• Makale

Configuration Manager'daki Site Yönetimi için Güvenlik ve Gizlilik

 

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Not

Bu konu şunları içerir:System Center 2012 Configuration Manager için Site Yönetimi kılavuzu ve System Center 2012 Configuration Manager için Güvenlik ve Gizlilik kılavuzunda.

Bu bölümde System Center 2012 Configuration Manager siteleri ve hiyerarşi için güvenlik ve gizlilik bilgileri yer alır:

  • Site Yönetimi İçin En İyi Güvenlik Uygulamaları

    • Site Sunucusu için En İyi Güvenlik Uygulamaları

    • SQL Server için En İyi Güvenlik Uygulamaları

    • IIS Çalıştıran Site Sistemleri için En İyi Güvenlik Uygulamaları

    • Yönetim Noktası için En İyi Güvenlik Uygulamaları

    • Geri Dönüş Durumu Noktası için En İyi Güvenlik Uygulamaları

    • Site Yönetimi için Güvenlik Sorunları

  • Bulma için Gizlilik Bilgileri

Site Yönetimi İçin En İyi Güvenlik Uygulamaları

Aşağıdaki en iyi güvenlik uygulamaları System Center 2012 Configuration Manager sitelerini ve hiyerarşiyi korumanıza yardımcı olur.

En iyi güvenlik yöntemi

Daha fazla bilgi

Kurulum'u yalnızca güvenilir bir kaynaktan çalıştırın ve Kurulum medyası ve site sunucusu arasındaki iletişim kanalını koruyun.

Kaynak dosyalar üzerinde oynanmasını önlemek için Kurulum'u güvenilir bir kaynaktan çalıştırın. Dosyaları ağda depolarsanız ağ konumunun güvenliğini sağlayın.

Kurulum'u bir ağ konumundan çalıştırırsanız, dosyalar ağ üzerinden iletilirken saldırganların dosyalar üzerinde oynamasını önlemek için, Kurulum dosyalarının kaynak konumuyla site sunucusu arasında IPsec veya SMB imzalama kullanın.

Ayrıca, Kurulum'un gerektirdiği dosyaları indirmek için Kurulum Yükleyici'yi kullanırsanız, bu dosyaların depolandığı konumun da güvenliğini sağladığınızdan emin olun ve Kurulum'u çalıştırdığınızda bu konumun iletişim kanalını koruyun.

System Center 2012 Configuration Manager için Active Directory şemasını genişletin ve siteleri Active Directory Etki Alanı Hizmetleri'ne yayımlayın.

Microsoft System Center 2012 Configuration Manager çalıştırmak için şema uzantıları gerekmez, ancak bu uzantılar daha güvenli bir ortam oluşturur; çünkü Configuration Manager istemcileri ve site sunucuları bilgileri güvenilir bir kaynaktan alabilir.

İstemciler güvenilir bir etki alanındaysa aşağıdaki site sistem rollerini istemcilerin etki alanında dağıtın:

  • Yönetim noktası

  • Dağıtım noktası

  • Uygulama Kataloğu web sitesi noktası

Not

Configuration Manager için güvenilir bir etki alanı, Kerberos kimlik doğrulamasını gerektirir; dolayısıyla istemciler, site sunucusunun ormanıyla iki yönlü bir orman güvenine sahip olmayan başka bir ormanda yer alıyorsa, bu istemcilerin güvenilir olmayan etki alanında oldukları kabul edilir. Bunun için dış güven yeterli değildir.

Site sistemi sunucularıyla siteler arasındaki iletişimin güvenliğini sağlamak için IPsec'i kullanın.

Configuration Manager, site sunucusu ile SQL Server'ı çalıştıran bilgisayar arasındaki iletişimin güvenliğini sağlasa da, Configuration Manager, site sistem rolleri ile SQL Server arasındaki iletişimin güvenliğini sağlamaz. Yalnızca bazı site sistemleri (kayıt noktası ve Uygulama Kataloğu web hizmeti noktası) site içi iletişime yönelik olarak HTTPS için yapılandırılabilir.

Bu sunucudan sunucuya kanalların güvenliğini sağlamak için ek denetimler kullanmıyorsanız saldırganlar, site sistemlerine karşı çeşitli sahtekarlık ve ortadaki adam saldırıları düzenleyebilir. IPsec'i kullanamadığınızda SMB imzalamayı kullanın.

Not

Özellikle, site sunucusu ile paket kaynağı sunucusu arasındaki iletişim kanalının güvenliğini sağlamak önemlidir. Bu iletişimde SMB kullanılır. Bu iletişimin güvenliğini sağlamak için IPsec'i kullanamıyorsanız, istemciler dosyaları indirip çalıştırmadan önce dosyaların üzerinde oynanmamasını sağlamak için SMB imzalamayı kullanın.

Configuration Manager'nin site sistem iletişimi için oluşturup yönettiği güvenlik gruplarını değiştirmeyin:

  • SMS_SiteSystemToSiteServerConnection_MP_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_SMSProv_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_Stat_<SiteCode>

Configuration Manager, bu güvenlik gruplarını otomatik olarak oluşturur ve yönetir. Bu, bir site sistem rolü kaldırıldığında bilgisayar hesaplarının kaldırılmasını içerir.

Hizmet sürekliliğini ve en az ayrıcalığı sağlamak için bu grupları el ile düzenlemeyin.

İstemciler Configuration Manager bilgileri için Genel Katalog sunucusunu sorgulayamazsa, güvenilen kök anahtar sağlama işlemini yönetin.

İstemciler Configuration Manager bilgileri için Genel Katalog'u sorgulayamazsa, geçerli yönetim noktalarının kimliğini doğrulamak için güvenilen kök anahtarı kullanmalıdır. Güvenilen kök anahtar, istemci kayıt defterinde depolanır ve Grup İlkesi veya el ile yapılandırma kullanılarak ayarlanabilir.

İstemci, bir yönetim noktasıyla ilk kez irtibata geçmeden önce güvenilen kök anahtarın bir kopyasına sahip değilse, iletişim kurduğu ilk yönetim noktasına güvenir. Saldırganların istemcileri yetkisiz bir yönetim noktasına yönlendirmesi riskini azaltmak için güvenilen kök anahtarı istemcilere önceden sağlayabilirsiniz. Daha fazla bilgi için Güvenilir Kök Anahtar için Planlama konusuna bakın.

Varsayılan olmayan bağlantı noktası numaralarını kullanın.

Varsayılan olmayan bağlantı noktası numaralarını kullandığınızda, bu, ek güvenlik sağlayabilir; çünkü saldırganların bir saldırı düzenlemek amacıyla ortamda keşif yapmasını zorlaştırır. Varsayılan olmayan bağlantı noktalarını kullanmaya karar verirseniz, Configuration Manager'yi yüklemeden önce bu bağlantı noktaları için planlama yapın ve bunları hiyerarşideki sitelerin tümünde tutarlı bir şekilde kullanın. İstemci isteği bağlantı noktaları ve LAN'da Uyandırma, varsayılan olmayan bağlantı noktası numaralarını kullanabileceğiniz yerlere örnektir.

Site sistemlerinde rol ayrımı kullanın.

Site sistemi rollerinin tümünü tek bir bilgisayara yükleyebilirsiniz; ancak bu uygulama tek hata noktası oluşturduğundan üretim ağlarında nadiren kullanılır.

Saldırı profilini düşürün.

Her site sistemi rolünü farklı bir sunucuda ayrı tuttuğunuzda, bu, bir site sistemindeki güvenlik açıklarını hedef alan bir saldırının başka bir site sistemine karşı kullanılabilme ihtimalini azaltır. Birçok site sistemi rolü, site sistemine Internet Information Services (IIS) yüklenmesini gerektirir ve bu da saldırı yüzeyini genişletir. Donanım harcamalarını azaltmak için site sistemi rollerini birleştirmeniz gerekiyorsa IIS site sistemi rollerini yalnızca, IIS gerektiren diğer site sistemi rolleriyle birleştirin.

System_CAPS_importantÖnemli

Geri dönüş durum noktası rolü özel durumdur: Bu site sistemi rolü, istemcilerden kimliği doğrulanmamış verileri kabul ettiğinden, geri dönüş durum noktası rolü asla başka bir Configuration Manager site sistemi rolüne atanmamalıdır.

Windows Server için en iyi güvenlik uygulamalarını takip edin ve tüm site sistemlerinde Güvenlik Yapılandırma Sihirbazı'nı çalıştırın.

Güvenlik Yapılandırma Sihirbazı (SCW), ağınızdaki herhangi bir sunucuya uygulayabileceğiniz bir güvenlik ilkesi oluşturmanıza yardımcı olur.System Center 2012 Configuration Manager şablonunu yükledikten sonra, SCW, Configuration Manager site sistemi rollerini, hizmetleri, bağlantı noktalarını ve uygulamaları tanır. Ardından, Configuration Manager için gereken iletişime izin verir ve gerekli olmayan iletişimi engeller.

Güvenlik Yapılandırma Sihirbazı, System Center 2012 Configuration Manager araç setinde yer alır ve bunu Microsoft İndirme Merkezi'nden indirebilirsiniz: System Center 2012 – Configuration Manager Component Add-ons and Extensions.

Site sistemleri için statik IP adreslerini yapılandırın.

Statik IP adresleri, ad çözümlemesi saldırılarına karşı daha kolay korunur.

Ayrıca, statik IP adresleri IPsec'in yapılandırılmasını kolaylaştırır ki bu, Configuration Manager'de site sistemleri arasındaki iletişimi korumak için kullanılan en iyi güvenlik uygulamasıdır.

Diğer uygulamaları site sistemi sunucularına yüklemeyin.

Site sistemi sunucularına diğer uygulamaları yüklediğinizde, Configuration Manager için saldırı yüzeyini genişletmiş ve uyumsuzluk sorunları riskini almış olursunuz.

İmzalama isteyin ve şifrelemeyi bir site seçeneği olarak etkinleştirin.

Site için imzalama ve şifreleme seçeneklerini etkinleştirin. Tüm istemcilerin SHA-256 karma algoritmasını destekleyebileceğinden emin olun ve ardından SHA-256 iste seçeneğini etkinleştirin.

