本文介绍了Jamf Cloud和内部部署托管的Jamf Pro服务器的建议安全设置。您必须确保Jamf Pro服务器和所有支持技术(包括服务器操作系统,Java,Apache Tomcat和MySQL)符合您自己的内部安全标准。本文提供了一些有关如何确保Jamf Pro服务器和底层基础架构是最新且安全的基本建议。

常规设置
Jamf Pro服务器设置
为确保您的服务器尽可能安全,您可以在Jamf Pro中启用以下与安全相关的设置:

为Jamf Pro用户帐户配置密码策略。
有关详细信息,请参阅Jamf Pro管理员指南中Jamf Pro用户帐户和组页面的“配置密码策略”部分。
启用所需的最低权限。
为所有用户帐户和组启用组织所需的最低权限。有关详细信息,请参阅Jamf Pro管理员指南中Jamf Pro用户帐户和组页面的“创建Jamf Pro用户帐户”部分。
配置“更改管理”设置以记录更改。
通过配置Change Management设置(为Jamf Cloud实例自动启用)记录Jamf Pro中的更改。有关详细信息,请参阅Jamf Pro管理员指南中“ 更改管理”页面中的“查看Jamf Pro中的更改管理日志”部分。
以适当的间隔安排日志刷新。
有关详细信息,请参阅Jamf Pro管理员指南中“ 刷新日志”页面的“计划日志刷新 ”部分。
启用基于证书的身份验证并配置SSL证书验证
在启用此选项之前,请确保Jamf Pro服务器具有有效的Web服务器证书。有关详细信息,请参阅Jamf Pro管理员指南中的“ 安全设置”页面和“ 安全配置SSL证书验证知识库”一文。
要求用户身份验证自助服务。
有关详细信息,请参阅Jamf Pro管理员指南中的macOS用户登录设置自助服务页面。
要求用户在通过自动MDM注册注册时进行身份验证。
当使用Jamf Pro中的PreStage注册通过Apple的设备注册(以前称为DEP)注册时,要求用户在计算机或移动设备设置期间进行身份验证。有关详细信息,请参阅Jamf Pro管理员指南中的计算机PreStage注册和移动设备PreStage注册页面。
内容分发
云分发点
Jamf云分发服务(JCDS)
如果您的Jamf Pro服务器托管在Jamf Cloud中并且您拥有基于订阅的选项,则可以使用Jamf Cloud分发服务(JCDS)作为您的云分发点。

Amazon CloudFront
您还可以使用Amazon CloudFront为带有签名URL的内容提供服务。有关更多信息,请参阅Amazon的以下文档:https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-signed-urls.html

Akamai
使用带有令牌的Akamai启用授权保护也是一种安全的内容交付网络选项。有关如何在Akamai中使用令牌授权的更多信息,请参阅Akamai的以下文档:https://learn.akamai.com/en-us/webhelp/media-services-on-demand/stream-packaging-user-guide /GUID-4EB9C226-4B31-4BBD-B545-1CAB8917E3D1.html

有关配置,测试和复制云分发点的更多信息,请参阅Jamf Pro管理员指南的Cloud Distribution Point页面。

文件共享分发点
如果您无法使用JCDS或已配置自己的文件共享分发点,则Jamf Pro服务器允许您将内容分发到托管计算机和设备。请考虑以下有关保护内容分发的建议:

文件共享(导航到设置 > 服务器基础结构 > 文件共享分发点 >选择分发点> 文件共享选项卡):

考虑为服务器使用非标准端口(有关标准端口的详细信息,请参阅Jamf Pro知识库文章使用的网络端口。)
为读/写和只读权限创建单独的服务帐户
HTTP下载(导航到设置 > 服务器基础结构 > 文件共享分发点 >选择分发点> HTTP / HTTPS选项卡):

通过选中“ 使用HTTP下载”复选框启用HTTP
通过选中“ 使用SSL”复选框启用S​​SL(安全套接字层)
通过从“ 身份验证类型”弹出菜单中选择“用户名和密码”,需要身份验证才能下载文件
有关详细信息,请参阅Jamf Pro管理员指南中的“ 文件共享分发点”页面。

