Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Softwareverteilung

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung des Themas – August 2008

Die Softwareverteilung ist ein leistungsstarkes Feature, das als Hauptangriffspunkt ausgenutzt werden kann, wenn es nicht ausreichend gesichert ist. Beim Installieren von Paketen kann Microsoft System Center Configuration Manager 2007 entweder im Benutzer- oder Systemkontext erhöhte Berechtigungen verwenden, auch wenn der Benutzer über keine Administratorrechte verfügt. Durch diese besondere Funktion von Microsoft System Center Configuration Manager 2007 wird es Angreifern möglich, erfolgreiche Angriffe zum Erhöhen der Rechte durchzuführen.

Empfehlungen

Konfigurieren Sie Ankündigungen immer zum Herunterladen von Inhalt.     Die Konfigurierung von Inhalt vom Verteilungspunkt herunterladen und lokal ausführen ist sicherer, da Configuration Manager 2007 den Pakethashwert nach dem Herunterladen des Inhalts überprüft und das Paket verwirft, wenn der Hash nicht mit dem Hash in der Richtlinie übereinstimmt. Wenn Sie die Ankündigung für Programm vom Verteilungspunkt ausführen konfigurieren, wird keine Überprüfung durchgeführt und Angreifer können den Inhalt manipulieren. Wenn Sie das Programm vom Verteilungspunkt ausführen müssen, verwenden Sie die geringstmöglichen NTFS-Berechtigungen für das Paket auf dem Verteilungspunkt und IPsec (Internetprotokollsicherheit), um den Kanal zwischen Client und Verteilungspunkt und zwischen Verteilungspunkt und Standortserver zu sichern.

Erlauben Sie keine Benutzerinteraktionen für Programme, die mit Administratorrechten ausgeführt werden müssen.     Wenn Sie ein Programm konfigurieren, können Sie die Option Benutzerinteraktion mit dem Programm zulassen festlegen, damit Benutzer auf alle erforderlichen Aufforderungen auf der Benutzeroberfläche reagieren können. Ist das Programm auch für Mit Administratorrechten ausführen konfiguriert, kann ein Angreifer auf den Computer, auf dem das Programm ausgeführt wird, die Benutzeroberfläche verwenden, um die Berechtigungen für den Clientcomputer auszuweiten. Verwenden Sie auf Windows Installer basierende Installationsprogramme mit benutzerspezifischen Berechtigungen für Installationen, für die administrative Anmeldeinformationen erforderlich sind, aber im Kontext eines Benutzers ausgeführt werden müssen, der über keine administrativen Anmeldeinformationen verfügt. Die Verwendung von erhöhten benutzerspezifischen Windows Installer-Berechtigungen bietet die sicherste Möglichkeit, Anwendungen mit dieser Anforderung bereitzustellen.

Erstellen Sie keine untergeordneten Sammlungen, wenn Sie darin die Softwareverteilung einschränken müssen.    Eine Ankündigung für eine Sammlung mit untergeordneten Sammlungen wird an alle Mitglieder der Sammlung und untergeordneten Sammlungen gesendet, auch wenn der Administrator nur über die Ankündigungsberechtigung für die Sammlung (nicht für die untergeordneten Sammlungen) verfügt. Jeder Administrator, der eine Sammlung mit einer anderen Sammlung verknüpfen kann, kann veranlassen, dass die Sammlung Ankündigungen empfängt, die an die andere Sammlung gerichtet wurden, auch wenn der Administrator für keine der Sammlungen über eine Ankündigungsberechtigung verfügt. Daher sollten Sie auf Hinzufügungen von untergeordneten Sammlungen zu Sammlungen mit Ankündigungen achten und sorgfältig abwägen, wem Sie die Leseberechtigung für Sammlungen erteilen, die Ankündigungen empfangen.

Legen Sie bei der Paketerstellung Paketzugriffsberechtigungen fest.    Änderungen an den Zugriffskonten für die Paketdateien (im Gegensatz zu den Freigabeordnern von Verteilungspunkten) werden nur wirksam, wenn Sie das Paket aktualisieren. Daher sollten Sie die Paketzugriffsberechtigungen beim Erstellen des Pakets sorgfältig festlegen. Dies gilt insbesondere bei einem umfangreichen Paket, wenn das Paket an viele Verteilungspunkte verteilt wird oder wenn die Netzwerkkapazität für Paketverteilungen begrenzt ist. Zum schnellen Initiieren der Aktualisierung aller Verteilungspunkte können Sie für jedes Paket den Task „Verteilungspunkte aktualisieren“ verwenden.