Configuration Manager yönetim kullanıcılarını kısıtlayın ve izleyin ve bu kullanıcılara ihtiyaç duydukları minimum izinleri vermek için rol tabanlı yönetimi kullanın.

Yalnızca güvendiğiniz kullanıcılara Configuration Manager'ye yönetim erişimi izni verin ve ardından yerleşik güvenlik rollerini kullanarak veya güvenlik rollerini özelleştirerek onlara minimum izinleri verin. Uygulamaları, görev dizisini, yazılım güncelleştirmelerini, yapılandırma öğelerini ve yapılandırma temellerini oluşturabilen, değiştirebilen ve dağıtabilen yönetim kullanıcıları, Configuration Manager hiyerarşisindeki cihazları denetleme olanağına da sahiptir.

Gereken değişiklikleri doğrulamak için yönetim kullanıcısı atamalarını ve bunların yetki düzeyini belirli aralıklarla denetleyin.

Rol tabanlı yönetimi yapılandırma hakkında daha fazla bilgi için Rol Tabanlı Yönetimi Yapılandırma konusuna bakın.

Yedekleyip geri yüklediğinizde Configuration Manager yedeklemelerinin güvenliğini sağlayın ve iletişim kanalını koruyun.

Configuration Manager'yi yedeklediğinizde, bu bilgiler arasında sertifikalar ve saldırganlar tarafından kimliğe bürünme amacıyla kullanılabilecek diğer gizli veriler yer alır.

Bu verileri ağ üzerinden aktardığınızda SMB imzalama veya IPsec kullanın ve yedekleme konumunun güvenliğini sağlayın.

Configuration Manager konsolundan bir ağ konumuna nesne aktardığınızda (içe veya dışa), konumun ve ağ kanalının güvenliğini sağlayın.

Ağ klasörüne erişebilecek kişileri kısıtlayın.

Saldırganların dışarı aktarılan verilerin üzerinde oynamasını önlemek için ağ konumuyla site sunucusu arasında ve Configuration Manager konsolunu çalıştıran bilgisayarla site sunucusu arasında SMB imzalama veya IPsec kullanın. Bilgilerin açığa çıkmasını önlemek amacıyla ağdaki verileri şifrelemek için IPsec kullanın.

Bir site sistemi kaldırılamazsa veya sistemin çalışması durur ve sistem geri yüklenemezse, bu sunucuya ilişkin Configuration Manager sertifikalarını diğer Configuration Manager sunuculardan el ile kaldırın.

Site sistemi ve site sistemi rolleriyle başlangıçta kurulan Eş Güvenini kaldırmak için, diğer site sistemi sunucularında Güvenilir Kişiler sertifika deposundaki başarısız sunucuya ilişkin Configuration Manager sertifikalarını el ile kaldırın. Bu, özellikle, sunucuyu yeniden biçimlendirmeden yeniden amaçlandırmanız halinde önemlidir.

Bu sertifikalar hakkında daha fazla bilgi için, Configuration Manager'da Kullanılan Şifreleme Denetimleri İçin Teknik Başvuru konusundaki Cryptographic Controls for Server Communication bölümüne bakın.

Internet tabanlı site sistemlerini, çevre ağı ve intranet arasında köprü kuracak şekilde yapılandırmayın.

Site sistemi sunucularını, çevre ağı ve intranet'e bağlanıp çok ana bilgisayarlı olacak şekilde yapılandırmayın. Bu yapılandırma, Internet tabanlı site sistemlerinin Internet ve intranet'ten gelen istemci bağlantılarını kabul etmesine olanak sağlamakla birlikte, çevre ağı ile intranet arasındaki güvenlik sınırını da ortadan kaldırır.

Site sistemi sunucusu güvenilmeyen bir ağdaysa (örneğin, bir çevre ağı), site sunucusunu site sistemiyle bağlantıları başlatacak şekilde yapılandırın.

Varsayılan olarak, site sistemleri veri aktarmak için site sunucusuna bağlantıları başlatır ve bağlantı başlatma güvenilmeyen bir ağdan güvenilen bir ağa doğru olduğunda bu bir güvenlik riski olabilir. Site sistemleri Internet'ten gelen bağlantıları kabul ettiğinde veya güvenilmeyen bir ormanda yer aldığında, site sisteminin ve site sistemi rollerinin yüklenmesinden sonra tüm bağlantıların güvenilen bir ağdan başlatılması için Site sunucusunun bu site sistemine yönelik bağlantıları başlatmasını gerektir site sistemi seçeneğini yapılandırın.

Internet tabanlı istemci yönetimi için bir web proxy sunucusu kullanıyorsanız, kimlik doğrulamayla sonlandırma kullanarak SSL'ye yönelik SSL köprülemesi kullanın.

Proxy web sunucusunda SSL sonlandırması yapılandırdığınızda, Internet'ten gelen paketler iç ağa iletilmeden önce denetimden geçer. Proxy web sunucusu istemciden bağlantının kimliğini doğrular, sonlandırır ve ardından Internet tabanlı site sistemlerinde yeni bir kimliği doğrulanmış bağlantı açar.

Configuration Manager istemci bilgisayarları, Internet tabanlı site sistemlerine bağlanmak için bir proxy web sunucusu kullandığında, istemci kimliği (istemci GUID'i), güvenli bir şekilde paket yükü içinde bulunur; böylece yönetim noktası, proxy web sunucusunun istemci olduğunu düşünmez. Proxy web sunucunuz, SSL köprülemesi gereksinimlerini destekleyemiyorsa, SSL tünel oluşturma da desteklenir. Bu daha az güvenli bir seçenektir; çünkü Internet'ten gelen SSL paketleri sonlandırma olmadan site sistemlerine iletilir; dolayısıyla bunlarda kötü amaçlı içerik denetimi yapılamaz.

Proxy web sunucunuz, SSL köprülemesi gereksinimlerini destekleyemiyorsa SSL tünel oluşturmayı kullanabilirsiniz. Ancak bu daha az güvenli bir seçenektir; çünkü Internet'ten gelen SSL paketleri sonlandırma olmadan site sistemlerine iletilir; dolayısıyla bunlarda kötü amaçlı içerik denetimi yapılamaz.

System_CAPS_warningUyarı

Configuration Manager tarafından kaydedilen mobil cihazlar SSL köprülemesini kullanamaz; bu cihazlar yalnızca SSL tünel oluşturmayı kullanmalıdır.

Siteyi, yazılım yüklemek için bilgisayarları uyandıracak şekilde yapılandırırsanız:

  • Geleneksel uyandırma paketlerine yerine AMT güç komutlarını kullanın

  • Geleneksel uyandırma paketlerini kullanırsanız, alt ağa yönelik yayınlar yerine tek noktaya yayın kullanın

  • Alt ağa yönelik yayınları kullanmanız gerekiyorsa, yönlendiricileri, yalnızca site sunucusundan gelen ve yalnızca varsayılan olmayan bir bağlantı noktası numarasındaki IP'ye yönelik yayınlara izin verecek şekilde yapılandırın

Farklı LAN'da uyandırma teknolojileri hakkında daha fazla bilgi için bkz. Configuration Manager'da İstemci İletişimi İçin Plan Yapma.

E-posta bildirimi kullanırsanız, SMTP posta sunucusuna kimlik doğrulamalı erişimi yapılandırın.

Mümkün olduğunda, kimlik doğrulamalı erişimi destekleyen bir posta sunucusu kullanın ve kimlik doğrulaması için site sunucusunun bilgisayar hesabını kullanın. Kimlik doğrulaması için bir kullanıcı hesabı belirtmeniz gerekiyorsa, en az ayrıcalığa sahip bir hesabı kullanın

Not

Configuration Manager SP1'den itibaren e-posta bildirimleri artık Uç Nokta Koruma ile kısıtlı değildir.

Site Sunucusu için En İyi Güvenlik Uygulamaları

Configuration Manager site sunucusunu güvenli hale getirmenize yardım amaçlı olarak aşağıdaki en iyi güvenlik uygulamalarını kullanın.

En iyi güvenlik yöntemi

Daha fazla bilgi

Configuration Manager yüklemesini, bir etki alanı denetleyicisi yerine bir üye sunucuya yapın.

Configuration Manager site sunucusu ve site sistemleri, bir etki alanı denetleyicisine yükleme gerektirmez. Etki alanı denetleyicilerinin, etki alanı veritabanı haricinde yerel bir Güvenlik Hesapları Yönetimi (SAM) veritabanı yoktur.Configuration Manager yüklemesini bir üye sunucuya yaptığınızda, Configuration Manager hesaplarını, etki alanı veritabanı yerine yerel SAM veritabanında bulundurabilirsiniz.

Bu uygulama, etki alanı denetleyicilerinizdeki saldırı yüzeyini de azaltır.

İkincil sitelerin yüklemesini, dosyaları ağ üzerinden ikincil site sunucusuna kopyalamaktan kaçınarak yapın.

Kurulum'u çalıştırırken ve bir ikincil site oluştururken, dosyaların ana siteden ikincil siteye kopyalanması veya bir ağ kaynağı konumu kullanlması seçeneğini belirlemeyin. Dosyaları ağ üzerinden kopyaladığınızda, becerikli bir saldırgan ikincil site yükleme paketini çalabilir ve yüklenmeden önce dosyalarla oynayabilir, yine de bu saldırının zamanlanması zor olacaktır. Bu saldırı, dosyaları aktarırken IPsec veya SMB kulanılarak azaltılabilir.

Dosyaları ağ üzerinden ikincil site sunucusuna kopyalamak yerine, kaynak dosyaları medyadan bir yerel klasöre kopyalayın. Ardından, bir ikincil site oluşturmak üzere Kurulum'u çalıştırdığınızda, Kurulum Kaynak Dosyaları sayfasında, İkincil site bilgisayarında aşağıdaki konumdaki kaynak dosyalarını kullan (en güvenli) seçin ve bu klasörü belirtin.

Daha fazla bilgi için Configuration Manager için Siteleri Yükleme ve Hiyerarşi Oluşturma konusunun İkincil Site Yükleme bölümüne bakın.

