基於憑證的用戶端安全性

Ivanti® Endpoint Manager 2016 對於 Windows 裝置採用新的用戶端憑證式安全性模型。此安全模型啟動時，只有具備有效憑證的裝置才能將安全核心伺服器資料解密。

在 2020.1 版中，這是預設啟用的安全性，安裝程式不會再詢問您是否要啟用它。如果您要升級到 2020.1 (含) 以上版本，但在舊版中尚未啟用用戶端憑證式安全性，則須依照本主題的以下步驟操作。

如果您已在 2016 (含) 以上版本中啟用用戶端憑證式安全性，而現在要升級到更新的 Endpoint Manager 版本，則不需依照本主題的以下步驟操作。

如果 Endpoint Manager 2016 (含) 以上版本是第一次安裝於網路環境中的 Endpoint Manager，您可以安全啟用用戶端憑證式安全性，因為不存在舊版代理程式。

如果裝置有舊版代理程式，而您啟用以用戶端憑證為基礎的安全性，則這些裝置無法將核心伺服器的安全資料解密，而且許多代理程式功能無法正常運作。

以用戶端憑證為基礎的安全性啟用後，將無法停用。

請按照下列步驟啟用以用戶端憑證為基礎的安全性

1.評估整備程度並更新執行舊版 (9.x) 代理程式的裝置

2.核准用戶端憑證

3.在核心伺服器上啟用以用戶端憑證為基礎的安全性

4.將用戶端使用的核心伺服器元件密碼重新加密

5.(如果您使用核心伺服器同步):將新的加密金鑰複製到其他核心伺服器

步驟 1:確保受管理裝置準備就緒。

「安全性設定」對話方塊 (配置 > 安全性) 有圖表顯示受管理裝置以憑證為基礎的身分驗證成功率。受管理裝置嘗試進行核心伺服器的安全連線時，或安全性掃描器 (vulscan.exe) 執行時，連線結果會儲存於裝置清單。即使尚未啟用新的安全模型，也會如此進行。

新的安全模型啟用後，不是驗證成功狀態的裝置無法完全受管理。通常是舊版裝置代理程式造成裝置處於其他狀態。請在裝置準備就緒時，再啟用新的安全模型。

此對話方塊中的圖表摘要說明連線嘗試結果:

• 驗證成功:裝置有 2016 版代理程式，已經安全連接，而且準備使用新的安全模型。理想上，所有裝置都在這裡。
• 無驗證資訊:裝置尚未嘗試安全連線，或者安全性掃描器尚未向核心伺服器回報連線結果。請注意，如果核心伺服器未安裝代理程式，核心伺服器將出現在此清單中，這是正常現象。
• 驗證失敗:裝置嘗試驗證，但是由於某些因素而無法驗證。這通常是因為裝置尚未收到用戶端憑證核准 (配置 > 管理用戶端存取)，如下一節所述。
• 用戶端代理程式必須升級:裝置無法驗證，因為裝置執行舊版 (9.x) 代理程式。

按兩下圖表中的項目，在網路檢視中顯是相關裝置。對於您按兩下的項目自動產生的查詢將出現在查詢 > 我的查詢 > 圖表產生的查詢。您可以使用此檢視更容易鎖定或處理裝置。

Ivanti Management > 以用戶端憑證為基礎的安全性 > 驗證狀態下的裝置清單提供更多連線詳細資料。

步驟 2: 核准用戶端憑證

Endpoint Manager 2016 代理程式安裝也會自動產生用戶端安全性憑證。這在過去是管理員必須在代理程式安裝後手動進行的動作。有安全性憑證的裝置初次與核心伺服器進行通訊時，核心伺服器會在用戶端存取對話方塊的管理用戶端憑證標籤中新增該裝置的「未核准」項目。管理員接著即可核准或封鎖這些憑證的核心伺服器存取權。

以用戶端憑證為基礎的安全性未啟用時，未核准裝置會正常運作，但是無法在獲得核准前透過雲端服務器具 (CSA) 進行通訊。

以用戶端憑證為基礎的安全性啟用時，未核准裝置無法將核心伺服器的安全資料解密，而且許多代理程式功能無法正常運作。

您核准裝置的憑證時，在該裝置執行安全性掃描來觸發新的驗證檢查前，核心伺服器將無法取得該裝置的驗證狀態更新。

您可以檢視憑證核准狀態圖表，瞭解核准進度和狀態的詳細資訊 (工具 > 安全性和遵從性 > 安全性活動)。

若要管理用戶端憑證核准

1.按一下配置 > 管理用戶端存取。

2.選取有效的未核准裝置，並按一下核准已選項目。

3.按一下關閉。

步驟 3:在核心伺服器上啟用以用戶端憑證為基礎的安全性

如果您確定環境已經對於以用戶端憑證為基礎的安全性準備就緒，而且您準備啟用它，請執行以下操作。

若要啟用以用戶端憑證為基礎的安全性

1.按一下配置 > 安全性。

2.檢視圖表並閱讀警告。確定您瞭解並準備升級。

3.按一下以用戶端憑證為基礎的安全性選項按鈕加以啟用。

4.如果您要儲存驗證和加密結果，請選取所需的選項。

5.按一下儲存。

6.仔細閱讀出現的安全性設定警告對話方塊。

7.按一下確定啟動以用戶端憑證為基礎的安全性。如果不確定是否已準備就緒，請按一下取消。這在啟動後將無法停用。

步驟 4:重新加密核心伺服器元件密碼

您啟用以用戶端憑證為基礎的驗證時，核心伺服器會建立用於將新資料加密的全新獨特加密金鑰。您啟用新的安全模型後未變更的資料仍將按照原有的方式加密。若要重新加密與受管理裝置共用的重要核心伺服器元件密碼，請在啟用新的安全模型後變更該密碼。

若要更新偏好伺服器密碼

1.按一下工具 > 分發 > 內容複寫/偏好伺服器。

2.在各個偏好伺服器的內容中，變更密碼。

若要更新儲存於軟體套件中的認證

1.按一下工具 > 分發 > 分發套件。

2.在工具列上，按一下大量套件認證更新。

3.輸入網域\使用者和密碼資訊。

4.按一下更新。

若要更新分發和修補代理程式密碼

1.按一下工具 > 組態 > 代理程式組態。

2.在樹狀結構中，按一下分發和修補。

3.編輯各個分發和修補代理程式組態，並且在「MSI 資訊」頁上更新 MSI 和執行身分認證。

步驟 5 (如果您使用核心伺服器同步):將新的加密金鑰複製到其他核心伺服器

如果您配置的核心伺服器使用核心伺服器同步，您將看見需要將加密金鑰複製到其他這些核心伺服器的額外警告。使用新的加密金鑰將資料加密後，目標核心伺服器無法在您這麼做前將該資料解密。

從此資料夾將 .xml 加密金鑰安全複製到目標核心伺服器上的同一個資料夾:

• C:\Program Files\LANDesk\Shared Files\keys\Compatible

由於這些是加密金鑰，因此務必小心處理。只有核心伺服器才應該能夠存取這些。