Sicherheit und Datenschutz für die Inhaltsverwaltung in Configuration ManagerSecurity and privacy for content management in Configuration Manager

Gilt für: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Dieser Artikel enthält Sicherheits- und Datenschutzinformationen für die Inhaltsverwaltung in Configuration Manager.This article contains security and privacy information for content management in Configuration Manager.

Bewährte Sicherheitsmethoden für die InhaltsverwaltungSecurity best practices for content management

Vor- und Nachteile von HTTPS und HTTP für Verteilungspunkte im IntranetAdvantages and disadvantages of HTTPS or HTTP for intranet distribution points

Berücksichtigen Sie für Verteilungspunkte im Intranet die Vor- und Nachteile bei der Verwendung von HTTPS und HTTP.For distribution points on the intranet, consider the advantages and disadvantages of using HTTPS and HTTP. In den meisten Situationen bietet die Verwendung von HTTP und Paketzugriffskonten zur Autorisierung mehr Sicherheit als die Verwendung von HTTPS mit Verschlüsselung, aber ohne Autorisierung.In most scenarios, using HTTP and package access accounts for authorization provides more security than using HTTPS with encryption but without authorization. Wenn die Inhalte allerdings vertrauliche Daten umfassen, die bei der Übertragung verschlüsselt werden sollen, verwenden Sie HTTPS.However, if you have sensitive data in your content that you want to encrypt during transfer, use HTTPS.

  • Wenn Sie für einen Verteilungspunkt HTTPS verwenden, werden in Configuration Manager keine Paketzugriffskonten verwendet, um den Zugriff auf die Inhalte zu autorisieren. Stattdessen werden die Inhalte bei der Übermittlung über das Netzwerk verschlüsselt.When you use HTTPS for a distribution point, Configuration Manager doesn't use package access accounts to authorize access to the content, but the content is encrypted when it's transferred over the network.

  • Wenn Sie für einen Verteilungspunkt HTTP verwenden, können Sie Paketzugriffskonten zur Autorisierung verwenden. Allerdings werden die Inhalte bei der Übermittlung über das Netzwerk nicht verschlüsselt.When you use HTTP for a distribution point, you can use package access accounts for authorization, but the content isn't encrypted when it's transferred over the network.

Ab Version 1806 sollten Sie Erweitertes HTTP für den Standort aktivieren.Starting in version 1806, consider enabling Enhanced HTTP for the site. Durch dieses Feature können Clients die Azure Active Directory-Authentifizierung verwenden, um sicher mit einem HTTP-Verteilungspunkt zu kommunizieren.This feature allows clients to use Azure Active Directory authentication to securely communicate with an HTTP distribution point. Weitere Informationen finden Sie unter Enhanced HTTP (Erweitertes HTTP).For more information, see Enhanced HTTP.

Schützen der Zertifikatdatei für die ClientauthentifizierungProtect the client authentication certificate file

Wenn Sie für den Verteilungspunkt anstelle eines selbstsignierten Zertifikats ein PKI-Clientauthentifizierungszertifikat verwenden, schützen Sie die Zertifikatdatei (.pfx) mit einem sicheren Kennwort.If you use a PKI client authentication certificate rather than a self-signed certificate for the distribution point, protect the certificate file (.pfx) with a strong password. Wenn Sie die Datei im Netzwerk speichern, verwenden Sie beim Importieren der Datei in Configuration Manager einen sicheren Netzwerkkanal.If you store the file on the network, secure the network channel when you import the file into Configuration Manager.

Wenn für das Importieren des Clientauthentifizierungszertifikats, das der Verteilungspunkt verwendet, um mit Verwaltungspunkten zu kommunizieren, ein Kennwort erforderlich ist, ist das Zertifikat durch diese Konfiguration vor Angriffen geschützt.When you require a password to import the client authentication certificate that the distribution point uses to communicate with management points, this configuration helps to protect the certificate from an attacker. Verwenden Sie Server Message Block (SMB)-Signaturen oder IPsec zwischen Netzwerkspeicherort und Standortserver, um einen Angreifer an der Manipulation der Zertifikatdatei zu hindern.Use Server Message Block (SMB) signing or IPsec between the network location and the site server to prevent an attacker from tampering with the certificate file.

Entfernen der Verteilungspunktrolle vom StandortserverRemove the distribution point role from the site server

Standardmäßig installiert das Setup für Configuration Manager einen Verteilungspunkt auf dem Standortserver.By default, Configuration Manager setup installs a distribution point on the site server. Clients müssen nicht direkt mit dem Standortserver kommunizieren.Clients don't have to communicate directly with the site server. Weisen Sie die Rolle „Verteilungspunkt“ einem anderen Standortsystem zu, und entfernen Sie diese vom Standortserver, um die Angriffsfläche zu verringern.To reduce the attack surface, assign the distribution point role to other site systems and remove it from the site server.

Schützen von Inhalten auf PaketzugriffsebeneSecure content at the package access level

Die Verteilungspunktfreigabe gewährt allen Benutzern den Lesezugriff.The distribution point share allows read access to all users. Verwenden Sie Paketzugriffskonten, wenn der Verteilungspunkt für HTTP konfiguriert ist, um festzulegen, welche Benutzer auf den Inhalt zugreifen können.To restrict which users can access the content, use package access accounts when the distribution point is configured for HTTP. Diese Konfiguration gilt nicht für Cloudverteilungspunkte, die Paketzugriffskonten nicht unterstützten.This configuration doesn't apply to cloud distribution points, which don't support package access accounts. Weitere Informationen finden Sie unter Paketzugriffskonten.For more information, see Package access accounts.

Konfigurieren von IIS für die Rolle „Verteilungspunkt“Configure IIS on the distribution point role

Wenn beim Hinzufügen der Standortsystemrolle „Verteilungspunkt“ IIS von Configuration Manager installiert wird, entfernen Sie die HTTP-Umleitung bzw. die IIS-Verwaltungsskripts und -tools, sobald die Installation des Verteilungspunkts abgeschlossen ist.If Configuration Manager installs IIS when you add a distribution point site system role, remove HTTP redirection or IIS Management Scripts and Tools when the distribution point installation is complete. Für den Verteilungspunkt sind die HTTP-Umleitung bzw. die IIS-Verwaltungsskripts und -tools nicht erforderlich.The distribution point doesn't require HTTP redirection or IIS Management Scripts and Tools. Entfernen Sie diese Rollendienste für die Webserverrolle, um die Angriffsfläche zu verringern.To reduce the attack surface, remove these role services for the web server role. Weitere Informationen zu den Rollendiensten für die Webserverrolle für Verteilungspunkte finden Sie unter Voraussetzungen für Standorte und Standortsysteme.For more information about the role services for the web server role for distribution points, see Site and site system prerequisites.

Legen Sie beim Erstellen des Pakets Paketzugriffsberechtigungen fest.Set package access permissions when you create the package

Änderungen der Zugriffskonten für die Paketdateien treten erst nach dem erneuten Bereitstellen des Pakets in Kraft. Gehen Sie daher beim Festlegen der Zugriffsberechtigungen für ein neu erstelltes Paket mit großer Sorgfalt vor.Because changes to the access accounts on the package files become effective only when you redistribute the package, set the package access permissions carefully when you first create the package. Diese Konfiguration ist wichtig, wenn das Paket groß ist oder an viele Verteilungspunkte verteilt wird und wenn die Netzwerkbandbreite zur Verteilung von Inhalten beschränkt ist.This configuration is important when the package is large or distributed to many distribution points, and when the network bandwidth capacity for content distribution is limited.

Implementieren Sie Zugriffssteuerungen zum Schutz von Medien, die vorab bereitgestellte Inhalte enthalten.Implement access controls to protect media that contains prestaged content

Vorab bereitgestellte Inhalte werden komprimiert, aber nicht verschlüsselt.Prestaged content is compressed but not encrypted. Ein Angreifer könnte die Dateien lesen und ändern, die auf die Geräte heruntergeladen werden.An attacker could read and modify the files that are downloaded to devices. Manipulierte Inhalte werden von Konfigurations-Manager-Clients abgelehnt, aber dennoch heruntergeladen.Configuration Manager clients reject content that's tampered with, but they still download it.

