規劃 Configuration Manager 中的安全性

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Configuration Manager 使用自我簽署憑證及公開金鑰基礎結構 (PKI) 憑證的組合。

盡可能使用 PKI 憑證,因為它是安全性最佳作法。 如需有關 PKI 憑證需求的詳細資訊,請參閱Configuration Manager 的 PKI 憑證需求。 當 Configuration Manager 要求 PKI 憑證時 (例如註冊行動裝置和 AMT 佈建期間),您必須使用 Active Directory 網域服務和企業憑證授權單位。 對於其他所有 PKI 憑證,您必須從 Configuration Manager 獨立部署和管理這些憑證。

當用戶端電腦連線到以網際網路為基礎的網站系統時,也需要使用 PKI 憑證,而且當用戶端連線到執行 Internet Information Services (IIS) 的網站系統時,亦建議使用該憑證。 如需有關用戶端通訊的詳細資訊,請參閱規劃 Configuration Manager 的用戶端通訊

使用 PKI 時,您也可利用 IPsec 協助保護網站內網站系統之間及網站之間的伺服器對伺服器通訊。對於在電腦之間傳送資料時的其他情況,也同樣適用。 您必須從 Configuration Manager 獨立設定和實作 IPsec。

當無 PKI 憑證可用時,Configuration Manager 可自動產生自我簽署憑證,而 Configuration Manager 中的有些憑證永遠會自我簽署。 在大部分情況下,Configuration Manager 會自動管理自我簽署憑證,您不需要採取額外動作。 一種可能的例外狀況是網站伺服器簽署憑證。 網站伺服器簽署憑證永遠會自我簽署,確保用戶端從管理點下載的用戶端原則已從網站伺服器送出,且未遭竄改。

用戶端可從 Active Directory 網域服務及用戶端推入安裝,安全地取得一份網站伺服器簽署憑證複本。 如果用戶端無法利用這些機制的其中一種來取得一份網站伺服器簽署憑證複本,當您安裝用戶端時,便可安裝網站伺服器簽署憑證,因為它是安全性最佳作法。 這對於第一次從網際網路與網站通訊的用戶端尤其重要,因為管理點若連線到不受任信的網路,很容易遭受攻擊。 如果不採用這個額外步驟,用戶端便會自動從管理點下載一份網站伺服器簽署憑證複本。

用戶端無法安全地取得一份網站伺服器簽署憑證複本的情況,如下所述:

  • 您未利用用戶端推入來安裝用戶端,且以下任何一項條件為 True 時:

    • Active Directory 架構未針對 Configuration Manager 擴充。

    • 用戶端的網站未向 Active Directory 網域服務發佈。

    • 用戶端來自不受信任的樹系或工作群組。

  • 當用戶端在網際網路時,您會安裝用戶端。

利用下列程序,一併安裝用戶端和一份網站伺服器簽署憑證複本。

安裝用戶端和一份網站伺服器簽署憑證複本

  1. 找出用戶端之主要網站伺服器上的網站伺服器簽署憑證。 此憑證是儲存在 [SMS] 憑證存放區中,主體名稱為 [站台伺服器],易記名稱為 [站台伺服器簽署憑證]。

  2. 匯出不含私密金鑰的憑證,將檔案儲存在安全的地方,只從安全通道存取該檔案 (例如,使用 SMB 簽署或 IPsec)。

  3. 使用 Client.msi 內容 SMSSIGNCERT=<完整路徑和檔案名稱> 和 CCMSetup.exe 安裝用戶端。

與 Configuration Manager 搭配使用 PKI 憑證時,規劃用戶端和伺服器如何及是否使用憑證撤銷清單 (CRL) 確認連線電腦上的憑證。 憑證撤銷清單 (CRL) 是由憑證授權單位 (CA) 所建立和簽署的檔案,其包含一份已簽發但已撤銷的憑證清單。 例如,如果已簽發的憑證已知或有遭到洩露的嫌疑時,CA 系統管理員便可以撤銷憑證。

System_CAPS_important重要事項

由於 CA 簽發憑證時會將 CRL 的位置加入到憑證中,因此請確實在您部署 Configuration Manager 將使用的任何 PKI 憑證之前,先規劃 CRL。

