Sicherheit und Datenschutz für die Websiteverwaltung in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Dieser Artikel enthält Sicherheits- und Datenschutzinformationen für Configuration Manager Standorte und die Hierarchie.

Sicherheitsleitfaden für die Websiteverwaltung

Verwenden Sie die folgende Anleitung, um Configuration Manager Standorte und die Hierarchie zu schützen.

Ausführen des Setups über eine vertrauenswürdige Quelle und sichere Kommunikation

Um zu verhindern, dass jemand die Quelldateien manipuliert, führen Sie Configuration Manager Setup von einer vertrauenswürdigen Quelle aus. Wenn Sie die Dateien im Netzwerk speichern, sichern Sie den Netzwerkspeicherort.

Wenn Sie das Setup von einem Netzwerkspeicherort aus ausführen, verwenden Sie IPsec- oder SMB-Signierung zwischen dem Quellspeicherort der Setupdateien und dem Standortserver, um zu verhindern, dass ein Angreifer die Dateien manipuliert, während sie über das Netzwerk übertragen werden.

Wenn Sie den Setup-Downloader verwenden, um die dateien herunterzuladen, die für setup erforderlich sind, stellen Sie sicher, dass Sie den Speicherort dieser Dateien sichern. Sichern Sie auch den Kommunikationskanal für diesen Standort, wenn Sie das Setup ausführen.

Erweitern des Active Directory-Schemas und Veröffentlichen von Websites in der Domäne

Schemaerweiterungen sind nicht erforderlich, um Configuration Manager auszuführen, aber sie schaffen eine sicherere Umgebung. Clients und Standortserver können Informationen aus einer vertrauenswürdigen Quelle abrufen.

Wenn sich Clients in einer nicht vertrauenswürdigen Domäne befinden, stellen Sie die folgenden Standortsystemrollen in den Domänen der Clients bereit:

  • Verwaltungspunkt

  • Verteilungspunkt

Hinweis

Eine vertrauenswürdige Domäne für Configuration Manager erfordert die Kerberos-Authentifizierung. Wenn sich Clients in einer anderen Gesamtstruktur befinden, die keine bidirektionale Gesamtstrukturvertrauensstellung mit der Gesamtstruktur des Standortservers aufweist, werden diese Clients als in einer nicht vertrauenswürdigen Domäne betrachtet. Eine externe Vertrauensstellung ist für diesen Zweck nicht ausreichend.

Verwenden von IPsec zum Schützen der Kommunikation

Obwohl Configuration Manager die Kommunikation zwischen dem Standortserver und dem Computer, auf dem SQL Server ausgeführt wird, sichert Configuration Manager die Kommunikation zwischen Standortsystemrollen und SQL Server nicht. Sie können nur einige Standortsysteme mit HTTPS für die standortinterne Kommunikation konfigurieren.

Wenn Sie keine zusätzlichen Steuerelemente verwenden, um diese Server-zu-Server-Kanäle zu schützen, können Angreifer verschiedene Spoofing- und Man-in-the-Middle-Angriffe auf Standortsysteme verwenden. Verwenden Sie die SMB-Signatur, wenn Sie IPsec nicht verwenden können.

Wichtig

Sichern Sie den Kommunikationskanal zwischen dem Standortserver und dem Paketquellserver. Diese Kommunikation verwendet SMB. Wenn Sie IPsec nicht verwenden können, um diese Kommunikation zu schützen, verwenden Sie die SMB-Signatur, um sicherzustellen, dass die Dateien nicht manipuliert werden, bevor clients sie herunterladen und ausführen.

Ändern Sie die Standardsicherheitsgruppen nicht.

Ändern Sie nicht die folgenden Sicherheitsgruppen, die Configuration Manager für die Kommunikation des Standortsystems erstellt und verwaltet:

  • <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager erstellt und verwaltet diese Sicherheitsgruppen automatisch. Dieses Verhalten schließt das Entfernen von Computerkonten ein, wenn eine Standortsystemrolle entfernt wird.

Um die Dienstkontinuität und die geringsten Berechtigungen sicherzustellen, bearbeiten Sie diese Gruppen nicht manuell.

Verwalten des Bereitstellungsprozesses für vertrauenswürdige Stammschlüssel

Wenn Clients den globalen Katalog nicht nach Configuration Manager Informationen abfragen können, müssen sie sich zum Authentifizieren gültiger Verwaltungspunkte auf den vertrauenswürdigen Stammschlüssel verlassen. Der vertrauenswürdige Stammschlüssel wird in der Clientregistrierung gespeichert. Sie kann mithilfe einer Gruppenrichtlinie oder manuellen Konfiguration festgelegt werden.

Wenn der Client nicht über eine Kopie des vertrauenswürdigen Stammschlüssels verfügt, bevor er zum ersten Mal einen Verwaltungspunkt kontaktiert, vertraut er dem ersten Verwaltungspunkt, mit dem er kommuniziert. Um das Risiko zu verringern, dass ein Angreifer Clients falsch an einen nicht autorisierten Verwaltungspunkt weiterleitt, können Sie die Clients vorab mit dem vertrauenswürdigen Stammschlüssel bereitstellen. Weitere Informationen finden Sie unter Planen des vertrauenswürdigen Stammschlüssels.

Verwenden von nicht standardmäßigen Portnummern

Die Verwendung von nicht standardmäßigen Portnummern kann zusätzliche Sicherheit bieten. Sie erschweren es Angreifern, die Umgebung zur Vorbereitung auf einen Angriff zu erkunden. Wenn Sie sich für die Verwendung von nicht standardmäßigen Ports entscheiden, planen Sie diese vor der Installation von Configuration Manager ein. Verwenden Sie sie konsistent für alle Standorte in der Hierarchie. Clientanforderungsports und Wake-On-LAN sind Beispiele, bei denen Sie nicht standardmäßige Portnummern verwenden können.

Verwenden der Rollentrennung auf Standortsystemen

Obwohl Sie alle Standortsystemrollen auf einem einzelnen Computer installieren können, wird diese Vorgehensweise in Produktionsnetzwerken selten verwendet. Dadurch wird ein Single Point of Failure erstellt.

Reduzieren des Angriffsprofils

Das Isolieren jeder Standortsystemrolle auf einem anderen Server verringert die Wahrscheinlichkeiten, dass ein Angriff auf Sicherheitsrisiken auf einem Standortsystem gegen ein anderes Standortsystem verwendet werden kann. Viele Rollen erfordern die Installation von Internetinformationsdiensten (IIS) auf dem Standortsystem, was die Angriffsfläche erhöht. Wenn Sie Rollen kombinieren müssen, um den Hardwareaufwand zu reduzieren, kombinieren Sie IIS-Rollen nur mit anderen Rollen, die IIS erfordern.

Wichtig

Die Fallback-status Punktrolle ist eine Ausnahme. Da diese Standortsystemrolle nicht authentifizierte Daten von Clients akzeptiert, weisen Sie die Fallback- status Punktrolle keiner anderen Configuration Manager Standortsystemrolle zu.

Konfigurieren statischer IP-Adressen für Standortsysteme

Statische IP-Adressen sind einfacher vor Namensauflösungsangriffen zu schützen.

Statische IP-Adressen erleichtern auch die Konfiguration von IPsec. Die Verwendung von IPsec ist eine bewährte Sicherheitsmethode zum Schützen der Kommunikation zwischen Standortsystemen in Configuration Manager.

Installieren Sie keine anderen Anwendungen auf Standortsystemservern.

Wenn Sie andere Anwendungen auf Standortsystemservern installieren, erhöhen Sie die Angriffsfläche für Configuration Manager. Außerdem riskieren Sie Inkompatibilitätsprobleme.

Signieren und Aktivieren der Verschlüsselung als Websiteoption erforderlich

Aktivieren Sie die Signatur- und Verschlüsselungsoptionen für die Website. Stellen Sie sicher, dass alle Clients den SHA-256-Hashalgorithmus unterstützen können, und aktivieren Sie dann die Option SHA-256 erforderlich.

Einschränken und Überwachen administrativer Benutzer

Gewähren Sie Administratorzugriff auf Configuration Manager nur benutzern, denen Sie vertrauen. Gewähren Sie ihnen dann Mindestberechtigungen, indem Sie die integrierten Sicherheitsrollen verwenden oder die Sicherheitsrollen anpassen. Administratoren, die Software und Konfigurationen erstellen, ändern und bereitstellen können, können geräte in der Configuration Manager Hierarchie möglicherweise steuern.

Überwachen Sie in regelmäßigen Abständen administrative Benutzerzuweisungen und deren Autorisierungsstufe, um die erforderlichen Änderungen zu überprüfen.

Weitere Informationen finden Sie unter Konfigurieren der rollenbasierten Verwaltung.

Sichern von Configuration Manager Sicherungen

Wenn Sie Configuration Manager sichern, umfassen diese Informationen Zertifikate und andere vertrauliche Daten, die von einem Angreifer für den Identitätswechsel verwendet werden könnten.

Verwenden Sie SMB-Signatur oder IPsec, wenn Sie diese Daten über das Netzwerk übertragen, und sichern Sie den Sicherungsspeicherort.

Sichere Speicherorte für exportierte Objekte

Wenn Sie Objekte aus der Configuration Manager-Konsole an einen Netzwerkspeicherort exportieren oder importieren, sichern Sie den Standort und den Netzwerkkanal.

Schränken Sie ein, wer auf den Netzwerkordner zugreifen kann.

Um zu verhindern, dass ein Angreifer die exportierten Daten manipuliert, verwenden Sie SMB-Signatur oder IPsec zwischen dem Netzwerkstandort und dem Standortserver. Sichern Sie außerdem die Kommunikation zwischen dem Computer, auf dem die Configuration Manager-Konsole ausgeführt wird, und dem Standortserver. Verwenden Sie IPsec, um die Daten im Netzwerk zu verschlüsseln, um die Offenlegung von Informationen zu verhindern.

Manuelles Entfernen von Zertifikaten von fehlerhaften Servern

Wenn ein Standortsystem nicht ordnungsgemäß deinstalliert wurde oder nicht mehr funktioniert und nicht wiederhergestellt werden kann, entfernen Sie die Configuration Manager Zertifikate für diesen Server manuell von anderen Configuration Manager Servern.

Um die Peervertrauensstellung zu entfernen, die ursprünglich mit den Standortsystem- und Standortsystemrollen eingerichtet wurde, entfernen Sie die Configuration Manager Zertifikate für den fehlerhaften Server manuell im Zertifikatspeicher für vertrauenswürdige Personen auf anderen Standortsystemservern. Diese Aktion ist wichtig, wenn Sie den Server wiederverwenden, ohne ihn neu zu formatieren.

Weitere Informationen finden Sie unter Kryptografische Steuerelemente für die Serverkommunikation.

Konfigurieren Sie keine internetbasierten Standortsysteme, um das Umkreisnetzwerk zu überbrücken.

Konfigurieren Sie Standortsystemserver nicht so, dass sie multi-homed sind, sodass sie eine Verbindung mit dem Umkreisnetzwerk und dem Intranet herstellen. Obwohl diese Konfiguration es internetbasierten Standortsystemen ermöglicht, Clientverbindungen aus dem Internet und dem Intranet zu akzeptieren, beseitigt sie eine Sicherheitsgrenze zwischen dem Umkreisnetzwerk und dem Intranet.

Konfigurieren des Standortservers zum Initiieren von Verbindungen mit Umkreisnetzwerken

Wenn sich ein Standortsystem in einem nicht vertrauenswürdigen Netzwerk befindet, z. B. einem Umkreisnetzwerk, konfigurieren Sie den Standortserver so, dass Verbindungen mit dem Standortsystem initiiert werden.

Standardmäßig initiieren Standortsysteme Verbindungen mit dem Standortserver, um Daten zu übertragen. Diese Konfiguration kann ein Sicherheitsrisiko darstellen, wenn die Verbindungsinitiierung von einem nicht vertrauenswürdigen Netzwerk zum vertrauenswürdigen Netzwerk erfolgt. Wenn Standortsysteme Verbindungen aus dem Internet akzeptieren oder sich in einer nicht vertrauenswürdigen Gesamtstruktur befinden, konfigurieren Sie die Standortsystemoption Für Den Standortserver muss Verbindungen mit diesem Standortsystem initiieren. Nach der Installation des Standortsystems und aller Rollen werden alle Verbindungen vom Standortserver aus dem vertrauenswürdigen Netzwerk initiiert.

Verwenden von SSL-Bridging und -Beendigung mit Authentifizierung

Wenn Sie einen Webproxyserver für die internetbasierte Clientverwaltung verwenden, verwenden Sie SSL-Bridging zu SSL, indem Sie die Beendigung mit Authentifizierung verwenden.

Wenn Sie die SSL-Terminierung auf dem Proxywebserver konfigurieren, werden Pakete aus dem Internet überprüft, bevor sie an das interne Netzwerk weitergeleitet werden. Der Proxywebserver authentifiziert die Verbindung vom Client, beendet sie und öffnet dann eine neue authentifizierte Verbindung mit den internetbasierten Standortsystemen.

Wenn Configuration Manager Clientcomputer einen Proxywebserver verwenden, um eine Verbindung mit internetbasierten Standortsystemen herzustellen, ist die Clientidentität (GUID) sicher in der Paketnutzlast enthalten. Dann betrachtet der Verwaltungspunkt den Proxywebserver nicht als Client.

Wenn Ihr Proxywebserver die Anforderungen für SSL-Bridging nicht unterstützt, wird auch SSL-Tunneling unterstützt. Diese Option ist weniger sicher. Die SSL-Pakete aus dem Internet werden ohne Beendigung an die Standortsysteme weitergeleitet. Dann können sie nicht auf schädliche Inhalte überprüft werden.

Warnung

Mobile Geräte, die von Configuration Manager registriert sind, können SSL-Bridging nicht verwenden. Sie dürfen nur SSL-Tunneling verwenden.

Konfigurationen, die verwendet werden sollen, wenn Sie den Standort zum Reaktivieren von Computern zum Installieren von Software konfigurieren

  • Wenn Sie herkömmliche Aktivierungspakete verwenden, verwenden Sie Unicast anstelle von subnetzgesteuerten Broadcasts.

  • Wenn Sie subnetzgesteuerte Broadcasts verwenden müssen, konfigurieren Sie Router so, dass IP-gesteuerte Übertragungen nur vom Standortserver und nur über eine nicht standardmäßige Portnummer zugelassen werden.

Weitere Informationen zu den verschiedenen Wake-On-LAN-Technologien finden Sie unter Planen der Aktivierung von Clients.

Wenn Sie E-Mail-Benachrichtigungen verwenden, konfigurieren Sie den authentifizierten Zugriff auf den SMTP-E-Mail-Server.

