Beveiliging en privacy voor inhoudbeheer in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
Dit onderwerp wordt behandeld in de gids Software en besturingssystemen implementeren in System Center 2012 Configuration Manager en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).
Dit onderwerp bevat beveiligings- en privacy-informatie voor inhoudsbeheer in System Center 2012 Configuration Manager. Lees het in combinatie met de volgende onderwerpen:
Aanbevolen beveiligingsprocedures voor inhoudsbeheer
Gebruik de volgende aanbevolen beveiligingsprocedures voor inhoudsbeheer:
Aanbevolen beveiligingsprocedure |
Meer informatie |
|---|---|
Maak voor distributiepunten op het intranet een afweging tussen de voor- en nadelen van het gebruik van HTTPS en HTTP |
Verschillen tussen HTTPS en HTTP voor distributiepunten:
In de meeste scenario's biedt het gebruik van HTTP en pakkettoegangsaccounts voor autorisatie meer beveiliging dan het gebruik van HTTPS met versleuteling, maar zonder autorisatie. Als uw inhoud echter gevoelige gegevens bevat die u tijdens de overdracht wilt versleutelen, gebruikt u HTTPS. |
Als u voor het distributiepunt een PKI-certificaat gebruikt voor clientverificatie in plaats van een zelfondertekend certificaat, moet u het certificaatbestand (.PFX) beschermen met een sterk wachtwoord. Als u het bestand opslaat op het netwerk, beveiligt u het netwerkkanaal wanneer u het bestand importeert in Configuration Manager. |
Wanneer u een wachtwoord vereist om het certificaat voor clientverificatie te importeren dat u gebruikt om het distributiepunt te laten communiceren met beheerpunten, helpt u hiermee het certificaat te beschermen tegen kwaadwillende personen. Gebruik SMB-ondertekening of IPsec tussen de netwerklocatie en de siteserver om te voorkomen dat kwaadwillende personen knoeien met het certificaatbestand. |
Verwijder de distributiepuntrol van de siteserver. |
Een distributiepunt wordt standaard geïnstalleerd op dezelfde server als de siteserver. Clients hoeven niet rechtstreeks met de siteserver te communiceren. Om de kwetsbaarheid te beperken wijst u de distributiepuntrol dus toe aan andere sitesystemen en verwijdert u de rol van de siteserver. |
Beveilig inhoud op pakkettoegangsniveau. Notitie Dit geldt niet voor distributiepunten in de cloud van Configuration Manager SP1, omdat deze geen ondersteuning bieden voor pakkettoegangsaccounts. |
De distributiepuntshare geeft leestoegang aan alle gebruikers. Als u wilt beperken welke gebruikers toegang hebben tot de inhoud, gebruikt u pakkettoegangsaccounts wanneer het distributiepunt is geconfigureerd voor HTTP. Zie het gedeelte Accounts voor toegang tot pakketinhoud beheren in het onderwerp Bewerkingen en onderhoud voor inhoudsbeheer in Configuration Manager voor meer informatie over het pakkettoegangsaccount. |
Als IIS door Configuration Manager wordt geïnstalleerd wanneer u een sitesysteemrol voor een distributiepunt toevoegt, verwijdert u HTTP-omleiding en scripts en hulpprogramma's voor IIS-beheer nadat de installatie op het distributiepunt is voltooid. |
HTTP-omleiding en scripts en hulpprogramma's voor IIS-beheer zijn niet vereist voor het distributiepunt. Verwijder deze rolservices voor de webserverrol (IIS) om de kwetsbaarheid te beperken. Zie het gedeelte in het onderwerp voor meer informatie over de rolservices voor de webserverrol (IIS) voor distributiepunten.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq |
Stel toegangsmachtigingen voor een pakket in wanneer u het pakket maakt. |
Omdat wijzigingen aan de toegangsaccounts voor de pakketbestanden pas van kracht worden wanneer u het pakket opnieuw distribueert, moet u de toegangsmachtigingen voor het pakket zorgvuldig instellen wanneer u het pakket voor het eerst maakt. Dit is vooral belangrijk in de volgende scenario's:
|
Implementeer toegangsbeheer om media te beveiligen die voorbereide inhoud bevat. |
Voorbereide inhoud is gecomprimeerd, maar niet versleuteld. Een kwaadwillende persoon kan de bestanden die vervolgens naar apparaten worden gedownload, lezen en wijzigen. Configuration Manager-clients weigeren inhoud waarmee is geknoeid, maar downloaden deze inhoud wel. |
Importeer voorbereide inhoud alleen met het opdrachtregelprogramma ExtractContent (ExtractContent.exe) dat wordt meegeleverd met Configuration Manager, en zorg dat het is ondertekend door Microsoft. |
Om geknoei en een uitbreiding van bevoegdheden te voorkomen, gebruikt u alleen het geautoriseerde opdrachtregelprogramma dat wordt meegeleverd bij Configuration Manager. |