根據預設,IIS 永遠會檢查用戶端憑證的 CRL,您無法在 Configuration Manager 中變更這項設定。 根據預設,Configuration Manager 用戶端永遠會檢查網站系統的 CRL,不過您可以藉由指定網站內容和 CCMSetup 內容來停用這個設定。 當您在管理 Intel AMT 型電腦超出訊號範圍時,也可以針對超出訊號範圍服務點及執行超出訊號範圍管理主控台的電腦啟用 CRL 檢查。

如果電腦使用憑證撤銷檢查,卻無法找出 CRL 時,電腦的反應就像憑證鏈中所有的憑證都已被撤銷一樣,因為無法驗證為何清單中沒有這些憑證。 在此案例中,所有需要憑證且使用 CRL 的連線皆告失敗。

在每一次使用憑證時檢查 CRL,如此可提供比使用已撤銷之憑證更多的安全性,但同時也會造成用戶端連線延遲及額外的處理工作。 當用戶端在網際網路或在不受信任的網路上時,您更需要這項額外的安全性檢查。

在判定 Configuration Manager 用戶端是否須檢查 CRL 之前,請先向您的 PKI 系統管理員查詢。之後,當以下兩項條件為 True 時,再考慮保留 Configuration Manager 啟用的這個選項:

  • 您的 PKI 基礎結構支援 CRL,且會發佈在所有 Configuration Manager 用戶端都可找到它的地方。 請記住,如果您正在使用以網際網路為基礎的用戶端管理,且用戶端位於不受信任的樹系時,網際網路上的用戶端可能就會包含在內。

  • 對於檢查每一個網站系統 (其設定為使用 PKI 憑證) 連線的 CRL 需求,遠大於對用戶端更快速連線及更有效處理的需求,同時也大於用戶端找不到 CRL 時無法連線到伺服器的風險。

如果您的 IIS 網站系統使用 PKI 用戶端憑證,以透過 HTTP 供用戶端驗證之用,或是透過 HTTPS 供用戶端驗證及加密之用時,您可能必須匯入根 CA 憑證,並將它當成網站內容來使用。 有兩種案例,如下所示:

  • 您使用 Configuration Manager 部署作業系統,且管理點只接受 HTTPS 用戶端連線。

  • 您使用未鏈結根憑證授權單位 (CA) 憑證 (受管理點信任) 的 PKI 用戶端憑證。

    System_CAPS_note注意事項

    當您從簽發用於管理點之伺服器憑證的相同 CA 階層,簽發用戶端 PKI 憑證時,您不需要指定這個根 CA 憑證。 然而,如果您使用多重 CA 階層,但不確定其是否彼此信任時,即可匯入用戶端 CA 階層所適用的根 CA。

如果必須匯入 Configuration Manager 的根 CA 憑證,請將該憑證從簽發 CA 或從用戶端電腦匯出。 如果從簽發 CA 匯出也是根 CA 的憑證,請確保未將私密金鑰匯出。 將匯出的憑證檔案儲存在安全位置,以防遭到竄改。 當您設定網站時,必須能夠存取檔案。因此,如果是透過網路存取檔案,請務必利用 SMB 簽署或 IPsece 來防止通訊內容遭到竄改。

如果匯入的根 CA 憑證已更新,您就必須匯入更新的憑證。

這些匯入的根 CA 憑證及每一個管理點的根 CA 憑證,會建立一份 Configuration Manager 電腦以下列方式使用的憑證簽發者清單:

  • 當用戶端連線到管理點時,管理點會確認用戶端憑證鏈結至網站憑證簽發者清單中的受信任根憑證。 如果沒這麼做,就會拒絕憑證,PKI 連線就會失敗。

  • 當用戶端選取 PKI 憑證時,如果用戶端擁有憑證簽發者清單,即可選取鏈結至憑證簽發者清單中之受信任根憑證的憑證。 如果沒有符合者,用戶端就不會選取 PKI 憑證。 如需用戶端憑證程序的詳細資訊,請參閱本主題中的規劃 PKI 用戶端憑證選擇一節。

不同於網站設定,當您註冊行動裝置或 Mac 電腦,以及為無線網路佈建 Intel AMT 型電腦時,您可能必須匯入根 CA 憑證。

如果您的 IIS 網站系統會使用 PKI 用戶端憑證,以透過 HTTP 供用戶端驗證之用,或是透過 HTTPS 供用戶端驗證及加密之用時,請規劃 Windows 用戶端如何選取可供 Configuration Manager 使用的憑證。