Verwenden Sie nach Möglichkeit einen E-Mail-Server, der authentifizierten Zugriff unterstützt. Verwenden Sie das Computerkonto des Standortservers für die Authentifizierung. Wenn Sie ein Benutzerkonto für die Authentifizierung angeben müssen, verwenden Sie ein Konto mit den geringsten Berechtigungen.

Erzwingen der LDAP-Kanalbindung und LDAP-Signatur

Die Sicherheit von Active Directory-Domänencontrollern kann verbessert werden, indem der Server so konfiguriert wird, dass LDAP-Bindungen mit einfacher Authentifizierung und Sicherheitsschicht (SASL) abgelehnt werden, die keine Signierung anfordern, oder einfache LDAP-Bindungen, die für eine Klartextverbindung ausgeführt werden, abgelehnt werden. Ab Version 1910 unterstützt Configuration Manager das Erzwingen von LDAP-Kanalbindung und LDAP-Signatur. Weitere Informationen finden Sie unter 2020 LDAP-Kanalbindung und LDAP-Signierungsanforderungen für Windows.

Sicherheitsleitfaden für den Standortserver

Verwenden Sie die folgende Anleitung, um den Configuration Manager Standortserver zu schützen.

Warnung

Netzwerkzugriffskonto: Gewähren Sie diesem Konto auf SQL Server keine interaktiven Anmelderechte. Gewähren Sie diesem Konto nicht das Recht, Computer in die Domäne einzubinden. Wenn Sie Computer während einer Tasksequenz in die Domäne einbinden müssen, verwenden Sie das Konto für den Domänenbeitritt der Tasksequenz.

Installieren von Configuration Manager auf einem Mitgliedsserver anstelle eines Domänencontrollers

Die Configuration Manager Standortserver und Standortsysteme erfordern keine Installation auf einem Domänencontroller. Domänencontroller verfügen nicht über eine lokale SAM-Datenbank (Security Accounts Management) als die Domänendatenbank. Wenn Sie Configuration Manager auf einem Mitgliedsserver installieren, können Sie Configuration Manager Konten in der lokalen SAM-Datenbank und nicht in der Domänendatenbank verwalten.

Diese Vorgehensweise verringert auch die Angriffsfläche auf Ihren Domänencontrollern.

Installieren sie sekundäre Standorte, ohne die Dateien über das Netzwerk zu kopieren.

Wenn Sie setup ausführen und einen sekundären Standort erstellen, wählen Sie nicht die Option aus, um die Dateien vom übergeordneten Standort an den sekundären Standort zu kopieren. Verwenden Sie auch keinen Netzwerkquellspeicherort. Wenn Sie Dateien über das Netzwerk kopieren, könnte ein erfahrener Angreifer das Installationspaket für den sekundären Standort entführen und die Dateien vor der Installation manipulieren. Das Timing dieses Angriffs wäre schwierig. Dieser Angriff kann durch Verwendung von IPsec oder SMB abgeschwächt werden, wenn Sie die Dateien übertragen.

Anstatt die Dateien über das Netzwerk zu kopieren, kopieren Sie auf dem sekundären Standortserver die Quelldateien aus dem Medienordner in einen lokalen Ordner. Wenn Sie dann das Setup ausführen, um einen sekundären Standort zu erstellen, wählen Sie auf der Seite Installationsquelldateiendie Option Quelldateien am folgenden Speicherort auf dem Computer des sekundären Standorts verwenden (am sichersten) aus, und geben Sie diesen Ordner an.

Weitere Informationen finden Sie unter Installieren eines sekundären Standorts.

Installation der Standortrolle erbt Berechtigungen vom Stamm des Laufwerks

Stellen Sie sicher, dass Sie die Systemlaufwerkberechtigungen ordnungsgemäß konfigurieren, bevor Sie die erste Standortsystemrolle auf einem beliebigen Server installieren. C:\SMS_CCM Beispielsweise erbt Berechtigungen von C:\. Wenn der Stamm des Laufwerks nicht ordnungsgemäß gesichert ist, können Benutzer mit niedrigen Rechten möglicherweise auf Inhalte im ordner Configuration Manager zugreifen oder diese ändern.

Sicherheitsleitfaden für SQL Server

Configuration Manager verwendet SQL Server als Back-End-Datenbank. Wenn die Datenbank kompromittiert wird, können Angreifer Configuration Manager umgehen. Wenn sie direkt auf SQL Server zugreifen, können sie Angriffe über Configuration Manager starten. Betrachten Sie Angriffe auf SQL Server als hohes Risiko und entschärfen Sie sie angemessen.

Verwenden Sie den folgenden Sicherheitsleitfaden, um SQL Server für Configuration Manager zu schützen.

Verwenden Sie den Configuration Manager-Standortdatenbankserver nicht zum Ausführen anderer SQL Server Anwendungen.

