Bewährte Methoden für Sicherheitsgrundlagen

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Das größte Risiko bei Microsoft System Center Configuration Manager 2007 besteht darin, dass ein nicht autorisierter Benutzer auf die Funktionalität zugreifen und damit Software an alle Configuration Manager 2007-Clients verteilen könnte. Da Configuration Manager 2007 Software mithilfe von Administratorrechten installiert, könnte ein Angreifer die Kontrolle über jeden Configuration Manager 2007-Client übernehmen, sowohl über Computer als auch über Geräte. Configuration Manager 2007 ist auch in der Lage, Dateien von Clientcomputern abzurufen, was je nach Art des Dokuments die Sicherheit und den Datenschutz stark beeinträchtigen könnte.

Die von Configuration Manager 2007 gesammelten Datentypen (Hardwareinventur, Softwareinventur, Softwaremessung, gewünschte Konfigurationen) werden hingegen selten als vertraulich betrachtet. Der kurzfristige Verlust der Configuration Manager 2007-Funktionalität aufgrund eines Denial-of-Service-Angriffs (DoS) hat daher normalerweise keine katastrophalen Auswirkungen, im Gegensatz zum Ausfall von E-Mail, Netzwerkkommunikation oder Stromversorgung. Das größte Problem, das sich aus der Nichtverfügbarkeit normalerweise ergeben kann, ist die Unfähigkeit, neue Softwareupdates als Reaktion auf einen Zero-Day-Exploit bereitzustellen. Der Verlust der Configuration Manager 2007-Infrastruktur kann die Fähigkeit der Clients zur Wiederherstellung beeinträchtigen, wenn deren Netzwerkzugriff aufgrund einer NAP-Evaluierung beschränkt ist, wodurch ihr Zugriff auf das gesamte Netzwerk potentiell blockiert werden könnte.

Empfehlungen

Computer physisch sichern    Es gibt keine Sicherheit ohne physische Sicherheit. Ein Angreifer, der physischen Zugriff auf ein Configuration Manager 2007-Standortsystem hat, kann Configuration Manager 2007 potenziell zum Angriff auf die gesamte Clientbasis verwenden. Alle potenziellen physischen Angriffe müssen als hochriskant angesehen und dementsprechend entschärft werden. Der Standortserver und alle Standortsysteme müssen in einem sicheren Serverraum mit beschränktem Zutritt aufbewahrt werden. Idealerweise sollten Sie Computer, auf denen Configuration Manager 2007-Konsolen ausgeführt werden, in einem verschlossenen Raum aufbewahren, um sie vor nicht autorisiertem Zugriff zu schützen. Sollte dies nicht möglich sein, z. B. bei einem Zweigverteilungspunkt, schützen Sie diese Computer bei Abwesenheit eines Administrators, indem Sie die Arbeitsstation mithilfe des Betriebssystems sperren oder einen geschützten Bildschirmschoner verwenden. Um das Prinzip der geringsten Berechtigung zu erzwingen, erstellen Sie Richtlinien, die von Configuration Manager 2007-Administratoren verlangen, sich an Remoteadministratorkonsolen unter einem Benutzerkonto mit geringsten Rechten anzumelden und dann mithilfe von „Ausführen als“ die Configuration Manager 2007-Administratorkonsole zu starten.

Der physische Schutz von Configuration Manager 2007-Clientcomputern ist schwieriger, weil sie im Allgemeinen für Endbenutzer verfügbar sein müssen. Um das Risiko zu minimieren, beschränken Sie den Zutritt zu Ihren Geschäftsräumen auf autorisierte Angestellte und Besucher. Wenn Clientcomputer mit hohem Gefährdungsrisiko vorhanden sind, bewahren Sie diese in verschlossenen Räumen auf, und sichern Sie sie zusätzlich mithilfe von verschlossenen Behältern und Diebstahlsicherungen. Bei Configuration Manager 2007-Clients kann es sich um mobile Computer und Geräte handeln. Informieren Sie die Benutzer über bewährte Sicherheitsmethoden, wie das Anbringen von Diebstahlsicherungen an Laptops und die Verwendung von Kennwörtern auf Geräten. Sie sollten in Ihrer Organisation über bewährte Verfahren verfügen, die bei Verlust oder Diebstahl eines Laptops oder Geräts den Zugriff dieses Laptops oder Geräts auf das Unternehmensnetzwerk verhindern. Die betreffenden Computer sollten sofort in der Configuration Manager 2007-Konsole gesperrt werden. Außerdem sollten ihre Clientzertifikat gesperrt werden, wenn Sie den einheitlichen Modus verwenden.

Anwenden der aktuellen Sicherheitsupdates auf allen Computern     Mithilfe des Softwareupdatefeatures in Configuration Manager 2007 können Sie Updates auf Configuration Manager 2007-Clientcomputern bereitstellen. Informieren Sie sich stets über neue Updates für Betriebssysteme, Microsoft SQL Server und Configuration Manager 2007, indem Sie sich beim Sicherheitsbenachrichtigungsdienst anmelden (http://go.microsoft.com/fwlink/?LinkId=28819).

Schutz vor nicht autorisierten Administratoren    Configuration Manager 2007 bietet keinen Schutz vor nicht autorisierten Configuration Manager 2007-Administratoren, die Configuration Manager 2007 zum Angriff auf das Netzwerk verwenden. Nicht autorisierte Administratoren stellen ein erhebliches Sicherheitsrisiko dar. Ein nicht autorisierter Administrator kann zahlreiche Angriffe starten, z. B.:

  • Verwenden der Softwareverteilung, um automatisch Malware auf jedem Configuration Manager 2007-Clientcomputer im Unternehmen zu installieren und auszuführen.

  • Konfigurieren der Remotesteuerung, um die Remotesteuerung eines Configuration Manager 2007-Clients ohne dessen Erlaubnis zu übernehmen.

  • Konfigurieren extrem kurzer Abrufintervalle und extrem großer Inventarmengen, um Denial-of-Service-Angriffe gegen Clients und Server auszuführen.

  • Verwenden eines Standorts der Hierarchie, um Daten in die Active Directory-Daten eines anderen Standorts zu schreiben.

Sie können nicht den gesamten administrativen Zugriff auf die Configuration Manager 2007-Konsole und die Configuration Manager 2007-Standortsysteme entfernen, da Configuration Manager 2007 dann unbrauchbar wäre. Überwachen Sie alle administrativen Aktivitäten, und überprüfen Sie die Überwachungsprotokolle regelmäßig. Unterziehen Sie alle Configuration Manager 2007-Administratoren vor der Einstellung einer zwingenden Hintergrundüberprüfung, und machen Sie regelmäßige erneute Überprüfungen zur Bedingung für die Beschäftigung. Zu Hochsicherheitsjobs gehört routinemäßig „erzwungene Freizeit“, da das Aufdecken nicht autorisierter administrativer Aktivitäten in Abwesenheit des Administrators einfacher sein kann.

Rollentrennung erzwingen, um den administrativen Zugriff zu beschränken    Nicht alle Administratoren benötigen vollen administrativen Zugriff auf Configuration Manager 2007. Mithilfe der Sammlungssicherheit können sie den administrativen Umfang auf so wenige Administratoren wie möglich beschränken. Mit der Rollentrennung können Sie beispielsweise einer Person die Erstellung von Paketobjekten erlauben, und einer anderen Person die Verteilung, sodass keine Einzelperson Configuration Manager 2007 zur Bereitstellung von Malware verwenden kann. Weitere Informationen zum Zuweisen von Rechten für Configuration Manager 2007-Objekte finden Sie unter Übersicht über Objektsicherheit und WMI in Configuration Manager.

Denken Sie beim Entwurf Ihrer Standorte daran, den administrativen Umfang einzuschränken, indem Sie beispielsweise verschiedene Standorte oder Standorthierarchien für Clients und Server erstellen.

ImportantWichtig
Die Standorthierarchie ist die Verwaltungsgrenze. Nachdem Standorte zu einer Hierarchie verknüpft worden sind, ermöglicht Configuration Manager 2007 prinzipbedingt dem übergeordneten Standort, Softwarepakete, Sammlungen und Konfigurationen an untergeordnete Standorte zu senden, auch wenn die entsprechenden Objektberechtigungen am untergeordneten Standort nicht ausdrücklich gewährt wurden. Es gibt Angriffswege, über die böswillige Administratoren an untergeordneten Standorten übergeordnete Standorte unter ihre Kontrolle bekommen können. Beschränken Sie zum Minimieren des Risikos die Anzahl der Standorte in der Hierarchie, und überprüfen Sie Administratoren aller Standorte der Hierarchie.

Entwurf mit umfassendem Schutz     Da Configuration Manager 2007 mit sehr vielen Systemen interagieren kann, ist es wichtig, über die Sicherheitsstufen in Ihrem Netzwerk und über die Interaktion dieser Stufen mit Configuration Manager 2007 nachzudenken. Sicherheit im äußeren Bereich ist wichtig. Wenn Sie sich allerdings komplett auf Umkreissicherheitsmaßnahmen wie Firewalls verlassen, erhöhen Sie im Falle einer Sicherheitslücke in der Firewall das Risiko. Der Entwurf von Netzwerken im Hinblick auf die Isolierung von Clients mit geringerer Sicherheit von solchen mit größerer Sicherheit bietet eine weitere Verteidigungsstufe. Eine zusätzliche Stufe stellt das Ausstatten von Clientcomputern mit persönlichen Firewalls dar. Durch das Ausführen von Angriffserkennungssoftware und hostbasierter Angriffserkennungssoftware können Sie verdächtige Aktivitäten herausfiltern. Das Ausführen von Antivirensoftware ist eine unerlässliche Sicherheitsmaßnahme. Die Bereitstellung und Wartung der Antivirensoftware kann dabei durch Configuration Manager 2007 erfolgen. Die Schulung von Benutzern im Hinblick auf die Computersicherheit stellt eine wichtige Komponente der Netzwerksicherheitsstrategie dar.

Sicherheitsbasislinien für alle Systeme erstellen und warten    Eine Sicherheitsbasislinie ist eine detaillierte Beschreibung der Konfiguration und Verwaltung eines Computers. Sie beschreibt alle relevanten Konfigurationseinstellungen für eine sichere Computernutzung. Zum Erstellen einer Sicherheitsbasislinie gehört die Verwendung eines möglichst sicheren Betriebssystems. Je neuer das Betriebssystem ist, desto wahrscheinlicher ist es, dass bei seiner Erstellung auf Sicherheit geachtet wurde, und desto wahrscheinlicher ist es, dass es Features für einen verbesserten Schutz enthält. Sorgen Sie dafür, dass das Betriebssystem und die Anwendungen stets auf dem aktuellsten Stand sind, indem Sie Sicherheitsupdates sofort anwenden, sobald sie zur Verfügung stehen. Sie können das Configuration Manager 2007-Softwareupdatefeature für die Bereitstellung von Softwareupdates für Configuration Manager 2007-Clients verwenden. Verwenden Sie stets NTFS-Partitionen anstelle von FAT-Partitionen, sodass Sie die Zugriffssteuerung festlegen können. Überwachen Sie Änderungen an der Sicherheitsbasislinie. Über das Configuration Manager 2007-Feature „Verwaltung gewünschter Konfigurationen“ können Sie Änderungen an der Sicherheitsbasislinie überwachen.

Sichere Kennwörter oder Kennsätze verwenden    Verwenden Sie für alleConfiguration Manager 2007-Konten und Configuration Manager 2007-Administratorkonten stets sichere Kennwörter mit mindestens 15 Zeichen. Verwenden Sie niemals leere Kennwörter. Weitere Informationen zu Kennwortkonzepten finden Sie im Whitepaper zu Kennwörter und Richtlinien für Konten im TechNet (http://go.microsoft.com/fwlink/?LinkId=30009, möglicherweise in englischer Sprache). Configuration Manager 2007 erstellt bestimmte Konten automatisch, und generiert sichere Kennwörter für diese Konten.

Zugriff auf exportiere Dateien steuern    Configuration Manager 2007 ermöglicht den Export mehrerer Objekte in Textdateien, z. B. Tasksequenzen, Sammlungen, Pakete, Standorteinstellungen und Berichte, und den späteren Import dieser Objekte. Mithilfe von Verfahren zur Zugriffssteuerung können Sie sicherstellen, dass alle exportierten Dateien sicher gespeichert werden, sodass Angreifer den Inhalt vor Import nicht ändern können, und in den Dateien auch nicht nach Informationen suchen können.

Sichere Paketquelldateien    Viele Configuration Manager 2007-Pakete, wie die Betriebssystembereitstellung, die Softwareverteilung und Softwareupdates, benötigen Quelldateien in einem Verzeichnis oder freigegebenen Ordner, der Quellspeicherort unterliegt jedoch nicht der Kontrolle von Configuration Manager 2007. Mithilfe von Verfahren zur Zugriffssteuerung können Sie verhindern, dass Angreifer Quelldateien manipulieren, bevor sie als Configuration Manager 2007-Pakete verarbeitet werden.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: