A tartalomkezelésre vonatkozó biztonság és adatvédelem a Configuration Managerben
Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Megjegyzés |
---|
Ez a témakör itt jelenik meg: a Deploying Software and Operating Systems in System Center 2012 Configuration Manager (Szoftverek és operációs rendszerek telepítése a System Center 2012 Configuration Managerrel) útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban. |
Ez a témakör a System Center 2012 Configuration Manager tartalomkezelésével kapcsolatos biztonsági és adatvédelmi tudnivalókat tartalmazza. Olvassa el ezeket a következő témakörökkel együtt:
A tartalomkezelés biztonsági védelmének bevált gyakorlata
Használja a tartalomkezelés biztonsági védelmének következő bevált gyakorlatát:
Bevált biztonsági gyakorlat |
További információ |
||
---|---|---|---|
Intraneten lévő terjesztési pontok esetén vegye figyelembe a HTTPS és a HTTP előnyeit és hátrányait. |
A HTTPS és a HTTP használata közötti különbségek terjesztési pontok esetén:
A HTTP és a hitelesítéshez a csomaghozzáférési fiókok használata a legtöbb esetben több védelmet biztosít, mint a HTTPS titkosítással de hitelesítés nélküli használata. Azonban, ha a tartalom olyan kényes adatokat tartalmaz, amelyeket az átvitelkor titkosítani kíván, használja a HTTPS protokollt. |
||
Ha a terjesztési pontnál a nyilvános kulcsú (PKI) ügyfélhitelesítési tanúsítványt használja az önaláírt tanúsítvány helyett, a tanúsítványfájlt (.pfx) erős jelszóval kell védeni. Ha ezt a fájlt hálózaton tárolja, védeni kell a hálózati csatornát, amikor a fájlt importálja a Configuration Manager alkalmazásba. |
Ha jelszó kell a felügyeleti pontokkal kommunikáló terjesztési pont által használt ügyfélhitelesítési tanúsítvány importálásához, ez segít megvédeni a tanúsítványt a támadóktól. A hálózati hely és a helykiszolgáló között használja az SMB-aláírást vagy az IPsec protokollt, hogy megakadályozza a tanúsítványfájl támadók általi illetéktelen módosítását. |
||
Távolítsa el a helykiszolgálóról a terjesztési ponti szerepkört. |
Alapértelmezésben a terjesztési pont ugyanarra a kiszolgálóra van telepítve, mint a helykiszolgáló. Az ügyfélgépeknek nem kell közvetlenül a helykiszolgálóval kommunikálni, ezért a támadási felület csökkentése érdekében a terjesztési ponti szerepkört rendelje más helyrendszerekhez, és távolítsa el a terjesztési pontról. |
||
A tartalom biztonságát biztosítsa a csomaghozzáférési szinten.
|
A terjesztési pont megosztása lehetővé teszi az olvasási hozzáférést minden felhasználó számára. Az egyes felhasználók tartalomhozzáférésének korlátozásához a csomaghozzáférési fiókokat kell használni, ha a terjesztési pontra a HTTP lett konfigurálva. További információ a csomaghozzáférési fiókról: Fiókok kezelése a csomagok tartalmának eléréséhez című rész, Tartalomkezelési tevékenység és karbantartása a Configuration Managerben témakör. |
||
Ha a Configuration Manager akkor telepíti az IIS szolgáltatásait, amikor terjesztési ponti helyrendszerszerepkört vesz fel, távolítsa el a HTTP átirányítást és az IIS-kezelés parancsfájljait és eszközeit amikor befejeződött a terjesztési pont telepítése. |
A terjesztési pont részére a HTTP átirányítás és az IIS-kezelés parancsfájljai és eszközei nem szükségesek. A támadási felület csökkentése érdekében távolítsa el ezeket a szerepköri szolgáltatásokat a webkiszolgálói (IIS) szerepkörből. További információ a terjesztési pont webkiszolgálói (IIS) szerepkörének szerepköri szolgáltatásairól: című rész, témakör.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq |
||
A csomaghozzáférési engedélyek beállítása a csomag létrehozásakor |
Mivel a csomagfájlokra vonatkozó hozzáférési fiókok megváltozása csak a csomag újraterjesztésekor lép érvénybe, a csomag első létrehozásakor körültekintően kell beállítani a csomaghozzáférési engedélyeket. Ez különösen fontos a következő esetekben:
|
||
Hozzon létre hozzáférés-vezérlést, hogy védje a manuálisan előkészített tartalmat tartalmazó adathordozót. |
A manuálisan előkészített tartalom tömörített, de nem titkosított. A támadó képes lehet olvasni és módosítani a fájlokat, amik aztán letöltődnek az eszközökre. A Configuration Manager ügyfélszoftverei elutasítják az illetéktelenül módosított tartalmat, de még letöltik. |
||
A manuálisan előkészített tartalom importálását azzal a parancssori ExtractContent eszközzel (ExtractContent.exe) végezze, amelyiket a Configuration Manager részeként kapott, és győződjön meg arról is, hogy azt a Microsoft aláírta. |