Wenn Sie den Zugriff auf den Configuration Manager-Standortdatenbankserver erhöhen, erhöht diese Aktion das Risiko für Ihre Configuration Manager Daten. Wenn die Configuration Manager Standortdatenbank kompromittiert wird, sind auch andere Anwendungen auf demselben SQL Server Computer gefährdet.

Konfigurieren von SQL Server für die Verwendung von Windows-Authentifizierung

Obwohl Configuration Manager über ein Windows-Konto und Windows-Authentifizierung auf die Standortdatenbank zugreift, ist es dennoch möglich, SQL Server für die Verwendung SQL Server gemischten Modus zu konfigurieren. SQL Server gemischte Modus ermöglicht zusätzliche SQL Server Anmeldungen für den Zugriff auf die Datenbank. Diese Konfiguration ist nicht erforderlich und erhöht die Angriffsfläche.

Aktualisieren SQL Server Express an sekundären Standorten

Wenn Sie einen primären Standort installieren, lädt Configuration Manager SQL Server Express aus dem Microsoft Download Center herunter. Anschließend werden die Dateien auf den primären Standortserver kopiert. Wenn Sie einen sekundären Standort installieren und die Option auswählen, mit der SQL Server Express installiert wird, installiert Configuration Manager die zuvor heruntergeladene Version. Es wird nicht überprüft, ob neue Versionen verfügbar sind. Führen Sie eine der folgenden Aufgaben aus, um sicherzustellen, dass der sekundäre Standort über die neuesten Versionen verfügt:

  • Führen Sie nach der Installation des sekundären Standorts Windows Update auf dem sekundären Standortserver aus.

  • Bevor Sie den sekundären Standort installieren, installieren Sie SQL Server Express manuell auf dem sekundären Standortserver. Stellen Sie sicher, dass Sie die neueste Version und alle Softwareupdates installieren. Installieren Sie dann den sekundären Standort, und wählen Sie die Option aus, um eine vorhandene SQL Server instance zu verwenden.

Führen Sie in regelmäßigen Abständen Windows Update für alle installierten Versionen von SQL Server aus. Diese Vorgehensweise stellt sicher, dass sie über die neuesten Softwareupdates verfügen.

Befolgen Sie die allgemeinen Anleitungen für SQL Server

Identifizieren und befolgen Sie die allgemeinen Anleitungen für Ihre Version von SQL Server. Berücksichtigen Sie jedoch die folgenden Anforderungen für Configuration Manager:

  • Das Computerkonto des Standortservers muss Mitglied der Gruppe Administratoren auf dem Computer sein, auf dem SQL Server ausgeführt wird. Wenn Sie die SQL Server Empfehlung "Administratorprinzipale explizit bereitstellen" befolgen, muss das Konto, das Sie zum Ausführen des Setups auf dem Standortserver verwenden, Mitglied der Gruppe SQL Server Benutzer sein.

  • Wenn Sie SQL Server mithilfe eines Domänenbenutzerkontos installieren, stellen Sie sicher, dass das Computerkonto des Standortservers für einen Dienstprinzipalnamen (Service Principal Name, SPN) konfiguriert ist, der in Active Directory Domain Services veröffentlicht wird. Ohne den SPN schlägt die Kerberos-Authentifizierung fehl, und Configuration Manager Setup schlägt fehl.

Sicherheitsleitfaden für Standortsysteme, auf denen IIS ausgeführt wird

Mehrere Standortsystemrollen in Configuration Manager erfordern IIS. Der Prozess der Sicherung von IIS ermöglicht es Configuration Manager, ordnungsgemäß zu funktionieren, und verringert das Risiko von Sicherheitsangriffen. Minimieren Sie bei Bedarf die Anzahl der Server, die IIS benötigen. Führen Sie beispielsweise nur die Anzahl der Verwaltungspunkte aus, die Sie zur Unterstützung Ihrer Clientbasis benötigen, wobei Hochverfügbarkeit und Netzwerkisolation für die internetbasierte Clientverwaltung berücksichtigt werden.

Verwenden Sie die folgende Anleitung, um die Standortsysteme zu schützen, auf denen IIS ausgeführt wird.

Deaktivieren von IIS-Funktionen, die Sie nicht benötigen

Installieren Sie nur die IIS-Mindestfunktionen für die Standortsystemrolle, die Sie installieren. Weitere Informationen finden Sie unter Voraussetzungen für Standort- und Standortsystem.

Konfigurieren der Standortsystemrollen für die Verwendung von HTTPS

Wenn Clients eine Verbindung mit einem Standortsystem über HTTP und nicht über HTTPS herstellen, verwenden sie Windows-Authentifizierung. Dieses Verhalten kann auf die Verwendung der NTLM-Authentifizierung anstelle der Kerberos-Authentifizierung zurückgreifen. Wenn die NTLM-Authentifizierung verwendet wird, können Clients eine Verbindung mit einem nicht autorisierten Server herstellen.

Die Ausnahme von dieser Anleitung können Verteilungspunkte sein. Paketzugriffskonten funktionieren nicht, wenn der Verteilungspunkt für HTTPS konfiguriert ist. Paketzugriffskonten stellen die Autorisierung für den Inhalt bereit, sodass Sie einschränken können, welche Benutzer auf den Inhalt zugreifen können. Weitere Informationen finden Sie unter Sicherheitsleitfaden für die Inhaltsverwaltung.

Wichtig

Ab Configuration Manager Version 2103 sind Websites, die die HTTP-Clientkommunikation zulassen, veraltet. Konfigurieren Sie die Website für HTTPS oder erweitertes HTTP. Weitere Informationen finden Sie unter Aktivieren der Website für nur HTTPS oder erweitertes HTTP.

Konfigurieren einer Zertifikatvertrauensliste (Certificate Trust List, CTL) in IIS für Standortsystemrollen

Standortsystemrollen:

  • Einen Verteilungspunkt, den Sie für HTTPS konfigurieren

  • Einen Verwaltungspunkt, den Sie für HTTPS konfigurieren und für die Unterstützung mobiler Geräte aktivieren

Eine CTL ist eine definierte Liste vertrauenswürdiger Stammzertifizierungsstellen (CAs). Wenn Sie eine CTL mit Gruppenrichtlinie und einer Bereitstellung einer Public Key-Infrastruktur (PKI) verwenden, können Sie mit einer CTL die vorhandenen vertrauenswürdigen Stammzertifizierungsstellen ergänzen, die in Ihrem Netzwerk konfiguriert sind. Beispielsweise Zertifizierungsstellen, die automatisch mit Microsoft Windows installiert oder über Windows Enterprise-Stammzertifizierungsstellen hinzugefügt werden. Wenn eine CTL in IIS konfiguriert ist, definiert sie eine Teilmenge dieser vertrauenswürdigen Stammzertifizierungsstellen.

Diese Teilmenge bietet Ihnen mehr Kontrolle über die Sicherheit. Die CTL schränkt die akzeptierten Clientzertifikate auf die Zertifikate ein, die aus der Liste der Zertifizierungsstellen in der CTL ausgestellt wurden. Windows verfügt beispielsweise über eine Reihe bekannter Zertifizierungsstellenzertifikate von Drittanbietern.

Standardmäßig vertraut der Computer, auf dem IIS ausgeführt wird, Zertifikaten, die mit diesen bekannten Zertifizierungsstellen verkettet sind. Wenn Sie IIS nicht mit einer CTL für die aufgeführten Standortsystemrollen konfigurieren, akzeptiert der Standort als gültiger Client jedes Gerät, auf dem ein Zertifikat von diesen Zertifizierungsstellen ausgestellt wurde. Wenn Sie IIS mit einer CTL konfigurieren, die diese Zertifizierungsstellen nicht enthält, lehnt der Standort Clientverbindungen ab, wenn das Zertifikat mit diesen Zertifizierungsstellen verkettet ist. Damit Configuration Manager Clients für die aufgeführten Standortsystemrollen akzeptiert werden, müssen Sie IIS mit einer CTL konfigurieren, die die von Configuration Manager Clients verwendeten Zertifizierungsstellen angibt.

Hinweis

Nur für die aufgeführten Standortsystemrollen müssen Sie eine CTL in IIS konfigurieren. Die Zertifikatausstellerliste, die Configuration Manager für Verwaltungspunkte verwendet, bietet die gleiche Funktionalität für Clientcomputer, wenn sie eine Verbindung mit HTTPS-Verwaltungspunkten herstellen.

Weitere Informationen zum Konfigurieren einer Liste vertrauenswürdiger Zertifizierungsstellen in IIS finden Sie in der IIS-Dokumentation.

Platzieren Sie den Standortserver nicht auf einem Computer mit IIS.

Die Rollentrennung trägt dazu bei, das Angriffsprofil zu reduzieren und die Wiederherstellbarkeit zu verbessern. Das Computerkonto des Standortservers verfügt in der Regel über Administratorrechte für alle Standortsystemrollen. Es kann auch über diese Berechtigungen auf Configuration Manager Clients verfügen, wenn Sie die Clientpushinstallation verwenden.

Verwenden dedizierter IIS-Server für Configuration Manager

Obwohl Sie mehrere webbasierte Anwendungen auf den IIS-Servern hosten können, die auch von Configuration Manager verwendet werden, kann diese Vorgehensweise Ihre Angriffsfläche erheblich erhöhen. Eine schlecht konfigurierte Anwendung könnte es einem Angreifer ermöglichen, die Kontrolle über ein Configuration Manager Standortsystem zu erlangen. Diese Sicherheitsverletzung könnte es einem Angreifer ermöglichen, die Kontrolle über die Hierarchie zu erlangen.

Wenn Sie andere webbasierte Anwendungen auf Configuration Manager-Standortsystemen ausführen müssen, erstellen Sie eine benutzerdefinierte Website für Configuration Manager Websitesysteme.