Importieren von vorab bereitgestelltem Inhalt mit ExtractContentImport prestaged content with ExtractContent

Importieren Sie vorab bereitgestellten Inhalt nur über das Befehlszeilentool „ExtractContent.exe“.Only import prestaged content by using the ExtractContent.exe command-line tool. Verwenden Sie nur das in Configuration Manager enthaltene autorisierte Befehlszeilentool, um Manipulationen und Rechteerweiterungen zu vermeiden.To avoid tampering and elevation of privileges, use only the authorized command-line tool that comes with Configuration Manager.

Sichern Sie den Kommunikationskanal zwischen Standortserver und Paketquellspeicherort.Secure the communication channel between the site server and the package source location

Verwenden Sie zum Erstellen von Anwendungen und Paketen IPsec oder SMB-Signaturen zwischen Standortserver und Paketquellspeicherort.Use IPsec or SMB signing between the site server and the package source location when you create applications and packages. Durch diese Konfiguration verhindern Sie die Manipulation der Quelldateien durch einen Angreifer.This configuration helps to prevent an attacker from tampering with the source files.

Entfernen der virtuellen Standardverzeichnisse für benutzerdefinierte Websites mit der Rolle „Verteilungspunkt“Remove default virtual directories for custom website with the distribution point role

Wenn Sie die Standortkonfigurationsoption von der Standardwebsite in eine benutzerdefinierte Website ändern, nachdem die Rolle „Verteilungspunkt“ installiert wurde, entfernen Sie die virtuellen Standardverzeichnisse.If you change the site configuration option to use a custom website rather than the default website after installing a distribution point role, remove the default virtual directories. Wenn Sie von der Standardwebsite zu einer benutzerdefinierten Website wechseln, werden die alten virtuellen Verzeichnisse von Configuration Manager nicht entfernt.When you switch from the default website to a custom website, Configuration Manager doesn't remove the old virtual directories. Entfernen Sie folgende virtuelle Verzeichnisse, die ursprünglich von Configuration Manager unter der Standardwebsite erstellt wurden:Remove the following virtual directories that Configuration Manager originally created under the default website:

  • SMS_DP_SMSPKG$SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$NOCERT_SMS_DP_SMSSIG$

Cloudverteilungspunkte: Schützen von Abonnementdetails und ZertifikatenFor cloud distribution points, protect your Azure subscription details and certificates

Schützen Sie die folgenden wichtigen Elemente, wenn Sie Cloudverteilungspunkte verwenden:When you use cloud distribution points, protect the following high-value items:

  • Den Benutzernamen und das Kennwort für das Azure-AbonnementThe user name and password for your Azure subscription
  • Das Azure-VerwaltungszertifikatThe Azure management certificate
  • Das Dienstzertifikat für den CloudverteilungspunktThe cloud distribution point service certificate

Speichern Sie die Zertifikate an einem sicheren Ort.Store the certificates securely. Verwenden Sie IPsec oder SMB-Signaturen zwischen dem Standortsystemserver und dem Quellspeicherort, wenn Sie beim Konfigurieren des Cloudverteilungspunkts über das Netzwerk auf die Zertifikate zugreifen.If you browse to them over the network when you configure the cloud distribution point, use IPsec or SMB signing between the site system server and the source location.

Überwachen Sie aus Gründen der Dienstkontinuität das Ablaufdatum der Zertifikate des Cloudverteilungspunkts.For service continuity, monitor the expiry date of the cloud distribution point certificates

Configuration Manager zeigt keine Warnung an, wenn das Ablaufdatum der importierten Zertifikate für den Cloudverteilungspunkt bald erreicht ist.Configuration Manager doesn't warn you when the imported certificates for the cloud distribution point are about to expire. Überwachen Sie das Ablaufdatum unabhängig von Configuration Manager.Monitor the expiry dates independently from Configuration Manager. Stellen Sie sicher, dass Sie Zertifikate vor dem Ablaufdatum erneuern und neu importieren.Make sure that you renew and then import the new certificates before the expiry date. Dieser Vorgang ist wichtig, wenn Sie ein Serverauthentifizierungszertifikat von einem externen, öffentlichen Anbieter beziehen, da es in diesem Fall mehr Zeit erfordern kann, ein Zertifikat zu erneuern.This action is important if you acquire a server authentication certificate from an external, public provider, because you might need additional time to acquire a renewed certificate.

Wenn ein Zertifikat abläuft, generiert der Cloud Services-Manager eine Statusmeldung mit der ID 9425.If either certificate expires, Cloud Services Manager generates the status message ID 9425. Die Datei „CloudMgr.log“ enthält einen Eintrag, der angibt, dass das Zertifikat abgelaufen ist. Das Ablaufdatum wird dabei im UTC-Format protokolliert.The CloudMgr.log file contains an entry to indicate that the certificate is in expired state, with the expiry date also logged in UTC.

Sicherheitsüberlegungen für Content ManagementSecurity considerations for content management

Bei der Planung von Content Management sollten Sie Folgendes berücksichtigen:Consider the following points when planning for content management:

  • Clients überprüfen Inhalte erst nach dem Herunterladen.Clients don't validate content until after it's downloaded.

    Konfigurations-Manager-Clients überprüfen den Hashwert von Inhalten erst nach dem Herunterladen in ihren Clientcache.Configuration Manager clients validate the hash on content only after it's downloaded to their client cache. Wenn ein Angreifer die Liste der herunterzuladenden Dateien oder die Inhalte selbst manipuliert, kann für das Herunterladen auf den Client eine erhebliche Netzwerkbandbreite erforderlich sein, jedoch müssen die Inhalte dann aufgrund des ungültigen Hashwerts verworfen werden.If an attacker tampers with the list of files to download or with the content itself, the download process can take up considerable network bandwidth, only for the client to then discard the content when it encounters the invalid hash.

  • Wenn Sie Cloudverteilungspunkte verwenden, ist der Zugriff auf den Inhalt automatisch auf Ihr Unternehmen beschränkt.When you use cloud distribution points, access to the content is automatically restricted to your enterprise. Sie können diesen nicht auf ausgewählte Benutzer oder Gruppen einschränken.You can't restrict it further to selected users or groups.

  • Wenn Sie Cloudverteilungspunkte verwenden, werden Clients vom Verwaltungspunkt authentifiziert. Anschließend können Sie über ein Configuration Manager-Token auf die Cloudverteilungspunkte zugreifen.When you use cloud distribution points, clients are authenticated by the management point and then use a Configuration Manager token to access cloud distribution points. Das Token ist acht Stunden lang gültig.The token is valid for eight hours. Wenn Sie einen Client sperren, weil er nicht mehr vertrauenswürdig ist, kann dieser also noch so lange Inhalte von einem Cloudverteilungspunkt herunterladen, bis der Gültigkeitszeitraum des Tokens abgelaufen ist.This behavior means that if you block a client because it's no longer trusted, it can continue to download content from a cloud distribution point until the validity period of this token has expired. Vom Verwaltungspunkt wird dann kein weiteres Token für den Client ausgegeben, weil der Client gesperrt ist.At this point, the management point won't issue another token for the client because the client is blocked.

    Beenden Sie den Clouddienst, um zu verhindern, dass ein gesperrter Client Inhalte innerhalb dieser acht Stunden herunterlädt.To avoid a blocked client from downloading content within this eight-hour window, stop the cloud service. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Cloud Services, und wählen Sie den Knoten Cloudverteilungspunkte aus.In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select the Cloud Distribution Points node.

Datenschutzinformationen zur InhaltsverwaltungPrivacy information for content management

Configuration Manager speichert keine Benutzerdaten in Inhaltsdateien, für einen Administrator wäre dies jedoch möglich.Configuration Manager doesn't include any user data in content files, although an administrative user might choose to do this action.

Weitere Informationen:See also