• Artikel

Sicherheit und Datenschutz für Softwareupdates in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteHinweis

Dieses Thema erscheint in den Handbüchern Bereitstellen von Software und Betriebssystemen in System Center 2012 Configuration Manager und Sicherheit und Datenschutz für System Center 2012 Configuration Manager.

Dieses Thema enthält Sicherheits- und Datenschutzinformationen zu Softwareupdates in System Center 2012 Configuration Manager.

Bewährte Sicherheitsmethoden für Softwareupdates

Wenden Sie die folgenden bewährten Sicherheitsmethoden beim Bereitstellen von Softwareupdates auf Clients an:

Bewährte Sicherheitsmethode

Weitere Informationen

Behalten Sie die Standardberechtigungen von Softwareupdatepaketen bei.

Administratoren verfügen standardmäßig über Vollzugriff und Benutzer über Lesezugriff auf die Softwareupdatepakete. Wenn Sie diese Berechtigungen ändern, könnte dies einem Angreifer ermöglichen, Softwareupdates hinzuzufügen, zu entfernen oder zu löschen.

Beschränken Sie den Zugriff auf den Downloadspeicherort für Softwareupdates.

Das SMS-Anbietercomputerkonto, der Standortserver und der Administrator, der die Softwareupdates in den Downloadspeicherort herunterlädt, benötigen Schreibzugriff auf den Downloadpfad. Beschränken Sie den Zugriff auf den Downloadpfad, um das Risiko zu verringern, dass Angreifer die Quelldatei der Softwareupdates am Downloadspeicherort manipulieren.

Wenn Sie darüber hinaus einen UNC-Freigabepfad als Downloadspeicherort verwenden, schützen Sie den Netzwerkkanal mithilfe von IPsec oder SMB-Signaturen, um die Manipulation der Softwareupdatequelldateien beim Übermitteln über das Netzwerk zu verhindern.

Verwenden Sie für die Bewertung der Bereitstellungszeiten UTC.

Wenn Sie Ortszeit anstelle von UTC verwenden, können Benutzer die Installation von Softwareupdates verzögern, indem sie die Zeitzone auf ihren Computern ändern.

Aktivieren Sie SSL für WSUS, und befolgen Sie die bewährten Methoden zum Schützen von Windows Server Update Services (WSUS).

Identifizieren und befolgen Sie die bewährten Sicherheitsmethoden für die Version von WSUS, die Sie mit Configuration Manager verwenden.

System_CAPS_importantWichtig

Wenn Sie den Softwareupdatepunkt für SSL-Verbindungen mit dem WSUS-Server konfigurieren, müssen Sie virtuelle Stammverzeichnisse für SSL auf dem WSUS-Server konfigurieren.

Aktivieren Sie die Überprüfung der Zertifikatsperrlisten.

Standardmäßig wird in Configuration Manager die Zertifikatsperrliste (Certificate Revocation List, CRL) nicht geprüft, um die Signatur von Softwareupdates vor deren Bereitstellung auf Computern zu überprüfen. Das Prüfen der CRL bei jeder Verwendung eines Zertifikats bietet einen höheren Schutz vor gesperrten Zertifikaten, führt jedoch zu einer Verbindungsverzögerung und zusätzlichem Verarbeitungsaufwand auf dem Computer, der die CRL-Prüfung ausführt.

Weitere Informationen zum Aktivieren der Überprüfung der Zertifikatsperrlisten für Softwareupdates finden Sie unter Aktivieren der CRL-Prüfung für Softwareupdates.

Konfigurieren Sie WSUS für die Verwendung einer benutzerdefinierten Website.

Beim Installieren von WSUS auf einem Softwareupdatepunkt haben Sie die Möglichkeit, die vorhandene IIS-Standardwebsite oder eine benutzerdefinierte WSUS-Website zu erstellen. Erstellen Sie eine benutzerdefinierte Website für WSUS, sodass die WSUS-Dienste von IIS in einer dedizierten virtuellen Website gehostet werden, statt die gleiche Website zu verwenden wie die Configuration Manager-Standortsysteme oder anderen Anwendungen.

