Sicherheit und Datenschutz für die Inhaltsverwaltung in Configuration Manager
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Dieses Thema erscheint in den Handbüchern Bereitstellen von Software und Betriebssystemen in System Center 2012 Configuration Manager und Sicherheit und Datenschutz für System Center 2012 Configuration Manager. |
In diesem Thema finden Sie Sicherheits- und Datenschutzinformationen zur Inhaltsverwaltung in System Center 2012 Configuration Manager. Lesen Sie es in Verbindung mit den folgenden Themen:
Bewährte Sicherheitsmethoden für die Inhaltsverwaltung
Wenden Sie die folgenden bewährten Sicherheitsmethoden bei der Inhaltsverwaltung an:
Bewährte Sicherheitsmethode |
Weitere Informationen |
||
|---|---|---|---|
Berücksichtigen Sie für Verteilungspunkte im Intranet die Vor- und Nachteile bei der Verwendung von HTTPS und HTTP. |
Unterschiede zwischen HTTPS und HTTP für Verteilungspunkte:
In den meisten Situationen bietet die Verwendung von HTTP und Paketzugriffskonten zur Autorisierung mehr Sicherheit als die Verwendung von HTTPS mit Verschlüsselung, aber ohne Autorisierung. Wenn die Inhalte allerdings vertrauliche Daten umfassen, die bei der Übertragung verschlüsselt werden sollen, verwenden Sie HTTPS. |
||
Wenn Sie für den Verteilungspunkt anstelle eines selbstsignierten Zertifikats ein PKI-Clientauthentifizierungszertifikat verwenden, schützen Sie die Zertifikatdatei (*.pfx) mit einem sicheren Kennwort. Wenn Sie die Datei im Netzwerk speichern, verwenden Sie beim Importieren der Datei in Configuration Manager einen sicheren Netzwerkkanal. |
Wenn für das Importieren des Clientauthentifizierungszertifikats, das Sie für die Kommunikation zwischen Verteilungspunkt und Verwaltungspunkten verwenden, ein Kennwort erforderlich ist, ist das Zertifikat vor Angriffen geschützt. Verwenden Sie SMB-Signaturen oder IPsec zwischen Netzwerkspeicherort und Standortserver, um einen Angreifer an der Manipulation der Zertifikatdatei zu hindern. |
||
Entfernen Sie die Verteilungspunktrolle vom Standortserver. |
Ein Verteilungspunkt wird standardmäßig auf dem gleichen Server installiert wie der Standortserver. Für Clients ist die direkte Kommunikation mit dem Standortserver nicht erforderlich. Daher empfiehlt es sich zur Verringerung des Angriffsrisikos, die Verteilungspunktrolle anderen Standortsystemen zuzuweisen und vom Standortserver zu entfernen. |
||
Schützen Sie Inhalte auf der Paketzugriffsebene.
|
Die Verteilungspunktfreigabe gewährt allen Benutzern den Lesezugriff. Verwenden Sie Paketzugriffskonten, wenn der Verteilungspunkt für HTTP konfiguriert ist, um festzulegen, welche Benutzer auf den Inhalt zugreifen können. Weitere Informationen zum Paketzugriffskonto finden Sie im Abschnitt Verwalten von Konten für den Zugriff auf Paketinhalt des Themas Vorgänge und Wartungstasks für die Inhaltsverwaltung in Configuration Manager. |
||
Wenn beim Hinzufügen der Standortsystemrolle „Verteilungspunkt“ IIS von Configuration Manager installiert wird, entfernen Sie HTTP-Umleitung sowie IIS-Verwaltungsskripts und -tools, sobald die Installation des Verteilungspunkts abgeschlossen ist. |
Für den Verteilungspunkt sind HTTP-Umleitung sowie IIS-Verwaltungsskripts und -tools nicht erforderlich. Entfernen Sie diese Rollendienste für die Webserverrolle (IIS), um das Angriffsrisiko zu verringern. Weitere Informationen zu den Rollendiensten für die Webserverrolle (IIS) für Verteilungspunkte finden Sie im Abschnitt Anforderungen für Standortsysteme des Themas Unterstützte Konfigurationen für den Konfigurations-Manager. |
||
Legen Sie beim Erstellen des Pakets Paketzugriffsberechtigungen fest. |
Änderungen der Zugriffskonten für die Paketdateien treten erst nach dem erneuten Bereitstellen des Pakets in Kraft. Gehen Sie daher beim Festlegen der Zugriffsberechtigungen für ein neu erstelltes Paket mit großer Sorgfalt vor. Dies ist in folgenden Situationen besonders wichtig:
|
||
Implementieren Sie Zugriffssteuerungen zum Schutz von Medien, die vorab bereitgestellte Inhalte enthalten. |
Vorab bereitgestellte Inhalte werden komprimiert, aber nicht verschlüsselt. Ein Angreifer könnte die Dateien lesen und ändern, bevor sie auf Geräte heruntergeladen werden. Manipulierte Inhalte werden von Configuration Manager-Clients abgelehnt, aber dennoch heruntergeladen. |
||
Importieren Sie vorab bereitgestellte Inhalte nur mithilfe des Befehlszeilentools ExtractContent.exe, das im Lieferumfang von Configuration Manager enthalten ist. Achten Sie darauf, dass es von Microsoft signiert ist. |
Verwenden Sie nur das mit Configuration Manager gelieferte autorisierte Befehlszeilentool, um Manipulationen und Rechteerweiterungen zu vermeiden. |
||
Sichern Sie den Kommunikationskanal zwischen Standortserver und Paketquellspeicherort. |
Verwenden Sie zum Erstellen von Anwendungen und Paketen IPsec oder SMB-Signaturen zwischen Standortserver und Paketquellspeicherort. Dadurch verhindern Sie die Manipulation der Quelldateien durch einen Angreifer. |
||
Wenn Sie die Standortkonfigurationsoption von der Standardwebsite in eine benutzerdefinierte Website ändern, nachdem Verteilungspunktrollen installiert wurden, entfernen Sie die virtuellen Standardverzeichnisse. |
Wenn Sie statt der Standardwebsite eine benutzerdefinierte Website verwenden, werden die alten virtuellen Verzeichnisse bei diesem Wechsel der Website nicht automatisch von Configuration Manager entfernt. Entfernen Sie die virtuellen Verzeichnisse, die ursprünglich von Configuration Manager unter der Standardwebsite erstellt wurden:
|
||
Für verfügbare cloudbasierte Verteilungspunkte ab Configuration Manager SP1: Schützen von Abonnementdetails und Zertifikaten |
Schützen Sie die folgenden wichtigen Elemente, wenn Sie cloudbasierte Verteilungspunkte verwenden:
Speichern Sie die Zertifikate an einem sicheren Ort. Verwenden Sie IPsec oder SMB-Signaturen zwischen dem Standortsystemserver und dem Quellspeicherort, wenn Sie beim Konfigurieren des cloudbasierten Verteilungspunkts über das Netzwerk auf die Zertifikate zugreifen. |
||
Für verfügbare cloudbasierte Verteilungspunkte ab Configuration Manager SP1: Überwachen Sie aus Gründen der Dienstkontinuität das Ablaufdatum der Zertifikate. |
Configuration Manager gibt keine Warnung aus, wenn der Ablauf der importierten Zertifikate für die Verwaltung des cloudbasierten Verteilungspunktdiensts bevorsteht. Sie müssen die Ablaufdaten unabhängig von Configuration Manager überwachen und sicherstellen, dass Sie das Zertifikat erneuern und das neue Zertifikat vor dem Ablaufdatum importieren. Dies ist besonders wichtig, wenn Sie für Configuration Manager ein cloudbasiertes Verteilungspunkt-Dienstzertifikat von einer externen Zertifizierungsstelle erwerben, weil Sie möglicherweise mehr Zeit zum Beschaffen eines erneuerten Zertifikats benötigen.
|
Sicherheitsprobleme bei der Inhaltsverwaltung
Die Inhaltsverwaltung birgt folgende Sicherheitsprobleme:
Clients überprüfen Inhalte erst nach dem Herunterladen.
Von Configuration Manager-Clients wird der Hashwert von Inhalten erst nach dem Herunterladen in ihren Clientcache überprüft. Wenn ein Angreifer die Liste der herunterzuladenden Dateien oder die Inhalte selbst manipuliert, kann für das Herunterladen auf den Client eine erhebliche Netzwerkbandbreite erforderlich sein, jedoch müssen die Inhalte dann aufgrund des ungültigen Hashwerts verworfen werden.
Es ist nicht möglich, für Benutzer oder Gruppen den Zugriff auf Inhalte zu beschränken, die von cloudbasierten Verteilungspunkten gehostet werden.
Wenn Sie cloudbasierte Verteilungspunkte ab Configuration Manager SP1 verwenden, wird der Zugriff auf den Inhalt automatisch auf Ihr Unternehmen beschränkt, und Sie können diese Beschränkung nicht auf Benutzer oder Gruppen erweitern.
Ein gesperrter Client kann bis zu acht Stunden lang weiterhin Inhalte von einem cloudbasierten Verteilungspunkt herunterladen.
Wenn Sie cloudbasierte Verteilungspunkte ab Configuration Manager SP1 verwenden, werden Clients vom Verwaltungspunkt authentifiziert. Anschließend wird ein Configuration Manager-Token genutzt, um auf cloudbasierte Verteilungspunkte zuzugreifen. Das Token ist acht Stunden lang gültig. Wenn Sie einen Client sperren, weil er nicht mehr vertrauenswürdig ist, kann dieser also noch so lange Inhalte von einem cloudbasierten Verteilungspunkt herunterladen, bis der Gültigkeitszeitraum des Tokens abgelaufen ist. Vom Verwaltungspunkt wird dann kein weiteres Token für den Client ausgegeben, weil der Client gesperrt ist.
Wenn Sie verhindern möchten, dass ein gesperrter Client innerhalb dieses Zeitfensters von acht Stunden Inhalte herunterlädt, können Sie den Clouddienst beenden. Verwenden Sie dazu in der Configuration Manager-Konsole im Arbeitsbereich Verwaltung unter Hierarchiekonfiguration den Knoten Cloud. Weitere Informationen finden Sie unter Verwalten von Clouddiensten für Configuration Manager.
Datenschutzinformationen zur Inhaltsverwaltung
Bei Configuration Manager werden keine Benutzerdaten in Inhaltsdateien gespeichert, obwohl ein Administrator die Möglichkeit hätte, dies zu tun.
Berücksichtigen Sie beim Konfigurieren der Inhaltsverwaltung Ihre Datenschutzanforderungen.