Freigeben über


Sicherheit und Datenschutz für die Out-of-Band-Verwaltung in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Dieses Thema enthält Sicherheits- und Datenschutzinformationen zur Out-of-Band-Verwaltung in System Center 2012 Configuration Manager.

Bewährte Sicherheitsmethoden für die Out-of-Band-Verwaltung

Wenden Sie die folgenden bewährten Sicherheitsmethoden bei der Out-of-Band-Verwaltung von AMT-basierten Computern an:

Bewährte Sicherheitsmethode

Weitere Informationen

Fordern Sie vor dem Kauf AMT-basierter Computer benutzerdefinierte Firmware an.

Computer, die sich für die Out-of-Band-Verwaltung eignen, weisen BIOS-Erweiterungen auf, die mit benutzerdefinierten Werten eingerichtet werden können, um die Sicherheit erheblich zu verbessern, wenn sich diese Computer in Ihrem Netzwerk befinden.Finden Sie heraus, welche BIOS-Erweiterungseinstellungen Ihr Computerhersteller anbietet, und geben Sie die gewünschten Werte an.Weitere Informationen finden Sie unter Bestimmen Sie, ob ein benutzerdefiniertes Firmware-Image von Ihrem Computerhersteller verwenden.

Wenn Ihre AMT-basierten Computer keine Firmwarewerte bieten, die Sie übernehmen möchten, können Sie möglicherweise auch manuell Werte festlegen.Weitere Informationen zum manuellen Konfigurieren der BIOS-Erweiterungen finden Sie in der Intel-Dokumentation bzw. der Dokumentation Ihres Computerherstellers.Weitere Informationen finden Sie unter Intel vPro Expert Center: Microsoft vPro-Verwaltbarkeit.Passen Sie die folgenden Optionen zu Erhöhung der Sicherheit an:

  • Ersetzen Sie alle Zertifikatfingerabdrücke externer Zertifizierungsstellen durch den Zertifikatfingerabdruck Ihrer internen Zertifizierungsstelle.Auf diese Weise wird die Bereitstellung Ihrer AMT-basierten Computer durch nicht autorisierte Bereitstellungsserver verhindert, und Sie müssen keine Bereitstellungszertifikate von externen Zertifizierungsstellen erwerben.

  • Verwenden Sie anstelle des Standardwerts admin ein benutzerdefiniertes Kennwort für das MEBx-Konto.Geben Sie dieses Kennwort anschließend in Verbindung mit einem AMT-Bereitstellungs- und Ermittlungskonto in Configuration Manager an.Dadurch werden nicht autorisierte Bereitstellungsserver an der Bereitstellung Ihrer AMT-basierten Computer mithilfe des bekannten Standardkennworts gehindert.

Steuern Sie die Anforderung und Installation des Bereitstellungszertifikats.

Fordern Sie das Bereitstellungszertifikat direkt vom Bereitstellungsserver über den Computersicherheitskontext an, sodass das Zertifikat direkt in den lokalen Computerspeicher installiert wird.Wenn Sie das Zertifikat von einem anderen Computer anfordern müssen, müssen Sie den privaten Schlüssel exportieren und dann während des Übertragens und Importierens des Zertifikats in einen Zertifikatspeicher weitere Sicherheitssteuerungen einsetzen.

Fordern Sie vor Ablauf des bestehenden Bereitstellungszertifikats unbedingt ein neues Zertifikat an.

Ein abgelaufenes AMT-Bereitstellungszertifikat führt zu einem Bereitstellungsfehler.Wenn Sie für Ihr Bereitstellungszertifikat eine externe Zertifizierungsstelle verwenden, sollten Sie zusätzliche Zeit zum Abschließen der Verlängerung und zum Neukonfigurieren des Out-of-Band-Verwaltungspunkts einplanen.

Verwenden Sie zur Bereitstellung AMT-basierter Computer eine dedizierte Zertifikatvorlage.