SQL Server için En İyi Güvenlik Uygulamaları

Configuration Manager, SQL Server'ı, arka uç veritabanı olarak kullanır. Veritabanı riske atılırsa, saldırganlar Configuration Manager'ı atlayabilir ve saldırıları Configuration Manager üzerinden başlatmak için SQL Server'a doğrudan erişebilir. SQL Server'a yapılan saldırıları çok yüksek riskli olarak değerlendirin ve uygun şekilde azaltın.

Aşağıdaki en iyi güvenlik uygulamalarını, Configuration Manager için SQL Server'ı güvenli hale getirmenize yardım amaçlı olarak kullanın.

En iyi güvenlik yöntemi

Daha fazla bilgi

Configuration Manager site veritabanı sunucusunu, başka SQL Server uygulamalarını çalıştırmak için kullanmayın.

Configuration Manager sitesi veritabanı sunucusuna erişimi artırdığınızda, bu, Configuration Manager verilerinize riski artırır.Configuration Manager sitesi veritabanı riske atılırsa, aynı SQL Server bilgisayarındaki diğer uygulamalar da riskli hale gelir.

SQL Server'ı Windows kimlik doğrulaması kullanmak üzere yapılandırın.

Configuration Manager, site veritabanına bir Windows hesabı ve Windows kimlik doğrulaması kullanarak erişse de, SQL Server'ı SQL Server karışık modunu kullanmak üzere yapılandırmak yine de mümkündür. SQL Server karışık modu, ek SQL oturumlarının veritabanına erişmesini sağlar, bu gerekli değildir ve saldırı yüzeyini artırır.

SQL Server Express kullanan ikincil sitelerin en son yazılım güncelleştirmelerine sahip olmasını sağlamak için ek adımlar uygulayın.

Bir birincil site yüklediğinizde, Configuration Manager, Microsoft İndirme Merkezi'nden SQL Server Express indirir ve dosyaları birincil site sunucusuna kopyalar. Bir ikincil site yüklediğinizde ve SQL Server Express yükleyen seçeneği belirlediğinizde, Configuration Manager, önceden indirilen sürümü yükler ve yeni sürümlerin olup olmadığını kontrol etmez. İkincil sitenin en son sürümlere sahip olduğundan emin olmak için, aşağıdakilerden birini gerçekleştirin:

  • İkincil site yüklendikten sonra, ikincil site sunucusunda Windows Update çalıştırın.

  • İkincil siteyi yüklemeden önce, ikincil site sunucusunu çalıştıracak bilgisayara SQL Server Express'i el ile yükleyin, son sürümü ve tüm yazılım güncelleştirmelerini yüklediğinizden emin olun. Ardından ikincil siteyi yükleyin ve var olan bir SQL Server örneğini kullanma seçeneğini belirleyin.

Bu siteler ve SQL Server'ın tüm yüklü sürümleri için, en son yazılım güncelleştirmelerine sahip olmalarını sağlamak üzere düzenli aralıklarla Windows Update çalıştırın.

SQL Server için en iyi güvenlik uygulamalarını izleyin.

SQL Server sürümünüz için en iyi uygulamaları belirleyin ve izleyin. Ancak, Configuration Manager için aşağıdaki koşulları dikkate alın:

  • Site sunucusunun bilgisayar hesabının, SQL Server çalıştıran bilgisayarda Yöneticiler grubunun bir üyesi olması gerekir. “Yönetici sorumlularını açık olarak sağla" SQL Server önerisini izlerseniz, site sunucusunda Kurulum'u çalıştırmak için kullandığınız hesabın SQL Kullanıcılar grubunun bir üyesi olması gerekir.

  • SQL Server'ı, bir etki alanı kullanıcı hesabı kullanarak yüklerseniz, site sunucusu bilgisayar hesabının, Active Directory Etki Alanı Hizmetleri'ne yayımlanan bir Hizmet Asıl Adı (SPN) için yapılandırıldığından emin olun. SPN olmadan, Kerberos kimlik doğrulaması başarısız olur ve Configuration Manager Kurulumu başarısız olur.

IIS Çalıştıran Site Sistemleri için En İyi Güvenlik Uygulamaları

Configuration Manager içindeki çeşitli site sistem rolleri, IIS gerektirir. IIS'i güvenli hale getirdiğinizde, Configuration Manager için doğru çalışma olanağı sağlanır ve güvenlik saldırıları riski azaltılır. Uygun olduğunda, IIS gerektiren sunucu sayısını en aza indirgeyin. Örneğin, İnternet tabanlı istemci yönetimi için yüksek kullanılabilirlik ve ağ yalıtımını dikkate alarak, yalnızca, istemci tabanınızı desteklemek için size gereken yönetim noktası sayısını çalıştırın.

IIS çalıştıran site sistemlerini güvenli hale getirmenize yardım amaçlı olarak aşağıdaki en iyi güvenlik uygulamalarını kullanın.

En iyi güvenlik uygulaması.

Daha fazla bilgi

Size gerekli olmayan IIS fonksiyonlarını devre dışı bırakın.

Yüklediğiniz site sistem rolü için yalnızca en az IIS özelliklerini yükleyin. Daha fazla bilgi için konusunun bölümüne bakın.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReqNo text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.

Site sitem rollerini HTTPS gerektirecek şekilde yapılandırın.

İstemciler HTTPS yerine HTTP kullanarak bir site sistemine bağlandığında Windows kimlik doğrulaması kullanırlar, bu, Kerberos kimlik doğrulaması yerine NTLM kimlik doğrulaması kullanmaya geri gidebilir. NTLM kimlik doğrulaması kullanıldığında, istemciler yanlış bir sunucuya bağlanabilir.

Bu en iyi güvenlik uygulamasının istisnası, dağıtım noktaları olabilir çünkü dağıtım noktası HTTPS için yapılandırıldığında paket erişim hesapları çalışmaz. Paket erişim hesapları, içeriğe kimlik doğrulama sağlar, böylelikle içeriğe hangi kullanıcıları erişebileceği kısıtlaması yapabilirsiniz. Daha fazla bilgi için, bkz. İçerik Yönetimi için Önerilen Güvenlik Uygulamaları.

IIS içinde aşağıdaki site sistem rolleri için bir sertifika güven listesi (CTL) yapılandırın:

  • HTTPS için yapılandırılan bir dağıtım noktası.

  • HTTPS için yapılandırılan ve mobil aygıtları desteklemek üzere etkinleştirilen bir yönetim.

Bir sertifika güven listesi (CTL), güvenilir kök sertifika yetkililerinin tanımlı bir listesidir. Grup İlkesi ve bir PKI dağıtımıyla bir CTL kullandığınızda, bir CTL, ağınızda yapılandırılmış, Microsoft Windows ile otomatik olarak yüklenenler veya Windows kurum kök sertifika yetkilileri üzerinden eklenenler gibi, var olan güvenilir kök sertifika yetkililerini desteklemenizi sağlar. Ancak bir CTL, IIS içinde yapılandırıldığında, bir CTL o güvenilir kök sertifika yetkililerinin bir alt kümesini tanımlar.

CTL, kabul edilen istemci sertifikalarını, yalnızca CTL'deki sertifika yetkilileri listesinden yayımlananlarla kısıtladığından, bu alt küme güvenlik üzerinde daha fazla denetim sağlar. Örneğin Windows, VeriSign ve Thawte gibi, çeşitli iyi bilinen üçüncü taraf sertifika yetkilisi sertifikalarıyla birlikte gelir. Varsayılan olarak, IIS çalıştıran bilgisayar, bu iyi bilinen sertifika yetkililerine bağlanan sertifikalara güvenir. IIS'yi, listelenen site sistem rolleri için bir CTL ile yapılandırmadığınızda, bu sertifika yetkililerinden yayımlanan bir istemci sertifikasına sahip herhangi bir aygıt, geçerli bir Configuration Manager istemcisi olarak kabul edilir. IIS'yi, bu sertifika yetkililerini içermeyen bir CTL ile yapılandırdığınızda, sertifika bu sertifika yetkililerine bağlanmışsa istemci bağlantıları reddedilir. Ancak, Configuration Manager istemcilerinin listelenen site sistem rolleri için kabul edilmesi için, IIS'yi, Configuration Manager istemcileri tarafından kullanılan sertifika yetkililerini belirten bir CTL ile yapılandırmanız gerekir.

Not

Yalnızca listelenen site sistem rolleri, IIS'de bir CTL yapılandırmanızı gerektirir; Configuration Manager tarafından yönetim noktaları için kullanılan sertifika yayınlayıcılayı listesi, istemci bilgisayarları için, HTTPS yönetim noktalarına bağlantıklarında aynı işlevselliği sağlar.

IIS'de bir güvenilir sertifika yetlilileri listesinin nasıl yapılandırılacağı hakkında daha fazla bilgi için, IIS belgenize bakın.

Site sunucusunu, IIS'li bir bilgisayara koymayın.

Rol ayırma, saldırı profilini azaltmaya ve kurtarılabilirliği iyileştirmeye yardımcı olur. Ayrıca, site sunucusunun bilgisayar hesabı genellikle tüm site sistem rollerinde (ve istemci anında yükleme kullanırsanız muhtemelen Configuration Manager istemcilerinde) yönetim ayrıcalıklarına sahiptir.

Configuration Manager için, ayrılmış IIS sunucuları kullanın.

Configuration Manager tarafından da kullanılan IIS sunucularında birden çok web tabanlı uygulamayı barındabilseniz de, bu uygulama saldırı yüzeyinizi önemli ölçüde artırır. Kötü yapılandırılmış bir uygulama, bir saldırganın bir Configuration Manager site sistemi üzerinde denetim sağlamasına olanak tanıyabilir, bu da saldıgranın hiyerarşinin denetimini sağlamasına olanak tanıyabilir.

Configuration Manager site sistemlerinde başka web tabanlı uygulamalar çalıştırmanız gerekiyorsa, Configuration Manager site sistemleri için özel bir web sitesi oluşturun.

Özel bir web sitesi kullanın.

IIS çalıştıran site sistemleri için, Configuration Manager yapılandırmasını, IIS için varsayılan web sitesi yerine özel bir web sitesi kullanacak şekilde yapabilirsiniz. Site sisteminde başka web uygulamaları çalıştırmanız gerekiyorsa, özel bir web sitesi kullanmanız gerekir. Bu ayar, belirli bir site sistemi ayarı olmak yerine, site geneli için bir ayardır.

Site sisteminde başka web uygulamaları çalıştırırsanız, ek güvenlik sağlamaya ilaveten, özel bir web sitesi kullanmanız gerekir.

Herhangi bir dağıtım noktası rolü yüklendikten sonra, varsayılan web sitesinden özel bir web sitesine geçerseniz, varsayılan sanal dizinleri kaldırın.

Varsayılan web sitesi yerine özel bir web sitesi kullanmayı seçtiğinizde Configuration Manager, eski sanal dizinleri kaldırmaz.Configuration Manager tarafından varsayılan web sitesi altında orijinal olarak oluşturulan sanal dizinleri kaldırın.

Örneğin, bir dağıtım noktası için kaldırılacak sanal dizinler aşağıdakilerdir:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

IIS Server için en iyi uygulamaları izleyin.

IIS Server sürümünüz için en iyi uygulamaları belirleyin ve izleyin. Ancak, belirli site sistem rolleri için Configuration Manager'ın sahip olduğu herhangi bir gereksinimi dikkate alın. Daha fazla bilgi için konusunun bölümüne bakın.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReqNo text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.

Yönetim Noktası için En İyi Güvenlik Uygulamaları

Yönetim noktaları, aygıtlar ve Configuration Manager arasındaki birincil arabirimdir. Yönetim noktasına ve üzerinde çalıştığı sunucuya karşı saldırıları, çok yüksek riskli ve uygun şekilde azaltılması gereken saldırılar olarak değerlendirin. Tüm uygun en iyi güvenlik uygulamalarını uygulayın ve olağandışı işlem bakımından izleyin.

Configuration Manager içinde bir yönetim noktasını güvenli hale getirmenize yardım amaçlı olarak aşağıdaki en iyi güvenlik uygulamalarını kullanın.

En iyi güvenlik yöntemi

Daha fazla bilgi

Yönetim noktasına bir Configuration Manager istemcisi yüklediğinizde, onu o yönetim noktasının sitesine atayın.

Bir yönetim noktası site sistemindeki bir Configuration Manager istemcisinin, yönetim noktasının sitesi dışında bir siteye atanması durumundan kaçının.

Configuration Manager 2007 - System Center 2012 Configuration Manager geçişi yaparsanız, Configuration Manager 2007 istemcisinin System Center 2012 Configuration Manager geçişini olabildiğince çabuk yapın.

Geri Dönüş Durumu Noktası için En İyi Güvenlik Uygulamaları

Configuration Manager içinde bir geri dönüş durumu noktası yüklediğinizde aşağıdaki en iyi güvenlik uygulamalarını kullanın.

Bir geri dönüş durumu noktası yüklediğiniz zamanki güvenlik değerlendirmeleri hakkında daha fazla bilgi edinmek için Geri Dönüş Durumu Noktası Gerekip Gerekmediğini Belirleme konusuna bakın.

En iyi güvenlik yöntemi

Daha fazla bilgi

Site sisteminde başka site sistemi rollerini çalıştırmayın ve onu bir etki alanı denetleyicisine yüklemeyin.

Geri dönüş durumu noktası, herhangi bir bilgisayardan kimlik doğrulamasız iletişimi kabul etmek üzere tasarlandığından, bu site sistem rolünün başka site sistem rolleriyle veya bir etki alanı denetleyicisinde çalıştırılması, o sunucunun riskini fazlasıyla artırır.

Configuration Manager içinde istemci iletişimi için PKI sertifikaları kullandığınızda, istemcileri yüklemeden önce geri dönüş durumu noktasını yükleyin.

Configuration Manager site sistemleri HTTP istemci iletişimini kabul etmiyorsa, istemcilerin PKI ile ilgili sertifika sorunları nedeniyle yönetilmediğini anlamayabilirsiniz. Ancak, istemciler bir geri dönüş durumu noktasına atanırsa, bu sertifika sorunları, geri dönüş durumu noktası tarafından raporlanır.

Güvenlik nedeniyle, bir geri dönüş durumu noktasını, istemcilere onlar yüklendikten sonra atayamazsınız, bu rolü yalnızca istemci yüklemesi sırasında atayabilirsiniz.

Çevre ağında geri dönüş durum noktasını kullanmaktan kaçının.

Tasarım olarak geri dönüş durum noktası tüm istemcilerden gelen verileri kabul eder. Çevre ağındaki bir geri dönüş durum noktası, Internet tabanlı istemcilerin sorunlarını gidermenize yardımcı olabilmesine rağmen sorun gidermenin faydalarıyla ortak olarak erişilebilen bir ağdaki yetkisiz verileri kabul eden bir site sistemi riskini dengelemeniz gerekir.

Geri dönüş durum noktasını çevre ağına veya güvenilmeyen herhangi bir ağa yüklerseniz, geri dönüş durum noktasının site sunucusuyla bir bağlantı başlatmasını sağlayan varsayılan ayar yerine veri aktarımlarını başlatmak için site sunucusunu yapılandırın.

