Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Inventur

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Das Sammeln der Inventur weist potenzielle Sicherheitslücken auf. Angreifer können folgende Aktionen durchführen:

  • Ungültige Daten versenden

  • Übermäßig große Datenmengen versenden

  • Auf Inventurinformationen zugreifen, sobald sie an Standortsysteme übermittelt werden

Angriffe auf die Inventur werden normalerweise als weniger gefährlich angesehen als Angriffe, die eine Verteilung nicht autorisierter Software erzwingen, da Inventurinformationen auch auf andere Weise verfügbar sind.

Bewährte Maßnahmen für die Inventur

Inventurverschlüsselung aktivieren    Im einheitlichen Modus in Microsoft System Center Configuration Manager 2007 wird die Clientkommunikation mit dem Verwaltungspunkt mit SSL verschlüsselt. Im gemischten Modus werden Clientinventurberichte und gesammelte Dateien, die an Verwaltungspunkte gesendet werden, standardmäßig signiert, jedoch nicht verschlüsselt. Weitere Informationen zur Verschlüsselung von Inventurberichten, die an Verwaltungspunkte gesendet werden, finden Sie unter Verschlüsseln von Clientinventurberichten.

IDMIF- und NOIDMIF-Sammlung in Umgebungen mit hoher Sicherheit deaktivieren    Die IDMIF- und NOIDMIF-Sammlung kann zur Erweiterung der Hardwareinventursammlung verwendet werden. Bei Bedarf werden von Configuration Manager 2007 neue Tabellen erstellt oder vorhandene Tabellen in der Standortdatenbank geändert, um die Eigenschaften in IDMIF- und NOIDMIF-Dateien zu berücksichtigen. Da IDMIF- und NOIDMIF-Dateien jedoch nicht überprüft werden, könnten sie zum Ändern von Tabellen verwendet werden, die nicht geändert werden sollen. Gültige Daten könnten durch ungültige Daten überschrieben werden. Es könnten große Datenmengen geladen werden, was zu Verzögerungen bei allen Configuration Manager 2007-Funktionen führen würde. Um dieses Risiko zu verringern, können Sie die IDMIF- und NOIDMIF-Sammlung in den Eigenschaften des Hardwareinventurclient-Agents deaktivieren.

noteHinweis
Bei der Erweiterung der Hardwareinventursammlung mithilfe der Datei SMS_def.mof treten nicht dieselben Sicherheitsprobleme auf. Die Erweiterungen mit der Datei SMS_def.mof müssen auf dem Server vorgenommen werden, wozu Administratorrechte erforderlich sind.

Keine Dateisammlung zur Sammlung wichtiger Dateien oder sensibler Informationen verwenden    Configuration Manager 2007-Inventursammlungen, die die Rechte des lokalen Systemkontos verwenden und in der Lage sind, Kopien wichtiger Systemdateien, z. B. der Registrierung oder der Datenbank des Sicherheitskontos, zu sammeln. Wenn diese Dateien auf dem Standortserver zur Verfügung stehen, kann eine Person mit Leserechten für Ressourcen oder NTFS-Rechten am Speicherort der Datei den Inhalt analysieren, u. U. wichtige Details des Clients ermitteln und damit die Sicherheit kompromittiert.

Datenschutzinformationen

Die Hardwareinventur ermöglicht das Abrufen von Informationen, die auf Ihren Configuration Manager 2007-Clients in WMI gespeichert sind. Die Softwareinventur ermöglicht die Ermittlung aller Dateien eines bestimmten Typs oder die Sammlung bestimmter Dateien von Clients. Asset Intelligence erweitert die Inventurfunktionen, indem die Hardware- und Softwareinventur erweitert und neue Lizenzverwaltungsfunktionen hinzugefügt werden.

Die Hardwareinventur ist standardmäßig aktiviert, und WMI-Informationen werden mithilfe der Datei „SMS_def.mof“ bestimmt. Sie können die MOF-Datei ändern, um mehr oder weniger Informationen zu sammeln. Softwareinventur und Dateisammlung sind standardmäßig deaktiviert. Die Asset Intelligence-Datensammlung ist bei neuen Installationen standardmäßig nicht aktiviert. Wenn sie jedoch zuvor bei SMS 2003 SP3 aktiviert war, ist sie nach der Aktualisierung weiterhin aktiviert.

Die Inventurinformationen werden nicht an Microsoft zurückgesendet. Die Inventurinformationen werden in der Standortdatenbank gespeichert. Im einheitlichen Modus wird die Inventur beim Übertragen an den Verwaltungspunkt verschlüsselt. Im einheitlichen Modus kann die Inventurverschlüsselung aktiviert werden. Daten werden in keinem der Modi in verschlüsselter Form in der Datenbank gespeichert. Informationen werden so lange in der Datenbank gespeichert, bis sie nach 90 Tagen von den Wartungsaufgaben Veralteten Inventurverlauf löschen oder Veraltete gesammelte Dateien löschen gelöscht werden. Sie können das Löschintervall konfigurieren.

Berücksichtigen Sie vor der Konfiguration der Hardware- und Softwareinventur, der Dateisammlung oder der Asset Intelligence-Datensammlung Ihre Datenschutzanforderungen.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: