Sicherheit und Datenschutz für die Inhaltsverwaltung in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Dieser Artikel enthält Sicherheits- und Datenschutzinformationen für die Inhaltsverwaltung in Configuration Manager.

Sicherheitsleitfaden

Vor- und Nachteile von HTTPS oder HTTP für Intranetverteilungspunkte

Berücksichtigen Sie bei Verteilungspunkten im Intranet die Vor- und Nachteile der Verwendung von HTTPS oder HTTP. In den meisten Szenarien bietet die Verwendung von HTTP- und Paketzugriffskonten für die Autorisierung mehr Sicherheit als die Verwendung von HTTPS mit Verschlüsselung, aber ohne Autorisierung. Wenn Ihre Inhalte jedoch vertrauliche Daten enthalten, die Sie während der Übertragung verschlüsseln möchten, verwenden Sie HTTPS.

  • Wenn Sie HTTPS für einen Verteilungspunkt verwenden: Configuration Manager verwendet keine Paketzugriffskonten, um den Zugriff auf den Inhalt zu autorisieren. Der Inhalt wird verschlüsselt, wenn er über das Netzwerk übertragen wird.

  • Wenn Sie HTTP für einen Verteilungspunkt verwenden: Sie können Paketzugriffskonten für die Autorisierung verwenden. Der Inhalt wird nicht verschlüsselt, wenn er über das Netzwerk übertragen wird.

Erwägen Sie die Aktivierung von Enhanced HTTP für die Website. Mit diesem Feature können Clients Microsoft Entra Authentifizierung verwenden, um sicher mit einem HTTP-Verteilungspunkt zu kommunizieren. Weitere Informationen finden Sie unter Erweitertes HTTP.

Wichtig

Ab Configuration Manager Version 2103 sind Websites, die die HTTP-Clientkommunikation zulassen, veraltet. Konfigurieren Sie die Website für HTTPS oder erweitertes HTTP. Weitere Informationen finden Sie unter Aktivieren der Website für nur HTTPS oder erweitertes HTTP.

Schützen der Clientauthentifizierungszertifikatdatei

Wenn Sie ein PKI-Clientauthentifizierungszertifikat anstelle eines selbstsignierten Zertifikats für den Verteilungspunkt verwenden, schützen Sie die Zertifikatdatei (PFX) mit einem sicheren Kennwort. Wenn Sie die Datei im Netzwerk speichern, sichern Sie den Netzwerkkanal, wenn Sie die Datei in Configuration Manager importieren.

Wenn Sie ein Kennwort benötigen, um das Clientauthentifizierungszertifikat zu importieren, das der Verteilungspunkt für die Kommunikation mit Verwaltungspunkten verwendet, trägt diese Konfiguration dazu bei, das Zertifikat vor einem Angreifer zu schützen. Um zu verhindern, dass ein Angreifer die Zertifikatdatei manipuliert, verwenden Sie die SMB-Signatur (Server Message Block) oder IPsec zwischen dem Netzwerkspeicherort und dem Standortserver.

Entfernen der Verteilungspunktrolle vom Standortserver

Standardmäßig installiert Configuration Manager Setup einen Verteilungspunkt auf dem Standortserver. Clients müssen nicht direkt mit dem Standortserver kommunizieren. Um die Angriffsfläche zu verringern, weisen Sie die Verteilungspunktrolle anderen Standortsystemen zu, und entfernen Sie sie vom Standortserver.

Sichern von Inhalten auf der Zugriffsebene des Pakets

Die Verteilungspunktfreigabe ermöglicht allen Benutzern Lesezugriff. Um einzuschränken, welche Benutzer auf den Inhalt zugreifen können, verwenden Sie Paketzugriffskonten, wenn der Verteilungspunkt für HTTP konfiguriert ist. Diese Konfiguration gilt nicht für inhaltsfähige Cloudverwaltungsgateways, die keine Paketzugriffskonten unterstützen.

Weitere Informationen finden Sie unter Paketzugriffskonten.

Konfigurieren von IIS für die Verteilungspunktrolle

Wenn Configuration Manager IIS installiert, wenn Sie eine Standortsystemrolle für Verteilungspunkt hinzufügen, entfernen Sie http-Umleitung und IIS-Verwaltungsskripts und -Tools, wenn die Installation des Verteilungspunkts abgeschlossen ist. Für den Verteilungspunkt sind diese Komponenten nicht erforderlich. Um die Angriffsfläche zu verringern, entfernen Sie diese Rollendienste für die Webserverrolle.

Weitere Informationen zu den Rollendiensten für die Webserverrolle für Verteilungspunkte finden Sie unter Voraussetzungen für Standort- und Standortsystem.

Festlegen von Paketzugriffsberechtigungen beim Erstellen des Pakets

Da Änderungen an den Zugriffskonten für die Paketdateien nur wirksam werden, wenn Sie das Paket neu verteilen, legen Sie die Paketzugriffsberechtigungen beim ersten Erstellen des Pakets sorgfältig fest. Diese Konfiguration ist wichtig, wenn das Paket groß oder an viele Verteilungspunkte verteilt ist und die Netzwerkbandbreitenkapazität für die Inhaltsverteilung begrenzt ist.

Implementieren von Zugriffssteuerungen zum Schützen von Medien, die vorab bereitgestellte Inhalte enthalten

Vorab bereitgestellter Inhalt wird komprimiert, aber nicht verschlüsselt. Ein Angreifer könnte die Dateien lesen und ändern, die auf Geräte heruntergeladen werden. Configuration Manager Clients inhalte ablehnen, die manipuliert wurden, aber sie laden sie trotzdem herunter.