Site Yönetimi için Güvenlik Sorunları

Configuration Manager için aşağıdaki güvenlik sorunlarını gözden geçirin:

  • Configuration Manager dahilinde ağa saldırmak için Configuration Manager kullanan yetkili bir yönetici kullanıcıya karşı savunma yoktur. Yetkisiz yönetici kullanıcılar yüksek bir güvenlik riskidir ve aşağıdakiler dahil olmak üzere pek çok saldırıyı başlatabilir:

    • Kuruluştaki tüm Configuration Manager istemci bilgisayarlarına otomatik olarak kötü amaçlı yazılım yüklemek ve çalıştırmak üzere yazılım dağıtımı kullanma.

    • İstemci izni olmaksızın bir Configuration Manager istemcisinin uzaktan denetimini almak üzere uzaktan denetim kullanmak.

    • İstemcilere ve sunuculara karşı hizmet saldırısı reddi oluşturmak için hızlı yoklama aralıkları ve çok büyük miktarlarda envanter yapılandırın.

    • Diğer bir sitenin Active Directory verilerine veri yazmak için hiyerarşideki bir siteyi kullanın.

    Site hiyerarşisi güvenlik sınırı olduğundan sitelerin yalnızca yönetim sınırları olmasını düşünün.

    Tüm yönetici kullanıcı etkinliğini denetleyin ve düzenli aralıklarla denetim günlüklerini gözden geçirin. Görevlendirilmeden önce tüm Configuration Manager yönetici kullanıcıların bir arka plan denetimine tabi tutulmasını ve bir iş koşulu olarak düzenli aralıklarla yeniden denetim yapılmasını gerektirin.

  • Kayıt noktasının güvenliği ihlal edildiyse bir saldırgan, kimlik doğrulamaya ait sertifikaları alabilir ve mobil aygıtlarını kaydeden kullanıcıların kimlik bilgilerini çalabilir.

    Kayıt noktası bir sertifika yetkilisiyle iletişim kurar ve Active Directory nesnelerini oluşturabilir, değiştirebilir ve silebilir. Kayıt noktasını asla çevre ağına yüklemeyin ve alışılmadık etkinlikleri izleyin.

  • Internet tabanlı istemci yönetimleri için kullanıcı ilkelerine izin verirseniz veya kullanıcılar Internet üzerindeyken bu kullanıcılar için Uygulama Kataloğu web sitesi noktasını yapılandırırsanız saldırı profilinizi arttırırsınız.

    İstemci-sunucu bağlantıları için PKI sertifikalarının kullanılmasına ek olarak bu yapılandırmalar, Kerberos yerine NTML kimlik doğrulaması kullanmaya geri dönebilen Windows kimlik doğrulamasını gerektirir. NTML kimlik doğrulaması, kişiselleştirmeye ve yeniden gönderme saldırılarına açıktır. Internet'teki bir kullanıcının kimliğini başarıyla doğrulamak için Internet tabanlı site sistem sunucusundan bir etki alanı denetleyicisine bağlantıya izin vermeniz gerekir.

  • Admin$ paylaşımı, site sistem sunucularında gereklidir.

    Configuration Manager site sunucusu, site sistemlerinde hizmet işlemlerine bağlanmak ve bu işlemleri gerçekleştirmek için Admin$ paylaşımı kullanır. Admin$ paylaşımını devre dışı bırakmayın veya kaldırmayın.

  • Configuration Manager diğer bilgisayarlara bağlanmak için ad çözme hizmetlerini kullanır ve bu hizmetlerin taklit etme, oynama, geri çevirme, bilgilerin açıklanması, hizmet reddi ve ayrıcalıkların yükseltilmesi gibi güvenlik saldırılarına karşı güvenli hale getirilmesi zordur.

    Ad çözme için kullandığınız DNS ve WINS sürümü için herhangi bir en iyi güvenlik yöntemi belirleyin ve takip edin.

Bulma için Gizlilik Bilgileri

Keşif, ağ kaynakları için kayıtlar oluşturur ve bu kayıtları System Center 2012 Configuration Manager veritabanında depolar. Bulgu verileri kayıtları IP adresi, işletim sistemi ve bilgisayar adı gibi bilgisayar bilgilerini içerir. Active Directory keşif yöntemleri aynı zamanda Active Directory Etki Alanı Hizmetleri'nde depolanan tüm bilgileri bulmak üzere yapılandırılabilir.

Varsayılan olarak etkinleştirilen tek keşif yöntemi Sinyal Keşfi'dir, ancak bu yöntem yalnızca System Center 2012 Configuration Manager istemci yazılımı zaten yüklü olan bilgisayarları bulur.

Bulma bilgileri Microsoft'a gönderilmez. Bulma bilgileri Configuration Manager veritabanında depolanır. Bilgiler, Eski Bulma Verilerini Sil site bakım görevi tarafından her 90 günde bir silinene kadar veritabanında tutulur. Silme aralığını yapılandırabilirsiniz.

Ek keşif yöntemlerini yapılandırmadan veya Active Directory keşfini genişletmeden önce gizlilik gereksinimlerinizi göz önünde bulundurun.