Sichern Sie Software auf der Paketzugriffsebene.     Standardmäßig verfügen Administratoren für Paketdateien auf Verteilungspunkten über die volle Zugriffsberechtigung, und Benutzer erhalten eine Leseberechtigung. Benutzer mit Administratorrechten für Clientcomputer können den Client so festlegen, dass er jedem Standort beitreten kann, auch wenn sich der Computer nicht innerhalb der Standortgrenzen befindet. Wenn die Clients dem Standort beigetreten sind, können sie alle Softwareverteilungen empfangen, die am Standort verfügbar sind und für die der Computer oder Benutzer den Anforderungen der relevanten Sammlungen entspricht. Aus diesem Grund sollte Software, die auf bestimmte Benutzer begrenzt sein soll, auf Paketzugriffsebene für diese Benutzer geschützt werden, anstatt sie durch Standortverfügbarkeit oder Sammlungskriterien zu begrenzen. Die Begrenzung des Internetgastkontos auf Pakete führt jedoch dazu, dass internetbasierte Clients keinen Paketzugriff erhalten. Weitere Informationen finden Sie unter Beispielszenarien für den Paketzugriff.

Aktualisieren Sie nach dem Upgrade alle Pakete, wenn Sie in SMS 2003 Pakete verwendet haben.     Die endgültige Version von SMS 2003 verwendet MD5 zum Hashen von Paketen. Configuration Manager 2007 und SMS 2003 Service Packs nach SP1 verwenden SHA-1. Um alle Pakete mit SHA-1 erneut zu hashen, sollten Sie nach dem Upgrade alle mit der endgültigen Version von SMS 2003 erstellten Pakete aktualisieren, die noch nicht mit einem SMS Service Pack aktualisiert wurden. Ansonsten kann dies dazu führen, dass Clients gültige Pakete verwerfen, wenn die Ankündigung dahingehend konfiguriert ist, das Paket herunterzuladen und lokal auszuführen.

Bewährte Methoden für Verteilungspunkte

Entfernen Sie die Verteilungspunktrolle vom Standortserver **.    **Standardmäßig wird der Standortserver als Standardverteilungspunkt eingerichtet. Sie sollten diese Rolle jedoch einem anderen Standortsystem zuweisen und vom Standortserver entfernen, um die Angriffsfläche zu verringern. Clients müssen keine direkte Verbindung zum Standortserver oder zu einer auf dem Standortserver konfigurierten Rolle herstellen. Dies ist besonders wichtig, wenn Sie BITS (Background Intelligent Transfer Service, intelligenter Hintergrundübertragungsdienst) auf dem Verteilungspunkt aktivieren möchten, da das Installieren von Internetinformationsdiensten (Internet Information Services, IIS) zum Erstellen eines BITS-fähigen Verteilungspunkts die Angriffsfläche auf dem Standortsystem erheblich vergrößert.

Erstellen Sie keine Verteilungspunktfreigaben oder Zweigverteilungspunkte auf internetbasierten Clients.     Configuration Manager 2007 verhindert zwar nicht das Erstellen eines Verteilungspunkts oder einer Verteilungspunktfreigabe auf einem internetbasierten Client, dadurch wird jedoch Ihre Angriffsfläche erhöht, und daher sollte es vermieden werden. Erstellen Sie Verteilungspunkte nur auf Standortsystemen, die innerhalb des Intranets oder des Umkreisnetzwerks verwaltet werden können.

Entfernen Sie die virtuellen Standardverzeichnisse, wenn Sie zu einer benutzerdefinierten Website gewechselt haben.     Wenn Sie statt der standardmäßigen Website eine benutzerdefinierte Website verwenden, werden die alten virtuellen Verzeichnisse nicht automatisch von Configuration Manager 2007 entfernt. Sie sollten die virtuellen Verzeichnisse, die mit der Standardwebsite erstellt werden, manuell entfernen. Dies ist besonders wichtig, wenn Sie beim Verwenden der Standardwebsite für den Verteilungspunkt die Option Clients gestatten, eine anonyme Verbindung herzustellen (Erforderlich für mobile Geräteclients) konfiguriert haben und nach dem Wechsel zur benutzerdefinierten Website anonyme Verbindungen deaktivieren. In diesem Fall sind die alten virtuellen Verzeichnisse noch immer für einen anonymen Zugriff konfiguriert. Eine Liste der auf BITS-fähigen Verteilungspunkten erstellten virtuellen Verzeichnisse finden Sie unter Informationen zu BITS-fähigen Verteilungspunkten.