托管设备
macOS计算机
建议您使用以下建议来保护macOS计算机:

通过选择计算机策略的随机生成新密码复选框并为密码策略配置密码重置频率来增加管理帐户密码安全性
通过在计算机配置概要文件中部署密码有效负载,为本地用户帐户配置密码复杂性
需要FileVault 2加密(有关详细信息,请参阅Jamf Pro管理员指南中的“ 部署磁盘加密配置”页面。)
配置条件访问(有关详细信息,请参阅Jamf Pro管理员指南中的Microsoft Intune Integration页面。)
iOS设备
建议您使用以下建议来保护iOS设备:

通过在移动设备配置概要文件中部署密码有效负载,为本地用户帐户配置密码复杂性
确保在分发应用程序时选中“ 尽可能管理应用程序”复选框以保证数据安全
补丁政策和报告
使用最新的安全修补程序使您的应用程序保持最新非常重要。有关详细信息,请参阅Jamf Pro管理员指南中的修补程序策略和修补程序报告页面。

脚本
自定义或预构建脚本是执行计算机命令的常用方法,可以使用策略运​​行。避免在脚本中为Jamf Pro服务器管理员硬编码帐户凭据。

内部部署特定设置
服务器OS
您可以在符合Jamf Pro管理员指南的Jamf Pro系统要求页面上列出的要求的任何服务器上托管Jamf Pro 。
注意:虽然您可以在任何满足最低要求的服务器上安装Jamf Pro,但适用于Mac,Linux和Windows的Jamf Pro安装程序还有其他要求。有关更多信息,请参见适用于您的平台的Jamf Pro安装和配置指南。

要进一步保护服务器操作系统,请考虑以下系统设置建议:

禁用访客访问权限
禁用自动登录
删除不必要的服务帐户
删除或重置所有默认密码
将帐户权限限制为最低要求
将流程限制为最低要求
控制可用端口和网络服务
Java的
Jamf Pro服务器和支持技术(Apache Tomcat)依赖Java Development Kit(JDK)和无限强度的Java Cryptography Extensions(JCE)。建议运行所选操作系统支持的最新版JDK,包括无限强度的JCE文件。有关如何安装Java的更多信息,请参阅安装Java和MySQL知识库文章。

Apache Tomcat
Apache Tomcat是一个开源Web服务器,由Apache Software Foundation开发和维护,用于运行Jamf Pro Web应用程序。有关保护Apache Tomcat的更多信息,请参阅Open Web Application Security Project(OWASP)文章:https://www.owasp.org/index.php/Securing_tomcat

以下建议(其中一些是Jamf Pro安装程序默认实现的)将帮助您确保Apache Tomcat是最新且安全的。
注意:建议您在进行任何更改之前创建server.xml文件的备份。

修改server.xml文件
通过执行以下操作修改server.xml文件:

仅使用HTTPS并禁用HTTP通过禁用HTTP
修改server.xml文件。
<!--
<Connector URIEncoding=”UTF-8” executor=”tomcatThreadPool” port=“9006” protocol=”HTTP/1.1”
connectionTimeout=”20000” maxPostSize=”8388608” redirectPort=”8443” />
-->
配置强密码和加密
有关要替换的密码的详细信息,请参阅为Tomcat HTTPS连接配置支持的密码知识库文章。要配置加密,请参阅OWASP文章中的以下建议:https://www.owasp.org/index.php/Securing_tomcat#Encryption
配置启用SSL的协议
有关如何配置启用SSL的协议的详细信息,请参阅“ 缓解SSL v3.0 POODLE漏洞知识库”一文。
启用访问日志记录
要使用默认访问日志阀,请取消注释或将Valve className设置为“org.apache.catalina.valves.AccessLogValve”。您可以使用Apache Tomcat中的以下文档来使用默认日志值或配置模式属性值:https://tomcat.apache.org/tomcat-8.5-doc/config/valve.html#Extended_Access_Log_Valve
修改连接器以防止Tomcat版本泄露
为防止在响应HTTP标头中报告Tomcat版本,请从连接器中删除server =“Apache Tomcat”。
修改ServerInfo.properties文件以防止服务器版本泄露
要防止服务器版本泄露,请使用Apache Tomcat文档“Valves”部分中的建议修改ServerInfo.properties文件:https://tomcat.apache.org/tomcat-8.0-doc/security-howto.html#Valves

替换默认错误页面以防止版本泄露(web.xml)
要替换默认错误页面,请使用OWASP文档中的建议修改web.xml文件:https://www.owasp.org/index.php/Securing_tomcat

启用S​​SL证书验证
使用颁发者,主题备用名称(SAN)和到期日期进行验证。有关如何配置SSL证书验证设置的详细信息,请参阅安全配置SSL证书验证知识库文章。

(可选)修改web.xml以限制特定的Web应用程序servlet
修改web.xml以限制特定Web应用程序servlet,方法是更改​​其行为或从文件中删除它们。

MySQL的
MySQL是由Oracle开发和维护的关系数据库管理系统。Jamf Pro服务器使用MySQL作为后端数据库来存储和维护系统数据。您应该使用以下建议确保MySQL是最新且安全的。

运行默认的mysql_secure_installation
如果mysql_secure_installation可用,运行它可以通过设置root帐户的密码并删除某些帐户,测试基础和访问权限来提高MySQL安装的安全性。使用下表确定操作系统的mysql_secure_installation文件路径。

操作系统 文件路径
苹果系统
在/ usr /本地/ MySQL的/斌/ mysql_secure_installation
Ubuntu的
在/ usr / bin中/ mysql_secure_installation
视窗
perl C:\ Program Files \ MySQL \ MySQL Server xx \ bin \ mysql_secure_installation.pl

注意: Perl需要单独运行mysql_secure_installation或在安装后运行它。
如果mysql_secure_installation不可用,请执行以下操作:

设置root帐户的密码
删除匿名用户帐户的所有权限
删除测试数据库和所有相关权限
使用安全密码创建唯一的数据库名称和唯一的MySQL用户
有关如何更改数据库名称和根 MySQL用户密码的详细信息,请参阅创建Jamf Pro数据库知识库文章。
注意:要提高安全性,请使用与知识库文章中的示例不同的唯一数据库名称和根 MySQL用户密码。

将权限限制为最低要求
对于独立Web应用程序或群集环境中的主节点,请执行以下操作:
GRANT INSERT, SELECT, UPDATE, DELETE, CREATE, DROP, ALTER, INDEX, LOCK TABLES ON <database>.* TO ‘<username>’@’<hostname>’ IDENTIFIED BY ‘<password>’;
对于群集环境中的子节点,请执行以下操作:
GRANT INSERT, SELECT, UPDATE, DELETE, DROP, LOCK TABLES ON <database>.* TO '<username>'@'<hostname>' IDENTIFIED BY '<password>';
要查看具有不同MySQL用户的群集节点的连接,请执行以下操作:
GRANT PROCESS ON *.* TO ‘<username>’@’<hostname>’ IDENTIFIED BY ‘<password>’;
安排数据库备份
有关更多信息,请参阅使用Jamf Pro数据库实用程序知识库文章备份数据库。

删除<DataBasePassword>键或设置空值
如果从配置文件中删除了数据库密码,则必须在启动期间手动为Jamf Pro服务器Web应用程序输入数据库密码。在群集环境中,必须为每个单独的节点手动输入数据库密码。
注意:包含默认值仅供参考。在生产环境中使用唯一值。

<DataBase>
...
<DataBaseName>jamfsoftware</DataBaseName>
<DataBaseUser>jamfsoftware</DataBaseUser>
<DataBasePassword></DataBasePassword>
...
</DataBase>Jamf Pro安全建议-IDC帮帮忙