Bewährte Methoden zum Schützen von Clients

Letzte Aktualisierung: Dezember 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 muss Clientdaten zulassen. Dies erhöht das Risiko, dass der Standort von Clients angegriffen wird, z. B. durch Senden von falsch formatierten Inventurdaten oder den Versuch, das Standortsystem zu überlasten. Stellen Sie Configuration Manager 2007 nur für vertrauenswürdige Computer und Geräte bereit.

Der folgende Abschnitt gilt nur für Clientcomputer. Weitere Informationen zu Clients für mobile Geräte finden Sie unter Bewährte Sicherheitsmethoden und Datenschutzinformationen zu Clients für mobile Geräte.

Bewährte Methoden im gemischten Modus

Verwenden Sie für Clients aus vertrauenswürdigen Domänen die automatische Genehmigung     Die Clientgenehmigung kann entweder manuell, automatisch für Computer in vertrauenswürdigen Domänen oder automatisch für alle Computer ausgeführt werden. Sie wird für Standorte im gemischten Modus auf der Registerkarte „Standortmodus“ als Standorteigenschaft konfiguriert. Die sicherste Genehmigungsmethode ist die automatische Genehmigung von Clients, die Mitglieder einer vertrauenswürdigen Domäne sind. In diesem Modus müssen Clients, die nicht Mitglieder einer vertrauenswürdigen Domäne sind, einschließlich Arbeitsgruppenclients, manuell genehmigt werden. Wenn Sie jeden Client manuell genehmigen möchten, bevor dieser Richtlinien mit vertraulichen Daten empfangen kann, legen Sie den Genehmigungsmodus auf „Manuell“ fest. Die automatische Genehmigung aller Clients ist nur dann empfehlenswert, wenn Sie über andere Zugriffssteuerungsmethoden verfügen, mit denen Sie verhindern können, dass nicht vertrauenswürdige Computer auf das Netzwerk zugreifen. Wenn ein Client von einer automatischen Methode nicht genehmigt wird, wird er dennoch in der Configuration Manager 2007-Konsole angezeigt. Sie können in den Sammlungen dann nach diesem Client suchen und ihn im Menü „Aktion“ mit der Schaltfläche Genehmigen manuell genehmigen.

noteHinweis
Wird ein bereits genehmigter Client aus der Configuration Manager 2007-Konsole gelöscht und dann beim erneuten Anzeigen in der Konsole nicht genehmigt, enthält er dennoch alle Richtlinien mit vertraulichen Daten.

Verlassen Sie sich nicht nur auf die Clientblockierung, wenn Sie verhindern möchten, dass Clients auf den Standort zugreifen     Blockierte Clients werden von der Configuration Manager 2007-Infrastruktur abgewiesen, sodass sie nicht mit Standortsystemen kommunizieren können, um Richtlinien herunterzuladen, Inventurdaten hochzuladen oder Zustands- bzw. Statusmeldungen zu senden. Bei einem Standort im gemischten Modus sollten Sie sich für den Schutz des Standorts vor nicht vertrauenswürdigen Computern oder mobilen Geräten jedoch nicht auf die Blockierung verlassen. Ein blockierter Client könnte dem Standort mit einem neuen selbstsignierten Zertifikat und einer neuen Hardware-ID erneut beitreten. Dieses Feature wurde entwickelt, um bei der Clientbereitstellung mithilfe des Betriebssystembereitstellungsfeature verlorene oder kompromittierte Bootmedien zu blockieren, sowie für Clients im einheitlichen Modus. Wenn sich der Standort im einheitlichen Modus befindet und Ihre Public Key-Infrastruktur eine Zertifikatsperrliste (Certificate Revocation List, CRL) unterstützt, sollte zunächst eine Zertifikatsperrung als erste Verteidigung gegen möglicherweise kompromittierte Zertifikate in Betracht gezogen werden. Das Blockieren von Clients in Configuration Manager 2007 bietet eine zweite Stufe der Verteidigung, mit der die Standorthierarchie geschützt wird. Weitere Informationen finden Sie unter Bestimmen, ob Configuration Manager-Clients blockiert werden müssen.

Aktualisieren Sie alle Clients auf Configuration Manager 2007, und aktivieren Sie „Dieser Standort verfügt nur über ConfigMgr 2007-Clients“    Wenn das Kontrollkästchen Dieser Standort verfügt nur über ConfigMgr 2007-Clients aktiviert ist, können nur genehmigte Clients Richtlinien mit vertraulichen Daten empfangen. Ist das Kontrollkästchen jedoch nicht aktiviert, können Richtlinien mit vertraulichen Daten an jeden beliebigen Client gesendet werden.

