Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Out-of-Band-Verwaltung
Letzte Aktualisierung: Oktober 2009
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Mithilfe der Out-of-Band-Verwaltung in Microsoft System Center Configuration Manager 2007 SP1 und höher können Computer mit dem Intel vPro-Chipsatz und einer von Configuration Manager unterstützten Intel AMT-Version (Intel Active Management Technology) bequem gesteuert werden. Der Zugriff muss jedoch eingeschränkt werden, damit nicht autorisierte Benutzer dieses Feature nicht für Angriffe auf die Computer in Ihrem Netzwerk missbrauchen können.
Bewährte Sicherheitsmethoden
Fordern Sie vor dem Kauf AMT-basierter Computer ein benutzerdefiniertes Firmwareabbild an. Computer, die sich für die Out-of-Band-Verwaltung eignen, weisen BIOS-Erweiterungen auf. Bei entsprechender Konfiguration kann die Sicherheit der Computer, wenn diese mit dem Netzwerk verbunden sind, erheblich verbessert werden. Finden Sie heraus, welche BIOS-Erweiterungseinstellungen Ihr Computerhersteller anbietet, und geben Sie die gewünschten Werte an. Weitere Informationen finden Sie unter Entscheiden über die Notwendigkeit eines benutzerdefinierten Firmware-Abbilds vom Computerhersteller. Wenn Sie die für Ihre AMT-basierten Computer verfügbaren Firmwarewerte nicht übernehmen wollen, können Sie u. U. Werte manuell festlegen. Weitere Informationen zum manuellen Konfigurieren der BIOS-Erweiterungen finden Sie in der Intel-Dokumentation bzw. der Dokumentation Ihres Computerherstellers. Besuchen Sie außerdem die Seiten zur Microsoft vPro-Verwaltbarkeit im Intel vPro Expert Center: https://go.microsoft.com/fwlink/?LinkId=132001 (möglicherweise in englischer Sprache). Passen Sie die folgenden Optionen zu Erhöhung der Sicherheit an:
Ersetzen Sie alle Zertifikatfingerabdrücke externer Zertifizierungsstellen durch den Zertifikatfingerabdruck Ihrer internen Zertifizierungsstelle. Auf diese Weise wird die Bereitstellung Ihrer AMT-basierten Computer durch nicht autorisierte Bereitstellungsserver verhindert, und Sie müssen keine Bereitstellungszertifikate von externen Zertifizierungsstellen erwerben. Informationen zum Auffinden des Zertifikatfingerabdrucks Ihrer internen Zertifizierungsstelle finden Sie unter Suchen des Zertifikatfingerabdrucks des internen Stammzertifikats für die AMT-Bereitstellung.
Verwenden Sie anstelle des Standardwerts admin ein benutzerdefiniertes Kennwort für das MEBx-Konto. Geben Sie dieses Kennwort anschließend in Verbindung mit einem AMT-Bereitstellungs- und Ermittlungskonto in Configuration Manager an. Dadurch werden nicht autorisierte Bereitstellungsserver an der Bereitstellung Ihrer AMT-basierten Computer mithilfe des bekannten Standardkennworts gehindert. Weitere Informationen finden Sie unter Informationen zum MEBx-Konto und Hinzufügen eines AMT-Bereitstellungs- und Ermittlungskontos.
Ändern Sie den Wert für den Standardbereitstellungsserver. Die Verwendung des Standardnamens für den Bereitstellungsserver stellt ein Sicherheitsrisiko dar, wenn ein Datensatz mit diesem Namen auf eine IP-Adresse eines falschen oder nicht autorisierten Computers verweist. Das Verwenden einer IP-Adresse als Wert für den Bereitstellungsserver ist sicherer als das Verwenden eines bekannten Namens. Für mehrere AMT-basierte Computer, die von verschiedenen Standorten bereitgestellt werden, kann jedoch keine IP-Adresse verwendet werden. Wenn Sie anstelle der IP-Adresse einen anderen Namen festlegen, müssen Sie DNS für die Namensauflösung konfigurieren. Wenn Sie die Namensauflösung für den Standardnamen Bereitstellungsserver oder für einen benutzerdefinierten Namen verwenden, stellen Sie sicher, dass der DNS-Datensatz gesichert ist. Dadurch wird verhindert, dass der Datensatz geändert wird und nicht mehr auf den Standortsystemcomputer mit dem Out-of-Band-Dienstpunkt verweist. Weitere Informationen finden Sie unter Entscheiden, ob ein Alias für den Out-of-Band-Dienstpunkt im DNS registriert werden soll.