System_CAPS_note注意事項

不是所有的裝置都支援憑證選擇方法,而是自動選取第一個完成憑證需求的憑證。 例如,Mac 電腦上的用戶端及行動裝置不支援憑證選擇方法。

在許多情況下,預設的設定和行為即已足夠。 安裝 Windows 之電腦上的Configuration Manager 用戶端,會利用下列準則篩選多種憑證:

  1. 憑證簽發者清單:憑證鏈結至管理點所信任的根 CA。

  2. 憑證在 [個人] 預設憑證存放區中。

  3. 憑證是有效的,未撤銷,也未過期。 有效性檢查包括確認私密金鑰的可存取性,以及未使用與 Configuration Manager 不相容的第 3 版憑證範本建立憑證。

  4. 憑證具有用戶端驗證功能,或是發給電腦名稱。

  5. 憑證具有最長的有效期。

可利用下列機制,將用戶端設定為可使用憑證簽發者清單:

  • 將該清單當成 Configuration Manager 網站資訊,發佈到 Active Directory 網域服務。

  • 用戶端是使用用戶端推入安裝的。

  • 用戶端在順利被指派到其網站後,會從管理點下載該清單。

  • 在用戶端安裝期間指定憑證簽發者清單,以作為 CCMCERTISSUERS 的 CCMSetup client.msi 內容。

當用戶端第一次安裝,且尚未指派到網站時,並未具備憑證簽發者清單,所以會略過此檢查。 如果用戶端的確擁有憑證簽發者清單,但沒有鏈結至憑證簽發者清單中受信任根憑證的 PKI 憑證時,憑證選擇會失敗,且用戶端不會繼續其他憑證選擇準則。

在多數情況下,Configuration Manager 用戶端會正確地識別出可使用之唯一且適當的 PKI 憑證。 然而,若情況並非如此,就不需根據用戶端驗證功能來選取憑證,您可以設定其他兩種選擇方法:

  • 用戶端憑證主體名稱的部分相符字串。 這是一項不區分大小寫的配對,如果主旨欄位正在使用電腦完整網域名稱 (FQDN),而且是根據網域尾碼選擇憑證時 (例如 contoso.com),便適用此配對法。 然而,您可使用此選擇方法來識別憑證主體名稱 (用以區分與用戶端憑證存放區其他憑證的不同) 中循序字元的任何字串。

    System_CAPS_note注意事項

    您不可將主體別名 (SAN) 的部分相符字串當成網站設定來使用。 雖然您可使用 CCMSetup 為 SAN 指定部分相符字串,在以下案例中,該相符字串將會被網站內容覆寫:

    • 用戶端會擷取發佈至 Active Directory 網域服務的網站資訊。

    • 用戶端是使用用戶端推入安裝的。

    只有在您手動安裝用戶端,且用戶端不從 Active Directory 網域服務擷取網站資訊時,才使用 SAN 中的部份字串相符。 例如,這些狀況僅會適用於網際網路用戶端。

  • 用戶端憑證的主體名稱屬性值或主體別名 (SAN) 屬性值相符。 若您使用 X500 辨別名稱或符合 RFC 3280 的對等 OID (物件識別碼),且您希望根據屬性值進行憑證選擇,則適用這個區分大小寫的相符。 您可以僅指定屬性與您要求的值來唯一識別或驗證憑證,和區別憑證存放區中的其他憑證。

下表顯示針對用戶端憑證選擇準則 Configuration Manager 支援的屬性值。

OID 屬性

辨別名稱屬性

屬性定義

0.9.2342.19200300.100.1.25

DC

網域元件

1.2.840.113549.1.9.1

E 或 E-mail

電子郵件地址

2.5.4.3

CN

一般名稱

2.5.4.4

SN

主體名稱

2.5.4.5

SERIALNUMBER

序號

2.5.4.6

C

國碼 (地區碼)

2.5.4.7

L

位置

2.5.4.8

S 或 ST

省份名稱

2.5.4.9

STREET

街道地址

2.5.4.10

O

組織名稱

2.5.4.11

OU

組織單位

2.5.4.12

T 或 Title

標題

2.5.4.42

G 或 GN 或 GivenName

指定的名稱

2.5.4.43

I 或 Initials

縮寫

2.5.29.17

(沒有值)

主體替代名稱

若套用選取準則後有一個以上的合適憑證,您可以覆寫預設設定以選取有效期間最長的憑證,或者改為指定不選取任何憑證。 在此案例中,用戶端無法使用 PKI 憑證與 IIS 網站系統進行通訊。 用戶端會將錯誤訊息傳送至指派的後援狀態點,向您警示憑證選取失敗,如此您就可以修改或縮小憑證選擇準則。 接著,用戶端行為就會根據失敗的連線是經由 HTTPS 或 HTTP 來進行。

  • 如果失敗的連線是經由 HTTPS:用戶端會嘗試透過 HTTP 進行連線,並使用用戶端自我簽署憑證。

  • 如果失敗的連線是經由 HTTP:用戶端會嘗試使用自我簽署用戶端憑證,透過 HTTP 進行另一個連線。

若要協助識別唯一 PKI 用戶端憑證,除了在 [電腦] 存放區中的 [個人] 預設值外,您也可以指定自訂存放區。 不過,您必須從 Configuration Manager 單獨建立此存放區,且必須能夠將憑證部署至此自訂存放區,並在有效期間到期前更新憑證。

如需如何進行用戶端憑證設定的詳細資訊,請參閱設定用戶端 PKI 憑證的設定主題中的設定 Configuration Manager 的安全性一節。

Configuration Manager 中的彈性設定選項可讓您逐漸轉換用戶端和網站,以使用 PKI 憑證來協助確保用戶端端點的安全。 PKI 憑證可提供更好的安全性,並於用戶端位於網際網路時能夠管理用戶端。

由於 Configuration Manager 中設定選項和選擇的數目,轉換網站的方法不只一種,如此一來,所有用戶端就都會使用 HTTPS 連線。 不過,您可以遵循這些步驟作為指引:

  1. 安裝並設定 Configuration Manager 網站,如此網站系統就會接受透過 HTTPS 和 HTTP 的用戶端連線。

  2. 設定網站內容中的 [用戶端電腦通訊] 索引標籤,如此 [網站系統設定] 就會是 [HTTP 或 HTTPS],並選取 [使用可用的 PKI 用戶端憑證 (用戶端驗證功能] 核取方塊。 從您要求的這個索引標籤設定任何其他設定。 如需詳細資訊,請參閱設定 Configuration Manager 的安全性主題中的設定用戶端 PKI 憑證的設定一節。

  3. 針對用戶端憑證試驗 PKI 首度發行。 如需部署範例,請參閱部署 Windows 電腦的用戶端憑證主題中的為 Configuration Manager 部署 PKI 憑證的逐步範例:Windows Server 2008 憑證授權單位一節。

  4. 使用用戶端推入安裝方法安裝用戶端。 如需詳細資訊,請參閱如何在 Configuration Manager 中於安裝 Windows 的電腦上安裝用戶端主題中的如何使用用戶端推入安裝 Configuration Manager 用戶端一節。

  5. 使用 Configuration Manager 主控台中的報告和資訊來監控用戶端部署和狀態。

  6. 檢視 [資產與相容性] 工作區 [裝置] 節點中的 [用戶端憑證] 欄位,來追蹤有多少用戶端使用用戶端 PKI 憑證

    您也可以在電腦上部署 Configuration Manager HTTPS 整備評估工具 (cmHttpsReadiness.exe),並使用報告檢視有多少電腦可以搭配 Configuration Manager 使用用戶端 PKI 憑證。

    System_CAPS_note注意事項

    Configuration Manager 用戶端安裝在用戶端電腦上時,會將 cmHttpsReadiness.exe 工具安裝在 %windir%\CCM 資料夾中。 在用戶端上執行此工具時,您可以指定以下選項:

    • /Store:<名稱>

    • /Issuers:<清單>

    • /Criteria:<準則>

    • /SelectFirstCert

    這些選項會分別對應至 CCMCERTSTORECCMCERTISSUERSCCMCERTSELCCMFIRSTCERT Client.msi 內容。 如需有關這些選項的詳細資訊,請參閱關於 Configuration Manager 中的用戶端安裝內容

  7. 您自信有足夠數目的用戶端成功使用其用戶端 PKI 憑證透過 HTTP 進行驗證時,請執行下列作業:

    1. 將 PKI Web 伺服器憑證部署至將執行網站上其他管理點的成員伺服器,並在 IIS 中設定該憑證。 如需詳細資訊,請參閱為 Configuration Manager 部署 PKI 憑證的逐步範例:Windows Server 2008 憑證授權單位主題中的為執行 IIS 的站台系統部署 Web 伺服器憑證一節。

    2. 將管理點角色安裝在此伺服器上,並在 [HTTPS] 的管理點內容中設定 [用戶端連線] 選項。

  8. 監控並確認具備 PKI 憑證的用戶端藉由使用 HTTPS 來使用新的管理點。 您可以使用 IIS 記錄或效能計數器來確認此項。

  9. 重新設定其他網站系統角色以使用 HTTPS 用戶端連線。 如果您想管理網際網路上的用戶端,請確認網站系統具備網際網路 FQDN,並設定個別管理點和發佈點,以接受來自網際網路的用戶端連線。

    System_CAPS_important重要事項

    設定網站系統角色以接受來自網際網路的連線前,請檢閱以網際網路為基礎的用戶端管理的規劃資訊和必要條件。 如需詳細資訊,請參閱規劃 Configuration Manager 中的通訊 主題中的規劃以網際網路為基礎的用戶端管理一節。

  10. 延伸用戶端與執行 IIS 之網站系統的 PKI 憑證首度發行,並按需求設定 HTTPS 用戶端連線與網際網路連線的網站系統角色。

  11. 針對最高安全性:您自信所有用戶端都使用用戶端 PKI 憑證進行驗證和加密時,請將網站內容變更至僅使用 HTTPS。

遵循此規劃來漸漸導入 PKI 憑證時,若先僅透過 HTTP 進行驗證,然後透過 HTTPS 驗證並加密,您就會降低用戶端變成不受管理的風險。 此外,您也會因 Configuration Manager 支援的最高安全性而受益。

Configuration Manager 受信任根的金鑰提供 Configuration Manager 用戶端機制來確認網站系統隸屬其階層。 每個網站伺服器會產生網站交換金鑰,以與其他網站通訊。 來自階層頂層網站的網站交換金鑰稱為受信任的根金鑰。

Configuration Manager 中受信任根金鑰的功能類似公開金鑰基礎結構的根憑證,因為由受信任根金鑰的私密金鑰所簽署的任何物件,都會沿著階層受到信任。 例如,藉由以受信任根金鑰組的私密金鑰來簽署管理點憑證,以及藉由複製用戶端可用之受信任根金鑰組的公開金鑰,用戶端可以區別出階層中的管理點與不在階層中的管理點。 用戶端使用 WMI 將受信任根金鑰的複本儲存在命名空間 root\ccm\locationservices 中。

用戶端可以使用兩種機制,自動擷取受信任根金鑰的公開複本。

  • Active Directory 架構會針對 Configuration Manager 進行延伸、網站會發佈至 Active Directory 網域服務,而用戶端可以從全域目錄伺服器擷取此網站資訊。

  • 用戶端是使用用戶端推入安裝的。

如果用戶端無法使用其中一種機制來擷取受信任根金鑰,就會信任由第一個與其通訊的管理點所提供的受信任根金鑰。 在此案例中,可能會將用戶端錯誤導向到攻擊者的管理點 (該管理點會接收來自 Rogue 管理點的原則)。 這很可能是狡猾攻擊者的行為,並且只會在用戶端從有效管理點擷取受信任根金鑰前的有限時間內發生。 不過,若要降低攻擊者錯誤導向用戶端至 Rogue 管理點的這種風險,您可以使用受信任根金鑰來預先佈建用戶端。

使用以下程序預先佈建並確認 Configuration Manager 用戶端的受信任根金鑰。

  • 經由使用檔案,以受信任根金鑰預先佈建用戶端。

  • 不使用檔案的狀況下,以受信任根金鑰預先佈建用戶端。

  • 確認用戶端上的受信任根金鑰。

System_CAPS_note注意事項

若可以從 Active Directory 網域服務取得受信任根金鑰,或使用用戶端推入來安裝用戶端,就不需要使用受信任根金鑰來預先佈建用戶端。 此外,用戶端使用 HTTPS 與管理點通訊時,因為會使用 PKI 憑證來建立信任,所以您不需要預先佈建用戶端。