Importieren vorab bereitgestellter Inhalte mit ExtractContent

Importieren Sie vorab bereitgestellte Inhalte nur mithilfe des ExtractContent.exe-Befehlszeilentools. Um Manipulationen und Rechteerweiterungen zu vermeiden, verwenden Sie nur das autorisierte Befehlszeilentool, das im Lieferumfang Configuration Manager.

Weitere Informationen finden Sie unter Bereitstellen und Verwalten von Inhalten.

Schützen des Kommunikationskanals zwischen dem Standortserver und dem Quellspeicherort des Pakets

Verwenden Sie IPsec- oder SMB-Signatur zwischen dem Standortserver und dem Quellspeicherort des Pakets, wenn Sie Anwendungen, Pakete und andere Objekte mit Inhalt erstellen. Diese Konfiguration verhindert, dass ein Angreifer die Quelldateien manipuliert.

Entfernen von virtuellen Standardverzeichnissen für benutzerdefinierte Websites mit der Verteilungspunktrolle

Wenn Sie die Standortkonfigurationsoption ändern, um nach der Installation einer Verteilungspunktrolle eine benutzerdefinierte Website anstelle der Standardwebsite zu verwenden, entfernen Sie die virtuellen Standardverzeichnisse. Wenn Sie von der Standardwebsite zu einer benutzerdefinierten Website wechseln, entfernt Configuration Manager die alten virtuellen Verzeichnisse nicht. Entfernen Sie die folgenden virtuellen Verzeichnisse, die ursprünglich unter der Standardwebsite erstellt Configuration Manager:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Weitere Informationen zur Verwendung einer benutzerdefinierten Website finden Sie unter Websites für Standortsystemserver.

Schützen Sie für inhaltsfähige Cloudverwaltungsgateways Ihre Azure-Abonnementdetails und -zertifikate.

Wenn Sie inhaltsfähige Cloudverwaltungsgateways (CMGs) verwenden, schützen Sie die folgenden hochwertigen Elemente:

  • Benutzername und Kennwort für Ihr Azure-Abonnement
  • Die geheimen Schlüssel für Azure-App-Registrierungen
  • Das Serverauthentifizierungszertifikat

Speichern Sie die Zertifikate sicher. Wenn Sie beim Konfigurieren des CMG über das Netzwerk zu ihnen navigieren, verwenden Sie IPsec- oder SMB-Signatur zwischen dem Standortsystemserver und dem Quellspeicherort.

Überwachen Sie aus Gründen der Dienstkontinuität das Ablaufdatum der CMG-Zertifikate.

Configuration Manager warnt Sie nicht, wenn die importierten Zertifikate für das CMG bald ablaufen. Überwachen Sie die Ablaufdaten unabhängig von Configuration Manager. Stellen Sie sicher, dass Sie die neuen Zertifikate vor dem Ablaufdatum verlängern und dann importieren. Diese Aktion ist wichtig, wenn Sie ein Serverauthentifizierungszertifikat von einem externen, öffentlichen Anbieter erwerben, da Sie möglicherweise mehr Zeit benötigen, um ein erneuertes Zertifikat zu erwerben.

Wenn ein Zertifikat abläuft, generiert der Configuration Manager Cloud Services Manager eine status Nachricht mit der ID 9425. Die Datei CloudMgr.log enthält einen Eintrag, der angibt, dass sich das Zertifikat im abgelaufenen Zustand befindet, wobei das Ablaufdatum ebenfalls in UTC protokolliert wird.

Sicherheitsüberlegungen

  • Clients überprüfen Inhalte erst, nachdem sie heruntergeladen wurden. Configuration Manager Clients überprüfen den Hash für Inhalte erst, nachdem er in ihren Clientcache heruntergeladen wurde. Wenn ein Angreifer die Liste der herunterzuladenden Dateien oder den Inhalt selbst manipuliert, kann der Downloadvorgang eine beträchtliche Netzwerkbandbreite beanspruchen. Dann verwirft der Client den Inhalt, wenn er den ungültigen Hash findet.

  • Wenn Sie inhaltsfähige Cloudverwaltungsgateways verwenden:

    • Der Zugriff auf die Inhalte wird automatisch auf Ihre organization beschränkt. Sie können es nicht weiter auf ausgewählte Benutzer oder Gruppen beschränken.

    • Der Verwaltungspunkt authentifiziert zuerst den Client. Anschließend verwendet der Client ein Configuration Manager-Token für den Zugriff auf Cloudspeicher. Das Token ist acht Stunden lang gültig. Dieses Verhalten bedeutet, dass, wenn Sie einen Client blockieren, weil er nicht mehr vertrauenswürdig ist, weiterhin Inhalte aus dem Cloudspeicher herunterladen kann, bis dieses Token abläuft. Der Verwaltungspunkt stellt kein weiteres Token für den Client aus, da er blockiert ist.

      Um zu verhindern, dass ein blockierter Client inhalte innerhalb dieses Acht-Stunden-Zeitfensters herunter lädt, beenden Sie den Clouddienst. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Cloud Services, und wählen Sie den Knoten Cloud Management Gateway aus.

Datenschutzinformationen

Configuration Manager enthält keine Benutzerdaten in Inhaltsdateien, obwohl ein Administrator diese Aktion ausführen kann.

Nächste Schritte