Beveilig het communicatiekanaal tussen de siteserver en de bronlocatie van het pakket. |
Gebruik IPsec of SMB-ondertekening tussen de siteserver en de bronlocatie van het pakket wanneer u toepassingen en pakketten maakt. Zo voorkomt u dat een kwaadwillende persoon knoeit met de bronbestanden. |
Als u na de installatie van distributiepuntrollen de configuratieoptie voor de site wijzigt van het gebruik van de standaardwebsite naar een aangepaste website, verwijdert u de virtuele standaardmappen |
Configuration Manager verwijdert de oude virtuele mappen niet als u overschakelt van de standaardwebsite naar een aangepaste website. Verwijder de virtuele mappen die oorspronkelijk door Configuration Manager zijn gemaakt voor de standaardwebsite:
|
Voor distributiepunten in een cloud die beschikbaar zijn vanaf Configuration Manager SP1: bescherm uw abonnementsgegevens en certificaten. |
Wanneer u distributiepunten in een cloud gebruikt, beschermt u de volgende waardevolle items:
Sla de certificaten veilig op. Als u via het netwerk erheen bladert wanneer u het distributiepunt in de cloud configureert, gebruikt u IPsec of SMB-ondertekening tussen de sitesysteemserver en de bronlocatie. |
Voor distributiepunten in een cloud die beschikbaar zijn vanaf Configuration Manager SP1: Bewaak de vervaldatum van de certificaten voor continuïteit van de service. |
Configuration Manager geeft geen waarschuwing wanneer geïmporteerde certificaten voor beheer van de distributiepuntservice in de cloud, op het punt staan te vervallen. U moet de vervaldatums onafhankelijk bewaken vanuit Configuration Manager, zorgen dat u de certificaten vernieuwt en vervolgens de nieuwe certificaten importeren vóór de vervaldatum. Dit is met name van belang als u een Configuration Manager-servicecertificaat voor een distributiepunt in de cloud koopt van een externe certificeringsinstantie, omdat u dan mogelijk extra tijd nodig hebt om het certificaat te vernieuwen. Notitie Als een van beide certificaten vervalt, genereert Cloud Services Manager de statusbericht-id 9425 en bevat het bestand CloudMgr.log een vermelding die aangeeft dat het certificaat is in expired state, waarbij de vervaldatum ook wordt geregistreerd in UTC. |
Beveiligingsproblemen voor inhoudbeheer
Inhoudsbeheer brengt de volgende beveiligingsproblemen met zich mee:
Clients valideren inhoud pas nadat deze is gedownload.
Configuration Manager-clients valideren de hash van inhoud pas nadat deze is gedownload naar de clientcache. Als een kwaadwillende persoon knoeit met de lijst met bestanden die moeten worden gedownload of met de inhoud zelf, kan het downloadproces een aanzienlijke hoeveelheid netwerkbandbreedte voor de client in beslag nemen, om vervolgens de inhoud te verwijderen wanneer de ongeldige hash wordt aangetroffen.
U kunt de toegang tot inhoud die wordt gehost door distributiepunten in een cloud, niet beperken tot gebruikers of groepen.
Vanaf Configuration Manager SP1 wordt toegang tot de inhoud automatisch beperkt tot uw onderneming wanneer u distributiepunten in een cloud gebruikt. U kunt de toegang niet verder beperken tot bepaalde gebruikers of groepen.
Een geblokkeerde client kan tot acht uur lang inhoud blijven downloaden van een distributiepunt in de cloud.
Vanaf Configuration Manager SP1 worden clients door het beheerpunt geverifieerd wanneer u distributiepunten in een cloud gebruikt. Daarna wordt er een Configuration Manager-token gebruikt voor toegang tot distributiepunten in de cloud. De token is acht uur lang geldig. Als u dus een client blokkeert omdat u deze niet meer vertrouwt, kan deze inhoud van een distributiepunt in de cloud blijven downloaden totdat de geldigheidsperiode van de token is verstreken. Het beheerpunt geeft dan geen nieuwe token uit voor de client, omdat de client is geblokkeerd.
Als u wilt voorkomen dat een geblokkeerde client binnen dit tijdsbestek van acht uur nog inhoud kan downloaden, kunt u de cloudservice stoppen vanaf het knooppunt Cloud, Hiërarchieconfiguratie in de werkruimte Beheer van de Configuration Manager-console. Zie Cloudservices beheren voor Configuration Manager voor meer informatie.
Privacy-informatie voor inhoudsbeheer
In Configuration Manager worden geen gebruikersgegevens toegevoegd aan inhoudsbestanden, hoewel een gebruiker met beheerdersrechten mogelijk wel hiervoor kan kiezen.
Voordat u inhoudsbeheer configureert, moet u nadenken over uw privacyvereisten.