Share via

Planen von Sicherheit und Datenschutz in Configuration Manager

  • Artikel

Letzte Aktualisierung: Dezember 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Die Microsoft System Center Configuration Manager 2007-Sicherheitssteuerung ist flexibel und kann jederzeit implementiert oder geändert werden. Mehrere sicherheitsrelevante Konfigurationen, wie das Ändern der Standardportnummern und die Verwendung benutzerdefinierter Websites, sind einfacher zu implementieren, wenn sie im Voraus geplant werden. Bei der Verwendung von Configuration Manager 2007 ist der Datenschutz ebenfalls eine wichtige Planungsüberlegung.

Empfohlene Sicherheitskonfiguration

Die folgende Konfiguration wird als sicherste Configuration Manager 2007-Umgebungsoption betrachtet.

  • Verwenden Sie in der gesamten Hierarchie den einheitlichen Modus.

  • Erweitern Sie das Active Directory-Schema für Configuration Manager 2007, und aktivieren Sie die Active Directory-Veröffentlichung. Konfigurieren Sie Clients in der gleichen Gesamtstruktur, sodass sie Active Directory abfragen können.

  • Verwenden Sie IPsec, um die Kommunikation zwischen Standortsystemen zu schützen.

Selbst wenn Sie Configuration Manager 2007 bereits mit einer anderen Konfiguration installiert haben, können Sie jederzeit ein Upgrade auf diese Konfiguration ausführen.

Verwenden des einheitlichen Modus

Der einheitliche Modus erfordert, dass Sie alle Standorte und Clients auf Configuration Manager 2007 aktualisieren und Standortsysteme und Clients mithilfe von Zertifikaten aus einer Infrastruktur mit öffentlichem Schlüssel (Public Key Infrastructure oder PKI) authentifizieren. Durch die beidseitige Authentifizierung und Verschlüsselung zwischen Clients und Standortsystemen wird zwar der Verwaltungsaufwand erhöht, mit ihrer Hilfe werden jedoch viele Angriffsvektoren verhindert. Im einheitlichen Modus authentifiziert zum Beispiel der Verwaltungspunkt den Client, bevor er Inventurinformationen akzeptiert. Im gemischten Modus hingegen wird der Client nicht authentifiziert. Weitere Informationen finden Sie unter Auswahl zwischen einheitlichem und gemischtem Modus.

Hinweis

Im gemischten Modus ist das Kontrollkästchen Dieser Standort verfügt nur über ConfigMgr 2007-Clients aktiviert. Nur genehmigte Clients können Richtlinien empfangen, die vertrauliche Daten enthalten. Ist das Kontrollkästchen jedoch nicht aktiviert, können Richtlinien mit vertraulichen Daten an jeden beliebigen Client gesendet werden.

Verwenden von Schemaerweiterungen und Active Directory-Veröffentlichung

Zum Ausführen von Configuration Manager 2007 sind keine Schemaerweiterungen erforderlich, aber sie bewirken eine sicherere Umgebung. Sie sollten Active Directory-Configuration Manager 2007-Schemaerweiterungen und die Configuration Manager 2007-Veröffentlichung in Active Directory aktivieren, damit Verwaltungspunkte ihre Zertifikate und ihren Speicherort in Active Directory veröffentlichen können. Sie sollten Ihre Standorte auch so planen, dass alle Clients sich in derselben Gesamtstruktur befinden wie der Standortserver. Dadurch können Clients in der Gesamtstruktur autorisierte Verwaltungspunkte von einer vertrauenswürdigen Quellen identifizieren. Verwenden Sie keine Clients in Arbeitsgruppen, weil sie Active Directory nicht nach Standortinformationen abfragen können.

Mit Active Directory kann zudem der öffentliche Schlüssel gespeichert werden, der zum Signieren von standortübergreifenden Datenübertragungen verwendet wird. Wenn der öffentliche Schlüssel während eines Wiederherstellungsvorgang geändert wird, wird der neue Schlüssel automatisch an die untergeordneten und übergeordneten Standorte weitergegeben. Wenn Sie ein Upgrade von SMS 2003 ausführen, sollten Sie auch Ihre Schemaerweiterungen für Configuration Manager 2007 aktualisieren. Weitere Informationen zu Schemaerweiterungen finden Sie unter Entscheiden, ob das Active Directory-Schema erweitert werden soll.

Schützen der Kommunikation zwischen Standortsystemen mithilfe von IPsec

Weder der einheitliche noch der gemischte Modus schützen den Kommunikationskanal zwischen dem Standortserver und den Standortsystemen. Wenn Sie keine Methode wie IPsec zum Schutz dieser Kanäle verwenden, können Angreifer verschiedene Spoofing- und Man-in-the-middle-Angriffe gegen Standortsysteme richten. Weitere Informationen finden Sie unter Implementieren von IPsec in Configuration Manager 2007.

Portplanung

Aus Sicherheitsgründen ist die Verwendung von Nichtstandardports oft nützlich, weil so Angreifern die Erkundung der Umgebung zur Vorbereitung eines Angriffs erschwert wird. Wenn Sie Nichtstandardports verwenden möchten, ist es am einfachsten, sie zu Beginn zu planen und sie auf allen Standorten in der Hierarchie konsistent zu verwenden. Diese Vorgehensweise ist insbesondere dann zu empfehlen, wenn Sie Roaming unterstützen möchten. Wenn Sie Clients nicht mit den ausgewählten Nichtstandardports bereitstellen, müssen Sie sie später neu konfigurieren.

Planen benutzerdefinierter Websites

Mit Configuration Manager 2007 können Sie benutzerdefinierte Websites statt der Standardwebsite für IIS verwenden. Die Verwendung von Standortsystemen für das Hosting von Nicht-Configuration Manager 2007-Anwendungen in IIS wird nicht empfohlen. Sie sollten aber immer eine benutzerdefinierte Website verwenden, wenn Sie sich entscheiden, Anwendungen an mehreren Standorten zu hosten. Benutzerdefinierte Websites sind eine standortweite Einstellung, keine Standortsystemeinstellung. Sie müssen alle Standortsysteme in Ihrem Unternehmen konfigurieren, um benutzerdefinierte Websites zu verwenden.

Kontoplanung

Configuration Manager 2007 verwendet primär das lokale Systemkonto für die meisten Standortvorgänge. Es können aber mehrere optionale Konten in der Configuration Manager 2007-Konsole erstellt und konfiguriert werden, um bestimmte Funktionen auszuführen. Entscheiden Sie in der Planungsphase, welche optionalen Konten Sie konfigurieren müssen, und arbeiten Sie mit dem Kontenadministrator in Ihrem Unternehmen zusammen, um sie zu erstellen. Weitere Informationen finden Sie in der ausführlichen Beschreibung des jeweiligen Kontos unter Konten und Gruppen in Configuration Manager.

Planung von Sicherheitsrechten

System Center Configuration Manager 2007 gewährt anhand von Sicherheitsrechten Zugriff auf seine Funktionen. Ein Teil der Konfiguration der Configuration Manager 2007-Sicherheit besteht darin, verschiedene Sicherheitsrechte zu erstellen, damit Configuration Manager 2007-Administratoren auf bestimmte Funktionen und Daten zugreifen können.

Sie sollten die Rollen bestimmen, die Sie in Ihrer Umgebung verwenden möchten, und nur die Rechte zuweisen, die zur Ausführung der jeweiligen Rolle unbedingt notwendig sind. Weitere Informationen finden Sie unter Übersicht über Objektsicherheit und WMI in Configuration Manager.

Datenschutzplanung

Während Sie mit Konfigurationsverwaltungsprodukten effektiv viele Clients gleichzeitig verwalten können, müssen Sie auch wissen, wie sich diese Software auf den Datenschutz der Benutzer in Ihrem Unternehmen auswirken könnte. Configuration Manager 2007 umfasst viele Tools zum Sammeln von Daten und Überwachen von Clientcomputern, von denen einige Datenschutzfragen aufwerfen könnten. Vor der Configuration Manager 2007-Bereitstellung müssen Sie die Datenschutzanforderungen berücksichtigen. Weitere Informationen finden Sie unter Übersicht über Datenschutz in Configuration Manager.

Überlegungen zu Berechtigungen

Wenn Sie einen neuen Configuration Manager 2007-Standortserver installiert haben, setzt eine Standortrücksetzung die Zugriffssteuerungslisten (Access Control Lists, ACLs) auf die ursprünglichen Einstellungen zurück. Beim Upgrade eines bestehenden Systems Management Server (SMS) 2003-Standorts bleiben die Berechtigungen für die aktualisierten Verzeichnisse erhalten. Bei der Durchführung einer Standardortrücksetzung für einen Standort, der von SMS 2003 aktualisiert wurde, werden die ACLs für die aktualisierten Verzeichnisse von der Standortrücksetzung ebenfalls nicht zurückgesetzt.

Siehe auch

Andere Ressourcen

Planen und Bereitstellen einzelner Standorte mit Configuration Manager
Sicherheit und Datenschutz für Configuration Manager 2007

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com