogy nem tartalmaznak-e rosszindulatú tartalmat.

System_CAPS_warningFigyelmeztetés

A Configuration Manager által beléptetett mobileszközök nem használhatják az SSL-hídképzést, ehelyett az SSL-protokollbújtatást kell használniuk.

Ha a helyet úgy állítja be, hogy felébressze a számítógépeket a szoftvertelepítéshez:

  • Használja az AMT energiaellátási parancsait a hagyományos ébresztési csomagok helyett.

  • Ha hagyományos ébresztési csomagokat használ, használjon egyedi küldést az alhálózat által vezérelt szórás helyett.

  • Ha alhálózat által vezérelt szórást kell használnia, állítsa be az útválasztókat úgy, hogy csak helykiszolgálóról és csak nem alapértelmezett portszámon engedélyezzék az IP által vezérelt szórást.

További információ a különböző hálózati ébresztési eljárásokról: Az ügyfél-kommunikáció tervezése a Configuration Manager alkalmazásban.

E-mail értesítés használata esetén hitelesített hozzáférést konfiguráljon az SMTP-levelezőkiszolgálóhoz.

Amikor csak lehetséges, olyan levelezőkiszolgálót használjon, amely támogatja a hitelesített hozzáférést, és a helykiszolgáló számítógépfiókját használja hitelesítésre. Ha felhasználói fiókot kell megadnia a hitelesítéshez, olyan fiókot használjon, amely a lehető legkevesebb jogosultsággal rendelkezik.

System_CAPS_noteMegjegyzés

A Configuration Manager SP1 verziótól kezdődően az e-mailes értesítések már nincsenek az Endpoint Protectionre korlátozva.

A helykiszolgálóhoz kapcsolódó ajánlott biztonsági eljárások

A Configuration Manager-helykiszolgáló védelmét az alábbi ajánlott biztonsági eljárásokkal erősítheti.

Bevált biztonsági gyakorlat

További információ

A Configuration Manager rendszert ne tartományvezérlőre, hanem tagkiszolgálóra telepítse.

A Configuration Manager-helykiszolgálót és a helyrendszereket nem kell tartományvezérlőre telepíteni. A tartományvezérlők a tartomány-adatbázison kívül nem rendelkeznek helyi biztonsági fiókkezelő (SAM) adatbázissal. Ha a Configuration Managert tagkiszolgálóra telepíti, a tartomány-adatbázis helyett a helyi SAM-adatbázisban kezelheti a Configuration Manager-fiókokat.

Ez az eljárás a tartományvezérlők támadási felületét is csökkenti.

Másodlagos hely telepítésekor lehetőleg ne a hálózaton keresztül másolja a szükséges fájlokat a másodlagos hely kiszolgálójára.

A telepítő futtatásakor és másodlagos hely létrehozásakor ne jelölje be azt a beállítást, amellyel a rendszer a szülőhelyről a másodlagos helyre másolja a fájlokat, és ne használjon hálózati forráshelyet. Ha a hálózaton keresztül másol fájlokat, egy gyakorlott támadó eltérítheti a másodlagos hely telepítési csomagját, és a telepítés előtt illetéktelenül módosíthatja a fájlokat – bár egy ilyen jellegű támadás igen nehezen időzíthető. A támadás kivédhető, ha IPsec vagy SMB protokollt használ a fájlok átviteléhez.

A fájlok hálózaton keresztüli másolása helyett adathordozóról másolja a forrásfájlokat egy helyi mappába a másodlagos hely kiszolgálóján. Ebben az esetben amikor a telepítő futtatásával másodlagos helyet hoz létre, a Telepítési forrásfájlok lapon jelölje be A következő helyen lévő forrásfájlok használata a másodlagos hely számítógépén (ez a legbiztonságosabb lehetőség) elemet, majd jelölje ki a helyi mappát.

További információ: Másodlagos hely telepítése című rész, Helyek telepítése és hierarchia létrehozása a Configuration Manager részére témakör.

Az SQL Serverhez kapcsolódó ajánlott biztonsági eljárások

A Configuration Manager SQL Server-kiszolgálót használ háttéradatbázisként. Ha az adatbázis biztonsága megsérül, a támadók a Configuration Manager megkerülésével közvetlenül hozzáférhetnek az SQL Server-kiszolgálóhoz, és támadásokat indíthatnak a Configuration Manageren keresztül. Az SQL Serverre irányuló támadások rendkívül nagy kockázatot jelenthetnek – ennek megfelelően védekezzen ellenük.

A Configuration Managert kiszolgáló SQL Server védelmét az alábbi ajánlott biztonsági eljárásokkal erősítheti.

Bevált biztonsági gyakorlat

További információ

Ne használja a Configuration Manager-helyadatbázist más SQL Server-alkalmazások futtatására.

A Configuration Manager helyadatbázis-kiszolgálójához való hozzáférés kiszélesítésével párhuzamosan nő a Configuration Manager adatait fenyegető veszélyek kockázata. Ha a Configuration Manager-helyadatbázis biztonsága sérül, az más alkalmazásokra is kockázatot jelent ugyanazon az SQL Server-számítógépen.

Az SQL Servert Windows-hitelesítés használatára konfigurálja.

Bár a Configuration Manager Windows-fiókkal és Windows-hitelesítéssel fér hozzá a helyadatbázishoz, az SQL Server-kiszolgáló SQL Server vegyes üzemmóddal is konfigurálható. Az SQL Server vegyes üzemmód további SQL-bejelentkezéseket is engedélyez az adatbázis eléréséhez, ami szükségtelen, és növeli a támadási felületet.

Fokozottan ügyeljen arra, hogy az SQL Server Expresst használó másodlagos helyeken telepítve legyenek a legújabb szoftverfrissítések.

Elsődleges hely telepítésekor a Configuration Manager letölti az SQL Server Express programot a Microsoft letöltőközpontból, és az elsődleges hely kiszolgálójára másolja a fájlokat. Ha másodlagos helyet telepít, és bejelöli az SQL Server Express telepítésére vonatkozó beállítást, a Configuration Manager a korábban letöltött verziót telepíti, és nem ellenőrzi, hogy elérhetők-e új verziók. A következő műveletekkel győződhet meg arról, hogy a másodlagos helyen a legújabb verziók találhatók-e:

  • A másodlagos hely telepítését követően futtassa a Windows Update szolgáltatást a másodlagos hely kiszolgálóján.

  • A másodlagos hely telepítése előtt manuális módszerrel telepítse az SQL Server Expresst azon a számítógépen, amely a másodlagos hely kiszolgálóját fogja futtatni, és mindenképpen a legújabb verziót telepítse, az összes szoftverfrissítéssel együtt. Ezután telepítse a másodlagos helyet, és jelölje be, hogy meglévő SQL Server-példányt kíván használni.

Rendszeresen futtassa a Windows Update szolgáltatást a helyek és az SQL Server valamennyi telepített verziójának frissítéséhez annak érdekében, hogy mindig a legújabb szoftverfrissítésekkel rendelkezzenek.

Kövesse az SQL Serverhez ajánlott eljárásokat.

Ismerje meg és kövesse az adott SQL Server-verzióra vonatkozó ajánlott eljárásokat. Ezzel együtt vegye figyelembe a következő követelményeket a Configuration Manager kapcsán:

  • A helykiszolgáló számítógépfiókjának a Rendszergazdák csoport tagjának kell lennie az SQL Servert futtató számítógépen. Ha követi az SQL Server ajánlását, mely szerint a rendszergazda tagok jogosultságait célszerű explicit módon kiosztani, akkor a helykiszolgálón a telepítő futtatásához használt fióknak az SQL-felhasználók csoport tagjának kell lennie.

  • Ha tartományi felhasználói fiókkal telepíti az SQL Servert, ügyeljen arra, hogy a helykiszolgáló számítógépfiókja az Active Directory tartományi szolgáltatásokban közzétett egyszerű szolgáltatásnévvel legyen konfigurálva. Az egyszerű szolgáltatásnév hiányában a Kerberos-hitelesítés sikertelen lesz, így a Configuration Manager telepítése is meghiúsul.