Verwenden einer benutzerdefinierten Website

Konfigurieren Sie für Standortsysteme, auf denen IIS ausgeführt wird, Configuration Manager so, dass anstelle der Standardwebsite eine benutzerdefinierte Website verwendet wird. Wenn Sie andere Webanwendungen auf dem Standortsystem ausführen müssen, müssen Sie eine benutzerdefinierte Website verwenden. Bei dieser Einstellung handelt es sich um eine standortweite Einstellung und nicht um eine Einstellung für ein bestimmtes Standortsystem.

Wenn Sie benutzerdefinierte Websites verwenden, entfernen Sie die virtuellen Standardverzeichnisse.

Wenn Sie von der Verwendung der Standardwebsite zur Verwendung einer benutzerdefinierten Website wechseln, entfernt Configuration Manager nicht die alten virtuellen Verzeichnisse. Entfernen Sie die virtuellen Verzeichnisse, die ursprünglich unter der Standardwebsite erstellt Configuration Manager.

Entfernen Sie beispielsweise die folgenden virtuellen Verzeichnisse für einen Verteilungspunkt:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Befolgen Sie die Iis Server-Sicherheitsleitfaden.

Identifizieren und befolgen Sie die allgemeinen Anleitungen für Ihre Version von IIS Server. Berücksichtigen Sie alle Anforderungen, die Configuration Manager für bestimmte Standortsystemrollen hat. Weitere Informationen finden Sie unter Voraussetzungen für Standort- und Standortsystem.

Konfigurieren von benutzerdefinierten IIS-Headern

Konfigurieren Sie die folgenden benutzerdefinierten Header, um die MIME-Ermittlung zu deaktivieren:

x-content-type-options: nosniff

Weitere Informationen finden Sie unter Benutzerdefinierte Header.

Wenn andere Dienste dieselbe IIS-instance verwenden, stellen Sie sicher, dass diese benutzerdefinierten Header kompatibel sind.

Sicherheitsleitfaden für den Verwaltungspunkt

Verwaltungspunkte sind die primäre Schnittstelle zwischen Geräten und Configuration Manager. Erwägen Sie Angriffe auf den Verwaltungspunkt und den Server, auf dem er ausgeführt wird, als hohes Risiko und entschärfen Sie sie entsprechend. Wenden Sie alle geeigneten Sicherheitsleitfäden an, und überwachen Sie auf ungewöhnliche Aktivitäten.

Verwenden Sie die folgende Anleitung, um einen Verwaltungspunkt in Configuration Manager zu schützen.

Zuweisen des Clients auf einem Verwaltungspunkt zum gleichen Standort

Vermeiden Sie das Szenario, in dem Sie den Configuration Manager Client auf einem Verwaltungspunkt einem anderen Standort als dem Standort des Verwaltungspunkts zuweisen.

Wenn Sie von einer früheren Version zu Configuration Manager current branch migrieren, migrieren Sie den Client auf dem Verwaltungspunkt so bald wie möglich zum neuen Standort.

Sicherheitsleitfaden für den Fallbackpunkt status

Wenn Sie einen Fallbackpunkt status in Configuration Manager installieren, verwenden Sie den folgenden Sicherheitsleitfaden:

Weitere Informationen zu den Sicherheitsüberlegungen bei der Installation eines Fallbacks status Punkts finden Sie unter Ermitteln, ob ein Fallback status Punkt erforderlich ist.

Führen Sie keine anderen Rollen auf demselben Standortsystem aus.

Der Fallback status Punkt ist so konzipiert, dass nicht authentifizierte Kommunikation von jedem Computer akzeptiert wird. Wenn Sie diese Standortsystemrolle mit anderen Rollen oder einem Domänencontroller ausführen, erhöht sich das Risiko für diesen Server erheblich.

Installieren Sie den Fallbackpunkt status, bevor Sie Clients mit PKI-Zertifikaten installieren.

Wenn Configuration Manager Standortsysteme keine HTTP-Clientkommunikation akzeptieren, wissen Sie möglicherweise nicht, dass Clients aufgrund von PKI-bezogenen Zertifikatproblemen nicht verwaltet werden. Wenn Sie Clients einem Fallback status Punkt zuweisen, melden sie diese Zertifikatprobleme über den Fallbackpunkt status.

Aus Sicherheitsgründen können Sie Clients nach der Installation keinen Fallback status zuweisen. Sie können diese Rolle nur während der Clientinstallation zuweisen.

Vermeiden Sie die Verwendung des Fallbackpunkts status im Umkreisnetzwerk.

Standardmäßig akzeptiert der Fallback status Punkt Daten von einem beliebigen Client. Obwohl ein Fallback status Punkt im Umkreisnetzwerk Ihnen bei der Problembehandlung von internetbasierten Clients helfen könnte, können Sie die Vorteile bei der Problembehandlung mit dem Risiko eines Standortsystems abwägen, das nicht authentifizierte Daten in einem öffentlich zugänglichen Netzwerk akzeptiert.

Wenn Sie das Fallback status Punkt im Umkreisnetzwerk oder einem nicht vertrauenswürdigen Netzwerk installieren, konfigurieren Sie den Standortserver so, dass Datenübertragungen initiiert werden. Verwenden Sie nicht die Standardeinstellung, die es dem Fallback status Punkt ermöglicht, eine Verbindung mit dem Standortserver zu initiieren.

