Основы безопасности диспетчера конфигурации

В этой статье обобщены следующие основные компоненты безопасности любой среды Configuration Manager:

Уровни безопасности

Безопасность диспетчера конфигурации состоит из следующих уровней:

Первый уровень обеспечивается Windows для операционной системы и сети. Этот слой включает в себя следующие компоненты:

Обмен файлами для передачи файлов между компонентами Configuration Manager.

Списки управления доступом (ACLs) для защиты файлов и ключей реестра.

Безопасность протоколов Интернета (IPsec) для обеспечения безопасности сообщений.

Политика группового набора политики безопасности.

Разрешения распределенной объектной модели компонентов (DCOM) для распределенных приложений, например консоли Configuration Manager.

Службы домена Active Directory для хранения принципов безопасности.

Windows учетной записи, в том числе некоторые группы, которые диспетчер конфигурации создает во время настройки.

Компоненты сетевой безопасности, такие как брандмауэры и обнаружение вторжений, помогают обеспечить защиту для всей среды. Сертификаты, выдаваемые в отраслевых стандартах реализации инфраструктуры общедоступных ключей (PKI), помогают обеспечить проверку подлинности, подписание и шифрование.

По умолчанию только местные администраторы имеют права на файлы и ключи реестра, которые требуется консоли Configuration Manager на компьютерах, на которых она устанавливается.

Следующий уровень безопасности основан на доступе к поставщику SMS. Поставщик SMS — это компонент Configuration Manager, который предоставляет пользователю доступ к запросу базы данных сайта для получения сведений. Поставщик SMS предоставляет доступ в основном Windows инструментов управления (WMI), а также API REST, называемого службой администрирования.

По умолчанию доступ к поставщику ограничен членами локальной группы администраторов SMS. Эта группа сначала содержит только пользователя, который установил диспетчер конфигурации. Чтобы предоставить другим учетным записям разрешение репозиторию Общей информационной модели (CIM) и поставщику SMS, добавьте другие учетные записи в группу администраторов SMS.

Вы можете указать минимальный уровень проверки подлинности для администраторов для доступа к сайтам Configuration Manager. Эта функция обеспечивает администраторам возможность войти в Windows с требуемой степенью. Дополнительные сведения см. в сообщении Plan for the SMS Provider.

Окончательный уровень безопасности основан на разрешениях на объекты в базе данных сайта. По умолчанию учетная запись Локальной системы и учетная запись пользователя, которую вы использовали для установки Configuration Manager, могут управлять всеми объектами в базе данных сайта. Предоставление и ограничение разрешений другим административным пользователям консоли Configuration Manager с помощью администрирования на основе ролей.

Администрирование на основе ролей

Диспетчер конфигурации использует администрирование на основе ролей для защиты таких объектов, как коллекции, развертывания и сайты. Эта модель администрирования централизованно определяет и управляет настройками доступа к безопасности по всей иерархии для всех сайтов и параметров сайта.

Администратор назначает роли безопасности административным пользователям и разрешениям группы. Разрешения подключены к различным типам объектов Configuration Manager, например для создания или изменения параметров клиента.

Области безопасности включают конкретные экземпляры объектов, которые административный пользователь несет ответственность за управление. Например, приложение, которое устанавливает консоль Configuration Manager.

Сочетание ролей безопасности, областей безопасности и коллекций определяет объекты, которые административный пользователь может просматривать и управлять ими. Диспетчер конфигурации устанавливает некоторые роли безопасности по умолчанию для типичных задач управления. Создайте собственные роли безопасности для поддержки определенных бизнес-требований.

Защита конечных точек клиента

Диспетчер конфигурации обеспечивает клиентскую связь с ролями системы веб-сайтов с помощью самозаверяемого или PKI-сертификата или маркеров Azure Active Directory (Azure AD). Некоторые сценарии требуют использования сертификатов PKI. Например, управление клиентами на основе Интернетаи для клиентов мобильных устройств.

Вы можете настроить роли системы сайта, к которым подключаются клиенты для https или http-клиентской связи. Клиентские компьютеры всегда общаются с помощью доступного наиболее безопасного метода. Клиентские компьютеры отстают от использования менее безопасного метода связи, если у вас есть роли систем сайта, которые позволяют http-связь.

Начиная с версии Configuration Manager 2103, сайты, позволяющие http-клиентской связи, отстают. Настройка сайта для HTTPS или расширенного HTTP. Дополнительные сведения см. в странице Включить сайт только для HTTPS или расширенного HTTP.

Дополнительные сведения см. в проекте Plan for Security.

Учетные записи и группы диспетчера конфигурации

Диспетчер конфигурации использует учетную запись Локальной системы для большинства операций на сайте. Некоторые операции сайта позволяют использовать учетную запись службы, а не использовать учетную запись компьютера домена сервера сайта. Некоторые задачи управления могут потребовать создания и обслуживания других учетных записей. Например, присоединиться к домену во время последовательности задач развертывания ОС.

Диспетчер конфигурации создает несколько групп по умолчанию и SQL Server ролей во время установки. Возможно, вам придется вручную добавлять учетные записи компьютеров или пользователей в группы по умолчанию и SQL Server ролей.

Конфиденциальность

Перед реализацией Configuration Manager рассмотрите требования к конфиденциальности. Несмотря на то, что продукты управления предприятиями предоставляют множество преимуществ, так как они могут эффективно управлять большим количеством клиентов, это программное обеспечение может повлиять на конфиденциальность пользователей в вашей организации. Диспетчер конфигурации включает в себя множество средств для сбора данных и мониторинга устройств. Некоторые средства могут привести к проблеме конфиденциальности в организации.

Например, при установке клиента Configuration Manager по умолчанию включается множество параметров управления. Эта конфигурация заставляет клиентские программы отправлять сведения на сайт Configuration Manager. На сайте хранится клиентская информация в базе данных сайта. Сведения о клиентах не отправляются напрямую в Корпорацию Майкрософт. Дополнительные сведения см. в сведениях о диагностике и использовании.