Bewährte Methoden zum Schützen der Kommunikation

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007-Aktivitäten beschränken sich nie auf einen einzelnen Computer. Beispiele umfassen Folgendes:

  • Clients kommunizieren mit Verwaltungspunkten.

  • Der Standortserver kommuniziert mit allen Standortsystemen, die auf Remotecomputern installiert werden können.

  • Alle Domänenmitglieder kommunizieren mit den Domänencontrollern für Authentifizierung und Autorisierung.

  • Standorthierarchien können so installiert werden, dass sie sich über WAN-Verknüpfungen mit Firewalls und VPNs (Virtuelle Private Netzwerke) erstrecken.

Wenn beim Sichern der Configuration Manager 2007-Kommunikation zwischen Standorten ein Fehler auftritt, können Clients von nicht autorisierten Servern übernommen, Anmeldeinformationen mit hohen Rechten aufgedeckt oder falsche Daten in die Configuration Manager 2007-Standortdatenbank eingefügt werden.

Empfehlungen

Verwenden des einheitlichen Modus     Der einheitliche Modus bietet automatisch gegenseitige Authentifizierung und Verschlüsselung für den Großteil der Kommunikation zwischen Configuration Manager 2007-Clients und -Servern.

Erfordern des gesicherten Schlüsselaustauschs    Standardmäßig ist Erfordern des gesicherten Schlüsselaustauschs für Neuinstallationen aktiviert. Die vorhandene Schlüsselaustauscheinstellung wird bei der Aktualisierung beibehalten, doch sollten Sie sie selbst dann aktivieren, wenn Ihre Hierarchie nur einen Standort enthält. Dadurch wird das Risiko, dass ein Angreifer eine gefälschte Standortsteuerungsdatei sendet, reduziert. Wenn Sie Ihr Active Directory-Schema erweitert und die Veröffentlichung konfiguriert haben, tauscht Configuration Manager 2007 die Schlüssel über Active Directory aus, was dabei hilft, den Schlüsselaustauschvorgang zu sichern. Falls Sie Ihr Active Directory-Schema nicht erweitert oder die Veröffentlichung nicht richtig konfiguriert haben, muss der Administrator die Schlüssel manuell austauschen. Weitere Informationen finden Sie unter Erfordern des gesicherten Schlüsselaustauschs zwischen Standorten.

Mögliche Verwendung nicht standardmäßiger Portnummern für die Clientkommunikation    Die Verwendung nicht standardmäßiger Ports für Protokolle wie HTTP und HTTPS kann einen Angreifer abbremsen. Viele Organisationen blockieren z. B. TCP-Port 80 und verwenden stattdessen einen anderen HTTP-Port. Ports werden abhängig von den einzelnen Standorten konfiguriert. Wenn Sie jedoch nicht dieselben Ports in der gesamten Hierarchie konfigurieren, kann es beim Roaming für Configuration Manager 2007-Clients zu Problemen kommen. Weitere Informationen finden Sie unter Konfigurieren von Anforderungsports für den Configuration Manager-Client.

Verwalten der Bereitstellung des vertrauenswürdigen Stammschlüssels, wenn Clients Active Directory nicht abfragen können    Können Clients den globalen Katalog nicht abfragen, weil die Active Directory-Veröffentlichung nicht aktiviert ist oder Clients sich in einer Arbeitsgruppe oder Remotegesamtstruktur befinden, müssen sie zur Authentifizierung der Verwaltungspunkte den vertrauenswürdigen Stammschlüssel verwenden. Der vertrauenswürdige Stammschlüssel wird in der Clientregistrierung gespeichert und kann mithilfe der Gruppenrichtlinie oder manuell konfiguriert werden. Weist der Client keine Kopie des vertrauenswürdigen Stammschlüssels auf, bevor der Verwaltungspunkt zum ersten Mal kontaktiert wird, vertraut er dem ersten Verwaltungspunkt, mit dem er kommuniziert. Um das Risiko zu reduzieren, dass Clients von einem Angreifer an einen nicht autorisierten Verwaltungspunkt fehlgeleitet werden, können Sie für den Client im Voraus einen vertrauenswürdigen Stammschlüssel bereitstellen. Weitere Informationen finden Sie unter Vorbereiten der Bereitstellung des vertrauenswürdigen Stammschlüssels auf Clients.

Schützen der Kommunikation zwischen Standortsystemen mithilfe von IPsec    Während Configuration Manager 2007 im einheitlichen Modus den Kommunikationskanal zwischen den Configuration Manager 2007-Clients und den Configuration Manager 2007-Standortsystemen schützt, sichert Configuration Manager 2007 den Kommunikationskanal zwischen Standortsystemen nicht, unabhängig davon, ob sie sich an demselben oder an einem anderen Standort, im internen Netzwerk oder im Umkreisnetzwerk befinden und welchen Standortmodus sie aufweisen. Sie sollten IPsec zwischen allen Standortsystemen implementieren, um deren Kommunikation zu verschlüsseln und zu authentifizieren. Weitere Informationen finden Sie unter Implementieren von IPsec in Configuration Manager 2007. Falls Sie IPsec nicht aktivieren können, sollten Sie zumindest SMB-Signaturen zwischen allen Standortsystemen aktivieren.

Konfigurieren Ihrer Firewalls, damit der erforderliche Configuration Manager-Verkehr zugelassen wird    Bewährte Sicherheitsmethoden geben vor, dass Sie alle außer den explizit konfigurierten Ports in Ihrer Firewall ablehnen. Configuration Manager 2007 ist ein komplexes Produkt, das für die korrekte Kommunikation viele Ports erfordert. Die Portverwendung kann je nach den gewählten Konfigurationsoptionen wie z. B. einheitlicher oder gemischter Modus variieren. Weitere Informationen finden Sie unter Von Configuration Manager verwendete Ports.

Sichern des Kommunikationskanals zwischen Standortserver und Paketquellserver      Configuration Manager 2007 sichert den Kommunikationskanal zwischen dem Standortservercomputer und dem Computer, auf dem die für die Paketerstellung verwendeten Quelldateien gespeichert werden, nicht. Sichern Sie den von Configuration Manager 2007 beim Abruf der Paketquelldateien verwendeten SMB-Kanal mithilfe von IPsec, um zu verhindern, dass Angreifer die Dateien manipulieren.

Sichern des Kommunikationskanals zwischen Setupmedien und Standortserver    Falls Sie Setup von einem Netzwerkspeicherort ausführen, müssen Sie mithilfe von IPsec zwischen dem Quellspeicherort der Setupdateien und dem Standortserver verhindern, dass ein Angreifer die Dateien manipuliert.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: