Bewährte Sicherheitsmethoden für die Berichterstattung
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Angreifer versuchen normalerweise, so viele Informationen wie möglich über ein Unternehmen zu sammeln, um Schwachstellen zu finden. Ein Angreifer versucht möglicherweise, auf Microsoft System Center Configuration Manager 2007-Berichte zuzugreifen, um Informationen zur Netzwerkumgebung zu erhalten. Wenn ein Angreifer beispielsweise den Bericht zur Softwareupdatekompatibilität einsehen kann, kann er bestimmte Angriffe gegen Computer durchführen, die nicht durch Updates gegen solche Angriffe geschützt wurden.
Angriffe gegen die Configuration Manager 2007-Berichterstattung stellen normalerweise ein geringeres Risiko dar als Angriffe gegen den Standortserver, den Standortdatenbankserver, die Softwareverteilung oder Remotetools.
Beschränken Sie Abfragen und Berichte auf autorisierte anzeigende Benutzer Verwenden Sie das Prinzip der geringsten Berechtigung, wenn Sie Berechtigungen für Abfragen und Berichte zuweisen. Berichte können über die Configuration Manager 2007-Administratorkonsole oder über eine Berichtanzeige, wie z. B. Internet Explorer, ausgeführt werden. Nur Abfragen, die in der Configuration Manager 2007-Konsole angezeigt werden, unterliegen der Configuration Manager 2007-Objektsicherheit. Beim Ausführen der Configuration Manager 2007-Abfragen müssen Sie über Configuration Manager 2007-Objektsicherheitsberechtigungen für die in der Abfrage enthaltenen Objekte verfügen. Außerdem gibt Werte auf der Registerkarte Kriterien des Dialogfelds Eigenschaften der Abfrageanweisung beim Erstellen einer Abfrage keine Daten zurück, wenn Sie nicht über die Berechtigungen Lesen und Ressource lesen für die Collections-Klasse verfügen.
Eine Abfrage kann auch auf Sammlungen begrenzt sein, sodass Benutzer nur Daten für Ressourcen in Sammlungen abfragen können, zu deren Verwendung sie autorisiert sind. Selbst wenn der Benutzer beim Erstellen einer Abfrage keine Sammlungsbegrenzung angibt, wird von Configuration Manager 2007 Sammlungsbegrenzung angewendet, wenn der Benutzer nicht zum Anzeigen aller Ressourcen autorisiert ist. Wenn Benutzer Zugriff auf Informationen fordern, überprüfen Sie, ob diese Informationen nicht durch Sammlungsbegrenzung eingeschränkt sind.
Verwenden Sie zum Steuern des Zugriffs auf den Berichterstattungspunkt die Gruppe „Berichterstattungsbenutzer“ Standardmäßig können alle Mitglieder der Gruppen „Administratoren“ und „Berichterstattungsbenutzer“ auf die Website des Berichterstattungspunkts zugreifen. Wenn Benutzer Zugriff auf Berichte auf dem Berichterstattungspunkt benötigen, fügen Sie sie auf jedem erforderlichen Berichterstattungspunkt der lokalen Gruppe „Berichterstattungsbenutzer“ hinzu. Die Gruppe „Berichterstattungsbenutzer“ hat standardmäßig keine Mitglieder.
Für die Mitglieder der Gruppe „Berichterstattungsbenutzer“ sind standardmäßig keine Configuration Manager 2007-Objektsicherheitsrechte konfiguriert. Diese Gruppe benötigt für die SMS-Berichtsklasse das Sicherheitsrecht Lesen, da Mitglieder dieser Gruppe ansonsten nicht auf Berichte zugreifen können, obwohl sie Zugriff auf die Berichterstattungswebsite haben.
Verwalten Sie die Sicherheit für Benutzer, die eine direkte Verbindung mit dem SQL Server-Computer herstellen Wenn Sie Berichtsmechanismen verwenden, die sich von der Configuration Manager-Konsole und von der Berichterstattung in Configuration Manager unterscheiden, sind die WMI-Sicherheit und die Objektsicherheit in Configuration Manager nicht wirksam. Wenn Sie Berichtsmechanismen verwenden möchten, bei denen direkt auf die SQL Server-Ansichten zugegriffen wird, beispielsweise einen ODBC-Treiber oder Skripting, müssen Sie eine Sicherheitssteuerung implementieren, um den Zugriff auf die Daten auf autorisierte Benutzer zu beschränken.
Hinweis
Ein direkter Zugriff auf die Daten in den Tabellen wird nicht unterstützt. Die einzige Möglichkeit zum Zugriff auf die Daten ist die Verwendung der Ansichten.
Aktivieren Sie den HTTPS-Zugriff für Berichterstattungspunkte Wenn Sie die Berichterstattungsrolle auf einem Standortsystem konfigurieren, sollten Sie den Berichterstattungspunkt so konfigurieren, dass die Berichtsanzeige mit HTTPS gestartet wird. Das Abfangen des Sitzungszustands oder der Anmeldeinformationen in unverschlüsseltem HTTP-Datenverkehr ist ein relativ einfacher Sicherheitsangriff. Mithilfe des Sitzungszustands erhält der Angreifer vollen Zugriff auf den Berichterstattungspunkt. Mit dieser Einstellung wird das Zertifikat nicht abgerufen oder IIS für die Verwendung von SSL konfiguriert. Schließen Sie diese Konfiguration ab, bevor Sie den Berichterstattungspunkt für den HTTPS-Zugriff konfigurieren.
Hinweis
Das Konfigurieren von HTTPS auf dem Berichterstattungspunkt erfolgt unabhängig von der Konfiguration für den einheitlichen Modus. Auch im einheitlichen Modus verwenden Berichterstattungspunkte standardmäßig eine HTTP-Verbindung für den Zugriff.
Siehe auch
Konzepte
Berichterstattung in Configuration Manager
Andere Ressourcen
Bewährte Sicherheitsmethoden und Datenschutzinformationen zu Configuration Manager-Features
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com