Sicherheitsprobleme bei der Standortverwaltung

Überprüfen Sie die folgenden Sicherheitsprobleme für Configuration Manager:

  • Configuration Manager hat keinen Schutz gegen einen autorisierten Administrator, der Configuration Manager verwendet, um das Netzwerk anzugreifen. Nicht autorisierte Administratoren stellen ein hohes Sicherheitsrisiko aus. Sie könnten viele Angriffe starten, die die folgenden Strategien umfassen:

    • Verwenden Sie die Softwarebereitstellung, um schadhafte Software automatisch auf jedem Configuration Manager Clientcomputer im organization zu installieren und auszuführen.

    • Remotesteuerung eines Configuration Manager-Clients ohne Clientberechtigung.

    • Konfigurieren Sie schnelle Abrufintervalle und extreme Lagerbestände. Durch diese Aktion werden Denial-of-Service-Angriffe auf die Clients und Server erstellt.

    • Verwenden Sie einen Standort in der Hierarchie, um Daten in die Active Directory-Daten eines anderen Standorts zu schreiben.

    Die Standorthierarchie ist die Sicherheitsgrenze. Betrachten Sie Websites nur als Verwaltungsgrenzen.

    Überwachen Sie alle Administrativen Benutzeraktivitäten, und überprüfen Sie die Überwachungsprotokolle routinemäßig. Fordern Sie vor, dass alle Configuration Manager Administratorbenutzer einer Hintergrundüberprüfung unterzogen werden, bevor sie eingestellt werden. Erfordern sie regelmäßige erneute Überprüfungen als Voraussetzung für die Beschäftigung.

  • Wenn der Registrierungspunkt kompromittiert ist, kann ein Angreifer Zertifikate für die Authentifizierung erhalten. Sie könnten die Anmeldeinformationen von Benutzern stehlen, die ihre mobilen Geräte registrieren.

    Der Registrierungspunkt kommuniziert mit einer Zertifizierungsstelle. Es kann Active Directory-Objekte erstellen, ändern und löschen. Installieren Sie den Registrierungspunkt niemals im Umkreisnetzwerk. Überwachen Sie immer auf ungewöhnliche Aktivitäten.

  • Wenn Sie Benutzerrichtlinien für die internetbasierte Clientverwaltung zulassen, erhöhen Sie Ihr Angriffsprofil.

    Zusätzlich zur Verwendung von PKI-Zertifikaten für Client-zu-Server-Verbindungen erfordern diese Konfigurationen Windows-Authentifizierung. Sie können auf die Verwendung der NTLM-Authentifizierung anstelle von Kerberos zurückgreifen. Die NTLM-Authentifizierung ist anfällig für Identitätswechsel und Replay-Angriffe. Um einen Benutzer erfolgreich im Internet zu authentifizieren, müssen Sie eine Verbindung zwischen dem internetbasierten Standortsystem und einem Domänencontroller zulassen.

  • Die Admin$-Freigabe ist auf Standortsystemservern erforderlich.

    Der Configuration Manager Standortserver verwendet die Admin$-Freigabe, um eine Verbindung mit Standortsystemen herzustellen und Dienstvorgänge auf Standortsystemen durchzuführen. Deaktivieren oder entfernen Sie diese Freigabe nicht.

  • Configuration Manager verwendet Namenauflösungsdienste, um eine Verbindung mit anderen Computern herzustellen. Diese Dienste sind schwer vor den folgenden Sicherheitsangriffen zu schützen:

    • Spoofing
    • Manipulationen
    • Ablehnung
    • Offenlegung von Informationen
    • Denial of Service
    • Erhöhung von Berechtigungen

    Identifizieren und befolgen Sie alle Sicherheitsleitfäden für die DNS-Version, die Sie für die Namensauflösung verwenden.

Datenschutzinformationen für die Ermittlung

Bei der Ermittlung werden Datensätze für Netzwerkressourcen erstellt und in der Configuration Manager-Datenbank gespeichert. Ermittlungsdatensätze enthalten Computerinformationen wie IP-Adressen, Betriebssystemversionen und Computernamen. Sie können auch Active Directory-Ermittlungsmethoden so konfigurieren, dass alle Informationen zurückgegeben werden, die Ihr organization in Active Directory Domain Services speichert.

Die einzige Ermittlungsmethode, die Configuration Manager standardmäßig aktiviert, ist die Frequenzermittlung. Diese Methode ermittelt nur Computer, auf denen die Configuration Manager Clientsoftware bereits installiert ist.

Ermittlungsinformationen werden nicht direkt an Microsoft gesendet. Sie wird in der Configuration Manager-Datenbank gespeichert. Configuration Manager behält Informationen in der Datenbank bei, bis die Daten gelöscht werden. Dieser Vorgang erfolgt alle 90 Tage durch den Standortwartungstask Veraltete Ermittlungsdaten löschen.