Konfigurieren der Sicherheit in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Anhand der Informationen in diesem Artikel können Sie sicherheitsbezogene Optionen für Configuration Manager einrichten. Bevor Sie beginnen, stellen Sie sicher, dass Sie über einen Plan für die Sicherheit verfügen.
Wichtig
Ab Configuration Manager Version 2103 sind Websites, die die HTTP-Clientkommunikation zulassen, veraltet. Konfigurieren Sie die Website für HTTPS oder erweitertes HTTP. Weitere Informationen finden Sie unter Aktivieren der Website für nur HTTPS oder erweitertes HTTP.
PKI-Clientzertifikate
Wenn Sie PKI-Zertifikate (Public Key Infrastructure) für Clientverbindungen mit Standortsystemen verwenden möchten, die Internetinformationsdienste (IIS) verwenden, verwenden Sie das folgende Verfahren, um Einstellungen für diese Zertifikate zu konfigurieren.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus. Wählen Sie den zu konfigurierenden primären Standort aus.
Wählen Sie im Menüband Eigenschaften aus. Wechseln Sie dann zur Registerkarte Kommunikationssicherheit .
Wählen Sie die Einstellungen für Standortsysteme aus, die IIS verwenden.
Nur HTTPS: Clients, die dem Standort zugewiesen sind, verwenden immer ein Client-PKI-Zertifikat, wenn sie eine Verbindung mit Standortsystemen herstellen, die IIS verwenden. Beispielsweise ein Verwaltungspunkt und ein Verteilungspunkt.
HTTPS oder HTTP: Clients müssen keine PKI-Zertifikate verwenden.
Verwenden Configuration Manager generierter Zertifikate für HTTP-Standortsysteme: Weitere Informationen zu dieser Einstellung finden Sie unter Erweitertes HTTP.
Wählen Sie die Einstellungen für Clientcomputer aus.
Verwenden des Client-PKI-Zertifikats (Clientauthentifizierungsfunktion), falls verfügbar: Wenn Sie die Einstellung HTTPS oder HTTP-Standortserver ausgewählt haben, wählen Sie diese Option aus, um ein Client-PKI-Zertifikat für HTTP-Verbindungen zu verwenden. Der Client verwendet dieses Zertifikat anstelle eines selbstsignierten Zertifikats, um sich bei Standortsystemen zu authentifizieren. Wenn Sie nur HTTPS ausgewählt haben, wird diese Option automatisch ausgewählt.
Wenn auf einem Client mehr als ein gültiges PKI-Clientzertifikat verfügbar ist, wählen Sie Ändern aus, um die Clientzertifikatauswahlmethoden zu konfigurieren. Weitere Informationen zur Clientzertifikatauswahlmethode finden Sie unter Planen der PKI-Clientzertifikatauswahl.
Clients überprüfen die Zertifikatsperrliste (Certificate Revocation List, CRL) für Standortsysteme: Aktivieren Sie diese Einstellung für Clients, um die Zertifikatsperrliste Ihrer organization auf gesperrte Zertifikate zu überprüfen. Weitere Informationen zur Überprüfung der Zertifikatsperrliste für Clients finden Sie unter Planen der PKI-Zertifikatsperrung.
Wählen Sie Festlegen aus, um die Zertifikate für vertrauenswürdige Stammzertifizierungsstellen zu importieren, anzuzeigen und zu löschen. Weitere Informationen finden Sie unter Planning for the PKI trusted root certificates and the certificate issuers List.For more information, see Planning for the PKI trusted root certificates and the certificate issuers List.
Wiederholen Sie dieses Verfahren für alle primären Standorte in der Hierarchie.
Verwalten des vertrauenswürdigen Stammschlüssels
Verwenden Sie diese Verfahren, um den vertrauenswürdigen Stammschlüssel für einen Configuration Manager Client vorab bereitzustellen und zu überprüfen.
Hinweis
Wenn Clients den vertrauenswürdigen Stammschlüssel von Active Directory Domain Services oder Clientpush abrufen können, müssen Sie ihn nicht vorab bereitstellen.
Wenn Clients HTTPS-Kommunikation mit Verwaltungspunkten verwenden, müssen Sie den vertrauenswürdigen Stammschlüssel nicht vorab bereitstellen. Sie stellen eine Vertrauensstellung durch die PKI-Zertifikate her.
Weitere Informationen zum vertrauenswürdigen Stammschlüssel finden Sie unter Planen der Sicherheit.
Vorabbereitstellung eines Clients mit dem vertrauenswürdigen Stammschlüssel mithilfe einer Datei
Navigieren Sie auf dem Standortserver zum installationsverzeichnis Configuration Manager. Öffnen Sie im
\bin\<platform>
Unterordner die folgende Datei in einem Text-Editor:mobileclient.tcf
Suchen Sie den Eintrag .
SMSPublicRootKey
Kopieren Sie den Wert aus dieser Zeile, und schließen Sie die Datei, ohne Änderungen zu speichern.Erstellen Sie eine neue Textdatei, und fügen Sie den Schlüsselwert ein, den Sie aus der Datei mobileclient.tcf kopiert haben.
Speichern Sie die Datei an einem Speicherort, an dem alle Computer darauf zugreifen können, die Datei jedoch vor Manipulationen geschützt ist.
Installieren Sie den Client mithilfe einer beliebigen Installationsmethode, die client.msi Eigenschaften akzeptiert. Geben Sie die folgende Eigenschaft an:
SMSROOTKEYPATH=<full path and file name>
Wichtig
Wenn Sie den vertrauenswürdigen Stammschlüssel während der Clientinstallation angeben, geben Sie auch den Standortcode an. Verwenden Sie die folgende client.msi-Eigenschaft:
SMSSITECODE=<site code>
Vorabbereitstellung eines Clients mit dem vertrauenswürdigen Stammschlüssel ohne Verwendung einer Datei
Navigieren Sie auf dem Standortserver zum installationsverzeichnis Configuration Manager. Öffnen Sie im
\bin\<platform>
Unterordner die folgende Datei in einem Text-Editor:mobileclient.tcf
Suchen Sie den Eintrag .
SMSPublicRootKey
Kopieren Sie den Wert aus dieser Zeile, und schließen Sie die Datei, ohne Änderungen zu speichern.Installieren Sie den Client mithilfe einer beliebigen Installationsmethode, die client.msi Eigenschaften akzeptiert. Geben Sie die folgende client.msi-Eigenschaft an:
SMSPublicRootKey=<key>
dabei<key>
ist die Zeichenfolge, die Sie aus mobileclient.tcf kopiert haben.Wichtig
Wenn Sie den vertrauenswürdigen Stammschlüssel während der Clientinstallation angeben, geben Sie auch den Standortcode an. Verwenden Sie die folgende client.msi-Eigenschaft:
SMSSITECODE=<site code>
Überprüfen des vertrauenswürdigen Stammschlüssels auf einem Client
Öffnen Sie eine Windows PowerShell-Konsole als Administrator.
Führen Sie den folgenden Befehl aus:
(Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
Die zurückgegebene Zeichenfolge ist der vertrauenswürdige Stammschlüssel. Vergewissern Sie sich, dass er mit dem Wert SMSPublicRootKey in der Datei mobileclient.tcf auf dem Standortserver übereinstimmt.
Entfernen oder Ersetzen des vertrauenswürdigen Stammschlüssels
Entfernen Sie den vertrauenswürdigen Stammschlüssel von einem Client mithilfe der client.msi-Eigenschaft RESETKEYINFORMATION = TRUE
.
Um den vertrauenswürdigen Stammschlüssel zu ersetzen, installieren Sie den Client zusammen mit dem neuen vertrauenswürdigen Stammschlüssel neu. Verwenden Sie beispielsweise Clientpush, oder geben Sie die client.msi Eigenschaft SMSPublicRootKey an.
Weitere Informationen zu diesen Installationseigenschaften finden Sie unter Informationen zu Clientinstallationsparametern und -eigenschaften.
Signieren und Verschlüsseln
Konfigurieren Sie die sichersten Signatur- und Verschlüsselungseinstellungen für Standortsysteme, die alle Clients am Standort unterstützen können. Diese Einstellungen sind besonders wichtig, wenn Sie Clients mithilfe von selbstsignierten Zertifikaten über HTTP mit Standortsystemen kommunizieren lassen.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus. Wählen Sie den zu konfigurierenden primären Standort aus.
Wählen Sie im Menüband Eigenschaften aus, und wechseln Sie dann zur Registerkarte Signieren und Verschlüsselung .
Diese Registerkarte ist nur an einem primären Standort verfügbar. Wenn die Registerkarte Signieren und Verschlüsselung nicht angezeigt wird, stellen Sie sicher, dass Sie nicht mit einem Standort der zentralen Verwaltung oder einem sekundären Standort verbunden sind.
Konfigurieren Sie die Signatur- und Verschlüsselungsoptionen für Clients für die Kommunikation mit dem Standort.
Signierung erforderlich: Clients signieren Daten, bevor sie an den Verwaltungspunkt senden.
SHA-256 erforderlich: Clients verwenden beim Signieren von Daten den SHA-256-Algorithmus.
Warnung
Fordern Sie SHA-256 nicht an, ohne vorher zu bestätigen, dass alle Clients diesen Hashalgorithmus unterstützen. Zu diesen Clients gehören solche, die dem Standort in Zukunft zugewiesen werden können.
Wenn Sie diese Option auswählen und Clients mit selbstsignierten Zertifikaten SHA-256 nicht unterstützen können, lehnt Configuration Manager diese ab. Die SMS_MP_CONTROL_MANAGER-Komponente protokolliert die Meldungs-ID 5443.
Verschlüsselung verwenden: Clients verschlüsseln Clientinventurdaten und status Nachrichten, bevor sie an den Verwaltungspunkt gesendet werden.
Wiederholen Sie dieses Verfahren für alle primären Standorte in der Hierarchie.
Rollenbasierte Administration
Die rollenbasierte Verwaltung kombiniert Sicherheitsrollen, Sicherheitsbereiche und zugewiesene Sammlungen, um den Verwaltungsbereich für jeden Administrator zu definieren. Ein Bereich umfasst die Objekte, die ein Benutzer in der Konsole anzeigen kann, sowie die Aufgaben im Zusammenhang mit den Objekten, für die er über die Berechtigung verfügt. Rollenbasierte Verwaltungskonfigurationen werden an jedem Standort in einer Hierarchie angewendet.
Weitere Informationen finden Sie unter Konfigurieren der rollenbasierten Verwaltung. In diesem Artikel werden die folgenden Aktionen beschrieben:
Erstellen benutzerdefinierter Sicherheitsrollen
Konfigurieren von Sicherheitsrollen
Konfigurieren von Sicherheitsbereichen für ein Objekt
Konfigurieren von Sammlungen zum Verwalten der Sicherheit
Erstellen eines neuen Administratorbenutzers
Ändern des Verwaltungsbereichs eines Administratorbenutzers
Wichtig
Ihr eigener Verwaltungsbereich definiert die Objekte und Einstellungen, die Sie zuweisen können, wenn Sie die rollenbasierte Verwaltung für einen anderen Administrator konfigurieren. Informationen zur Planung der rollenbasierten Verwaltung finden Sie unter Grundlagen der rollenbasierten Verwaltung.
Verwalten von Konten
Configuration Manager unterstützt Windows-Konten für viele verschiedene Aufgaben und Verwendungen. Gehen Sie wie folgt vor, um Konten anzuzeigen, die für verschiedene Aufgaben konfiguriert sind, und um das Kennwort zu verwalten, das Configuration Manager für jedes Konto verwendet:
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Sicherheit, und wählen Sie dann den Knoten Konten aus.
Um das Kennwort für ein Konto zu ändern, wählen Sie das Konto in der Liste aus. Wählen Sie dann eigenschaften im Menüband aus.
Wählen Sie Festlegen aus, um das Dialogfeld Windows-Benutzerkonto zu öffnen. Geben Sie das neue Kennwort für Configuration Manager an, das für dieses Konto verwendet werden soll.
Hinweis
Das von Ihnen angegebene Kennwort muss mit dem Kennwort dieses Kontos in Active Directory übereinstimmen.
Weitere Informationen finden Sie unter In Configuration Manager verwendete Konten.
Microsoft Entra-ID
Integrieren Sie Configuration Manager mit Microsoft Entra-ID, um Ihre Umgebung zu vereinfachen und die Cloud zu aktivieren. Aktivieren Sie die Authentifizierung des Standorts und der Clients mithilfe Microsoft Entra-ID.
Weitere Informationen finden Sie unter Cloud Management Service unter Konfigurieren von Azure-Diensten.
SMS-Anbieterauthentifizierung
Sie können die mindeste Authentifizierungsebene für Administratoren für den Zugriff auf Configuration Manager Websites angeben. Dieses Feature erzwingt, dass sich Administratoren mit der erforderlichen Ebene bei Windows anmelden, bevor sie auf Configuration Manager zugreifen können. Weitere Informationen finden Sie unter Planen der SMS-Anbieterauthentifizierung.
Wichtig
Diese Konfiguration ist eine hierarchieweite Einstellung. Bevor Sie diese Einstellung ändern, stellen Sie sicher, dass sich alle Configuration Manager Administratoren mit der erforderlichen Authentifizierungsstufe bei Windows anmelden können.
Führen Sie die folgenden Schritte aus, um diese Einstellung zu konfigurieren:
Melden Sie sich zunächst mit der vorgesehenen Authentifizierungsebene bei Windows an.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus.
Wählen Sie im Menüband Hierarchieeinstellungen aus.
Wechseln Sie zur Registerkarte Authentifizierung . Wählen Sie die gewünschte Authentifizierungsebene und dann OK aus.
- Wählen Sie nur bei Bedarf Hinzufügen aus, um bestimmte Benutzer oder Gruppen auszuschließen. Weitere Informationen finden Sie unter Ausschlüsse.
Ausschlüsse
Auf der Registerkarte Authentifizierung der Hierarchieeinstellungen können Sie auch bestimmte Benutzer oder Gruppen ausschließen. Verwenden Sie diese Option sparsam. Beispielsweise, wenn bestimmte Benutzer Zugriff auf die Configuration Manager-Konsole benötigen, sich aber nicht auf der erforderlichen Ebene bei Windows authentifizieren können. Dies kann auch für Automatisierungen oder Dienste erforderlich sein, die im Kontext eines Systemkontos ausgeführt werden.