Wenn Sie für Ihre Unternehmenszertifizierungsstelle eine Enterprise-Version von Windows Server verwenden, erstellen Sie eine neue Zertifikatvorlage, indem Sie die Standardzertifikatvorlage für Webserver duplizieren. Vergewissern Sie sich, dass nur der Sicherheitsgruppe Lese- und Registrierungsberechtigungen zugewiesen sind, die Sie in den Eigenschaften der Out-of-Band-Verwaltungskomponente angegeben haben, und fügen Sie der Serverauthentifizierung in der Standardeinstellung keine zusätzlichen Funktionen hinzu.

Eine dedizierte Zertifikatvorlage erlaubt eine bessere Zugriffsverwaltung und -steuerung und hilft beim Verhindern von Rechteerweiterungen.Wenn Sie für Ihre Unternehmenszertifizierungsstelle eine Standardversion von Windows Server verwenden, können Sie keine duplizierte Zertifikatvorlage erstellen.In diesem Szenario müssen Sie der Sicherheitsgruppe, die Sie in den Eigenschaften der Out-of-Band-Verwaltungskomponente angegeben haben, Lese- und Registrierungsberechtigungen zuweisen sowie sämtliche Berechtigungen entfernen, die nicht erforderlich sind.

Verwenden Sie AMT-Einschaltbefehle anstatt Aktivierungspakete.

Obwohl beide Lösungen die Aktivierung von Computern zur Softwareinstallation unterstützen, bieten AMT-Einschaltbefehle dank Authentifizierung und Verschlüsselung mithilfe von Standardsicherheitsprotokollen mehr Sicherheit als Aktivierungspakete.Wenn AMT-Einschaltbefehle mit der Out-of-Band-Verwaltung verwendet werden, kann diese Lösung zudem in eine vorhandene PKI-Bereitstellung integriert werden, und die Sicherheitssteuerungen können unabhängig vom Produkt verwaltet werden.Weitere Informationen finden Sie unter "Planen der Clientaktivierung" in Planen der Clientkommunikation in Configuration Manager.

Deaktivieren Sie AMT in der Firmware, wenn die Out-of-Band-Verwaltung für den Computer nicht unterstützt wird.

Selbst wenn AMT-basierte Computer über eine unterstützte AMT-Version verfügen, ist die Out-of-Band-Verwaltung nicht in jedem Szenario möglich.Diese Szenarien umfassen Arbeitsgruppencomputer, Computer mit einem anderen Namespace und einen Computer mit einem nicht zusammenhängenden Namespace.

Deaktivieren Sie AMT in der Firmware, damit diese AMT-basierten Computer nicht in den Active Directory-Domänendiensten veröffentlicht werden und kein PKI-Zertifikat für sie angefordert wird.Bei der AMT-Bereitstellung in Configuration Manager werden Domänenanmeldeinformationen für die Konten erstellt, die in den Active Directory-Domänendiensten veröffentlicht wurden. Dies birgt das Risiko von Rechteerweiterungen, wenn sich die Computer außerhalb Ihrer Active Directory-Gesamtstruktur befinden.

Verwenden Sie zur Veröffentlichung AMT-basierter Computerkonten eine dedizierte Organisationseinheit.

Verwenden Sie keine bereits vorhandenen Container und Organisationseinheiten zur Veröffentlichung der Active Directory-Konten, die während der AMT-Bereitstellung erstellt werden.Eine separate Organisationseinheit erlaubt eine bessere Verwaltung und Steuerung dieser Konten und hilft zu verhindern, dass die Konten und die Standortserver mehr Berechtigungen zugewiesen bekommen, als sie benötigen.

Gewähren Sie den Standortserver-Computerkonten in jeder Domäne mit AMT-basierten Computern Schreibberechtigungen für die Organisationseinheit, die Gruppe "Domänencomputer" und die Gruppe "Domänengäste".

Geben Sie den Standortserver-Computerkonten die Berechtigungen Alle untergeordneten Objekte erstellen sowie Alle untergeordneten Objekte löschen für die Organisationseinheit, und wählen Sie als Anwendeoption für die Berechtigungen Nur dieses Objekt. Geben Sie den Standortserver-Computerkonten außerdem folgende Berechtigungen:

  • Für die Organisationseinheit: Alle Eigenschaften schreiben und Dieses und alle untergeordneten Objekte.

  • Für die Gruppe "Domänencomputer": Alle Eigenschaften schreiben und Nur dieses Objekt.

  • Für die Gruppe "Domänengäste": Alle Eigenschaften schreiben und Nur dieses Objekt.

Verwenden Sie eine dedizierte Sammlung für die AMT-Bereitstellung.

Verwenden Sie keine bestehende Sammlung, die mehr Computer enthält, als für AMT bereitgestellt werden sollen.Erstellen Sie stattdessen eine abfragebasierte Sammlung mithilfe des AMT-Status Nicht bereitgestellt.

Weitere Informationen über den AMT-Status und das Erstellen von Abfragen für Nicht bereitgestellt finden Sie unter AMT-Status und Out-of-Band-Verwaltung in Configuration Manager.

Rufen Sie Abbilddateien gesichert ab, und speichern Sie sie sicher, wenn Sie von anderen Medien starten, um die IDE-Umleitung zu verwenden.

Wenn Sie von anderen Medien starten, um die IDE-Umleitung zu verwenden, sollten Sie die Abbilddateien nach Möglichkeit lokal auf dem Computer speichern, auf dem die Out-of-Band-Verwaltungskonsole ausgeführt wird.Wenn die Dateien im Netzwerk gespeichert werden müssen, dann stellen Sie sicher, dass die Verbindungen für den Dateiabruf über das Netzwerk SMB-Signaturen verwenden, um die Manipulation der Dateien während der Netzwerkübertragung zu verhindern.Schützen Sie die gespeicherten Dateien in jedem Fall vor nicht autorisierten Zugriffen. Verwenden Sie dazu beispielsweise NTFS-Berechtigungen und EFS (Encrypted File System).

Rufen Sie AMT-Überwachungsprotokolldateien gesichert ab, und speichern Sie sie sicher.

Wenn Sie AMT-Überwachungsprotokolldateien speichern, dann nach Möglichkeit lokal auf dem Computer, auf dem die Out-of-Band-Verwaltungskonsole ausgeführt wird.Wenn die Dateien im Netzwerk gespeichert werden müssen, dann stellen Sie sicher, dass die Verbindungen für den Dateiabruf über das Netzwerk SMB-Signaturen verwenden, um die Manipulation der Dateien während der Netzwerkübertragung zu verhindern.Schützen Sie die gespeicherten Dateien in jedem Fall vor nicht autorisierten Zugriffen. Verwenden Sie dazu beispielsweise NTFS-Berechtigungen und EFS (Encrypted File System).

Reduzieren Sie die Anzahl der AMT-Bereitstellungs- und Ermittlungskonten.

Sie können mehrere AMT-Bereitstellungs- und Ermittlungskonten angeben, um Configuration Manager die Ermittlung von Computern mit AMT-Verwaltungscontrollern und ihre Bereitstellung für die Out-of-Band-Verwaltung zu ermöglichen. Dennoch sollten Sie keine Konten angeben, die derzeit nicht benötigt werden, und nicht benötigte Konten löschen.Geben Sie nur die benötigten Konten an, um zu vermeiden, dass den Konten mehr Berechtigungen gewährt werden, als sie benötigen, und um Netzwerkverkehr sowie Verarbeitungslast zu reduzieren.Weitere Informationen zu den AMT-Bereitstellung und Ermittlungskonto finden Sie unter Schritt 5: Konfigurieren der Out-of-Band-Verwaltungskomponente.

Geben Sie zur Sicherung der Dienstkontinuität ein Benutzerkonto als AMT-Bereitstellungsentfernungskonto an, und vergewissern Sie sich, dass dieses Benutzerkonto auch als AMT-Benutzerkonto angegeben ist.

Das AMT-Bereitstellungsentfernungskonto hilft, die Dienstkontinuität zu sichern, wenn der Configuration Manager-Standort wiederhergestellt werden muss.Nach der Standortwiederherstellung muss ein neues AMT-Bereitstellungszertifikat angefordert und konfiguriert werden. Verwenden Sie das AMT-Bereitstellungsentfernungskonto, um Bereitstellungsinformationen von AMT-basierten Computern zu löschen, und stellen Sie die Computer dann erneut bereit.

Sie können dieses Konto möglicherweise auch dann verwenden, wenn ein AMT-basierter Computer von einem anderen Standort neu zugewiesen wurde und seine Bereitstellungsinformationen nicht gelöscht wurden.

Weitere Informationen zum Entfernen von AMT-Bereitstellungsinformationen finden Sie unter Entfernen von AMT-Informationen.

Verwenden Sie nach Möglichkeit eine einzige Zertifikatvorlage für Clientauthentifizierungszertifikate.

Sie können zwar für die einzelnen Funkprofile unterschiedliche Zertifikatvorlagen angeben, doch Sie sollten eine einzige Zertifikatvorlage verwenden, sofern keine Geschäftsanforderungen nach verschiedenen Einstellungen für unterschiedliche Funknetzwerke bestehen, außerdem nur Clientauthentifizierungsfunktionen angeben und diese Zertifikatvorlage zur Verwendung mit der Out-of-Band-Verwaltung in Configuration Manager reservieren.Ist für ein Funknetzwerk beispielsweise eine abweichende Schlüsselgröße oder Gültigkeitsdauer erforderlich, so muss dafür eine gesonderte Zertifikatvorlage erstellt werden.Eine einzige Zertifikatvorlage erlaubt eine bessere Kontrolle ihrer Verwendung und schützt vor Rechteerweiterungen.

Stellen Sie sicher, dass nur autorisierte Administratoren zum Ausführen von AMT-Überwachungsaktionen und zum Verwalten der AMT-Überwachungsprotokolle berechtigt sind.

Je nach AMT-Version werden neue Einträge nicht mehr von Configuration Manager in das AMT-Überwachungsprotokoll geschrieben, wenn dieses fast voll ist, oder alte Einträge werden überschrieben.Löschen Sie das Überwachungsprotokoll ggf. in regelmäßigen Abständen, und speichern Sie die Überwachungseinträge, um sicherzustellen, dass neue Einträge aufgezeichnet und alte nicht überschrieben werden.Weitere Informationen zum Verwalten des Überwachungsprotokolls und zum Überwachen von Überwachungsaktivitäten finden Sie unter Verwalten des Überwachungsprotokolls für AMT-basierte Computer in Configuration Manager.

Verfahren Sie nach dem Prinzip der geringsten Berechtigungen und der rollenbasierten Verwaltung, wenn Sie Administratoren Berechtigungen zur Out-of-Band-Verwaltung von AMT-basierten Computern gewähren.

Verwenden Sie die Sicherheitsrolle Remotetoolsverantwortlicher, um Administratoren die Berechtigung zur Steuerung von AMT zu gewähren, die es ihnen ermöglicht, Computer mithilfe der Out-of-Band-Verwaltungskonsole anzuzeigen und zu verwalten sowie Energiesteuerungsaktionen mithilfe der Configuration Manager-Konsole zu initiieren.

Weitere Informationen zu den Sicherheitsberechtigungen, die erforderlich sein können, um AMT-basierte Computer zu verwalten, finden Sie unter "Abhängigkeiten in Configuration Manager" in Voraussetzungen für die Out-of-Band-Verwaltung in Configuration Manager.

Sicherheitsprobleme bei der Out-of-Band-Verwaltung

Die Out-of-Band-Verwaltung AMT-basierter Computer birgt folgende Sicherheitsprobleme:

  • Angreifer könnten eine Bereitstellungsanfrage vortäuschen und so die Erstellung eines Active Directory-Kontos bewirken.Überwachen Sie die Organisationseinheit, in der die AMT-Konten erstellt werden, um zu gewährleisten, dass nur erwartete Konten erstellt werden.

  • Sie können keinen Webproxyzugriff für den Out-of-Band-Dienstpunkt konfigurieren, um die im Internet veröffentlichte Zertifikatsperrliste (Certificate Revocation List, CRL) zu überprüfen.Wenn Sie die CRL-Überprüfung für das AMT-Bereitstellungszertifikat aktivieren und ein Zugriff auf die CRL nicht möglich ist, stellt der Out-of-Band-Dienstpunkt keine AMT-basierten Computer bereit.

  • Die Option zum Deaktivieren der automatischen AMT-Bereitstellung ist auf dem Configuration Manager-Client gespeichert, nicht in AMT.Dies bedeutet, dass der AMT-basierte Computer weiterhin bereitgestellt werden kann.Beispielsweise könnte der Configuration Manager-Client deinstalliert oder der Computer von einem anderen Verwaltungsprodukt bereitgestellt werden.

  • Auch wenn Sie die Option zum Deaktivieren der automatischen Bereitstellung AMT-basierter Computer auswählen, wird eine Bereitstellungsanfrage dieses Computers vom Out-of-Band-Dienstpunkt akzeptiert.

Datenschutzinformationen zur Out-of-Band-Verwaltung

Die Out-of-Band-Verwaltungskonsole verwaltet Computer, auf denen die Intel vPro-Chipsatz und Intel Active Management Technology (Intel AMT) und einer Firmwareversion, den unterstützt Configuration Manager.Configuration Manager vorübergehend sammelt Informationen über die Konfiguration des Computers und die Einstellungen, wie z. B. Computernamen, IP-Adresse und MAC-Adresse.Informationen werden zwischen dem verwalteten Computer und der Out-of-Band-Verwaltungskonsole über einen verschlüsselten Kanal ausgetauscht.Diese Funktion ist in der Standardeinstellung nicht aktiviert, und nach Abschluss der Verwaltungssitzung werden diese Informationen normalerweise nicht gespeichert.Wenn Sie die AMT-Überwachung aktivieren, können Sie die Überwachungsinformationen in einer Datei speichern, darunter die IP-Adresse des verwalteten AMT-basierten Computers sowie das Domänen- und Benutzerkonto, mit dem die Verwaltungsaktion zum erfassten Zeitpunkt ausgeführt wurde.Diese Informationen werden nicht an Microsoft gesendet.

Sie können optional Configuration Manager aktivieren, um Computer mit Verwaltungscontrollern zu ermitteln, die über die Out-of-Band-Verwaltungskonsole verwaltet werden können.Bei der Ermittlung werden Datensätze für die verwaltbaren Computer erstellt und in der Datenbank gespeichert.Discovery Data Records enthalten Computerinformationen wie IP-Adresse, Betriebssystem und Computername.In der Standardeinstellung ist die Ermittlung von Verwaltungscontrollern nicht aktiviert.Die ermittelten Informationen werden nicht an Microsoft gesendet.Sie werden in der Standortdatenbank gespeichert.Die Informationen verbleiben in der Datenbank, bis sie vom Standortwartungstask Veraltete Ermittlungsdaten löschen in Intervallen von 90 Tagen gelöscht werden.Sie können das Löschintervall konfigurieren.

Beim Konfigurieren der Out-of-Band-Verwaltung sollten Sie Ihre Datenschutzanforderungen berücksichtigen.