Sicherheit und Datenschutz für die Betriebssystembereitstellung in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Dieser Artikel enthält Sicherheits- und Datenschutzinformationen für das Betriebssystembereitstellungsfeature in Configuration Manager.
Bewährte Sicherheitsmethoden für die Betriebssystembereitstellung
Verwenden Sie die folgenden bewährten Sicherheitsmethoden für die Bereitstellung von Betriebssystemen mit Configuration Manager:
Implementieren von Zugriffssteuerungen zum Schutz startbarer Medien
Wenn Sie startbare Medien erstellen, weisen Sie immer ein Kennwort zu, um die Medien zu schützen. Selbst mit einem Kennwort werden nur Dateien verschlüsselt, die vertrauliche Informationen enthalten, und alle Dateien können überschrieben werden.
Steuern Sie den physischen Zugriff auf die Medien, um zu verhindern, dass ein Angreifer kryptografische Angriffe verwendet, um das Clientauthentifizierungszertifikat zu erhalten.
Um zu verhindern, dass ein Client manipulierte Inhalte oder Clientrichtlinien installiert, wird der Inhalt gehasht und muss mit der ursprünglichen Richtlinie verwendet werden. Wenn der Inhaltshash fehlschlägt oder die Überprüfung, ob der Inhalt der Richtlinie entspricht, verwendet der Client die startbaren Medien nicht. Nur der Inhalt wird gehasht. Die Richtlinie wird nicht gehasht, aber sie wird verschlüsselt und geschützt, wenn Sie ein Kennwort angeben. Dieses Verhalten erschwert es einem Angreifer, die Richtlinie erfolgreich zu ändern.
Verwenden eines sicheren Speicherorts beim Erstellen von Medien für Betriebssystemimages
Wenn nicht autorisierte Benutzer Zugriff auf den Speicherort haben, können sie die von Ihnen erstellten Dateien manipulieren. Sie können auch den gesamten verfügbaren Speicherplatz verwenden, sodass die Medienerstellung fehlschlägt.
Schützen von Zertifikatdateien
Schützen Sie Zertifikatdateien (PFX) mit einem sicheren Kennwort. Wenn Sie sie im Netzwerk speichern, sichern Sie den Netzwerkkanal, wenn Sie sie in Configuration Manager
Wenn Sie ein Kennwort benötigen, um das Clientauthentifizierungszertifikat zu importieren, das Sie für startbare Medien verwenden, trägt diese Konfiguration zum Schutz des Zertifikats vor einem Angreifer bei.
Verwenden Sie SMB-Signatur oder IPsec zwischen dem Netzwerkspeicherort und dem Standortserver, um zu verhindern, dass ein Angreifer die Zertifikatdatei manipuliert.
Blockieren oder Widerrufen von kompromittierten Zertifikaten
Wenn das Clientzertifikat kompromittiert ist, blockieren Sie das Zertifikat aus Configuration Manager. Wenn es sich um ein PKI-Zertifikat handelt, widerrufen Sie es.
Um ein Betriebssystem mit startbaren Medien und PXE-Start bereitzustellen, benötigen Sie ein Clientauthentifizierungszertifikat mit einem privaten Schlüssel. Wenn dieses Zertifikat kompromittiert ist, blockieren Sie das Zertifikat im Knoten Zertifikate im Arbeitsbereich Verwaltung , Knoten Sicherheit .
Schützen des Kommunikationskanals zwischen dem Standortserver und dem SMS-Anbieter
Wenn sich der SMS-Anbieter remote vom Standortserver befindet, sichern Sie den Kommunikationskanal, um Startimages zu schützen.
Wenn Sie Startimages ändern und der SMS-Anbieter auf einem Server ausgeführt wird, der nicht der Standortserver ist, sind die Startimages anfällig für Angriffe. Schützen Sie den Netzwerkkanal zwischen diesen Computern mithilfe von SMB-Signatur oder IPsec.
Aktivieren von Verteilungspunkten für die PXE-Clientkommunikation nur in sicheren Netzwerksegmenten
Wenn ein Client eine PXE-Startanforderung sendet, können Sie nicht sicherstellen, dass die Anforderung von einem gültigen PXE-fähigen Verteilungspunkt verarbeitet wird. Dieses Szenario weist die folgenden Sicherheitsrisiken auf:
Ein nicht autorisierter Verteilungspunkt, der auf PXE-Anforderungen antwortet, könnte Clients ein manipuliertes Image bereitstellen.
Ein Angreifer könnte einen Man-in-the-Middle-Angriff auf das TFTP-Protokoll starten, das von PXE verwendet wird. Dieser Angriff könnte schädlichen Code mit den Betriebssystemdateien senden. Der Angreifer könnte auch einen nicht autorisierten Client erstellen, um TFTP-Anforderungen direkt an den Verteilungspunkt zu senden.
Ein Angreifer könnte einen böswilligen Client verwenden, um einen Denial-of-Service-Angriff auf den Verteilungspunkt zu starten.
Schützen Sie die Netzwerksegmente, in denen Clients auf PXE-fähige Verteilungspunkte zugreifen.
Warnung
Aktivieren Sie aufgrund dieser Sicherheitsrisiken keinen Verteilungspunkt für die PXE-Kommunikation, wenn er sich in einem nicht vertrauenswürdigen Netzwerk wie einem Umkreisnetzwerk befindet.
Konfigurieren von PXE-fähigen Verteilungspunkten für die Reaktion auf PXE-Anforderungen nur an angegebenen Netzwerkschnittstellen
Wenn Sie zulassen, dass der Verteilungspunkt auf PXE-Anforderungen an allen Netzwerkschnittstellen reagiert, kann diese Konfiguration den PXE-Dienst für nicht vertrauenswürdige Netzwerke verfügbar machen.
Anfordern eines Kennworts für den PXE-Start
Wenn Sie ein Kennwort für den PXE-Start benötigen, fügt diese Konfiguration dem PXE-Startprozess eine zusätzliche Sicherheitsstufe hinzu. Diese Konfiguration trägt zum Schutz vor nicht autorisierten Clients bei, die der Configuration Manager-Hierarchie beitreten.
Einschränken von Inhalten in Betriebssystemimages, die für PXE-Start oder Multicast verwendet werden
Schließen Sie keine Branchenanwendungen oder Software, die vertrauliche Daten enthält, in ein Image ein, das Sie für pxe-Start oder Multicast verwenden.
Verringern Sie aufgrund der inhärenten Sicherheitsrisiken, die mit dem PXE-Start und Multicast verbunden sind, die Risiken, wenn ein nicht autorisierter Computer das Betriebssystemimage herunterlädt.
Einschränken von Inhalten, die von Tasksequenzvariablen installiert werden
Schließen Sie keine Branchenanwendungen oder Software, die vertrauliche Daten enthält, in Anwendungspakete ein, die Sie mithilfe von Tasksequenzvariablen installieren.
Wenn Sie Software mithilfe von Tasksequenzvariablen bereitstellen, wird sie möglicherweise auf Computern und für Benutzer installiert, die nicht berechtigt sind, diese Software zu erhalten.
Schützen des Netzwerkkanals beim Migrieren des Benutzerzustands
Wenn Sie den Benutzerstatus migrieren, sichern Sie den Netzwerkkanal zwischen dem Client und dem Zustandsmigrationspunkt mithilfe von SMB-Signatur oder IPsec.
Nach der ersten Verbindung über HTTP werden Daten zur Migration des Benutzerzustands mithilfe von SMB übertragen. Wenn Sie den Netzwerkkanal nicht schützen, kann ein Angreifer diese Daten lesen und ändern.
Verwenden der neuesten Version von USMT
Verwenden Sie die neueste Version des User State Migration Tools (USMT), die Configuration Manager unterstützt.
Die neueste Version von USMT bietet Sicherheitsverbesserungen und eine bessere Kontrolle für die Migration von Benutzerzustandsdaten.
Manuelles Löschen von Ordnern auf Zustandsmigrationspunkten, wenn Sie sie außer Betrieb setzen
Wenn Sie einen Zustandsmigrationspunktordner in der Configuration Manager-Konsole für die Eigenschaften des Zustandsmigrationspunkts entfernen, löscht der Standort den physischen Ordner nicht. Um die Daten zur Migration des Benutzerzustands vor der Offenlegung von Informationen zu schützen, entfernen Sie die Netzwerkfreigabe manuell, und löschen Sie den Ordner.
Konfigurieren Sie die Löschrichtlinie nicht so, dass der Benutzerstatus sofort gelöscht wird.
Wenn Sie die Löschrichtlinie für den Zustandsmigrationspunkt so konfigurieren, dass daten, die zum Löschen markiert sind, sofort entfernt werden, und wenn ein Angreifer es schafft, die Benutzerzustandsdaten abzurufen, bevor der gültige Computer dies tut, löscht der Standort sofort die Benutzerzustandsdaten. Legen Sie das Intervall Löschen nach dem Intervall so fest, dass die Wiederherstellung der Benutzerzustandsdaten erfolgreich ist.
Manuelles Löschen von Computerzuordnungen
Löschen Sie Computerzuordnungen manuell, wenn die Wiederherstellung der Daten zur Benutzerstatusmigration abgeschlossen und überprüft wurde.
Configuration Manager werden Computerzuordnungen nicht automatisch entfernt. Schützen Sie die Identität von Benutzerzustandsdaten, indem Sie nicht mehr benötigte Computerzuordnungen manuell löschen.
Manuelles Sichern der Daten zur Migration des Benutzerzustands auf dem Zustandsmigrationspunkt
Configuration Manager Backup schließt die Daten zur Migration des Benutzerzustands nicht in die Standortsicherung ein.
Implementieren von Zugriffssteuerungen zum Schutz der vorab bereitgestellten Medien
Steuern Sie den physischen Zugriff auf die Medien, um zu verhindern, dass ein Angreifer kryptografische Angriffe verwendet, um das Clientauthentifizierungszertifikat und vertrauliche Daten zu erhalten.
Implementieren von Zugriffssteuerungen zum Schutz des Referenzcomputer-Imaging-Prozesses
Stellen Sie sicher, dass sich der Referenzcomputer, den Sie zum Erfassen von Betriebssystemimages verwenden, in einer sicheren Umgebung befindet. Verwenden Sie geeignete Zugriffssteuerungen, damit unerwartete oder schadhafte Software nicht installiert und versehentlich in das erfasste Image eingeschlossen werden kann. Stellen Sie beim Erfassen des Images sicher, dass der Zielnetzwerkspeicherort sicher ist. Dieser Prozess trägt dazu bei, dass das Bild nach der Erfassung nicht manipuliert werden kann.
Installieren Sie immer die neuesten Sicherheitsupdates auf dem Referenzcomputer.
Wenn der Referenzcomputer über aktuelle Sicherheitsupdates verfügt, kann das Sicherheitsrisiko für neue Computer beim ersten Start verringert werden.
Implementieren von Zugriffssteuerungen beim Bereitstellen eines Betriebssystems auf einem unbekannten Computer
Wenn Sie ein Betriebssystem auf einem unbekannten Computer bereitstellen müssen, implementieren Sie Zugriffssteuerungen, um zu verhindern, dass nicht autorisierte Computer eine Verbindung mit dem Netzwerk herstellen.
Die Bereitstellung unbekannter Computer ist eine praktische Methode, um neue Computer bedarfsgesteuert bereitzustellen. Es kann aber auch einem Angreifer ermöglichen, effizient zu einem vertrauenswürdigen Client in Ihrem Netzwerk zu werden. Schränken Sie den physischen Zugriff auf das Netzwerk ein, und überwachen Sie Clients, um nicht autorisierte Computer zu erkennen.
Auf Computern, die auf eine PXE-initiierte Betriebssystembereitstellung reagieren, werden während des Prozesses möglicherweise alle Daten zerstört. Dieses Verhalten kann zu einem Verlust der Verfügbarkeit von Systemen führen, die versehentlich neu formatiert werden.
Aktivieren der Verschlüsselung für Multicastpakete
Für jedes Betriebssystembereitstellungspaket können Sie die Verschlüsselung aktivieren, wenn Configuration Manager das Paket mithilfe von Multicast überträgt. Diese Konfiguration verhindert, dass nicht autorisierte Computer der Multicastsitzung beitreten. Es hilft auch, zu verhindern, dass Angreifer die Übertragung manipulieren.
Überwachen auf nicht autorisierte Multicast-fähige Verteilungspunkte
Wenn Angreifer Zugriff auf Ihr Netzwerk erhalten können, können sie nicht autorisierte Multicastserver konfigurieren, um die Betriebssystembereitstellung zu spoofen.
Wenn Sie Tasksequenzen an einen Netzwerkspeicherort exportieren, sichern Sie den Standort und den Netzwerkkanal.
Schränken Sie ein, wer auf den Netzwerkordner zugreifen kann.
Verwenden Sie SMB-Signatur oder IPsec zwischen dem Netzwerkspeicherort und dem Standortserver, um zu verhindern, dass ein Angreifer die exportierte Tasksequenz manipuliert.
Wenn Sie die Tasksequenz als Konto ausführen verwenden, treffen Sie zusätzliche Sicherheitsvorkehrungen.
Wenn Sie die Tasksequenz ausführen als Konto verwenden, führen Sie die folgenden Vorsichtsmaßnahmen aus:
Verwenden Sie ein Konto mit den geringstmöglichen Berechtigungen.
Verwenden Sie nicht das Netzwerkzugriffskonto für dieses Konto.
Machen Sie das Konto niemals zum Domänenadministrator.
Konfigurieren Sie niemals Roamingprofile für dieses Konto. Wenn die Tasksequenz ausgeführt wird, wird das Roamingprofil für das Konto heruntergeladen, wodurch das Profil für den Zugriff auf den lokalen Computer anfällig ist.
Schränken Sie den Bereich des Kontos ein. Erstellen Sie beispielsweise eine andere Tasksequenz, die als Konten für jede Tasksequenz ausgeführt wird. Wenn ein Konto kompromittiert wird, werden nur die Clientcomputer kompromittiert, auf die dieses Konto Zugriff hat. Wenn für die Befehlszeile Administratorzugriff auf dem Computer erforderlich ist, sollten Sie erwägen, ein lokales Administratorkonto ausschließlich für die Tasksequenz zu erstellen, die als Konto ausgeführt wird. Erstellen Sie dieses lokale Konto auf allen Computern, auf denen die Tasksequenz ausgeführt wird, und löschen Sie das Konto, sobald es nicht mehr benötigt wird.
Einschränken und Überwachen der Administratorbenutzer, denen die Sicherheitsrolle "Betriebssystembereitstellungs-Manager" gewährt wird
Administratoren, denen die Sicherheitsrolle "Betriebssystembereitstellungs-Manager " gewährt wird, können selbstsignierte Zertifikate erstellen. Diese Zertifikate können dann verwendet werden, um die Identität eines Clients zu annehmen und die Clientrichtlinie von Configuration Manager abzurufen.
Verwenden von erweitertem HTTP, um die Notwendigkeit eines Netzwerkzugriffskontos zu reduzieren
Ab Version 1806 ist für mehrere Betriebssystembereitstellungsszenarien kein Netzwerkzugriffskonto erforderlich, um Inhalte von einem Verteilungspunkt herunterzuladen, wenn Sie erweitertes HTTP aktivieren. Weitere Informationen finden Sie unter Tasksequenzen und das Netzwerkzugriffskonto.
Sicherheitsprobleme bei der Betriebssystembereitstellung
Obwohl die Betriebssystembereitstellung eine bequeme Möglichkeit sein kann, die sichersten Betriebssysteme und Konfigurationen für Computer in Ihrem Netzwerk bereitzustellen, birgt sie die folgenden Sicherheitsrisiken:
Offenlegung von Informationen und Denial-of-Service
Wenn ein Angreifer die Kontrolle über Ihre Configuration Manager-Infrastruktur erlangen kann, kann er alle Tasksequenzen ausführen. Dieser Prozess kann das Formatieren der Festplatten aller Clientcomputer umfassen. Tasksequenzen können so konfiguriert werden, dass sie vertrauliche Informationen enthalten, z. B. Konten, die über Berechtigungen zum Beitreten zur Domäne und Volumenlizenzschlüssel verfügen.
Identitätswechsel und Rechteerweiterung
Tasksequenzen können einen Computer mit einer Domäne verbinden, wodurch ein nicht autorisierter Computer authentifizierten Netzwerkzugriff erhalten kann.
Schützen Sie das Clientauthentifizierungszertifikat, das für startbare Tasksequenzmedien und für die PXE-Startbereitstellung verwendet wird. Wenn Sie ein Clientauthentifizierungszertifikat erfassen, bietet dieser Prozess einem Angreifer die Möglichkeit, den privaten Schlüssel im Zertifikat zu erhalten. Mit diesem Zertifikat können sie die Identität eines gültigen Clients im Netzwerk annehmen. In diesem Szenario kann der nicht autorisierte Computer eine Richtlinie herunterladen, die vertrauliche Daten enthalten kann.
Wenn Clients das Netzwerkzugriffskonto verwenden, um auf daten zuzugreifen, die auf dem Zustandsmigrationspunkt gespeichert sind, verwenden diese Clients effektiv dieselbe Identität. Sie könnten von einem anderen Client, der das Netzwerkzugriffskonto verwendet, auf Zustandsmigrationsdaten zugreifen. Die Daten werden verschlüsselt, sodass nur der ursprüngliche Client sie lesen kann, aber die Daten könnten manipuliert oder gelöscht werden.
Die Clientauthentifizierung beim Zustandsmigrationspunkt erfolgt mithilfe eines Configuration Manager Tokens, das vom Verwaltungspunkt ausgegeben wird.
Configuration Manager beschränkt oder verwaltet nicht die Menge der Daten, die auf dem Zustandsmigrationspunkt gespeichert sind. Ein Angreifer könnte den verfügbaren Speicherplatz füllen und einen Denial-of-Service verursachen.
Wenn Sie Sammlungsvariablen verwenden, können lokale Administratoren potenziell vertrauliche Informationen lesen.
Obwohl Sammlungsvariablen eine flexible Methode zum Bereitstellen von Betriebssystemen bieten, kann dieses Feature zur Offenlegung von Informationen führen.
Datenschutzinformationen für die Betriebssystembereitstellung
Zusätzlich zur Bereitstellung eines Betriebssystems auf Computern ohne eines können Configuration Manager verwendet werden, um die Dateien und Einstellungen von Benutzern von einem Computer auf einen anderen zu migrieren. Der Administrator konfiguriert, welche Informationen übertragen werden sollen, einschließlich personenbezogener Datendateien, Konfigurationseinstellungen und Browsercookies.
Configuration Manager speichert die Informationen auf einem Zustandsmigrationspunkt und verschlüsselt sie während der Übertragung und Speicherung. Nur der neue Computer, der den Zustandsinformationen zugeordnet ist, kann die gespeicherten Informationen abrufen. Wenn der neue Computer den Schlüssel zum Abrufen der Informationen verliert, kann ein Configuration Manager Administrator mit dem Recht Wiederherstellungsinformationen anzeigen auf Computerzuordnungsinstanzobjekten auf die Informationen zugreifen und sie einem neuen Computer zuordnen. Nachdem der neue Computer die Zustandsinformationen wiederhergestellt hat, werden die Daten standardmäßig nach einem Tag gelöscht. Sie können konfigurieren, wann der Zustandsmigrationspunkt daten entfernt, die zum Löschen markiert sind. Configuration Manager speichert die Statusmigrationsinformationen nicht in der Standortdatenbank und sendet sie nicht an Microsoft.
Wenn Sie Startmedien zum Bereitstellen von Betriebssystemimages verwenden, verwenden Sie immer die Standardoption zum Kennwortschutz für die Startmedien. Das Kennwort verschlüsselt alle Variablen, die in der Tasksequenz gespeichert sind, aber alle Informationen, die nicht in einer Variablen gespeichert sind, können anfällig für die Offenlegung sein.
Die Betriebssystembereitstellung kann Tasksequenzen verwenden, um während des Bereitstellungsprozesses viele verschiedene Aufgaben auszuführen, einschließlich der Installation von Anwendungen und Softwareupdates. Beim Konfigurieren von Tasksequenzen sollten Sie sich auch der Auswirkungen der Installation von Software auf den Datenschutz bewusst sein.
Configuration Manager implementiert standardmäßig keine Betriebssystembereitstellung. Es sind mehrere Konfigurationsschritte erforderlich, bevor Sie Benutzerzustandsinformationen sammeln oder Tasksequenzen oder Startimages erstellen.
Berücksichtigen Sie vor dem Konfigurieren der Betriebssystembereitstellung Ihre Datenschutzanforderungen.