Az illetéktelen módosítás és a jogok kiterjesztésének elkerülése érdekében csak a Configuration Manager részeként kapott hitelesített parancssori eszközt használja. |
||
A helykiszolgáló és a csomag forráshelye közötti kommunikációs csatornát védeni kell. |
Az alkalmazások és csomagok létrehozásakor a helykiszolgáló és a csomag forráshelye között használja az IPsec vagy az SMB aláírásos protokollt. Ez segít megakadályozni a forrásfájlok támadó általi illetéktelen módosítását. |
||
Ha valamelyik terjesztési ponti szerepkör telepítése után úgy változtatja meg a helykonfigurálási lehetőséget, hogy az alapértelmezett webhely helyett egyéni webhelyet használjon, el kell távolítani az alapértelmezett virtuális könyvtárakat. |
A Configuration Manager nem távolítja el a régi virtuális könyvtárakat, amikor az alapértelmezett webhelyről egyéni webhely használatára vált. El kell távolítani az olyan virtuális könyvtárakat, amelyeket a Configuration Manager eredetileg az alapértelmezett webhely alatt hozott létre:
|
||
Az olyan felhő alapú terjesztési pontok esetén, amelyeknek az eleje Configuration Manager SP1: Védeni kell az előfizetési részleteket és tanúsítványokat |
A felhő alapú terjesztési pontok esetén védeni kell a következő nagy értékű elemeket:
A tanúsítványokat tárolja biztonságosan, és ha azokat a felhő alapú terjesztési ponton böngészi, a helyrendszer-kiszolgáló és a forráshely között használja az IPsec vagy az SMB aláírásos protokollt. |
||
Az olyan felhő alapú terjesztési pontok esetén, amelyeknek az eleje Configuration Manager SP1: A szolgáltatás folyamatossága érdekében figyelje a tanúsítványok lejárati idejét |
A Configuration Manager nem figyelmeztet, amikor a felhő alapú terjesztési pont szolgáltatásának felügyeletéhez importált tanúsítványok lejárati ideje már közel van. Az esedékes lejárati dátumokat a Configuration Manager alkalmazástól függetlenül kell figyelni, azt mindenképpen megújítani, majd a lejárat dátuma előtt importálni. Ez különösen fontos, ha a Configuration Manager felhő alapú terjesztési pont szolgáltatásának tanúsítványát külső hitelesítésszolgáltatótól (CA) vásárolta, mivel lehet, hogy több idő szükséges a megújított tanúsítvány megkapásához.
|
A tartalomkezelés biztonsági problémái
A tartalomkezelés a következő biztonsági kérdéseket veti fel:
Az ügyfélszoftverek addig nem ellenőrzik a tartalom érvényességét, amíg nincs letöltve.
A Configuration Manager ügyfélszoftverei a tartalom kivonatát (hash) csak azután ellenőrzik, hogy azok le lettek töltve az ügyfélgépük gyorsítótárába. Ha egy támadó illetéktelenül módosít a letöltendő fájlok listáján vagy magán a tartalmon, a letöltési folyamat az ügyfélnél figyelemre méltóan nagy sávszélességet vesz igénybe ahhoz, hogy megsemmisítse a tartalmat, ha érvénytelen kivonatba ütközik.
A felhő alapú terjesztési pontokon kezelt tartalom hozzáférését itt nem lehet felhasználókra vagy csoportokra korlátozni.
A Configuration Manager SP1 kiadásától kezdve a felhő alapú terjesztési pontok használatakor a tartalom hozzáférése automatikusan az Önök vállalatára korlátozódik, és azt Ön nem tudja tovább korlátozni kiválasztott felhasználókra vagy csoportokra.
A blokkolt ügyfél folytathatja a tartalom letöltését a felhő alapú terjesztési pontról még legfeljebb 8 óráig.
A Configuration Manager SP1 kiadásától kezdve a felhő alapú terjesztési pontok használatakor az ügyfeleket a felügyeleti pont hitelesíti, és a Configuration Manager tokenjét használja a felhő alapú terjesztési pontok eléréséhez. A token 8 óráig érvényes, és ha blokkolja az ügyfelet, mert már nem megbízható, az addig folytathatja a tartalom letöltését a felhő alapú terjesztési pontról, amíg a token érvényességi ideje nem jár le. Ezt a pontot elérve a felügyeleti pont nem ad ki másik tokent az ügyfélnek, mivel az blokkolt.
A blokkolt ügyfél letöltésének 8 órán belüli megakadályozásához le lehet állítani a felhő alapú szolgáltatást a Configuration Manager konzolon az Adminisztráció munkaterületen a Felhő csomópontból a Hierarchiakonfiguráció használatával. További információ: A Configuration Manager felhőalapú szolgáltatásainak felügyelete.
Adatvédelmi információ a tartalomkezeléshez
A Configuration Manager nem vesz be semmilyen felhasználói adatot a tartalomfájlokba, bár egy rendszergazda felhasználó megteheti azt.
A tartalomkezelés konfigurálása előtt gondolja át az adatvédelmi követelményeit.