Führen Sie Zugriffssteuerungen aus, um Zweigverteilungspunkte zu schützen.    Zweigverteilungspunkte können auf jedem Configuration Manager 2007-Client, einschließlich Microsoft Windows XP Professional-Arbeitsstationen, installiert werden. Arbeitsstationen werden im Allgemeinen nicht mit den gleichen physischen Zugriffssteuerungen geschützt, wie dies bei Servercomputern der Fall ist. Überwachen Sie daher die Verwendung von Zweigverteilungspunkten. Verteilen Sie keine vertraulichen Quelldaten auf Zweigverteilungspunkte, wenn das Risiko besteht, dass Angreifer die Festplatte oder den gesamten Zweigverteilungspunkt stehlen. Konfigurieren Sie alle Ankündigungen so, dass Clients die Pakete vom Zweigverteilungspunkt herunterladen und dann lokal ausführen (statt über das Netzwerk). Configuration Manager 2007 überprüft den Hash der heruntergeladenen Pakete und verwirft alle Pakete, die nicht überprüft werden können. Auf dem Verteilungspunkt ausgeführte Pakete werden hingegen nicht überprüft.

Aktivieren Sie den verschlüsselten Modus für Application Virtualization Streaming-fähige Verteilungspunkte.    Wenn Sie in Configuration Manager 2007 R2 einen Application Virtualization Streaming**–**fähigen Verteilungspunkt konfigurieren, können Sie entweder RTSP (Real Time Streaming Protocol) oder RTSPS (RTSP over TLS) verwenden. Durch das Aktivieren der Verschlüsselung können Sie sich gegen Angriffe auf den Datenstrom schützen.

Sicherheitsproblem

Für das folgende Sicherheitsproblem ist keine Risikominderung vorhanden.

Pakete werden erst nach dem Download überprüft    Configuration Manager 2007 überprüft die Paketsignaturen erst dann, wenn die Pakete in den Clientcache heruntergeladen wurden. Wenn ein Angreifer das Paket manipuliert hat, verschwendet der Client unter Umständen Bandbreite, um ein Paket herunterzuladen, das dann aufgrund einer ungültigen Signatur verworfen wird.

Datenschutzinformationen

Mit der Softwareverteilung können Sie Programme oder Skripts auf jedem Client des Standorts ausführen. Configuration Manager 2007 kann nicht steuern, welche Programm- oder Skripttypen Sie ausführen und welche Informationen Sie übertragen. Beim Softwareverteilungsprozess überträgt Configuration Manager 2007 möglicherweise Informationen zwischen Clients und Servern, die die Computer- und Anmeldekonten identifizieren.

Configuration Manager 2007 verwaltet Statusinformationen über den Softwareverteilungsprozess. Die Informationen über den Softwareverteilungsstatus werden bei der Übertragung nur verschlüsselt, wenn der einheitliche Modus aktiviert ist. In der Datenbank werden die Statusinformationen unverschlüsselt gespeichert.

Die Statusinformationen werden in der Standortdatenbank gespeichert und standardmäßig nach 30 Tagen gelöscht. Das Löschverhalten können Sie konfigurieren, indem Sie die Eigenschaften für die Statusfilterregel und den Standortwartungstask festlegen. Die Statusinformationen werden nicht an Microsoft zurückgesendet.

Für das Verwenden der Configuration Manager 2007-Softwareinstallation zur Remoteinstallation, zum interaktiven oder zum unbeaufsichtigten Installieren von Software auf Clients gelten möglicherweise die Lizenzbedingungen der Software. Diese unterscheiden sich von den Softwarelizenzbedingungen für Configuration Manager 2007. Bevor Sie die Software mit Configuration Manager 2007 installieren, sollten Sie immer die Softwarelizenzbedingungen lesen und akzeptieren.

Die Softwareverteilung wird nicht standardmäßig ausgeführt und erfordert mehrere Konfigurationsschritte. Berücksichtigen Sie vor dem Konfigurieren der Softwareverteilung Ihre Datenschutzanforderungen.

Siehe auch

Andere Ressourcen

Bewährte Sicherheitsmethoden und Datenschutzinformationen zu Configuration Manager-Features
Softwareverteilung in Configuration Manager