Weitere Informationen finden Sie im Abschnitt Konfigurieren von WSUS für die Verwendung einer benutzerdefinierten Website des Themas Planen von Softwareupdates in Configuration Manager.

Netzwerkzugriffsschutz (NAP): Verlassen Sie sich nicht allein auf den Netzwerkzugriffsschutz, um ein Netzwerk vor dem Zugriff böswilliger Benutzer zu schützen.

Mithilfe des Netzwerkzugriffsschutzes sollen Administratoren die Integrität der Computer im Netzwerk bewahren können. Dadurch wird wiederum die Gesamtintegrität des Netzwerks aufrechterhalten. Wenn ein Computer beispielsweise über alle Softwareupdates verfügt, die aufgrund der Configuration Manager-NAP-Richtlinie erforderlich sind, wird der Computer als kompatibel angesehen und erhält den entsprechenden Zugriff auf das Netzwerk. Der Netzwerkzugriffsschutz verhindert nicht, dass ein autorisierter Benutzer mit einem kompatiblen Computer ein schädliches Programm ins Netzwerk einschleust oder den NAP-Agent deaktiviert.

Netzwerkzugriffsschutz (NAP): Verwenden Sie die DHCP-NAP-Erzwingung nicht in einer Produktionsumgebung.

Verwenden Sie DHCP NAP nur in einer gesicherten Testumgebung oder für Überwachungszwecke. Wenn Sie DHCP NAP verwenden, können Angreifer die Anweisung von Integritätspaketen zwischen Client und NAP-Integritätsrichtlinienserver ändern, und Benutzer können den NAP-Prozess umgehen.

Netzwerkzugriffsschutz (NAP): Verwenden Sie in der gesamten Hierarchie einheitliche NAP-Richtlinien, um Verwirrungen zu vermeiden.

Eine fehlerhafte Konfiguration von NAP-Richtlinien kann dazu führen, dass eigentlich eingeschränkte Clients auf das Netzwerk zugreifen können oder gültige Clients irrtümlich begrenzt werden. Je komplizierter der Entwurf Ihrer NAP-Richtlinie, desto höher ist das Risiko einer Fehlkonfiguration. Konfigurieren Sie den Configuration Manager-Client-Agent für den Netzwerkzugriffsschutz und die Configuration Manager-Systemintegritätsprüfungspunkte so, dass sie in der gesamten Hierarchie die gleichen Einstellungen verwenden, oder auch über die Hierarchiegrenzen hinweg, falls die Clients zwischen den Hierarchien wechseln.

System_CAPS_importantWichtig

Wenn ein Configuration Manager-Client mit aktiviertem Client-Agent für den Netzwerkzugriffsschutz in eine andere Configuration Manager-Hierarchie wechselt und sein Client-SoH von einem Systemintegritätsprüfungspunkt außerhalb seiner Hierarchie überprüft wird, tritt bei der Standortprüfung im Prüfungsvorgang ein Fehler auf. Dadurch wird der Clientintegritätszustand als „Unbekannt“ zurückgeben, was auf dem NAP-Integritätsrichtlinienserver standardmäßig als „Nicht kompatibel“ konfiguriert ist. Wenn auf dem NAP-Integritätsrichtlinienserver Netzwerkrichtlinien mit begrenztem Netzwerkzugriff konfiguriert sind, können diese Clients nicht wiederhergestellt werden und erhalten möglicherweise keinen vollständigen Zugriff auf das Netzwerk. Durch eine Ausnahmerichtlinie auf dem NAP-Integritätsrichtlinienserver kann dieses Problem behoben werden, indem Configuration Manager-Clients, die sich zeitweise außerhalb der Configuration Manager-Hierarchie befinden, unbegrenzten Zugriff auf das Netzwerk erhalten.

Netzwerkzugriffsschutz (NAP): Aktivieren Sie den Netzwerkzugriffsschutz als Clienteinstellung auf neuen Configuration Manager-Standorten nicht sofort.

Die Standortserver veröffentlichen die Configuration Manager-Integritätszustandsreferenz zwar auf einem Domänencontroller, wenn die Configuration Manager-NAP-Richtlinien geändert werden, diese neuen Daten stehen aber u. U. nicht sofort zum Abruf durch den Systemintegritätsprüfungspunkt zur Verfügung, da die Active Directory-Replikation zunächst abgeschlossen werden muss. Wenn Sie den Netzwerkzugriffsschutz auf Configuration Manager-Clients aktivieren, bevor die Replikation abgeschlossen ist, und wenn Ihr NAP-Integritätsrichtlinienserver nicht kompatiblen Clients begrenzten Zugriff gewährt, können Sie einen DoS-Angriff gegen sich selbst auslösen.

Netzwerkzugriffsschutz (NAP): Wenn Sie die Integritätszustandsreferenz in einer vorgesehenen Gesamtstruktur speichern, geben Sie zwei unterschiedliche Konten zum Veröffentlichen und Abrufen der Integritätszustandsreferenz an.

Wenn Sie eine Active Directory-Gesamtstruktur für das Speichern der Integritätszustandsreferenz festlegen, geben Sie zwei unterschiedliche Konten an, da unterschiedliche Berechtigungssätze erforderlich sind:

  • Für das Konto zum Veröffentlichen der Integritätszustandsreferenz sind die Berechtigungen „Lesen“, „Schreiben“ und „Erstellen“ für die Active Directory-Gesamtstruktur mit der Integritätszustandsreferenz erforderlich.

  • Für das Konto zum Abfragen der Integritätszustandsreferenz ist nur die Berechtigung „Lesen“ für die Active Directory-Gesamtstruktur mit der Integritätszustandsreferenz erforderlich. Erteilen Sie diesem Konto keine Rechte zur interaktiven Anmeldung.

Netzwerkzugriffsschutz (NAP): Verlassen Sie sich als sofortigen oder Echtzeit-Erzwingungsmechanismus nicht auf den Netzwerkzugriffsschutz.

Der NAP-Erzwingungsmechanismus weist Wartezeiten auf. Während der Netzwerkzugriffsschutz Computer auf lange Sicht kompatibel hält, treten typischerweise bei der Erzwingung Wartezeiten von mehreren Stunden oder länger auf. Dies hängt von einer Vielzahl von Faktoren ab, z. B. den Einstellungen der verschiedenen Konfigurationsparameter.

Informationen zum Datenschutz für Softwareupdates

Die Softwareupdatefunktion überprüft Ihre Clientcomputer, um zu bestimmen, welche Softwareupdates Sie benötigen. Diese Informationen werden dann zur Standortdatenbank zurückgesendet. Beim Softwareupdateprozess überträgt Configuration Manager möglicherweise Informationen zwischen Clients und Servern, die die Computer- und Anmeldekonten identifizieren.

In Configuration Manager werden Zustandsinformationen zum Softwarebereitstellungsprozess verwaltet. Zustandsinformationen werden während der Übertragung oder Speicherung nicht verschlüsselt. Zustandsinformationen werden in der Configuration Manager-Datenbank gespeichert und von den Datenbankwartungstasks gelöscht. Die Zustandsinformationen werden nicht an Microsoft gesendet.

Das Verwenden der Softwareupdatefunktion von Configuration Manager zur Installation von Softwareupdates auf Clientcomputern kann Softwarelizenzbedingungen für diese Updates unterliegen, die sich von den Softwarelizenzbedingungen für Microsoft System Center 2012 Configuration Manager unterscheiden. Bevor Sie die Softwareupdates mit Configuration Manager installieren, sollten Sie stets die Softwarelizenzbedingungen lesen und akzeptieren.

Configuration Manager implementiert die Softwareupdatefunktion nicht standardmäßig, und es sind mehrere Konfigurationsschritte erforderlich, bevor Informationen gesammelt werden.

Berücksichtigen Sie beim Konfigurieren der Softwareupdates Ihre Datenschutzanforderungen.