您可以搭配 CCMSetup.exe 使用 Client.msi 內容 RESETKEYINFORMATION = TRUE從用戶端移除受信任的根金鑰。 若要取代受信任的根金鑰,請重新安裝用戶端與新的受信任根金鑰,例如使用用戶端推入,或經由使用 CCMSetup.exe 來指定 Client.msi SMSPublicRootKey 內容。

經由使用檔案,以受信任根金鑰預先佈建用戶端

  1. 在文字編輯器中,開啟檔案 <Configuration Manager 目錄>\bin\mobileclient.tcf

  2. 找出項目 SMSPublicRootKey=,從該行複製金鑰,然後在不進行任何變更的狀況下關閉檔案。

  3. 建立新的文字檔,並貼上您從 mobileclient.tcf 檔案中複製的金鑰資訊。

  4. 儲存檔案,並將該檔案放到所有電腦都可以儲存的地方,但須確保檔案的安全,以避免遭到竄改。

  5. 使用接受 Client.msi 內容的任何安裝方式來安裝用戶端,並指定 Client.msi 內容 SMSROOTKEYPATH=<完整路徑與檔案名稱>

    System_CAPS_important重要事項

    在安裝用戶端期間為擁有額外的安全性而指定受信任的根金鑰時,您同時也必須指定站台碼,方法是使用 Client.msi 內容 SMSSITECODE=<站台碼>

不使用檔案的狀況下,以受信任根金鑰預先佈建用戶端

  1. 在文字編輯器中,開啟檔案 <Configuration Manager 目錄>\bin\mobileclient.tcf

  2. 找出項目 SMSPublicRootKey=,記下該行金鑰,或將其複製到剪貼簿上,然後在不進行任何變更的狀況下關閉檔案。

  3. 使用接受 Client.msi 內容的任何安裝方法來安裝用戶端,然後指定 Client.msi 內容 SMSPublicRootKey=<金鑰>,其中 <金鑰> 是您從 mobileclient.tcf 複製的字串。

    System_CAPS_important重要事項

    在安裝用戶端期間為擁有額外的安全性而指定受信任的根金鑰時,您同時也必須指定站台碼,方法是使用 Client.msi 內容 SMSSITECODE=<站台碼>

確認用戶端上的受信任根金鑰

  1. 在 [開始] 功能表上,按一下 [執行],然後輸入 Wbemtest

  2. 在 [Windows Management Instrumentation 測試器] 對話方塊中,按一下 [連線]。

  3. 在 [連線] 對話方塊的 [命名空間] 方塊中,輸入 root\ccm\locationservices,然後按一下 [連線]。

  4. 在 [Windows Management Instrumentation 測試器] 對話方塊的 [IWbemServices] 區段中按一下 [列舉類別]。

  5. 在 [超級類別資訊] 對話方塊中選取 [遞迴],然後按一下 [確定]。

  6. 在 [查詢結果] 視窗中向下捲動到清單結尾,然後按兩下 [TrustedRootKey ()]。

  7. 在 [TrustedRootKey 的物件編輯器] 對話方塊中,按一下 [執行個體]。

  8. 在顯示 [TrustedRootKey] 之執行個體的新 [查詢結果] 視窗中,按兩下 [TrustedRootKey=@]。

  9. 在 [TrustedRootKey=@ 的物件編輯器] 對話方塊中的 [內容] 區段,向下捲動到 [TrustedRootKey CIM_STRING]。 右側欄位中的字串是受信任根金鑰。 請確認該金鑰與檔案 <Configuration Manager 目錄>\bin\mobileclient.tcf 中的 SMSPublicRootKey 值相符。

針對所有用戶端通訊使用 PKI 憑證時,您不需要為協助保障用戶端資料通訊而規劃簽署與加密。 但是,如果您設定執行 IIS 的任何網站系統以允許 HTTP 用戶端連線,就必須決定如何協助網站保護用戶端通訊。

若要保護用戶端傳送至管理點的資料,您可以要求簽署資料。 此外,您可以要求來自使用 HTTP 之用戶端的所有已簽署資料都使用 SHA-256 演算法簽署。 雖然這個設定比較安全,但除非所有用戶端都支援 SHA-256,否則切勿啟用這個選項。 許多作業系統都可原生支援 SHA-256,但較舊的作業系統需要更新或是 Hotfix。 例如,執行 Windows Server 2003 SP2 的電腦必須安裝 知識庫文章 938397 中所參照的 Hotfix。

簽署有助保護資料不受竄改,而加密則可確保資料不會洩漏。 您可以為用戶端傳送至網站內管理點的清查資料與狀況訊息啟用 3DES 加密。 您不需要在用戶端上安裝任何更新以支援此選項,但請考慮在用戶端上所需求的額外 CPU 使用量,以及執行加密與解密的管理點。

如需如何設定簽章和加密設定的詳細資訊,請參閱設定簽署及加密主題中的設定 Configuration Manager 的安全性一節。

以角色為基礎的系統管理讓您使用下列任一種項目或所有項目為 System Center 2012 Configuration Manager 階層設計與實作系統管理安全:

  • 安全性角色

  • 集合

  • 安全性範圍

這些設定可為系統管理使用者定義系統管理範圍。 系統管理範圍控制系統管理使用者可在 Configuration Manager 主控台內檢視的物件,以及使用者對這些物件的權限。 以角色為基礎的系統管理會將設定複製到階層內的每個網站作為全域資料,然後套用至所有系統管理連線。

System_CAPS_important重要事項

網站間複寫延遲可避免網站接收以角色為基礎的系統管理變更。 如需有關監視網站間資料庫複寫方式的資訊,請參閱如何監視資料複寫連結和複寫狀態主題中的監視 Configuration Manager 站台與階層一節。

使用安全性角色以授與安全權限給系統管理使用者。 安全性角色實際上是指派給系統管理使用者以執行其系統管理工作的一組安全性權限。 這些安全權限定義系統管理使用者可執行的系統管理動作,以及針對特定物件類型所授與的權限。 最佳作法是指派可提供最低權限的安全性角色。

System Center 2012 Configuration Manager 有數個內建安全性角色以支援典型的系統管理工作分組,您可以建立專屬的自訂安全性角色以支援您特定的業務需求。 內建的安全性角色的範例:

  • 系統高權限管理員:這個安全性角色可授與 Configuration Manager 的所有權限。

  • 資產分析師:這個安全性角色允許系統管理使用者檢視使用 Asset Intelligence、軟體清查、硬體清查以及軟體計量所收集的資料。 系統管理使用者可以建立計量規則與 Asset Intelligence 類別、系列以及標籤。

  • 軟體更新管理員:此安全性角色授與權限以定義並部署軟體更新。 與此角色先關聯的系統管理角色可以建立集合、軟體更新群組、部署、範本並且啟用網路存取保護 (NAP) 的軟體更新。

System_CAPS_tip提示

您可以檢視內建安全性角色清單與您在 Configuration Manager 主控台建立的自訂安全性角色,包括角色的說明。 若要進行檢視,請在 [系統管理] 工作空間中,展開 [安全性],然後選取 [安全性角色]。

每個安全性角色針對不同的物件類型有特定的權限。 例如,[應用程式管理員] 安全性角色包含下列應用程式的權限:[許可]、[建立]、[刪除]、[修改]、[修改資料夾]、[移動物件]、[讀取/部署]、[設定安全性範圍]。 您無法變更內建安全性角色的權限,但您可以複製角色、進行變更,然後將這些變更另存為新的自訂安全性角色。 您也可以匯入從另一個階層匯出的安全性角色 (例如,從測試網路匯出)。 檢閱安全性角色與其權限以判定您是否要使用內建安全性角色,或是您必須建立您自己的自訂安全性角色。

利用下列步驟助您規劃安全性角色:

  1. 辨識系統管理使用者在 System Center 2012 Configuration Manager 中執行的工作。 這些工作可與一或多個管理工作群組相關,例如部署應用程式與套件、部署相容性所適用的作業系統與設定、設定網站與安全性、稽核、遠端控制電腦以及收集清查資料。

  2. 將這些系統管理工作對應到一個或多個內建安全性角色。

  3. 如果部分的系統管理使用者要執行多個安全性角色的工作,請將多個安全性角色指派給這些系統管理使用者,而不要建立結合多個工作的新安全性角色。

  4. 如果您辨識的工作無法對應到內建安全性角色,請建立並測試新的安全性角色。

如需如何建立和設定以角色為基礎之系統管理安全性角色的詳細資訊,請參閱建立自訂安全性角色主題中的設定安全性角色設定 Configuration Manager 的安全性小節。

集合可用來指定系統管理使用者可檢視或管理的使用者與電腦資源。 例如,如果系統管理使用者要部署應用程式或是執行遠端控制,則必須指派使用者安全性角色,以取得授與包含這些資源的集合的存取權限。 您可以選取使用者或裝置集合。

如需有關集合的詳細資訊,請參閱Configuration Manager 中的集合簡介

設定以角色為基礎的系統管理之前,檢查您是否必須基於下列原因建立新集合:

  • 功能性組織。 例如,區分伺服器與工作站的集合。

  • 地理對齊方式。 例如,區分北美與歐洲的集合。

  • 安全性需求和商務程序。 例如,區分生產與測試電腦的集合。

  • 組織對齊方式。 例如,區分每個業務單位的集合。

如需如何針對以角色為基礎的系統管理來設定集合的詳細資訊,請參閱設定集合以管理安全性主題中的設定 Configuration Manager 的安全性一節。

使用安全性範圍以提供系統管理使用者存取安全性物件。 安全性範圍為已命名的安全物件集,以群組身分指派至系統管理使用者。 所有安全物件都必須指派給一個或多個安全性範圍。Configuration Manager 有兩個內建安全性範圍:

  • 所有:此內建安全性範圍可授與所有範圍的存取權限。 您無法指派物件至此安全性範圍。

  • 預設:根據預設,所有物件都會使用此內建安全性範圍。 首次安裝 System Center 2012 Configuration Manager 時,所有物件都會被指派至此安全性範圍。

如果您想限制系統管理使用者可查看與管理的物件,您必須建立與使用您專屬的自訂安全性範圍。 安全性範圍不支援階層結構而且不可為巢狀。 安全性範圍可包含一個或多個物件類型,包括下列各項:

  • 警示訂閱

  • 應用程式

  • 開機映像

  • 界限群組

  • 設定項目

  • 自訂用戶端設定

  • 發佈點及發佈點群組

  • 驅動程式套件

  • 全域條件

  • 移轉作業

  • 作業系統映像

  • 作業系統安裝套件

  • 套件

  • 查詢

  • 網站

  • 軟體計量規則

  • 軟體更新群組

  • 軟體更新套件

  • 工作順序套件

  • Windows CE 裝置設定項目和套件

有部分物件無法包含在安全性範圍中,因為這些物件只能透過安全性角色來確保安全性。 這些物件的系統管理存取權無法限制為可用物件的子集合。 例如,您的系統管理使用者可能會建立僅限於特定網站使用的界限群組。 由於界限物件不支援安全性範圍,因此您無法為此使用者指派安全性範圍,以限制其只能存取可能與該網站相關聯的界限。 由於界限物件無法與安全性範圍產生關聯,指派包含界限物件存取權的安全性角色給使用者時,該使用者可存取階層中的所有界限。

不受安全性範圍限制的物件包括下列物件:

  • Active Directory 樹系

  • 系統管理使用者

  • 警示

  • 反惡意程式碼原則

  • 界限

  • 電腦關聯

  • 預設用戶端設計

  • 部署範本

  • 裝置驅動程式

  • Exchange Server 連接器

  • 移轉網站對網站對應

  • 行動裝置註冊設定檔

  • 安全性角色

  • 安全性範圍

  • 網站位址

  • 網站系統角色

  • 軟體標題

  • 軟體更新

  • 狀態訊息

  • 使用者裝置親和性

必須限制個別物件執行個體的存取時,請建立安全性範圍。 例如:

  • 您的系統管理使用者群組必須能夠查看生產應用程式而非測試應用程式。 為生產應用程式建立一個安全性範圍,並為測試應用程式建立另一個範圍。

  • 不同的系統管理使用者針對某些物件類型的執行個體需要不同的存取權限。 例如,系統管理使用者群組要求特定軟體更新群組的 [讀取] 權限,另一個系統管理使用者群組則需要其他軟體更新群組的 [修改] 與 [刪除] 權限。 針對這些軟體更新群組建立不同的安全性範圍。

如需如何針對以角色為基礎的系統管理來設定安全性範圍的詳細資訊,請參閱設定物件的安全性範圍主題中的設定 Configuration Manager 的安全性一節。

顯示: