Freigeben über

Vorbereiten der Bereitstellung des vertrauenswürdigen Stammschlüssels auf Clients

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007-Clients im gemischten Modus weisen beim Herstellen der Vertrauensstellung mit dem Verwaltungspunkt ihres Standorts eine minimale Sicherheitslücke auf. Wenn Clients den globalen Katalog nicht nach Configuration Manager 2007-Informationen abfragen können und Sie den vertrauenswürdigen Stammschlüssel nicht bereits bei der Clientinstallation bereitstellen, akzeptiert der Client den vertrauenswürdigen Stammschlüssel des ersten Verwaltungspunkts, mit dem er eine Verbindung herstellen kann. Es wäre für einen Angreifer schwierig (jedoch nicht unmöglich), die erstmalige Kommunikation abzufangen und den Client dazu zu bringen, einer Fälschung des vertrauenswürdigen Stammschlüssels zu vertrauen. Um diese Bedrohung abzuwenden, können Sie dem Client bereits bei der Installation eine Kopie des vertrauenswürdigen Stammschlüssels bereitstellen.

Hinweis

Dieses Verfahren ist im einheitlichen Modus nicht erforderlich, da eine Vertrauensstellung mithilfe der PKI-Zertifikate hergestellt werden kann. Dieses Verfahren ist nicht erforderlich, wenn Clients Verwaltungspunktinformationen vom globalen Katalog abfragen können. Wenn Sie beispielsweise eine Active Directory-Veröffentlichung aktiviert haben, können Clients derselben Gesamtstruktur den globalen Katalog abfragen. Arbeitsgruppenclients und Clients anderer Gesamtstrukturen sollten jedoch dieses Verfahren nutzen.

Wenn Sie Ihre Clients bereits installiert haben, ist es vermutlich zu spät, diese Vorgehensweise zur Risikominderung einzusetzen, weil die Clients wahrscheinlich bereits eine Vertrauensstellung mit dem Verwaltungspunkt hergestellt haben. Sie können jedoch nach wie vor überprüfen, ob ein Client den richtigen vertrauenswürdigen Stammschlüssel verwendet. Weitere Informationen finden Sie unter Überprüfen des vertrauenswürdigen Stammschlüssels. Wenn Sie auf einen ungültigen vertrauenswürdigen Stammschlüssel stoßen, müssen Sie den Schlüssel entfernen und dann über diese Vorgehensweise den richtigen vertrauenswürdigen Stammschlüssel neu bereitstellen. Weitere Informationen zum Entfernen des vertrauenswürdigen Stammschlüssels finden Sie unter Entfernen des vertrauenswürdigen Stammschlüssels.

Wenn Sie Clients zwischen Standorten in einer Hierarchie verschieben, müssen Sie den vertrauenswürdigen Stammschlüssel nicht ändern, da alle Standorte, die zu einer Hierarchie gehören, denselben vertrauenswürdigen Stammschlüssel verwenden. Wenn Sie Ihre Clients in eine neue Hierarchie migrieren, sollten Sie für diese Clients mithilfe von SMSROOTKEYPATH den vertrauenswürdigen Stammschlüssel für die neue Standorthierarchie im Voraus bereitstellen (siehe Beschreibung in diesem Thema). SMSROOTKEYPATH überschreibt den alten vertrauenswürdigen Stammschlüssel. Sie können den vertrauenswürdigen Stammschlüssel auch entfernen und zulassen, dass der Client einen vertrauenswürdigen Verwaltungspunkt an einem neuen Standort sucht. Das Bereitstellen eines Schlüssels im Voraus ist jedoch die sicherere Option.

Weitere Informationen zum vertrauenswürdigen Stammschlüssel finden Sie unter Informationen zum vertrauenswürdigen Stammschlüssel.

So stellen Sie den vertrauenswürdigen Stammschlüssel mithilfe einer Datei im Voraus bereit

  1. Bearbeiten Sie in einem Text-Editor die Datei <Configuration Manager-Verzeichnis>\bin\<Plattform>mobileclient.tcf.

  2. Suchen Sie den Eintrag SMSPublicRootKey=, und kopieren Sie den Schlüssel von dieser Zeile in eine Textdatei.

  3. Speichern Sie die Textdatei mit dem vertrauenswürdigen Stammschlüssel in einer Datei, und legen Sie die Datei in einem Verzeichnis ab, auf das alle Computer zugreifen können, das aber gleichzeitig vor Manipulation geschützt ist.

  4. Verwenden Sie beim Installieren des Clients unabhängig von der ausgewählten Clientinstallationsmethode die Client.msi-Eigenschaft SMSROOTKEYPATH=<Vollständiger Pfad und Dateiname>.

So stellen Sie den vertrauenswürdigen Stammschlüssel ohne Datei im Voraus bereit

  1. Bearbeiten Sie in einem Text-Editor die Datei <Configuration Manager-Verzeichnis>\bin\<Plattform>mobileclient.tcf.

  2. Suchen Sie den Eintrag SMSPublicRootKey=, und notieren Sie den Schlüssel, oder kopieren Sie ihn in die Zwischenablage.

  3. Verwenden Sie beim Installieren des Clients unabhängig von der ausgewählten Clientinstallationsmethode die Client.msi-Eigenschaft die Client.msi-Eigenschaft SMSPublicRootKey=<Schlüssel>, wobei „Schlüssel“ die Zeichenfolge ist, die Sie aus der Datei „mobileclient.tcf“ kopiert haben.

Siehe auch

Andere Ressourcen

Verwalten des vertrauenswürdigen Stammschlüssels in Configuration Manager
Aufgaben für die Configuration Manager-Sicherheit

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com