Ajánlott biztonsági eljárások az IIS-t futtató helyrendszerekhez

A Configuration Managerben több helyrendszerszerepkörnek is szüksége van az IIS szolgáltatásra. Az IIS védelme lehetővé teszi a Configuration Manager számára a megfelelő működést, és csökkenti a biztonsági támadások kockázatát. Ha megoldható, minimalizálja az IIS szolgáltatást igénylő kiszolgálók számát – például csak annyi felügyeleti pontot futtasson, amennyire feltétlenül szükség van az ügyfelek támogatásához, figyelembe véve az internetalapú ügyfélfelügyelet magas rendelkezésre állási és hálózati elkülönítési követelményeit.

Az IIS-t futtató helykiszolgáló biztonságáról az alábbi ajánlott eljárásokkal gondoskodhat.

Ajánlott biztonsági eljárás

További információ

Tiltsa le az IIS szükségtelen funkcióit.

Csak a telepített helyrendszerszerepkörhöz minimálisan szükséges IIS-funkciókat telepítse. További információt a A Configuration Manager által támogatott konfigurációk című témakör Helyrendszer követelményei című szakaszában talál.

Konfigurálja a helyrendszerszerepköröket úgy, hogy HTTPS-kapcsolatot tegyenek kötelezővé.

A helyrendszerhez HTTPS- helyett HTTP-kapcsolaton keresztül csatlakozó ügyfelek Windows-hitelesítést használnak, amely adott esetben NTLM-hitelesítésre állhat vissza Kerberos-hitelesítés helyett. NTLM-alapú hitelesítés esetén fennáll a veszélye, hogy az ügyfél engedélyezetlen kiszolgálóhoz csatlakozik.

Az ajánlott biztonsági eljárás alól kivételt jelenthetnek a terjesztési pontok, ugyanis a csomag-hozzáférési fiókok nem működnek, ha a terjesztési pont HTTPS-kapcsolatra van konfigurálva. A csomag-hozzáférési fiókok lehetővé teszik az engedélyeztetést, amivel korlátozható, hogy mely felhasználók férhetnek hozzá a tartalomhoz. További információ: A tartalomkezelés biztonsági védelmének bevált gyakorlata.

Az IIS szolgáltatásban állítsa be a megbízható tanúsítványok listáját az alábbi helyrendszerszerepkörökhöz:

  • egy HTTPS-kapcsolatra konfigurált terjesztési ponthoz;

  • egy HTTPS-kapcsolatra konfigurált felügyeleti ponthoz, amelyen engedélyezve van a mobileszközök támogatása.

A megbízható tanúsítványok listája (CTL) a megbízható legfelső szintű hitelesítésszolgáltatók előre definiált listája. Ha CTL-listát, csoportházirendet és PKI-hierarchiát használ, a CTL-lista lehetővé teszi a hálózaton konfigurált megbízható – például a Microsoft Windows rendszerrel automatikusan telepített vagy a Windowsban felvett vállalati – legfelső szintű hitelesítésszolgáltatók meglévő listájának kiegészítését. Ugyanakkor ha a CTL-lista az IIS-ben van konfigurálva, a CTL egy részhalmazt határoz meg ezekből a megbízható legfelső szintű hitelesítésszolgáltatókból.

Ez erősebb biztonságot tesz lehetővé, hiszen a CTL-lista a benne szereplő hitelesítésszolgáltatók által kibocsátott tanúsítványokra korlátozza az elfogadható ügyfél-tanúsítványok körét. A Windows például jól ismert külső hitelesítésszolgáltatóktól – például VeriSign, Thawte – származó tanúsítványokat tartalmaz. Alapértelmezés szerint az IIS-t futtató számítógép megbízhatónak tartja azokat a tanúsítványokat, amelyek ezektől az ismert hitelesítésszolgáltatóktól származnak. Ha az IIS-ben nem konfigurál CTL-listát a felsorolt helyrendszerszerepkörökhöz, a rendszer minden olyan eszközt érvényes Configuration Manager-ügyfélként fogad el, amely az említett hitelesítésszolgáltatóktól származó ügyféltanúsítvánnyal rendelkezik. Ha az IIS-ben konfigurált CTL-listán nem szerepelnek ezek a hitelesítésszolgáltatók, a csatlakozni kívánó ügyfél tanúsítványa azonban ezek valamelyikétől származik, a rendszer elutasítja az ügyfélkapcsolatot. Ahhoz azonban, hogy a rendszer elfogadja a Configuration Manager-ügyfeleket a felsorolt helyrendszerszerepkörökhöz, az IIS-ben beállított CTL-listán szerepelnie kell a Configuration Manager-ügyfelek által használt hitelesítésszolgáltatóknak.

System_CAPS_noteMegjegyzés

Csak a felsorolt helyrendszerszerepkörökhöz kell CTL-listát konfigurálni az IIS-ben; a Configuration Manager által a felügyeleti pontokhoz használt tanúsítványkiállítói lista ugyanezt a funkcionalitást biztosítja a HTTPS-alapú felügyeleti pontokhoz csatlakozó ügyfélszámítógépekhez.

Az IIS dokumentációja további információval szolgál arról, miként konfigurálható a megbízható hitelesítésszolgáltatók listája az IIS szolgáltatásban.

A helykiszolgálót ne telepítse IIS-t futtató számítógépre.

A szerepkörök elkülönítése csökkenti a támadási felületet és javítja a helyreállíthatóságot. Emellett a helykiszolgáló számítógépfiókja jellemzően az összes helyrendszerszerepkörhöz rendelkezik rendszergazdai jogosultságokkal (továbbá esetlegesen a Configuration Manager-ügyfelekhez is, ha ügyfélleküldéses telepítést használ).

A Configuration Managerhez használjon dedikált IIS-kiszolgálókat.

Bár egy IIS-kiszolgálón több, a Configuration Manager által használt webes alkalmazás is üzemeltethető, a dedikált kiszolgáló használata jelentősen csökkenti a támadási felületet. Egy nem megfelelően konfigurált alkalmazás olyan biztonsági rést jelenthet, amelyen a támadók átvehetik az irányítást a Configuration Manager-helyrendszer, ezen keresztül pedig akár a teljes hierarchia felett.

Ha más webes alkalmazásokat is kell futtatnia a Configuration Manager-helyrendszereken, készítsen külön webhelyet a Configuration Manager-helyrendszerekhez.

Használjon egyedi webhelyet.

Beállíthatja, hogy a Configuration Manager az IIS alapértelmezett webhelye helyett egyedi webhelyet használjon az IIS-helyrendszerekhez. Ha más webalkalmazásokat is futtatnia kell a helyrendszeren, egyedi webhelyet kell használnia. Ez a beállítás egy adott helyre vonatkozik, nem pedig egy konkrét helyrendszerre.

Az egyéb biztonsági lépések mellett mindenképpen egyedi webhelyet kell használnia, ha más webalkalmazásokat is futtat a helyrendszeren.

Ha úgy vált alapértelmezett webhelyről egyéni webhelyre, hogy előtte már terjesztési pontot is telepített, távolítsa el az alapértelmezett virtuális könyvtárakat.

A Configuration Manager nem távolítja el a régi virtuális könyvtárakat, amikor az alapértelmezett webhelyről egyéni webhely használatára vált. Távolítsa el a Configuration Manager által az alapértelmezett webhelyen eredetileg létrehozott virtuális könyvtárakat.

Terjesztési pont esetében például az alábbi virtuális könyvtárakat kell törölnie:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Kövesse az IIS Serverhez ajánlott eljárásokat.

Ismerje meg és kövesse az adott IIS Server-verzió ajánlott eljárásait. Ezzel együtt vegye figyelembe a Configuration Manager által az egyes helyrendszerszerepkörökkel szemben támasztott követelményeket is. További információ: Helyrendszer követelményei című rész, A Configuration Manager által támogatott konfigurációk témakör.

Ajánlott biztonsági eljárások a felügyeleti ponthoz

A felügyeleti pontok jelentik az elsődleges kapcsolódási felületet az eszközök és a Configuration Manager között. A felügyeleti pontra és az azt futtató kiszolgálóra irányuló támadások rendkívül nagy kockázatot jelenthetnek – ennek megfelelően védekezzen ellenük. Kövesse az összes releváns ajánlott biztonsági eljárást, és figyelje az esetleges szokatlan tevékenységeket.

A felügyeleti pontok biztonságát a Configuration Managerben az alábbi ajánlott eljárásokkal erősítheti.

Bevált biztonsági gyakorlat

További információ

A felügyeleti pontra telepített Configuration Manager-ügyfelet rendelje hozzá a felügyeleti pont helyéhez.

A felügyeleti pont helyrendszerén telepített Configuration Manager-ügyfél lehetőleg ne legyen olyan helyhez rendelve, amely nem a felügyeleti ponthoz tartozik.

Ha a Configuration Manager 2007-ről a System Center 2012 Configuration Manager rendszerre tér át, minél hamarabb frissítse az Configuration Manager 2007-ügyfelet is a System Center 2012 Configuration Manager verzióra.

Ajánlott biztonsági eljárások a tartalék állapotkezelő ponthoz

Ha tartalék állapotkezelő pontot telepít a Configuration Managerben, kövesse az itt leírt ajánlott biztonsági eljárásokat.

További információ a tartalék állapotkezelő pontok telepítésekor figyelembe venni szükséges biztonsági szempontokról: A tartalék állapotkezelő pont szükségességének eldöntése.

Bevált biztonsági gyakorlat

További információ

Ne futtasson más helyrendszerszerepköröket a helyrendszeren, és ne telepítse a tartalék állapotkezelő pontot tartományvezérlőn.

Mivel a tartalék állapotkezelő pont kialakításából eredően hitelesítés nélküli kommunikációt is fogad bármilyen számítógépről, a más helyrendszerszerepkörökkel vagy tartományvezérlőn való futtatás igen nagy kockázattal jár az adott kiszolgáló számára.

Ha PKI-tanúsítványokat használ az ügyfél-kommunikációhoz a Configuration Manager rendszerben, az ügyfelek előtt telepítse a tartalék állapotkezelő pontot.

Ha a Configuration Manager-helyrendszerek nem fogadnak HTTP-alapú ügyfél-kommunikációt, előfordulhat, hogy nem tudja megállapítani, ha egy ügyfél PKI-tanúsítvánnyal kapcsolatos problémák miatt felügyelet nélkül marad. Ha azonban az ügyfeleket tartalék állapotkezelő ponthoz rendeli, a tartalék állapotkezelő pont értesíteni fogja ezekről a tanúsítványproblémákról.

Biztonsági okokból a telepítés után már nem rendelhet tartalék állapotkezelő pontot az ügyfelekhez; a szerepkör hozzárendelése csak az ügyfél telepítése közben lehetséges.

Kerülje a tartalék állapotkezelő pont használatát szegélyhálózatban.

A kiépítése szerint a tartalék állapotkezelő pont bármely ügyféltől fogad adatokat. Bár a szegélyhálózatban a tartalék állapotkezelő pont segítheti az internet alapú ügyfelek hibaelhárítását, egyensúlyozni kell a hibaelhárítás előnyei és annak kockázata között, ha olyan a helyrendszer, hogy elfogadja a nyilvánosan elérhető hálózat hitelesítés nélküli adatait.

Ha a tartalék állapotkezelő pontot szegélyhálózatra vagy nem megbízható hálózatra telepíti, konfigurálja a helykiszolgálót úgy, hogy inkább adatátvitelt kezdeményezzen, mint megengedje, hogy a tartalék állapotkezelő pont kezdeményezzen kapcsolatot a helykiszolgálóhoz.

A helyfelügyelet biztonsági problémái

Tekintse át a Configuration Manager következő biztonsági problémáit:

  • A Configuration Manager nem rendelkezik védelemmel az olyan nem hitelesített rendszergazda felhasználó ellen, aki a Configuration Manager használatával támadja a hálózatot. A jogosulatlan rendszergazda felhasználók nagy biztonsági kockázatot jelentenek, és számos támadást indíthatnak, köztük a következőket:

    • Használhatnak központi szoftvertelepítést, hogy automatikusan telepítsenek és futtassanak kártevő szoftvert a vállalatnál a Configuration Manager valamennyi ügyfélszámítógépén.

    • Használhatnak távvezérlést, hogy ügyféli engedély nélkül távvezéreljék a Configuration Manager ügyfelét.

    • Konfigurálhatnak hirtelen lekérdezési időközöket és rengeteg leltári adatot, hogy szolgáltatásmegtagadási támadást intézzenek az ügyfelek és kiszolgálók ellen.

    • Használhatják az egyik hely hierarchiáját, hogy adatokat írjanak a másik hely Active Directory adataihoz.

    A hely hierarchiája biztonsági határ; fontolja meg, hogy a helyek csak felügyeleti határok legyenek.

    Naplózzon minden rendszergazda felhasználói tevékenységet, rendszeresen kövesse nyomon a bejegyzéseket. Követelje meg, hogy a Configuration Manager rendszergazda felhasználói alapos háttér-ellenőrzésen menjenek át az alkalmazásuk előtt, és az alkalmazás feltételeként rendszeresen alávessék magukat az ilyen újbóli ellenőrzéseknek.

  • Ha a beléptetési pont biztonsága sérül, a támadó megszerezhet hitelesítési tanúsítványokat és ellophatja azon felhasználók hitelesítési adatait, akik beléptetik mobileszközeiket.

    A beléptetési pont kommunikál a tanúsítványszolgáltatóval, és létrehozhat, módosíthat és törölhet Active Directory objektumokat. Sohase telepítsen beléptetési pontot szegélyhálózatra, és figyelje a szokatlan tevékenységeket.

  • Ha a felhasználói profilok használatát megengedi az internet alapú ügyfélfelügyelethez vagy konfigurálja az alkalmazáskatalógus weboldal-elérési pontját a felhasználók részére, amikor azok az interneten vannak, növeli a profil elleni támadás kockázatát.

    Azon kívül, hogy PKI-tanúsítványokat használ az ügyfélről kiszolgálóhoz való csatlakozásokhoz, ezek a konfigurációk Windows hitelesítést igényelnek, ami esetleg tartaléka lehet a Kerberos helyetti NTLM hitelesítésnek. Az NTLM sebezhető a megszemélyesítés és támadás-indítás vonatkozásában. Az interneten lévő felhasználó sikeres hitelesítéséhez lehetővé kell tenni az internet alapú helyrendszer-kiszolgálóról a tartományvezérlőre csatlakozást.

  • Az Admin$ megosztás szükséges a helyrendszer-kiszolgálókon.

    A Configuration Manager helykiszolgálója az Admin$ megosztást használja, hogy csatlakozzon és szolgáltatási műveleteket hajtson végre a helyrendszereken. Ne tiltsa le és ne távolítsa el az Admin$ megosztást.

  • A Configuration Manager névfeloldási szolgáltatást használ, hogy csatlakozzon a többi számítógéphez, és ezek a szolgáltatások nehezen védhetők az olyan biztonsági támadások ellen, mint a hamisítás, illetéktelen módosítás, letagadhatóság, információfelfedés, szolgáltatásmegtagadás és a jogok kiterjesztése.

    Fel és meg kell ismernie a névfeloldáshoz használt DNS és WINS verziójának megfelelő biztonság bevált gyakorlatát, és annak megfelelően kell eljárnia.

Adatvédelmi tájékoztatás a felderítéshez

A felderítés a hálózati erőforrásokról rekordokat hoz létre, és azokat a System Center 2012 Configuration Manager adatbázisában tárolja. A felderítési adatrekordok a számítógépre vonatkozó olyan információt tartalmaznak, mint az IP-cím, az operációs rendszer és a számítógép neve. Az Active Directory felderítési módszerei konfigurálhatók úgy is, hogy felderítsék az Active Directory tartományi szolgáltatásokban tárolt információt is.

Az egyetlen alapértelmezetten engedélyezett felderítési módszer a Szívveréses felderítés, de ez a módszer csak azokat a számítógépeket deríti fel, amelyek már telepítették a System Center 2012 Configuration Manager ügyfélszoftvert.

A program nem küld felderítési adatokat a Microsoftnak. A felderítési adatokat a Configuration Manager adatbázisa tárolja. Ezek az adatok addig maradnak az adatbázisban, amíg a 90 naponta végrehajtott Elavult eszközfelderítési adatok törlése helykarbantartási feladat el nem távolítja azokat. Beállíthatja a törlési időközt.

Mielőtt további felderítési módszereket konfigurálna, vagy kiterjesztené az Active Directory felderítését, vegye számításba az adatvédelmi követelményeket.