Checkliste für bewährte Sicherheitsmethoden zu Configuration Manager-Features

Letzte Aktualisierung: Oktober 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Stellen Sie anhand dieser Checkliste sicher, dass Ihre Microsoft System Center Configuration Manager 2007-Umgebung den bewährten Sicherheitsmethoden für Configuration Manager 2007-Features entspricht. In diesem Thema finden Sie eine Zusammenfassung des Inhalts im Abschnitt „Sicherheit und Datenschutz für Configuration Manager 2007“ der Configuration Manager-Dokumentationsbibliothek. Testen Sie diese bewährten Methoden vor der Implementierung in Ihre Umgebung eingehend.

Wenn Sie mit den Configuration Manager 2007-Begriffen und -Sicherheitsverfahren vertraut sind, können Sie auch direkt mit dieser Checkliste arbeiten und sich auf dieses Handbuch beziehen.

Bewährte Sicherheitsmethoden für die Configuration Manager-Konsole

Bewährte Sicherheitsmethoden und Datenschutzinformationen für die Configuration Manager-Konsole

 

Verwenden Sie zum Ausführen der Configuration Manager-Konsole immer ein Konto mit den geringsten Rechten.   

Erlauben Sie die Verwendung der Configuration Manager-Konsole auf dem Standortserver nur Administratoren.

Begrenzen Sie das Webbrowsen über die Configuration Manager-Konsole.  

Verbieten Sie Terminaldienstbenutzern mit geringen Rechten Verbindungen mit Standortsystemrollen. 

Schützen Sie die XML-Ausgabe des Assistenten zum Übertragen von Standorteinstellungen.

Verbieten Sie Benutzern, die keine Administratoren sind, den Zugriff auf den Standortserver über Remotedesktop oder Terminaldienste. 

Bewährte Sicherheitsmethoden zur Softwareverteilung

Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Softwareverteilung

 

Konfigurieren Sie immer Ankündigungen zum Herunterladen von Inhalt. 

Erlauben Sie keine Benutzerinteraktionen für Programme, für die Administratorrechte erforderlich sind.

Erstellen Sie keine untergeordneten Sammlungen, wenn Sie darin die Softwareverteilung einschränken müssen. 

Legen Sie bei der Paketerstellung Paketzugriffsberechtigungen fest.

Schützen Sie Software auf der Paketzugriffsebene.

Aktualisieren Sie nach dem Upgrade alle Pakete, wenn Sie in SMS 2003 Pakete verwendet haben.

Bewährte Methoden für Verteilungspunkte

 

Entfernen Sie die Verteilungspunktrolle vom Standortserver. 

Erstellen Sie keine Verteilungspunktfreigaben oder Zweigverteilungspunkte auf internetbasierten Clients.

Entfernen Sie nach dem Wechsel zu einer benutzerdefinierten Website die virtuellen Standardverzeichnisse.

Führen Sie zum Schutz von Zweigverteilungspunkten Zugriffssteuerungen aus.

Aktivieren Sie den Verschlüsselungsmodus für Verteilungspunkte, auf denen Streaming für virtuelle Anwendungspakete aktiviert ist.

Bewährte Sicherheitsmethoden für Softwareupdates

Bewährte Sicherheitsmethoden und Datenschutzinformationen für Softwareupdates

 

Behalten Sie die Standardberechtigungen von Softwareupdatepaketen bei.

Beschränken Sie den Zugriff auf den Downloadspeicherort für Softwareupdates. 

Verwenden Sie für die Bewertung der Bereitstellungszeiten UTC.

Führen Sie die bewährten Methoden zum Schutz von WSUS aus.

Aktivieren Sie die CRL-Prüfung.

Wenn der Verteilungspunkt in einem Umkreisnetzwerk konfiguriert ist, konfigurieren Sie den Standortserver so, dass die Daten auf dem Standortsystem abgerufen werden.

Wenn Sie Softwareupdates für SMS 2003-Clients bereitstellen müssen, führen Sie das Inventurprogramm für Microsoft Updates auf dem primären Standortserver auf der obersten Ebene der Hierarchie aus.

Konfigurieren Sie WSUS für die Verwendung einer benutzerdefinierten Website.

Aktivieren Sie am Standort und auf den Verteilungspunkten BITS 2.5.

Bewährte Sicherheitsmethoden zur Betriebssystembereitstellung

Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Betriebssystembereitstellung

 

Implementieren Sie Zugriffssteuerungen zum Schutz startbarer Medien. 

Sperren Sie das Zertifikat, falls das Clientzertifikat kompromittiert wurde. 

Sichern Sie den Kommunikationskanal zwischen dem Standortserver und dem PXE-Dienstpunkt.

Verwenden Sie PXE-Dienstpunkte nur in sicheren Netzwerksegmenten.

Konfigurieren Sie den PXE-Dienstpunkt so, dass er nur an die angegebenen Netzwerkschnittstellen auf PXE-Anforderungen reagiert.

Erfordern Sie zum PXE-Start ein Kennwort. 

Löschen Sie Zustandsmigrationspunkt-Ordner manuell, wenn sie außer Betrieb gesetzt werden.  

Konfigurieren Sie die Löschrichtlinie so, dass der Benutzerzustand nicht sofort gelöscht wird. 

Steuern Sie den physischen Zugriff auf Computer mithilfe von USB-Flashlaufwerken für Tasksequenzen. 

Implementieren Sie Zugriffssteuerungen zum Schutz des Abbilderstellungsprozesses auf dem Referenzcomputer. 

Installieren Sie immer die neuesten Sicherheitsupdates auf dem Referenzcomputer.

Überwachen Sie das System auf nicht autorisierte, multicastfähige Verteilungspunkte.

Wenn Sie Betriebssysteme für unbekannte Computer bereitstellen müssen, implementieren Sie Zugriffssteuerungen, um zu verhindern, dass nicht autorisierte Computer eine Verbindung mit dem Netzwerk herstellen.

Konfigurieren Sie immer Ankündigungen zum Herunterladen von Inhalt.

Aktivieren Sie die Verschlüsselung für Multicastpakete.

Bewährte Sicherheitsmethoden für Asset Intelligence

Bewährte Sicherheitsmethoden für die Berichterstattung

Bewährte Sicherheitsmethoden für die Berichterstattung

 

Beschränken Sie Abfragen und Berichte auf autorisierte Viewer.

Verwenden Sie zum Steuern des Zugriffs auf den Berichterstattungspunkt die Gruppe „Berichterstattungsbenutzer“. 

Verwalten Sie die Sicherheit für Benutzer, die eine direkte Verbindung mit dem SQL Server-Computer herstellen.    

Aktivieren Sie den HTTPS-Zugriff für Berichterstattungspunkte.

Bewährte Sicherheitsmethoden für die Verwaltung gewünschter Konfigurationen

Bewährte Sicherheitsmethoden und Datenschutzinformationen für die Verwaltung gewünschter Konfigurationen

 

Signieren Sie Konfigurationsdaten zum Überprüfen der Integrität Ihrer Konfigurationselemente. 

Bewährte Sicherheitsmethoden für Clients für mobile Geräte

Bewährte Sicherheitsmethoden und Datenschutzinformationen zu Clients für mobile Geräte

 

Verwenden Sie nach Möglichkeit den einheitlichen Modus. 

Erfordern Sie von Clients für mobile Geräte ein Kennwort.

Bewährte Sicherheitsmethoden für den Netzwerkzugriffsschutz

Bewährte Sicherheitsmethoden für den Netzwerkzugriffsschutz

 

Verlassen Sie sich nicht allein auf den Netzwerkzugriffsschutz, um ein Netzwerk vor dem Zugriff böswilliger Benutzer zu schützen. 

Verwenden Sie in der gesamten Standorthierarchie einheitliche NAP-Richtlinien, um Verwirrungen zu vermeiden.

Aktivieren Sie den Client-Agent für den Netzwerkzugriffsschutz an neuen Configuration Manager-Standorten nicht sofort. 

Verlassen Sie sich als sofortigen oder Echtzeit-Erzwingungsmechanismus nicht auf den Netzwerkzugriffsschutz.

Bewährte Sicherheitsmethoden für die Inventur

Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Inventur

 

Aktivieren Sie die Inventurverschlüsselung.    

Deaktivieren Sie die IDMIF- und NOIDMIF-Sammlung.

Verwenden Sie zum Sammeln wichtiger Dateien oder sensibler Informationen keine Dateisammlung.    

Verwenden Sie zum Sammeln wichtiger Dateien oder sensibler Informationen keine Dateisammlung.    

Bewährte Sicherheitsmethoden für Remotetools

Bewährte Sicherheitsmethoden und Datenschutzinformationen zu Remotetools

 

Verwenden Sie zum Konfigurieren von Remoteunterstützungseinstellungen entweder Gruppenrichtlinien oder den Configuration Manager, aber nicht beide zusammen. 

Treffen Sie neben der Einstellung „Beim Administratorzugriff auf Clients nach Berechtigungen fragen“ zusätzliche Sicherheitsmaßnahme für Remotetools für Windows 2000-Clients.

Aktivieren Sie die Einstellung „Beim Administratorzugriff auf Clients nach Berechtigungen fragen“.

Aktivieren Sie die Benachrichtigungsfunktion. 

Verhindern Sie, dass Benutzer Richtlinien- oder Benachrichtigungseinstellungen ändern.  

Begrenzen Sie die Liste der zugelassenen Viewer. 

Geben Sie die erforderlichen globalen Gruppen an.

Geben Sie den Domänenkontext für Benutzerkonten an.  

Vertrauen Sie bei der Steuerung des Zugriffs auf das Remotetool nicht nur auf die Sammlungssicherheit. 

Geben Sie bei der Remoteverwaltung von Windows 2000-Computern keine Kennwörter für privilegierte Konten ein. 

Bewährte Sicherheitsmethoden für Wake-On-LAN

Bewährte Sicherheitsmethoden für Wake-On-LAN

 

Verwenden Sie zum Senden von Aktivierungspaketen Unicast.

Wenn subnetzgesteuerte Broadcasts verwendet werden müssen, konfigurieren Sie die Router so, dass IP-gesteuerte Broadcasts nur über den Standortserver und nur über eine nicht standardmäßig konfigurierte Portnummer möglich sind.

Bewährte Sicherheitsmethoden für die Out-of-Band-Verwaltung

Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Out-of-Band-Verwaltung

 

Fordern Sie vor dem Kauf AMT-basierter Computer ein benutzerdefiniertes Firmwareabbild an.

Verwenden Sie anstelle der Out-of-Band-Bereitstellung die bandinterne Bereitstellung.    

Sperren Sie für AMT-basierte Computer, die von einem Configuration Manager 2007 SP1-Standort blockiert werden, die Zertifikate manuell, und löschen Sie die zugehörigen Active Directory-Konten.

Steuern Sie die Anforderung und Installation des Bereitstellungszertifikats.

Fordern Sie vor Ablauf des bestehenden Bereitstellungszertifikats unbedingt ein neues Zertifikat an.

Falls das AMT-Bereitstellungszertifikat gesperrt ist, löschen Sie es auf dem Standortsystemserver für den Out-of-band-Dienstpunkt aus dem Zertifikatspeicher, und konfigurieren Sie die Out-of-Band-Verwaltungskomponente mit einem gültigen AMT-Bereitstellungszertifikat neu.    

Wenn Sie ein von einer internen Zertifizierungsstelle ausgestelltes Bereitstellungszertifikat sperren müssen, verwenden Sie hierfür die Zertifizierungsstellenkonsole.

Verwenden Sie zur Bereitstellung AMT-basierter Computer eine dedizierte Zertifikatvorlage.

Verwenden Sie anstelle von Wake-On-LAN die Out-of-Band-Verwaltung.    

Deaktivieren Sie AMT in der Firmware, wenn die Out-of-Band-Verwaltung für den Computer nicht unterstützt wird.

Verwenden Sie zur Veröffentlichung AMT-basierter Computer eine dedizierte Organisationseinheit.

Schränken Sie die Benutzerrechte für die AMT-Konten mithilfe einer Gruppenrichtlinie ein.

Verwenden Sie zur In-Band-Bereitstellung eine dedizierte Sammlung.

Konfigurieren Sie einen anderen Port für die Serverbereitstellung.    

Gilt nur für Configuration Manager 2007 SP2: Stellen Sie sicher, dass außer autorisierten Administratoren kein Benutzer zur Ausführung von Überwachungsaktionen und zur Verwaltung der Überwachungsprotokolle berechtigt ist.

Siehe auch

Anzeigen: