Sicurezza e privacy per la gestione dei contenuti in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Questo articolo contiene informazioni sulla sicurezza e sulla privacy per la gestione dei contenuti in Configuration Manager.
Linee guida per la sicurezza
Vantaggi e svantaggi di HTTPS o HTTP per i punti di distribuzione Intranet
Per i punti di distribuzione nella intranet, considerare i vantaggi e gli svantaggi dell'uso di HTTPS o HTTP. Nella maggior parte degli scenari, l'uso di account HTTP e di accesso ai pacchetti per l'autorizzazione offre maggiore sicurezza rispetto all'uso di HTTPS con la crittografia, ma senza autorizzazione. Tuttavia, se si dispone di dati sensibili nel contenuto che si desidera crittografare durante il trasferimento, usare HTTPS.
Quando si usa HTTPS per un punto di distribuzione: Configuration Manager non usa gli account di accesso ai pacchetti per autorizzare l'accesso al contenuto. Il contenuto viene crittografato quando viene trasferito in rete.
Quando si usa HTTP per un punto di distribuzione: è possibile usare gli account di accesso ai pacchetti per l'autorizzazione. Il contenuto non viene crittografato quando viene trasferito in rete.
Valutare la possibilità di abilitare HTTP avanzato per il sito. Questa funzionalità consente ai client di usare l'autenticazione Microsoft Entra per comunicare in modo sicuro con un punto di distribuzione HTTP. Per altre informazioni, vedere HTTP avanzato.
Importante
A partire da Configuration Manager versione 2103, i siti che consentono la comunicazione client HTTP sono deprecati. Configurare il sito per HTTPS o HTTP avanzato. Per altre informazioni, vedere Abilitare il sito solo PER HTTPS o HTTP avanzato.
Proteggere il file del certificato di autenticazione client
Se si usa un certificato di autenticazione client PKI anziché un certificato autofirma per il punto di distribuzione, proteggere il file del certificato (con estensione pfx) con una password complessa. Se si archivia il file in rete, proteggere il canale di rete quando si importa il file in Configuration Manager.
Quando è necessaria una password per importare il certificato di autenticazione client usato dal punto di distribuzione per comunicare con i punti di gestione, questa configurazione consente di proteggere il certificato da un utente malintenzionato. Per impedire a un utente malintenzionato di manomettere il file del certificato, usare la firma SMB (Server Message Block) o IPsec tra il percorso di rete e il server del sito.
Rimuovere il ruolo del punto di distribuzione dal server del sito
Per impostazione predefinita, Configuration Manager programma di installazione installa un punto di distribuzione nel server del sito. I client non devono comunicare direttamente con il server del sito. Per ridurre la superficie di attacco, assegnare il ruolo del punto di distribuzione ad altri sistemi del sito e rimuoverlo dal server del sito.
Proteggere il contenuto a livello di accesso al pacchetto
La condivisione del punto di distribuzione consente l'accesso in lettura a tutti gli utenti. Per limitare gli utenti che possono accedere al contenuto, usare gli account di accesso ai pacchetti quando il punto di distribuzione è configurato per HTTP. Questa configurazione non si applica ai gateway di gestione cloud abilitati per il contenuto, che non supportano gli account di accesso ai pacchetti.
Per altre informazioni, vedere Account di accesso ai pacchetti.
Configurare IIS nel ruolo del punto di distribuzione
Se Configuration Manager installa IIS quando si aggiunge un ruolo del sistema del sito del punto di distribuzione, rimuovere il reindirizzamento HTTP e gli script e gli strumenti di gestione IIS al termine dell'installazione del punto di distribuzione. Il punto di distribuzione non richiede questi componenti. Per ridurre la superficie di attacco, rimuovere questi servizi ruolo per il ruolo del server Web.
Per altre informazioni sui servizi ruolo per il ruolo del server Web per i punti di distribuzione, vedere Prerequisiti del sistema del sito e del sito.
Impostare le autorizzazioni di accesso al pacchetto quando si crea il pacchetto
Poiché le modifiche apportate agli account di accesso nei file del pacchetto diventano effettive solo quando si ridistribuisce il pacchetto, impostare attentamente le autorizzazioni di accesso al pacchetto quando si crea il pacchetto per la prima volta. Questa configurazione è importante quando il pacchetto è di grandi dimensioni o distribuito in molti punti di distribuzione e quando la capacità della larghezza di banda di rete per la distribuzione del contenuto è limitata.
Implementare controlli di accesso per proteggere i supporti che contengono contenuto pre-installato
Il contenuto pre-installato viene compresso ma non crittografato. Un utente malintenzionato può leggere e modificare i file scaricati nei dispositivi. Configuration Manager client rifiutano il contenuto manomesso, ma lo scaricano comunque.
Importare contenuto pre-installato con ExtractContent
Importare contenuto pre-installato solo usando lo strumento da riga di comando ExtractContent.exe. Per evitare manomissioni e elevazione dei privilegi, usare solo lo strumento da riga di comando autorizzato fornito con Configuration Manager.
Per altre informazioni, vedere Distribuire e gestire il contenuto.
Proteggere il canale di comunicazione tra il server del sito e il percorso di origine del pacchetto
Usare la firma IPsec o SMB tra il server del sito e il percorso di origine del pacchetto quando si creano applicazioni, pacchetti e altri oggetti con contenuto. Questa configurazione consente di impedire a un utente malintenzionato di manomettere i file di origine.
Rimuovere le directory virtuali predefinite per il sito Web personalizzato con il ruolo del punto di distribuzione
Se si modifica l'opzione di configurazione del sito per usare un sito Web personalizzato anziché il sito Web predefinito dopo l'installazione di un ruolo del punto di distribuzione, rimuovere le directory virtuali predefinite. Quando si passa dal sito Web predefinito a un sito Web personalizzato, Configuration Manager non rimuove le directory virtuali precedenti. Rimuovere le directory virtuali seguenti che Configuration Manager create originariamente nel sito Web predefinito:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
Per altre informazioni sull'uso di un sito Web personalizzato, vedere Siti Web per i server del sistema del sito.
Per i gateway di gestione cloud abilitati per il contenuto, proteggere i dettagli e i certificati della sottoscrizione di Azure
Quando si usano gateway di gestione cloud abilitati per il contenuto, proteggere gli elementi di valore elevato seguenti:
- Nome utente e password per la sottoscrizione di Azure
- Chiavi segrete per le registrazioni delle app di Azure
- Certificato di autenticazione del server
Archiviare i certificati in modo sicuro. Se si passa alla rete quando si configura il cmg, usare la firma IPsec o SMB tra il server del sistema del sito e il percorso di origine.
Per la continuità del servizio, monitorare la data di scadenza dei certificati cmg
Configuration Manager non avvisa quando i certificati importati per cmg stanno per scadere. Monitorare le date di scadenza indipendentemente da Configuration Manager. Assicurarsi di rinnovare e quindi importare i nuovi certificati prima della data di scadenza. Questa azione è importante se si acquisisce un certificato di autenticazione server da un provider pubblico esterno, perché potrebbe essere necessario più tempo per acquisire un certificato rinnovato.
Se un certificato scade, il gestore dei servizi cloud Configuration Manager genera un messaggio di stato con ID 9425. Il file CloudMgr.log contiene una voce che indica che il certificato è scaduto, con anche la data di scadenza registrata in formato UTC.
Considerazioni sulla sicurezza
I client non convalidano il contenuto fino a quando non viene scaricato. Configuration Manager client convalidano l'hash sul contenuto solo dopo il download nella cache client. Se un utente malintenzionato manomette l'elenco di file da scaricare o con il contenuto stesso, il processo di download può richiedere una larghezza di banda di rete considerevole. Il client elimina quindi il contenuto quando trova l'hash non valido.
Quando si usano gateway di gestione cloud abilitati per il contenuto:
Limita automaticamente l'accesso al contenuto all'organizzazione. Non è possibile limitarlo ulteriormente agli utenti o ai gruppi selezionati.
Il punto di gestione autentica innanzitutto il client. Il client usa quindi un token di Configuration Manager per accedere all'archiviazione cloud. Il token è valido per otto ore. Questo comportamento significa che se si blocca un client perché non è più attendibile, può continuare a scaricare il contenuto dall'archiviazione cloud fino alla scadenza di questo token. Il punto di gestione non emetterà un altro token per il client perché è bloccato.
Per evitare che un client bloccato scarichi contenuto entro questa finestra di otto ore, arrestare il servizio cloud. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Servizi cloud e selezionare il nodo Gateway di gestione cloud.
Informazioni sulla privacy
Configuration Manager non include dati utente nei file di contenuto, anche se un utente amministratore potrebbe scegliere di eseguire questa azione.