Konfigurieren Sie einen anderen Port für die Serverbereitstellung. Für die Out-of-Band-Bereitstellung ist die Verwendung eines benutzerdefinierten Ports sicherer als die Verwendung des Standardports. Konfigurieren Sie zur Nutzung der Out-of-Band-Bereitstellung eine andere Portnummer unter Eigenschaften der Out-of-Band-Verwaltung auf der Registerkarte Allgemein.
Verwenden Sie anstelle der Out-of-Band- die In-Band-Bereitsstellung. Auf diese Weise kann der Client die Vertrauensstellung, die bereits zwischen dem Client und der Configuration Manager-Infrastruktur hergestellt wurde, nutzen. Dies gilt insbesondere für den einheitlichen Modus. Nicht vertrauenswürdige Computer können out-of-band bereitgestellt werden, sofern dafür die im Assistenten zum Importieren von Out-of-Band-Computern festgelegte SMBIOS GUID (manchmal auch als „UUID“ bezeichnet) angegeben wird. Für erfolgreich bereitgestellte Computer wird in den Active Directory-Domänendiensten automatisch ein Konto hinzugefügt und von Ihrer Unternehmenszertifizierungsstelle ein Zertifikat mit Serverauthentifizierung ausgestellt. Wurde ein nicht autorisierter Computer bereitgestellt, kommt es bei der anschließenden Netzwerkauthentifizierung zu einer Rechteerweiterung, und das Konto kann theoretisch zum Lesen von Informationen im Netzwerk genutzt werden, für die normalerweise ein authentifizierter Zugriff erforderlich ist (Veröffentlichung von Informationen). Ein Zertifikat mit Serverauthentifizierung kann zum Einrichten einer Vertrauensstellung missbraucht werden. Angreifer sind außerdem in der Lage, Server einzurichten, welche die Identität gültiger DNS- bzw. Bereitstellungsserver annehmen, an die AMT-basierte Computer dann fehlgeleitet werden. Wenn Sie die Out-of-Band-Bereitstellung nicht benötigen, führen Sie die folgenden Schritte zur Minimierung der genannten Sicherheitsrisiken aus:
Gilt nur für Configuration Manager 2007 SP2: Stellen Sie in der Komponentenkonfiguration sicher, dass im Dialogfeld Eigenschaften der Out-of-Band-Verwaltung auf der Registerkarte Allgemein die Option Out-of-Band-Bereitstellung zulassen nicht ausgewählt ist. Diese Option ist nicht standardmäßig ausgewählt. Mit dieser Standardeinstellung reagiert Configuration Manager nicht auf Out-of-Band-Bereitstellungsanforderungen, und die Out-of-Band-Bereitstellung nicht autorisierter Computer wird erschwert.
So verhindern Sie die Out-of-Band-Bereitstellung nicht autorisierter Computer Verwenden Sie nicht den Assistenten zum Importieren von Out-of-Band-Computern, um der Configuration Manager-Datenbank neue Computer hinzuzufügen. Blockieren Sie in der Windows-Firewallkonfiguration auf dem Server, auf dem die Out-of-Band-Dienstpunktrolle ausgeführt wird, den Bereitstellungsport (standardmäßig TCP-Port 9971). Registrieren Sie außerdem keinen Alias für den Out-of-Band-Dienstpunkt in DNS. Weitere Informationen zum DNS-Alias finden Sie unter Entscheiden, ob ein Alias für den Out-of-Band-Dienstpunkt im DNS registriert werden soll. Schränken Sie weiterhin den physischen Zugriff auf das Netzwerk ein, und überwachen Sie Clients, um nicht autorisierte Computer zu erkennen.
Verwenden Sie anstelle des Standardwerts admin ein benutzerdefiniertes Kennwort für das MEBx-Konto in den AMT-BIOS-Erweiterungen, um nicht autorisierte Bereitstellungsserver an der Bereitstellung Ihrer AMT-basierten Computer zu hindern. Geben Sie dieses Kennwort anschließend in Verbindung mit einem AMT-Bereitstellungs- und Ermittlungskonto in Configuration Manager an. Weitere Informationen finden Sie unter Informationen zum MEBx-Konto und Hinzufügen eines AMT-Bereitstellungs- und Ermittlungskontos.
Wenn die In-Band-Bereitstellung nicht zur Verfügung steht, weil der Computer neu ist und noch kein Betriebssystem darauf installiert wurde, kann die Betriebssystembereitstellung zum Installieren des Betriebssystems und des Clients für Configuration Manager 2007 SP1 oder höher verwendet werden, die für die In-Band-Bereitstellung erforderlich sind. Im Gegensatz zur Out-of-Band-Bereitstellung wird bei der Betriebssystembereitstellung kein authentifiziertes Konto in den Active Directory-Domänendiensten erstellt und von Ihrer Unternehmenszertifizierungsstelle kein Serverauthentifizierungszertifikat angefordert. Weitere Informationen zur Betriebssystembereitstellung finden Sie unter Betriebssystembereitstellung in Configuration Manager. Wenn die In-Band-Bereitstellung nicht zur Verfügung steht, weil auf dem Computer der Client für Configuration Manager 2007 SP1 oder höher nicht installiert ist bzw. weil die AMT-Version des Computers durch die systemeigenen Funktionen von Configuration Manager nicht unterstützt wird, installieren Sie den Client für Configuration Manager 2007 SP1 oder höher, und/oder aktualisieren Sie die Firmware auf eine unterstützte Version. Weitere Informationen zu den von Configuration Manager unterstützten AMT-Versionen finden Sie unter Übersicht über die Out-of-Band-Verwaltung.
Sperren Sie für AMT-basierte Computer, die von einem Configuration Manager 2007 SP1-Standort blockiert werden, die Zertifikate manuell, und löschen Sie die zugehörigen Active Directory-Konten. Computer, die von einem Configuration Manager 2007 SP1-Standort blockiert wurden, akzeptieren die Kommunikation im Rahmen der Out-of-Band-Verwaltung weiterhin. Wird ein AMT-basierter Computer blockiert, weil er nicht mehr als vertrauenswürdig gilt, führen Sie die folgenden Aktionen manuell aus:
Sperren Sie auf der ausstellenden Zertifizierungsstelle das Zertifikat, das für den Standortserver mit dem FQDN des AMT-basierten Computers als Zertifikatantragsteller ausgestellt wurde.
Deaktivieren oder löschen Sie in den Active Directory-Domänendiensten das AMT-Konto, das für den AMT-basierten Computer erstellt wurde.
Steuern Sie die Anforderung und Installation des Bereitstellungszertifikats. Fordern Sie das Bereitstellungszertifikat direkt vom Bereitstellungsserver über den Computersicherheitskontext an, sodass das Zertifikat direkt in den lokalen Computerspeicher installiert wird. Wenn Sie das Zertifikat von einem anderen Computer anfordern müssen, müssen Sie den privaten Schlüssel exportieren und dann während des Übertragens und Importierens des Zertifikats in einen Zertifikatspeicher mit eingeschränktem Zugriff weitere Sicherheitssteuerungen einsetzen.
Stellen Sie sicher, dass Sie vor Ablauf des vorhandenen Zertifikats ein neues Bereitstellungszertifikat anfordern. Ein abgelaufenes AMT-Bereitstellungszertifikat führt zu Bereitstellungsfehlern. Wenn Sie für Ihr Bereitstellungszertifikat eine externe Zertifizierungsstelle verwenden, sollten Sie zusätzliche Zeit zum Abschließen der Erneuerung und zum Neukonfigurieren des Out-of-Band-Verwaltungspunkts einplanen.
Hinweis
Um Sie darauf aufmerksam zu machen, wann das AMT-Bereitstellungszertifikat abläuft, generiert Configuration Manager eine Warnstatusmeldung mit der Kennung 7210, wenn das Bereitstellungszertifikat in 40 Tagen oder weniger abläuft. Diese Statusmeldung wird so lange ein Mal pro Tag angezeigt, bis das Zertifikat durch ein Zertifikat mit einer Gültigkeitsdauer von mehr als 40 Tagen ersetzt wurde oder bis die Gültigkeitsdauer des Zertifikats weniger als 15 Tage beträgt. Wenn die Gültigkeitsdauer weniger als 15 Tage beträgt, wird eine Fehlerstatusmeldung mit der Kennung 7211 generiert, bis das Zertifikat durch ein neues mit einer Gültigkeitsdauer von mehr als 15 Tagen ersetzt wurde.
Wenn das Bereitstellungszertifikat gesperrt wurde, löschen Sie es aus dem Zertifikatspeicher auf dem Standortsystemserver mit dem Out-of-Band-Dienstpunkt, und entfernen Sie es aus den Eigenschaften der Komponentenkonfiguration für die Out-of-Band-Verwaltung. Wenn Sie wissen, dass das AMT-Bereitstellungszertifikat gesperrt wurde, müssen Sie manuelle Schritte ausführen, damit es von Configuration Manager nicht zur Bereitstellung von AMT-basierten Computern verwendet werden kann, da durch AMT-basierte Computer keine Überprüfung der Zertifikatsperrliste auf das Bereitstellungszertifikat erfolgt. Löschen Sie das Zertifikat aus dem Zertifikatspeicher des Standortsystemservers des Out-of-Band-Dienstpunkts. Installieren Sie dann ein neues Bereitstellungszertifikat, das Sie im Dialogfeld Eigenschaften der Out-of-Band-Verwaltung konfigurieren. Wenn Sie ein gültiges AMT-Bereitstellungszertifikat nicht sofort bereitstellen können, entfernen Sie die Out-of-Band-Dienstpunktrolle, bis das Ersatzzertifikat vorliegt.
Wenn Sie ein von einer internen Zertifizierungsstelle ausgestelltes Bereitstellungszertifikat sperren müssen, verwenden Sie hierfür die Zertifizierungsstellenkonsole. Es ist nicht möglich, das Bereitstellungszertifikat in Configuration Manager 2007 SP1 und höher zu sperren.
Verwenden Sie zur Bereitstellung AMT-basierter Computer eine dedizierte Zertifikatvorlage. Wenn Sie für Ihre Unternehmenszertifizierungsstelle eine Enterprise-Version von Windows Server verwenden, erstellen Sie eine neue Zertifikatvorlage, indem Sie die Standard-Zertifikatvorlage für Webserver duplizieren. Stellen Sie außerdem sicher, dass Lese- und Registrierungsberechtigungen nur Configuration Manager-Standortservern zugewiesen sind, und fügen Sie außer der standardmäßigen Serverauthentifizierung keine weitere Authentifizierung hinzu. Eine dedizierte Zertifikatvorlage erlaubt Ihnen eine bessere Zugriffsverwaltung bzw. -steuerung und hilft Ihnen, Rechteerweiterungen zu verhindern. Wenn Sie für Ihre Unternehmenszertifizierungsstelle eine Standardversion von Windows Server verwenden, können Sie keine duplizierte Zertifikatvorlage erstellen. Erteilen Sie in diesem Fall nur den Configuration Manager-Standortservern, die zur Bereitstellung von AMT-basierten Computern verwendet werden sollen, Lese- und Registrierungsberechtigungen.
Verwenden Sie die Out-of-Band-Verwaltung anstelle von Wake-On-LAN. Obwohl beide Lösungen die Reaktivierung von Computern für Softwareupdates und Ankündigungen unterstützen, stellt die Out-of-Band-Verwaltung eine sicherere Methode als Wake-On-LAN dar, da sie die Authentifizierung und Verschlüsselung über Industriestandard-Sicherheitsprotokolle ermöglicht. Darüber hinaus kann sie mit einer vorhandenen PKI-Bereitstellung integriert werden, und die Sicherheitssteuerungen können unabhängig vom Produkt verwaltet werden. Weitere Informationen finden Sie unter Wählen zwischen der Verwendung von Einschaltbefehlen mit Out-of-Band-Verwaltung und Reaktivierungspaketen für Wake-On-LAN.
Deaktivieren Sie AMT in der Firmware, wenn die Out-of-Band-Verwaltung für den Computer nicht unterstützt wird. Selbst wenn der AMT-basierte Computer über eine unterstützte AMT-Version verfügt, ist die Out-of-Band-Verwaltung nicht in jedem Fall möglich. Die folgenden Computer werden nicht unterstützt: Arbeitsgruppencomputer, Computer mit einem anderen Namespace, Computer mit separatem Namespace. Deaktivieren Sie AMT in der Firmware, um sicherzustellen, dass diese AMT-basierten Computer nicht in den Active Directory-Domänendiensten veröffentlicht werden und kein PKI-Zertifikat für sie angefordert wird. Bei der AMT-Bereitstellung in Configuration Manager werden Domänenanmeldeinformationen für die Konten erstellt, die in den Active Directory-Domänendiensten veröffentlicht wurden. Dies birgt das Risiko einer Rechteerweiterung, wenn sich die Computer außerhalb Ihrer Active Directory-Gesamtstruktur befinden.
Verwenden Sie zur Veröffentlichung AMT-basierter Computer eine dedizierte Organisationseinheit. Verwenden Sie keinen Container und keine Organisationseinheit, der bzw. die bereits vorhanden ist, um die während der AMT-Bereitstellung erstellten Active Directory-Konten zu veröffentlichen. Eine separate Organisationseinheit erlaubt Ihnen eine bessere Verwaltung bzw. Steuerung dieser Konten und hilft Ihnen, Rechteerweiterungen, bei denen den Konten zusätzliche nicht erforderliche Rechte erteilt werden, zu verhindern.
Schränken Sie die Benutzerrechte für die AMT-Konten mithilfe einer Gruppenrichtlinie ein. Schränken Sie die Benutzerrechte für die in den Active Directory-Domänendiensten veröffentlichten AMT-Konten ein, um Rechteerweiterungen zu erschweren und die Angriffsfläche zu verkleinern, wenn es einem Angreifer dennoch gelingen sollte, sich Zugriff zu einem dieser Konten zu verschaffen. Erstellen Sie eine Sicherheitsgruppe mit den AMT-Konten, die von Configuration Manager während der AMT-Bereitstellung automatisch eingerichtet werden. Fügen Sie die Gruppe anschließend den folgenden aktivierten Gruppenrichtlinieneinstellungen unter „\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten“ hinzu:
Zugriff vom Netzwerk auf diesen Computer verweigern
Anmelden als Batchauftrag verweigern
Anmelden als Dienst verweigern
Lokal anmelden verweigern
Anmelden über Terminaldienste verweigern
Wenden Sie diese Gruppenrichtlinieneinstellungen auf alle Computer in der Gesamtstruktur an. Überprüfen Sie die Gruppenmitgliedschaft regelmäßig und ändern Sie sie ggf., um sicherzustellen, dass sie alle AMT-Konten enthält, die gegenwärtig in den Active Directory-Domänendiensten veröffentlicht sind.
Verwenden Sie zur In-Band-Bereitstellung eine dedizierte Sammlung. Verwenden Sie keine vorhandene Sammlung, die mehr Computer enthält, als Sie mit der In-Band-Methode bereitstellen möchten. Erstellen Sie stattdessen eine abfragebasierte Sammlung mithilfe des Verfahrens zur In-Band-Bereitstellung, das unter Bereitstellen von Computern für AMT beschrieben wird. Stellen Sie für einen Standort im gemischten Modus sicher, dass die Computer genehmigt wurden. Weitere Informationen zur Genehmigung finden Sie unter Informationen zur Clientgenehmigung in Configuration Manager und Genehmigen von Configuration Manager-Clients.
Schränken Sie die Zahl der Benutzer mit den Rechten „Medienumleitung“ und „PT-Verwaltung“ (Configuration Manager 2007 SP1) bzw. „Plattformverwaltung“ (Configuration Manager 2007 SP2) ein. Medienumleitungsrechte sind nahezu mit der Berechtigung für den physischen Zugriff auf den Computer identisch. Obwohl Angreifer noch immer den physischen Zugriff benötigen, um den Computer zu öffnen, könnten Personen mit Medienumleitungsrechten ein alternatives Betriebssystem laden und mit dessen Hilfe Daten auf der Festplatte remote angreifen. Das Recht „PT-Verwaltung“ (Configuration Manager 2007 SP1) bzw. „Plattformverwaltung“ (Configuration Manager 2007 SP2) schließt automatisch alle AMT-Rechte, darunter das Medienumleitungsrecht, ein.
Verwenden Sie zum Abrufen und Speichern von Abbilddateien beim Start von anderen Medien für die IDE-Redirect-Funktion eine sichere Verbindung. Speichern Sie Abbilddateien beim Starten von anderen Medien zur Nutzung der IDE-Redirect-Funktion nach Möglichkeit lokal auf dem Computer, auf dem die Out-of-Band-Verwaltungskonsole ausgeführt wird. Wenn die Dateien im Netzwerk gespeichert werden müssen, dann stellen Sie sicher, dass die Verbindungen für den Dateiabruf über das Netzwerk SMB-Signaturen verwenden, um die Manipulation der Dateien während der Netzwerkübertragung zu verhindern. Schützen Sie die gespeicherten Dateien in jedem Fall vor nicht autorisierten Zugriffen (z. B. durch NTFS-Berechtigungen und EFS (Encrypted File System)).
Reduzieren Sie die Anzahl der AMT-Bereitstellungs- und Ermittlungskonten. Sie können mehrere AMT-Bereitstellungs- und Ermittlungskonten angeben, um Configuration Manager die Ermittlung von Computern mit Verwaltungscontrollern und die Bereitstellung der Computer für die Out-of-Band-Verwaltung zu ermöglichen. Allerdings ist es empfehlenswert, nur die benötigten Konten bereitzustellen bzw. nicht benötigte Konten zu löschen. Indem Sie nur die benötigten Konten angeben, vermeiden Sie Rechteerweiterungen, bei denen den Konten zusätzliche nicht erforderliche Rechte erteilt werden. Außerdem verringern sich dadurch Netzwerkauslastung und Verarbeitungslast. Weitere Informationen zum AMT-Bereitstellungs- und Ermittlungskonto finden Sie unter Bestimmen, ob AMT-Bereitstellungs- und Ermittlungskonten für die Out-of-Band-Verwaltung konfiguriert werden sollen und Informationen zum AMT-Bereitstellungs- und Ermittlungskonto.
Nur Configuration Manager 2007 SP2: Fügen Sie Computer, die für 802.1X und Drahtlos bereitgestellt wurden, Sicherheitsgruppen nur manuell hinzu. Verwenden Sie zum Hinzufügen von Computern zu einer Sicherheitsgruppe nicht die Option AMT-basierte Computer automatisch der Sicherheitsgruppe hinzufügen unter Komponentenkonfiguration auf der Registerkarte 802.1X und Drahtlos des Dialogfelds Eigenschaften der Out-of-Band-Verwaltung. Überwachen Sie die Mitgliedschaft bei Sicherheitsgruppen, mit denen der Netzwerkzugriff auf Computer erteilt wird, streng, um Rechteerweiterungen zu verhindern. Wählen Sie die Option AMT-basierte Computer nicht automatisch der Sicherheitsgruppe hinzufügen aus, und fügen Sie der Sicherheitsgruppe bekannte und vertrauenswürdige Computerkonten manuell hinzu.
Nur Configuration Manager 2007 SP2: Verwenden Sie nach Möglichkeit dieselbe Zertifikatvorlage für Clientauthentifizierungszertifikate. Sie können grundsätzlich für jedes Drahtlosprofil eine andere Zertifikatvorlage angeben. Sofern es für die Verwendung unterschiedlicher Einstellungen für mehrere Drahtlosnetzwerke keinen triftigen Grund gibt, empfiehlt es sich jedoch, ein- und dieselbe Zertifikatvorlage zu verwenden. Aktivieren Sie nur die Clientauthentifizierung, und reservieren Sie diese Zertifikatvorlage für die Out-of-Band-Verwaltung in Configuration Manager. Ist für ein Drahtlosnetzwerk beispielsweise eine andere Schlüsselgröße oder Gültigkeitsdauer erforderlich, so müssen Sie dafür eine gesonderte Zertifikatvorlage erstellen. Eine dedizierte Zertifikatvorlage erlaubt Ihnen, ihre Verwendung besser zu kontrollieren, und macht Rechteerweiterungen schwieriger.
Nur Configuration Manager 2007 SP2: Stellen Sie sicher, dass außer autorisierten Administratoren kein Benutzer zur Ausführung von Überwachungsaktionen und zur Verwaltung der Überwachungsprotokolle berechtigt ist. Neue Einträge werden von Configuration Manager möglicherweise nicht in das AMT-Überwachungsprotokoll geschrieben, oder alte Einträge werden überschrieben (abhängig von der verwendeten AMT-Version), wenn das Protokoll nahezu voll ist. Löschen Sie das Überwachungsprotokoll ggf. in regelmäßigen Abständen, und speichern Sie die Überwachungseinträge, um sicherzustellen, dass neue Einträge aufgezeichnet und alte nicht überschrieben werden. Weitere Informationen zum Verwalten des Überwachungsprotokolls und zum Überwachen von Überwachungsaktivitäten finden Sie unter Verwalten des Überwachungsprotokolls für AMT-basierte Computer.
Datenschutzinformationen
Die Out-of-Band-Verwaltungskonsole in Microsoft System Center Configuration Manager 2007 SP1 und höher dient zur Verwaltung von Computern mit dem Intel vPro-Chipsatz und einer von Configuration Manager unterstützten Intel AMT-Version (Intel Active Management Technology). Mit Configuration Manager 2007 SP1 und höher werden Informationen zur Computerkonfiguration und zu Computereinstellungen wie Computername, IP-Adresse und MAC-Adresse temporär gesammelt. Informationen werden zwischen dem verwalteten Computer und der Out-of-Band-Verwaltungskonsole über einen verschlüsselten Kanal ausgetauscht. Diese Funktion ist standardmäßig nicht aktiviert, und nach Abschluss der Verwaltungssitzung werden diese Informationen normalerweise nicht gespeichert. Wenn Sie die Überwachung in Configuration Manager 2007 SP2 aktiviert haben, können Sie die Überwachungsinformationen, d. h. die IP-Adresse des verwalteten AMT-basierten Computers und das Domänenbenutzerkonto, das zur Ausführung der Verwaltungsaktion zum erfassten Zeitpunkt verwendet wurde, in einer Datei speichern. Diese Informationen werden nicht an Microsoft gesendet.
Sie haben die Möglichkeit, Configuration Manager für die Ermittlung von Computern mit Verwaltungscontrollern zu konfigurieren, so dass sie über die Out-of-Band-Verwaltungskonsole verwaltet werden können. Bei der Ermittlung werden Datensätze für die verwaltbaren Computer erstellt und in der Datenbank gespeichert. Discovery Data Records enthalten Computerinformationen wie IP-Adresse, Betriebssystem und Computername. Die Ermittlung von Verwaltungscontrollern ist standardmäßig nicht aktiviert. Weitere Informationen finden Sie unter Ermitteln von Computern mit Verwaltungscontrollern. Die Ermittlungsinformationen werden nicht an Microsoft zurückgesendet. Sie werden in der Standortdatenbank gespeichert. Die Informationen bleiben bis zum Löschen mit dem Standortwartungstask „Veraltete Ermittlungsdaten löschen“ in der Datenbank. Der Löschvorgang wird alle 90 Tage durchgeführt. Sie können das Löschintervall konfigurieren.
Siehe auch
Referenz
Übersicht über den Task „Veraltete Ermittlungsdaten löschen“
Andere Ressourcen
Bewährte Sicherheitsmethoden und Datenschutzinformationen zu Configuration Manager-Features
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com