Bewährte Methoden im einheitlichen Modus

Verwenden Sie nach Möglichkeit den einheitlichen Modus    Im einheitlichen Modus werden von einer PKI ausgestellte Zertifikate verwendet, um die Authentifizierung zwischen den Standortsystemen und dem Client zu gewährleisten. Der einheitliche Modus ist der sicherste Modus für Configuration Manager 2007.

Konfigurieren Sie alle Verteilungspunkte für die Verwendung von BITS     Wenn Sie die Einstellung Clients gestatten, Inhalte von diesem Verteilungspunkt mit BITS, HTTP und HTTPS zu übertragen nicht konfigurieren, kommunizieren Clients auch im einheitlichen Modus mit den Verteilungspunkten, die SMB (Server Message Blocks) verwenden. Die SMB-Kommunikation wird von Configuration Manager 2007 auch im einheitlichen Modus weder authentifiziert noch verschlüsselt.

Aktivieren Sie nicht „HTTP-Kommunikation für Roaming und Standortzuweisung zulassen“     Wenn Sie diese Einstellung aktivieren, können Clients im einheitlichen Modus mit residenten Verwaltungspunkten und Verteilungspunkten über HTTP anstelle von HTTPS kommunizieren, wenn sie in Standorte im gemischten Modus wechseln. Diese Einstellung muss jedoch aktiviert werden, wenn das Active Directory-Schema nicht für Configuration Manager 2007 erweitert wurde oder der Standort im einheitlichen Modus Clients im Intranet aus nicht vertrauenswürdigen Domänen oder Arbeitsgruppen verwaltet. Weitere Informationen finden Sie unter Entscheiden, ob eine Konfiguration der HTTP-Kommunikation für Roaming und Standortzuweisung erforderlich ist (einheitlicher Modus).

Befolgen Sie die bewährten Methoden für die Zertifikatverwaltung    Weitere Informationen finden Sie unter Bewährte Methoden für die Zertifikatverwaltung.

Bewährte Methoden für alle Clientcomputer

Wählen Sie eine Clientinstallationsmethode aus, die Ihrem Risikoprofil entspricht    Die Configuration Manager 2007-Clientsoftware kann auf Ihren verwalteten Computern auf verschiedene Weise installiert werden. In der folgenden Tabelle sind für jede Methode die Vorteile, Nachteile und Überlegungen bezüglich der Sicherheit aufgelistet.

 

Methode Vorteile Nachteile Überlegungen

Manuelle Installation

Kann äußerst sicher sein, wenn Zugriffs- und Änderungssteuerungen implementiert werden.

Äußerst ressourcen- und prozessintensiv, unzureichende Skalierung.

Erfordert an jedem Computer einen Benutzer mit Administratorrechten.

Der Administrator muss für den gesamten Prozess Sicherheitssteuerungen erstellen.

Abbilderstellung

Kann äußerst sicher sein, wenn Zugriffs- und Änderungssteuerungen implementiert werden.

Nur geeignet, um eine neue Clientbasis bereitzustellen, nicht für Bereitstellung für vorhandene Computer.

Mit dem Betriebssystembereitstellungs-Feature von Configuration Manager 2007 können Sie die Configuration Manager 2007-Clientsoftware bei der Bereitstellung des neuen Betriebssystems installieren.

Gruppenrichtlinien

Einfache Skalierbarkeit zur Unterstützung einer großen Anzahl von Clientcomputern

Verwenden die bereits in den Active Directory-Domänendiensten vorhandenen Sicherungssteuerungen.

Wird automatisch mit Administratorrechten ausgeführt.

Erfordern die Koordination mit dem Administrator der Active Directory-Domänendienste.

Die Organisationseinheiten stimmen möglicherweise nicht damit überein, wie Clients am Standort verteilt werden sollen.

Können nicht für Arbeitsgruppenclients verwendet werden.

Die Bewertung von Gruppenrichtlinieninteraktionen ist möglicherweise sehr komplex. Überwachen Sie, ob die Computer die Clientsoftware und die richtigen Clienteinstellungen empfangen.

Clientpushinstallation

Einfache Skalierbarkeit zur Unterstützung einer großen Anzahl von Clientcomputern

Erfordert auf jedem Client ein Konto mit Administratorrechten.

Erfordert eine Datei- und Druckerfreigabe.

Erfordert, dass die entsprechenden Ports für die Datei- und Druckfreigabe und der Remoteadministrationsdienst in der persönlichen Firewall offen sind. Weitere Informationen finden Sie unter Firewall-Einstellungen für Configuration Manager-Clients.

Verwenden Sie kein Domänenadministratorkonto als Clientpushinstallations-Konto. Ziehen Sie die Verwendung mehrerer Clientpushinstallations-Konten mit jeweils geringerem Verwaltungsumfang in Betracht, damit Angreifer, die ein Konto kompromittieren, nicht die administrative Kontrolle über alle Configuration Manager 2007-Clientcomputer erhalten. Weitere Informationen finden Sie unter Informationen zum Clientpushinstallations-Konto.

Clientinstallation über Softwareupdatepunkt

Integration in das Softwareupdatefeature.

Geringes Manipulationsrisiko, da alle Softwareupdates signiert sind.

Wird automatisch mit Administratorrechten ausgeführt.

Erfordert eine WSUS-Infrastruktur.

Sie können keinen anderen WSUS-Server für die Clientinstallation und die Softwareupdates verwenden.

Wenn der Client noch nicht installiert ist, müssen Sie ein Active Directory-Gruppenrichtlinienobjekt unter Verwendung des richtigen Servernamenformats und der richtigen Anschlussnummer konfigurieren.

Ein nicht richtig konfiguriertes Active Directory-Gruppenrichtlinienobjekt kann dazu führen, dass der Client keine Softwareupdates vom Softwareupdatepunkt abrufen kann. Weitere Informationen finden Sie unter Installieren von Configuration Manager-Clients mithilfe eines Softwareupdatepunkts.

Softwareverteilung

Einfache Methode zum Aktualisieren vorhandener Clients ohne lokales Administratorkonto

Einfache Skalierbarkeit zur Unterstützung einer großen Anzahl von Clientcomputern

Kann für die Ausführung mit Administratorrechten konfiguriert werden.

Kann nur für vorhandene Computer verwendet werden, die aktualisiert werden müssen.

Wie bei allen Softwareverteilungen müssen Sie die Quelldateien sichern, die Configuration Manager 2007 zum Erstellen des Pakets verwendet werden.

Entfernen Sie die Zertifikate vor der Erstellung eines Clientabbilds    Wenn Sie Clients mithilfe der Abbilderstellung bereitstellen möchten, müssen Sie Zertifikate wie Clientauthentifizierungszertifikate für den gemischten Modus oder selbstsignierte Zertifikate vor dem Erfassen des Abbilds entfernen. Bei Nichtbeachten können Clients die Identität wechseln und so verhindern, dass die Daten der einzelnen Clients überprüft werden. Weitere Informationen zum Verwenden von Sysprep zur Computervorbereitung auf die Abbilderstellung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=93068.

Stellen Sie sicher, dass der Configuration Manager-Client bei der Installation eine autorisierte Kopie des vertrauenswürdigen Stammschlüssels erhält    Wenn das Active Directory-Schema nicht erweitert wurde, sind Clients auf den vertrauenswürdigen Stammschlüssel angewiesen, um gültige Verwaltungspunkte zu authentifizieren. Ohne vertrauenswürdigen Stammschlüssel hat der Client keine Möglichkeit, zu überprüfen, ob der Verwaltungspunkt ein vertrauenswürdiger Verwaltungspunkt für diesen Standort ist. Dies kann ein erfahrener Angreifer ausnutzen und den Client an einen nicht autorisierten Verwaltungspunkt umleiten.

Konfigurieren Sie Clientcomputer für den Modus „Nur Active Directory“    Die sicherste Option für die Clientkonfiguration ist SMSDIRECTORYLOOKUP=NoWINS. Dieser Modus kann jedoch nur verwendet werden, wenn Clients eine Abfrage an den globalen Katalog senden können, daher sollte er nicht für Clients in Remotestrukturen oder Arbeitsgruppen verwendet werden, und ebenfalls nicht, wenn das Active Directory-Schema nicht erweitert wurde. Wenn Clients für die Dienstsuche WINS verwenden müssen und wenn SMSDIRECTORYLOOKUP=NoWINS, schlägt die Dienstsuche fehl. Weitere Informationen finden Sie unter Configuration Manager und Dienstsuche (Standortinformationen und Verwaltungspunkte). Wenn keine Eigenschaften angegeben sind, wird der Client im sicheren WINS-Modus installiert. Der Modus „Jeder WINS“ ist nicht sicher und wird daher nicht empfohlen. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften von Configuration Manager.

Stellen Sie sicher, dass die Wartungsfenster groß genug sind, um wichtige Softwareupdates bereitzustellen    Mit Configuration Manager 2007 können Sie die Wartungsfenster von Sammlungen, in denen die Clients Mitglieder sind, konfigurieren und so die Zeitpunkte beschränken, in denen Software von Configuration Manager 2007 installiert werden kann. Wenn Sie ein zu kleines Fenster festlegen, kann der Client möglicherweise wichtige Softwareupdates nicht installieren. Dies erhöht das Sicherheitsrisiko eines Angriffs, der von diesem Softwareupdate verhindert werden würde.

Sicherheitsprobleme

Für die folgenden Sicherheitsprobleme ist keine Risikominderung vorhanden.

Statusmeldungen werden nicht authentifiziert    Für Statusmeldungen wird keine Authentifizierung ausgeführt. Im gemischten Modus kann jeder Computer Statusmeldungen an den Verwaltungspunkt senden. Im einheitlichen Modus muss ein Computer erst ein gültiges Clientauthentifizierungszertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle erhalten, dann kann jedoch auch hier eine beliebige Statusmeldung gesendet werden. Wenn der Client eine ungültige Statusmeldung sendet, wird diese verworfen. Dieses Sicherheitsrisiko kann von manchen Angriffen ausgenutzt werden. Angreifer könnten z. B. eine gefälschte Statusmeldung senden, um Mitglied einer Sammlung zu werden, die auf Statusmeldungsabfragen basiert. Jeder Client könnte einen Denial-of-Service-Angriff auf den Verwaltungspunkt ausführen, in dem er mit Statusmeldungen überflutet wird. Wenn Statusmeldungen Aktionen in der Filterregel für Statusmeldungen auslösen, könnten Angreifer die Filterregel für Statusmeldungen auslösen. Angreifer könnten außerdem eine Statusmeldung senden, die dazu führt, dass Berichtsinformationen falsch angegeben werden.

Richtlinien können auf einen anderen Client fehlgeleitet werden    Es existieren verschiedene Methoden, mit denen Angreifer eine Richtlinie auf einem anderen als dem gewünschten Client anwenden können. Beispiel: Ein Angreifer auf einen vertrauenswürdigen Client könnte falsche Inventur- oder Ermittlungsinformationen senden, damit der Computer einer falschen Sammlung hinzugefügt wird, und somit alle Ankündigungen für diese Sammlung empfangen. Es bestehen zwar Kontrollen, die verhindern, dass Angreifer Richtlinien direkt ändern. Angreifer könnten jedoch eine vorhandene Richtlinie dazu verwenden, das Betriebssystem neu zu formatieren und neu bereitzustellen, und dieses an einen anderen Computer senden, was zu einem Denial-of-Service-Angriff führt. Diese Angriffstypen erfordern einen genauen Zeitplan und umfassende Kenntnisse der Configuration Manager 2007-Infrastruktur.

Clientprotokolle lassen Benutzerzugriff zu    Alle Clientprotokolldateien lassen den Benutzerlesezugriff und den interaktiven Benutzerschreibzugriff zu. Wenn Sie die ausführliche Protokollierung aktivieren, können Angreifer die Protokolldateien anzeigen und so nach Informationen zur Kompatibilität oder Sicherheitsrisiken des Systems suchen. Prozesse wie die Softwareverteilung, die im Kontext eines Benutzers ausgeführt werden, müssen mit einem Benutzerkonto mit geringsten Rechten in Protokolle schreiben können. Dies ermöglicht es auch Angreifern, mit einem Konto mit geringsten Rechten in die Protokolle zu schreiben. Das schwerwiegendste Risiko besteht darin, dass ein Angreifer aus den Protokolldateien Informationen entfernen könnte, die der Administrator für die Überwachung und Angriffserkennung benötigt.

Datenschutzinformationen

Aktivieren Sie bei der Bereitstellung des Configuration Manager 2007-Clients Client-Agents, um Configuration Manager 2007-Features verwenden zu können. Die für die Konfiguration der Features verwendeten Einstellungen gelten für alle Clients am Standort, egal, ob sie direkt mit dem Unternehmensnetzwerk, über eine Remotesitzung oder mit dem Internet verbunden sind, aber vom Standort unterstützt werden. Clientinformationen werden in der Datenbank gespeichert und nicht an Microsoft zurückgesendet. Berücksichtigen Sie beim Konfigurieren des Configuration Manager 2007-Clients Ihre Datenschutzanforderungen.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: