Freigeben über


Sicherheit und Datenschutz für Configuration Manager Clients

Gilt für: Configuration Manager (Current Branch)

In diesem Artikel werden Sicherheits- und Datenschutzinformationen für Configuration Manager-Clients beschrieben. Sie enthält auch Informationen zu mobilen Geräten, die vom Exchange Server-Connector verwaltet werden.

Sicherheitsleitfaden für Clients

Der Configuration Manager-Standort akzeptiert Daten von Geräten, auf denen der Configuration Manager Client ausgeführt wird. Dieses Verhalten birgt das Risiko, dass die Clients den Standort angreifen können. Beispielsweise könnten sie falsch formatierte Bestände senden oder versuchen, die Standortsysteme zu überladen. Stellen Sie den Configuration Manager Client nur auf Geräten bereit, denen Sie vertrauen.

Verwenden Sie den folgenden Sicherheitsleitfaden, um die Website vor nicht autorisierten oder kompromittierten Geräten zu schützen.

Verwenden von PKI-Zertifikaten (Public Key Infrastructure) für die Clientkommunikation mit Standortsystemen, auf denen IIS ausgeführt wird

Mobile Geräteclients und einige internetbasierte Clients erfordern diese Zertifikate. Microsoft empfiehlt diese Zertifikate für alle Clientverbindungen im Intranet.

Weitere Informationen zur Verwendung von Zertifikaten in Configuration Manager finden Sie unter Planen von Zertifikaten.

Wichtig

Ab Configuration Manager Version 2103 sind Websites, die die HTTP-Clientkommunikation zulassen, veraltet. Konfigurieren Sie die Website für HTTPS oder erweitertes HTTP. Weitere Informationen finden Sie unter Aktivieren der Website für nur HTTPS oder erweitertes HTTP.

Automatisches Genehmigen von Clientcomputern von vertrauenswürdigen Domänen und manuelles Überprüfen und Genehmigen anderer Computer

Wenn Sie die PKI-Authentifizierung nicht verwenden können, identifiziert die Genehmigung einen Computer, dem Sie vertrauen, dass er von Configuration Manager verwaltet wird. Die Hierarchie verfügt über die folgenden Optionen zum Konfigurieren der Clientgenehmigung:

  • Manuell
  • Automatisch für Computer in vertrauenswürdigen Domänen
  • Automatisch für alle Computer

Die sicherste Genehmigungsmethode besteht darin, Clients, die Mitglieder vertrauenswürdiger Domänen sind, automatisch zu genehmigen. Diese Option umfasst Clients, die in die Clouddomäne eingebunden sind, von verbundenen Microsoft Entra Mandanten. Überprüfen und genehmigen Sie dann alle anderen Computer manuell. Die automatische Genehmigung aller Clients wird nicht empfohlen, es sei denn, Sie verfügen über andere Zugriffssteuerungen, um zu verhindern, dass nicht vertrauenswürdige Computer auf Ihr Netzwerk zugreifen.

Weitere Informationen zum manuellen Genehmigen von Computern finden Sie unter Verwalten von Clients über den Geräteknoten.

Verlassen Sie sich nicht auf die Blockierung, um zu verhindern, dass Clients auf die Configuration Manager-Hierarchie zugreifen.

Blockierte Clients werden von der Configuration Manager-Infrastruktur abgelehnt. Wenn Clients blockiert sind, können sie nicht mit Standortsystemen kommunizieren, um Richtlinien herunterzuladen, Bestandsdaten hochzuladen oder Status- oder status-Nachrichten zu senden.

Die Blockierung ist für die folgenden Szenarien konzipiert:

  • So blockieren Sie verlorene oder kompromittierte Startmedien, wenn Sie ein Betriebssystem auf Clients bereitstellen
  • Wenn alle Standortsysteme HTTPS-Clientverbindungen akzeptieren

Wenn Standortsysteme HTTP-Clientverbindungen akzeptieren, verwenden Sie keine Blockierung, um die Configuration Manager Hierarchie vor nicht vertrauenswürdigen Computern zu schützen. In diesem Szenario kann ein blockierter Client dem Standort mit einem neuen selbstsignierten Zertifikat und einer neuen Hardware-ID wieder beitreten.

Die Zertifikatsperrung ist die primäre Schutzmaßnahme gegen potenziell kompromittierte Zertifikate. Eine Zertifikatsperrliste (Certificate Revocation List, CRL) ist nur über eine unterstützte Public Key-Infrastruktur (PKI) verfügbar. Das Blockieren von Clients in Configuration Manager bietet eine zweite Verteidigungslinie zum Schutz Ihrer Hierarchie.

Weitere Informationen finden Sie unter Bestimmen, ob Clients blockiert werden sollen.

Verwenden Sie die sichersten Clientinstallationsmethoden, die für Ihre Umgebung geeignet sind.

  • Bei Domänencomputern sind die Clientinstallationsmethoden für Gruppenrichtlinien und softwareupdatebasierte Clientinstallationsmethoden sicherer als die Clientpushinstallation .

  • Wenn Sie Zugriffs- und Änderungssteuerungen anwenden, verwenden Sie Die Methoden für die Imageerstellung und manuelle Installation.

  • Verwenden Sie die gegenseitige Kerberos-Authentifizierung mit der Clientpushinstallation.

Von allen Clientinstallationsmethoden ist die Clientpushinstallation aufgrund der vielen Abhängigkeiten am wenigsten sicher. Diese Abhängigkeiten umfassen lokale Administratorberechtigungen, die Admin$ Freigabe und Firewallausnahmen. Die Anzahl und der Typ dieser Abhängigkeiten erhöhen ihre Angriffsfläche.

Bei Verwendung von Clientpush kann der Standort die gegenseitige Kerberos-Authentifizierung erfordern, indem vor dem Herstellen der Verbindung kein Fallback auf NTLM zugelassen wird. Diese Verbesserung trägt dazu bei, die Kommunikation zwischen dem Server und dem Client zu schützen. Weitere Informationen finden Sie unter Installieren von Clients mit Clientpush.

Weitere Informationen zu den verschiedenen Clientinstallationsmethoden finden Sie unter Clientinstallationsmethoden.

Wählen Sie nach Möglichkeit eine Clientinstallationsmethode aus, die die geringsten Sicherheitsberechtigungen in Configuration Manager erfordert. Schränken Sie die Administratorbenutzer ein, denen Sicherheitsrollen mit Berechtigungen zugewiesen sind, die für andere Zwecke als die Clientbereitstellung verwendet werden können. Zum Konfigurieren des automatischen Clientupgrades ist beispielsweise die Sicherheitsrolle Volladministrator erforderlich, die einem Administrator alle Sicherheitsberechtigungen gewährt.

Weitere Informationen zu den Abhängigkeiten und Sicherheitsberechtigungen, die für jede Clientinstallationsmethode erforderlich sind, finden Sie unter Voraussetzungen für Computerclients.

Wenn Sie die Clientpushinstallation verwenden müssen, sichern Sie das Clientpushinstallationskonto.

Das Clientpushinstallationskonto muss Mitglied der lokalen Administratorgruppe auf jedem Computer sein, auf dem der Configuration Manager-Client installiert wird. Fügen Sie das Clientpushinstallationskonto niemals der Gruppe Domänenadministratoren hinzu. Erstellen Sie stattdessen eine globale Gruppe, und fügen Sie diese dann der lokalen Gruppe Administratoren auf Ihren Clients hinzu. Erstellen Sie ein Gruppenrichtlinienobjekt, um eine Eingeschränkte Gruppe-Einstellung hinzuzufügen, um das Clientpushinstallationskonto der lokalen Gruppe Administratoren hinzuzufügen.

Um die Sicherheit zu erhöhen, erstellen Sie mehrere Clientpushinstallationskonten, die jeweils Administratorzugriff auf eine begrenzte Anzahl von Computern haben. Wenn ein Konto kompromittiert wird, werden nur die Clientcomputer kompromittiert, auf die dieses Konto Zugriff hat.

Entfernen von Zertifikaten vor Imageerstellungsclients

Wenn Sie Clients mithilfe von Betriebssystemimages bereitstellen, entfernen Sie zertifikate immer, bevor Sie das Image erfassen. Diese Zertifikate umfassen PKI-Zertifikate für die Clientauthentifizierung und selbstsignierte Zertifikate. Wenn Sie diese Zertifikate nicht entfernen, können clients sich gegenseitig annehmen. Sie können die Daten nicht für jeden Client überprüfen.

Weitere Informationen finden Sie unter Erstellen einer Tasksequenz zum Erfassen eines Betriebssystems.

Stellen Sie sicher, dass Configuration Manager Client eine autorisierte Kopie von Zertifikaten erhält.

Das Configuration Manager vertrauenswürdiges Stammschlüsselzertifikat

Wenn die beiden folgenden Anweisungen zutreffen, verlassen sich Clients auf den Configuration Manager vertrauenswürdigen Stammschlüssel, um gültige Verwaltungspunkte zu authentifizieren:

  • Sie haben das Active Directory-Schema für Configuration Manager nicht erweitert.
  • Clients verwenden keine PKI-Zertifikate, wenn sie mit Verwaltungspunkten kommunizieren

In diesem Szenario können Clients nicht überprüfen, ob der Verwaltungspunkt für die Hierarchie vertrauenswürdig ist, es sei denn, sie verwenden den vertrauenswürdigen Stammschlüssel. Ohne den vertrauenswürdigen Stammschlüssel könnte ein erfahrener Angreifer Clients an einen nicht autorisierten Verwaltungspunkt weiterleiten.

Wenn Clients keine PKI-Zertifikate verwenden und den vertrauenswürdigen Stammschlüssel nicht aus dem globalen Active Directory-Katalog herunterladen können, stellen Sie den Clients den vertrauenswürdigen Stammschlüssel vorab bereit. Diese Aktion stellt sicher, dass sie nicht an einen nicht autorisierten Verwaltungspunkt weitergeleitet werden können. Weitere Informationen finden Sie unter Planen des vertrauenswürdigen Stammschlüssels.

Das Signaturzertifikat des Standortservers

Clients verwenden das Signaturzertifikat des Standortservers, um zu überprüfen, ob der Standortserver die von einem Verwaltungspunkt heruntergeladene Richtlinie signiert hat. Dieses Zertifikat wird vom Standortserver selbstsigniert und in Active Directory Domain Services veröffentlicht.

Wenn Clients dieses Zertifikat nicht aus dem globalen Active Directory-Katalog herunterladen können, laden sie es standardmäßig vom Verwaltungspunkt herunter. Wenn der Verwaltungspunkt für ein nicht vertrauenswürdiges Netzwerk wie das Internet verfügbar gemacht wird, installieren Sie das Signaturzertifikat des Standortservers manuell auf Clients. Durch diese Aktion wird sichergestellt, dass manipulierte Clientrichtlinien nicht von einem kompromittierten Verwaltungspunkt heruntergeladen werden können.

Um das Signaturzertifikat des Standortservers manuell zu installieren, verwenden Sie die CCMSetup client.msi Eigenschaft SMSSIGNCERT.

Wenn der Client den vertrauenswürdigen Stammschlüssel vom ersten Verwaltungspunkt herunterlädt, den er kontaktiert, verwenden Sie die automatische Standortzuweisung nicht.

Um das Risiko zu vermeiden, dass ein neuer Client den vertrauenswürdigen Stammschlüssel von einem nicht autorisierten Verwaltungspunkt herunter lädt, verwenden Sie die automatische Standortzuweisung nur in den folgenden Szenarien:

  • Der Client kann auf Configuration Manager Websiteinformationen zugreifen, die in Active Directory Domain Services veröffentlicht wurden.

  • Sie stellen den Client vorab mit dem vertrauenswürdigen Stammschlüssel zur Verfügung.

  • Sie verwenden PKI-Zertifikate einer Unternehmenszertifizierungsstelle, um eine Vertrauensstellung zwischen dem Client und dem Verwaltungspunkt herzustellen.

Weitere Informationen zum vertrauenswürdigen Stammschlüssel finden Sie unter Planen des vertrauenswürdigen Stammschlüssels.

Stellen Sie sicher, dass Wartungsfenster groß genug sind, um kritische Softwareupdates bereitzustellen.

Wartungsfenster für Gerätesammlungen schränken die Zeiten ein, in denen Configuration Manager Software auf diesen Geräten installieren können. Wenn Sie das Wartungsfenster als zu klein konfigurieren, installiert der Client möglicherweise keine wichtigen Softwareupdates. Dieses Verhalten macht den Client anfällig für angriffe, die das Softwareupdate entschärft.

Treffen Sie Sicherheitsvorkehrungen, um die Angriffsfläche auf Windows Embedded-Geräten mit Schreibfiltern zu verringern

Wenn Sie Schreibfilter auf Windows Embedded-Geräten aktivieren, werden softwareinstallationen oder -änderungen nur an der Überlagerung vorgenommen. Diese Änderungen bleiben nach dem Neustart des Geräts nicht erhalten. Wenn Sie Configuration Manager verwenden, um die Schreibfilter zu deaktivieren, ist das eingebettete Gerät während dieses Zeitraums anfällig für Änderungen an allen Volumes. Zu diesen Volumes gehören freigegebene Ordner.

Configuration Manager sperrt den Computer während dieses Zeitraums, sodass sich nur lokale Administratoren anmelden können. Treffen Sie nach Möglichkeit andere Sicherheitsvorkehrungen, um den Computer zu schützen. Aktivieren Sie beispielsweise Einschränkungen für die Firewall.

Wenn Sie Wartungsfenster verwenden, um Änderungen beizubehalten, sollten Sie diese Fenster sorgfältig planen. Minimieren Sie die Zeit, in der Schreibfilter deaktiviert sind, aber machen Sie sie so lange, dass Softwareinstallationen und Neustarts abgeschlossen werden können.

Verwenden der neuesten Clientversion mit softwareupdatebasierter Clientinstallation

Wenn Sie die softwareupdatebasierte Clientinstallation verwenden und eine höhere Version des Clients am Standort installieren, aktualisieren Sie das veröffentlichte Softwareupdate. Anschließend erhalten Clients die neueste Version vom Softwareupdatepunkt.

Wenn Sie den Standort aktualisieren, wird das Softwareupdate für die Clientbereitstellung, das auf dem Softwareupdatepunkt veröffentlicht wird, nicht automatisch aktualisiert. Veröffentlichen Sie den Configuration Manager Client erneut auf dem Softwareupdatepunkt, und aktualisieren Sie die Versionsnummer.

Weitere Informationen finden Sie unter Installieren Configuration Manager Clients mithilfe der softwareupdatebasierten Installation.

BitLocker-PIN-Eingabe nur auf vertrauenswürdigen Geräten und Geräten mit eingeschränktem Zugriff anhalten

Konfigurieren Sie die Clienteinstellung BitLocker-PIN-Eintrag beim Neustart anhalten nur auf Immer für Computer, denen Sie vertrauen und die den physischen Zugriff eingeschränkt haben.

Wenn Sie diese Clienteinstellung auf Immer festlegen, können Configuration Manager die Installation der Software abschließen. Dieses Verhalten hilft dabei, wichtige Softwareupdates zu installieren und Dienste fortzusetzen. Wenn ein Angreifer den Neustartvorgang abfängt, könnte er die Kontrolle über den Computer übernehmen. Verwenden Sie diese Einstellung nur, wenn Sie dem Computer vertrauen und der physische Zugriff auf den Computer eingeschränkt ist. Diese Einstellung kann beispielsweise für Server in einem Rechenzentrum geeignet sein.

Weitere Informationen zu dieser Clienteinstellung finden Sie unter Informationen zu Clienteinstellungen.

PowerShell-Ausführungsrichtlinie nicht umgehen

Wenn Sie die Configuration Manager Clienteinstellung für die PowerShell-Ausführungsrichtlinie auf Umgehen konfigurieren, lässt Windows die Ausführung von nicht signierten PowerShell-Skripts zu. Dieses Verhalten könnte die Ausführung von Schadsoftware auf Clientcomputern ermöglichen. Wenn Ihr organization diese Option erfordert, verwenden Sie eine benutzerdefinierte Clienteinstellung. Weisen Sie sie nur den Clientcomputern zu, die nicht signierte PowerShell-Skripts ausführen müssen.

Weitere Informationen zu dieser Clienteinstellung finden Sie unter Informationen zu Clienteinstellungen.

Sicherheitsleitfaden für mobile Geräte

Installieren des Registrierungsproxypunkts in einem Umkreisnetzwerk und des Registrierungspunkts im Intranet

Installieren Sie für internetbasierte mobile Geräte, die Sie bei Configuration Manager registrieren, den Registrierungsproxypunkt in einem Umkreisnetzwerk und den Registrierungspunkt im Intranet. Diese Rollentrennung trägt dazu bei, den Registrierungspunkt vor Angriffen zu schützen. Wenn ein Angreifer den Registrierungspunkt kompromittiert, kann er Zertifikate für die Authentifizierung abrufen. Sie können auch die Anmeldeinformationen von Benutzern stehlen, die ihre mobilen Geräte registrieren.

Konfigurieren Sie die Kennworteinstellungen, um mobile Geräte vor nicht autorisiertem Zugriff zu schützen.

Für mobile Geräte, die von Configuration Manager registriert werden: Verwenden Sie ein Konfigurationselement für mobile Geräte, um die Kennwortkomplexität als PIN zu konfigurieren. Geben Sie mindestens die minimale Standardkennwortlänge an.

Für mobile Geräte, auf denen der Configuration Manager-Client nicht installiert ist, aber vom Exchange Server-Connector verwaltet werden: Konfigurieren Sie die Kennworteinstellungen für den Exchange Server Connector so, dass die Kennwortkomplexität die PIN ist. Geben Sie mindestens die minimale Standardkennwortlänge an.

Nur die Ausführung von Anwendungen zulassen, die von Unternehmen signiert wurden, denen Sie vertrauen

Verhindern Sie die Manipulation von Bestandsinformationen und status Informationen, indem Sie zulassen, dass Anwendungen nur ausgeführt werden können, wenn sie von Unternehmen signiert wurden, denen Sie vertrauen. Lassen Sie nicht zu, dass Geräte nicht signierte Dateien installieren.

Für mobile Geräte, die von Configuration Manager registriert werden: Verwenden Sie ein Konfigurationselement für mobile Geräte, um die Sicherheitseinstellung Nicht signierte Anwendungen als Unzulässig zu konfigurieren. Konfigurieren Sie Installationen von nicht signierten Dateien als vertrauenswürdige Quelle.

Für mobile Geräte, auf denen der Configuration Manager-Client nicht installiert ist, aber vom Exchange Server-Connector verwaltet werden: Konfigurieren Sie die Anwendungseinstellungen für den Exchange Server Connector so, dass die Installation nicht signierter Dateien und nicht signierte Anwendungenunzulässig sind.

Sperren mobiler Geräte, wenn sie nicht verwendet werden

Verhindern Sie Angriffe auf Rechteerweiterungen, indem Sie das mobile Gerät sperren, wenn es nicht verwendet wird.

Für mobile Geräte, die von Configuration Manager registriert werden: Verwenden Sie ein Konfigurationselement für mobile Geräte, um die Kennworteinstellung Leerlaufzeit in Minuten zu konfigurieren, bevor das mobile Gerät gesperrt wird.

Für mobile Geräte, auf denen der Configuration Manager Client nicht installiert ist, aber vom Exchange Server-Connector verwaltet werden: Konfigurieren Sie die Kennworteinstellungen für den Exchange Server Connector, um die Leerlaufzeit in Minuten festzulegen, bevor das mobile Gerät gesperrt wird.

Einschränken der Benutzer, die ihre mobilen Geräte registrieren können

Verhindern Sie rechteerweiterungen, indem Sie die Benutzer einschränken, die ihre mobilen Geräte registrieren können. Verwenden Sie anstelle der Standardclienteinstellungen eine benutzerdefinierte Clienteinstellung, damit nur autorisierte Benutzer ihre mobilen Geräte registrieren können.

Leitfaden zur Affinität zwischen Benutzer und Gerät für mobile Geräte

Stellen Sie in den folgenden Szenarien keine Anwendungen für Benutzer bereit, die mobile Geräte von Configuration Manager registriert haben:

  • Das mobile Gerät wird von mehreren Personen verwendet.

  • Das Gerät wird von einem Administrator im Namen eines Benutzers registriert.

  • Das Gerät wird an eine andere Person übertragen, ohne das Gerät außerBetrieb zu nehmen und dann erneut zu registrieren.

Bei der Geräteregistrierung wird eine Affinität zwischen Benutzer und Gerät erstellt. Diese Beziehung ordnet den Benutzer zu, der sich beim mobilen Gerät registriert. Wenn ein anderer Benutzer das mobile Gerät verwendet, kann er die Anwendungen ausführen, die für den ursprünglichen Benutzer bereitgestellt wurden, was zu einer Erhöhung der Berechtigungen führen kann. Wenn ein Administrator das mobile Gerät für einen Benutzer registriert, werden anwendungen, die für den Benutzer bereitgestellt werden, nicht auf dem mobilen Gerät installiert. Stattdessen werden möglicherweise Anwendungen installiert, die für den Administrator bereitgestellt werden.

Schützen der Verbindung zwischen dem Configuration Manager-Standortserver und dem Exchange Server

Wenn die Exchange Server lokal ist, verwenden Sie IPsec. Hosted Exchange sichert die Verbindung automatisch mit HTTPS.

Verwenden des Prinzips der geringsten Berechtigungen für den Exchange-Connector

Eine Liste der Minimal-Cmdlets, die für den Exchange Server Connector erforderlich sind, finden Sie unter Verwalten mobiler Geräte mit Configuration Manager und Exchange.

Sicherheitsleitfaden für macOS-Geräte

Speichern und Zugreifen auf die Clientquelldateien von einem geschützten Speicherort aus

Vor der Installation oder Registrierung des Clients auf einem macOS-Computer überprüft Configuration Manager nicht, ob diese Clientquelldateien manipuliert wurden. Laden Sie diese Dateien aus einer vertrauenswürdigen Quelle herunter. Sicheres Speichern und Zugreifen darauf.

Überwachen und Nachverfolgen der Gültigkeitsdauer des Zertifikats

Überwachen und nachverfolgen Sie die Gültigkeitsdauer der Zertifikate, die Sie für macOS-Computer verwenden. Configuration Manager unterstützt keine automatische Verlängerung dieses Zertifikats oder warnt Sie, dass das Zertifikat bald abläuft. Ein typischer Gültigkeitszeitraum beträgt ein Jahr.

Weitere Informationen zum Verlängern des Zertifikats finden Sie unter Manuelles Verlängern des macOS-Clientzertifikats.

Konfigurieren des vertrauenswürdigen Stammzertifikats nur für SSL

Zum Schutz vor Rechteerweiterungen konfigurieren Sie das Zertifikat für die vertrauenswürdige Stammzertifizierungsstelle so, dass es nur für das SSL-Protokoll vertrauenswürdig ist.

Wenn Sie Mac-Computer registrieren, wird automatisch ein Benutzerzertifikat zum Verwalten des Configuration Manager-Clients installiert. Dieses Benutzerzertifikat enthält die vertrauenswürdigen Stammzertifikate in seiner Vertrauenskette. Gehen Sie wie folgt vor, um die Vertrauensstellung dieses Stammzertifikats nur auf das SSL-Protokoll einzuschränken:

  1. Öffnen Sie auf dem Mac-Computer ein Terminalfenster.

  2. Geben Sie den folgenden Befehl ein: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. Wählen Sie im Dialogfeld Schlüsselbundzugriff im Abschnitt Schlüsselbund die Option System aus. Wählen Sie dann im Abschnitt Kategorie die Option Zertifikate aus.

  4. Suchen Und öffnen Sie das Zertifikat der Stammzertifizierungsstelle für das Mac-Clientzertifikat.

  5. Erweitern Sie im Dialogfeld für das Zertifikat der Stammzertifizierungsstelle den Abschnitt Vertrauensstellung , und nehmen Sie dann die folgenden Änderungen vor:

    1. Bei Verwendung dieses Zertifikats: Ändern Sie die Einstellung Immer vertrauen in Systemstandardeinstellungen verwenden.

    2. Secure Sockets Layer (SSL): Ändern Sie keinen angegebenen Wert in Always Trust.

  6. Schließen Sie das Dialogfeld. Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort des Administrators ein, und wählen Sie dann Einstellungen aktualisieren aus.

Nachdem Sie dieses Verfahren abgeschlossen haben, wird das Stammzertifikat nur als vertrauenswürdig eingestuft, um das SSL-Protokoll zu überprüfen. Andere Protokolle, die mit diesem Stammzertifikat jetzt nicht vertrauenswürdig sind, sind Secure Mail (S/MIME), Extensible Authentication (EAP) oder Codesignatur.

Hinweis

Verwenden Sie dieses Verfahren auch, wenn Sie das Clientzertifikat unabhängig von Configuration Manager installiert haben.

Sicherheitsprobleme für Clients

Die folgenden Sicherheitsprobleme können nicht behoben werden:

Statusmeldungen werden nicht authentifiziert

Der Verwaltungspunkt authentifiziert status Nachrichten nicht. Wenn ein Verwaltungspunkt HTTP-Clientverbindungen akzeptiert, kann jedes Gerät status Nachrichten an den Verwaltungspunkt senden. Wenn der Verwaltungspunkt nur HTTPS-Clientverbindungen akzeptiert, muss ein Gerät über ein gültiges Clientauthentifizierungszertifikat verfügen, kann aber auch jede status Nachricht senden. Der Verwaltungspunkt verwirft alle ungültigen status Nachricht, die von einem Client empfangen wird.

Es gibt einige potenzielle Angriffe gegen diese Sicherheitsanfälligkeit:

  • Ein Angreifer könnte eine gefälschte status Nachricht senden, um Die Mitgliedschaft in einer Sammlung zu erhalten, die auf status Nachrichtenabfragen basiert.
  • Jeder Client könnte eine Denial-of-Service-Instanz für den Verwaltungspunkt starten, indem er ihn mit status Nachrichten überflutet.
  • Wenn status Nachrichten Aktionen in status Nachrichtenfilterregeln auslösen, kann ein Angreifer die status Nachrichtenfilterregel auslösen.
  • Ein Angreifer könnte status Nachricht senden, die Berichtsinformationen ungenau macht.

Richtlinien können auf Nicht-Zielclients umgezielt werden

Es gibt mehrere Methoden, die Angreifer verwenden können, um eine Auf einen Client ausgerichtete Richtlinie auf einen ganz anderen Client anzuwenden. Beispielsweise könnte ein Angreifer bei einem vertrauenswürdigen Client falsche Bestands- oder Ermittlungsinformationen senden, um den Computer einer Sammlung hinzuzufügen, zu der er nicht gehören sollte. Dieser Client empfängt dann alle Bereitstellungen für diese Sammlung.

Es gibt Kontrollen, um zu verhindern, dass Angreifer richtlinien direkt ändern. Angreifer können jedoch eine vorhandene Richtlinie verwenden, die ein Betriebssystem neu formatiert und erneut bereitstellt, und es an einen anderen Computer senden. Diese umgeleitete Richtlinie könnte einen Denial-of-Service-Dienst erstellen. Diese Arten von Angriffen erfordern ein genaues Timing und umfassende Kenntnisse der Configuration Manager Infrastruktur.

Clientprotokolle ermöglichen Den Benutzerzugriff

Alle Clientprotokolldateien ermöglichen der Gruppe Benutzer mit Lesezugriff und dem speziellen interaktiven Benutzer mit Zugriff auf das Schreiben von Daten. Wenn Sie die ausführliche Protokollierung aktivieren, lesen Angreifer möglicherweise die Protokolldateien, um nach Informationen zu Compliance- oder Systemrisiken zu suchen. Prozesse wie Software, die der Client im Kontext eines Benutzers installiert, müssen in Protokolle mit einem Benutzerkonto mit niedrigen Rechten schreiben. Dieses Verhalten bedeutet, dass ein Angreifer auch mit einem Konto mit niedrigen Rechten in die Protokolle schreiben kann.

Das schwerwiegendste Risiko besteht darin, dass ein Angreifer Informationen in den Protokolldateien entfernen könnte. Ein Administrator benötigt diese Informationen möglicherweise für die Überwachung und Angriffserkennung.

Ein Computer kann verwendet werden, um ein Zertifikat zu erhalten, das für die Registrierung mobiler Geräte konzipiert ist.

Wenn Configuration Manager eine Registrierungsanforderung verarbeitet, kann nicht überprüft werden, ob die Anforderung von einem mobilen Gerät und nicht von einem Computer stammt. Wenn die Anforderung von einem Computer stammt, kann ein PKI-Zertifikat installiert werden, das es dann ermöglicht, sich bei Configuration Manager zu registrieren.

Um einen Angriff auf Rechteerweiterungen in diesem Szenario zu verhindern, lassen Sie nur vertrauenswürdigen Benutzern die Registrierung ihrer mobilen Geräte zu. Überwachen Sie die Geräteregistrierungsaktivitäten am Standort sorgfältig.

Ein blockierter Client kann weiterhin Nachrichten an den Verwaltungspunkt senden.

Wenn Sie einen Client blockieren, dem Sie nicht mehr vertrauen, aber eine Netzwerkverbindung für Clientbenachrichtigungen hergestellt haben, trennt Configuration Manager die Sitzung nicht. Der blockierte Client kann weiterhin Pakete an seinen Verwaltungspunkt senden, bis der Client die Verbindung mit dem Netzwerk trennt. Diese Pakete sind nur kleine Keep-Alive-Pakete. Dieser Client kann erst von Configuration Manager verwaltet werden, wenn er die Blockierung aufgehoben hat.

Das automatische Clientupgrade überprüft den Verwaltungspunkt nicht.

Wenn Sie das automatische Clientupgrade verwenden, kann der Client an einen Verwaltungspunkt weitergeleitet werden, um die Clientquelldateien herunterzuladen. In diesem Szenario überprüft der Client den Verwaltungspunkt nicht als vertrauenswürdige Quelle.

Wenn Benutzer macOS-Computer zum ersten Mal registrieren, sind sie durch DNS-Spoofing gefährdet.

Wenn der macOS-Computer während der Registrierung eine Verbindung mit dem Registrierungsproxypunkt herstellt, ist es unwahrscheinlich, dass der macOS-Computer bereits über das Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle verfügt. An diesem Punkt vertraut der macOS-Computer dem Server nicht und fordert den Benutzer auf, den Vorgang fortzusetzen. Wenn ein nicht autorisierter DNS-Server den vollqualifizierten Domänennamen (FQDN) des Registrierungsproxypunkts auflöst, kann er den macOS-Computer an einen nicht autorisierten Registrierungsproxypunkt weiterleiten, um Zertifikate aus einer nicht vertrauenswürdigen Quelle zu installieren. Um dieses Risiko zu verringern, befolgen Sie die DNS-Anleitung, um Spoofing in Ihrer Umgebung zu vermeiden.

Die macOS-Registrierung schränkt zertifikatanforderungen nicht ein

Benutzer können ihre macOS-Computer erneut registrieren und jedes Mal ein neues Clientzertifikat anfordern. Configuration Manager sucht nicht nach mehreren Anforderungen oder begrenzt die Anzahl der Zertifikate, die von einem einzelnen Computer angefordert werden. Ein nicht autorisierter Benutzer könnte ein Skript ausführen, das die Befehlszeilenregistrierungsanforderung wiederholt. Dieser Angriff kann zu einem Denial-of-Service im Netzwerk oder bei der ausstellenden Zertifizierungsstelle (Ca) führen. Um dieses Risiko zu verringern, überwachen Sie die ausstellende Zertifizierungsstelle sorgfältig auf diese Art von verdächtigem Verhalten. Blockieren Sie sofort alle Computer, die dieses Verhaltensmuster aufweisen, aus der Configuration Manager Hierarchie.

Eine Zurücksetzungsbestätigung überprüft nicht, ob das Gerät erfolgreich zurückgesetzt wurde.

Wenn Sie eine Zurücksetzungsaktion für ein mobiles Gerät starten und Configuration Manager die Zurücksetzung bestätigt, wird überprüft, ob Configuration Manager die Nachricht erfolgreich gesendet hat. Es wird nicht überprüft, ob das Gerät auf die Anforderung reagiert hat .

Bei mobilen Geräten, die vom Exchange Server-Connector verwaltet werden, überprüft eine Zurücksetzungsbestätigung, dass der Befehl von Exchange und nicht vom Gerät empfangen wurde.

Wenn Sie die Optionen zum Committen von Änderungen auf Windows Embedded-Geräten verwenden, werden Konten möglicherweise früher als erwartet gesperrt.

Wenn auf dem Windows Embedded-Gerät eine frühere Betriebssystemversion als Windows 7 ausgeführt wird und ein Benutzer versucht, sich anzumelden, während die Schreibfilter von Configuration Manager deaktiviert werden, lässt Windows nur die Hälfte der konfigurierten Anzahl falscher Versuche zu, bevor das Konto gesperrt wird.

Beispielsweise konfigurieren Sie die Domänenrichtlinie für den Schwellenwert für die Kontosperrung auf sechs Versuche. Ein Benutzer gibt sein Kennwort dreimal falsch ein, und das Konto wird gesperrt. Dieses Verhalten führt effektiv zu einem Denial-of-Service.This behavior creates a denial of service. Wenn sich Benutzer in diesem Szenario bei eingebetteten Geräten anmelden müssen, sollten Sie sie vor dem Möglichen eines reduzierten Sperrschwellenwerts warnen.

Datenschutzinformationen für Kunden

Wenn Sie den Configuration Manager-Client bereitstellen, aktivieren Sie Clienteinstellungen für Configuration Manager Features. Die Einstellungen, die Sie zum Konfigurieren der Features verwenden, können auf alle Clients in der Configuration Manager-Hierarchie angewendet werden. Dieses Verhalten ist identisch, unabhängig davon, ob sie direkt mit dem internen Netzwerk, über eine Remotesitzung oder mit dem Internet verbunden sind.

Clientinformationen werden in der Configuration Manager-Standortdatenbank in Ihrem SQL Server gespeichert und nicht an Microsoft gesendet. Informationen werden in der Datenbank gespeichert, bis sie vom Standortwartungstask Veraltete Ermittlungsdaten löschen alle 90 Tage gelöscht werden. Sie können das Löschintervall konfigurieren.

Einige zusammengefasste oder aggregierte Diagnose und Nutzungsdaten werden an Microsoft gesendet. Weitere Informationen finden Sie unter Diagnose- und Nutzungsdaten.

Weitere Informationen zur Datenerfassung und -verwendung durch Microsoft finden Sie in den Datenschutzbestimmungen von Microsoft.

Clientstatus

Configuration Manager überwacht die Aktivität von Clients. Es wertet die Configuration Manager Client in regelmäßigen Abständen aus und kann Probleme mit dem Client und seinen Abhängigkeiten beheben. Client status ist standardmäßig aktiviert. Es werden serverseitige Metriken für die Überprüfungen der Clientaktivität verwendet. Client status verwendet clientseitige Aktionen für Selbstüberprüfungen, Korrekturen und zum Senden von Client-status-Informationen an den Standort. Der Client führt die Selbstüberprüfungen gemäß einem von Ihnen konfigurierten Zeitplan aus. Der Client sendet die Ergebnisse der Überprüfungen an den Configuration Manager Standort. Diese Informationen werden während der Übertragung verschlüsselt.

Client-status Informationen werden in der Configuration Manager-Datenbank in Ihrem SQL Server gespeichert und nicht an Microsoft gesendet. Die Informationen werden nicht in verschlüsseltem Format in der Standortdatenbank gespeichert. Diese Informationen werden in der Datenbank gespeichert, bis sie gemäß dem wert gelöscht werden, der für die Einstellung Client status Verlauf beibehalten für die folgenden Tage status konfiguriert wurde. Der Standardwert für diese Einstellung ist alle 31 Tage.

Datenschutzinformationen für den Exchange Server Connector

Der Exchange Server Connector sucht und verwaltet Geräte, die mithilfe des ActiveSync-Protokolls eine Verbindung mit einem lokalen oder gehosteten Exchange Server herstellen. Die vom Exchange Server Connector gefundenen Datensätze werden in der Configuration Manager-Datenbank in Ihrem SQL Server gespeichert. Die Informationen werden aus dem Exchange Server gesammelt. Es enthält keine zusätzlichen Informationen darüber, was die mobilen Geräte an Exchange Server senden.

Die Informationen zu mobilen Geräten werden nicht an Microsoft gesendet. Die Informationen zu mobilen Geräten werden in der Configuration Manager-Datenbank in Ihrem SQL Server gespeichert. Informationen werden in der Datenbank gespeichert, bis sie vom Standortwartungstask Veraltete Ermittlungsdaten löschen alle 90 Tage gelöscht werden. Sie konfigurieren das Löschintervall.

Weitere Informationen zur Datenerfassung und -verwendung durch Microsoft finden Sie in den Datenschutzbestimmungen von Microsoft.