Grundlagen der Sicherheit für Configuration Manager
Gilt für: Configuration Manager (Current Branch)
In diesem Artikel werden die folgenden grundlegenden Sicherheitskomponenten einer beliebigen Configuration Manager-Umgebung zusammengefasst:
- Sicherheitsebenen
- Rollenbasierte Administration
- Schützen von Clientendpunkten
- Configuration Manager Konten und Gruppen
- Datenschutz
Sicherheitsebenen
Die Sicherheit für Configuration Manager besteht aus den folgenden Ebenen:
- Windows-Betriebssystem- und Netzwerksicherheit
- Netzwerkinfrastruktur: Firewalls, Angriffserkennung, Public Key-Infrastruktur (PKI)
- Configuration Manager Sicherheitskontrollen
- SMS-Anbieter
- Berechtigungen für Standortdatenbanken
Windows-Betriebssystem- und Netzwerksicherheit
Die erste Ebene wird von Windows-Sicherheitsfeatures für das Betriebssystem und das Netzwerk bereitgestellt. Diese Ebene enthält die folgenden Komponenten:
Dateifreigabe zum Übertragen von Dateien zwischen Configuration Manager Komponenten.
Access Control Listen (ACLs), um Dateien und Registrierungsschlüssel zu schützen.
Internetprotokollsicherheit (Internet Protocol Security, IPsec), um die Kommunikation zu schützen.
Gruppenrichtlinie zum Festlegen der Sicherheitsrichtlinie.
DCOM-Berechtigungen (Distributed Component Object Model) für verteilte Anwendungen, z. B. die Configuration Manager-Konsole.
Active Directory Domain Services, um Sicherheitsprinzipale zu speichern.
Windows-Kontosicherheit, einschließlich einiger Gruppen, die während des Setups erstellt Configuration Manager.
Netzwerkinfrastruktur
Netzwerksicherheitskomponenten wie Firewalls und Angriffserkennung tragen dazu bei, die gesamte Umgebung zu schützen. Zertifikate, die von branchenüblichen PKI-Implementierungen (Public Key Infrastructure) ausgestellt werden, helfen bei der Authentifizierung, Signatur und Verschlüsselung.
Configuration Manager Sicherheitskontrollen
Standardmäßig verfügen nur lokale Administratoren über Rechte für die Dateien und Registrierungsschlüssel, die die Configuration Manager Konsole auf Computern benötigt, auf denen Sie sie installieren.
SMS-Anbieter
Die nächste Sicherheitsebene basiert auf dem Zugriff auf den SMS-Anbieter. Der SMS-Anbieter ist eine Configuration Manager Komponente, die einem Benutzer Zugriff zum Abfragen von Informationen in der Standortdatenbank gewährt. Der SMS-Anbieter macht den Zugriff hauptsächlich über die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) verfügbar, aber auch über eine REST-API, die als Verwaltungsdienst bezeichnet wird.
Standardmäßig ist der Zugriff auf den Anbieter auf Mitglieder der lokalen Gruppe SMS-Administratoren beschränkt. Diese Gruppe enthält zunächst nur den Benutzer, der Configuration Manager installiert hat. Um anderen Konten die Berechtigung für das CIM-Repository (Common Information Model) und den SMS-Anbieter zu erteilen, fügen Sie die anderen Konten der Gruppe SMS-Administratoren hinzu.
Sie können die mindeste Authentifizierungsebene für Administratoren für den Zugriff auf Configuration Manager Websites angeben. Dieses Feature erzwingt, dass sich Administratoren mit der erforderlichen Ebene bei Windows anmelden. Weitere Informationen finden Sie unter Planen des SMS-Anbieters.
Berechtigungen für Standortdatenbanken
Die letzte Sicherheitsebene basiert auf Berechtigungen für Objekte in der Standortdatenbank. Standardmäßig können das lokale Systemkonto und das Benutzerkonto, das Sie zum Installieren Configuration Manager verwendet haben, alle Objekte in der Standortdatenbank verwalten. Erteilen und Einschränken von Berechtigungen für andere Administratoren in der Configuration Manager-Konsole mithilfe der rollenbasierten Verwaltung.
Rollenbasierte Administration
Configuration Manager verwendet die rollenbasierte Verwaltung, um Objekte wie Sammlungen, Bereitstellungen und Websites zu schützen. Dieses Verwaltungsmodell definiert und verwaltet hierarchieweite Sicherheitszugriffseinstellungen für alle Standorte und Standorteinstellungen zentral.
Ein Administrator weist Administratoren und Gruppenberechtigungen Sicherheitsrollen zu. Die Berechtigungen sind mit verschiedenen Configuration Manager Objekttypen verbunden, z. B. zum Erstellen oder Ändern von Clienteinstellungen.
Sicherheitsbereiche umfassen bestimmte Instanzen von Objekten, für die ein Administrator zuständig ist. Beispielsweise eine Anwendung, die die Configuration Manager-Konsole installiert.
Die Kombination aus Sicherheitsrollen, Sicherheitsbereichen und Sammlungen definiert die Objekte, die ein Administrator anzeigen und verwalten kann. Configuration Manager installiert einige Standardsicherheitsrollen für typische Verwaltungsaufgaben. Erstellen Sie Ihre eigenen Sicherheitsrollen, um Ihre spezifischen Geschäftsanforderungen zu unterstützen.
Weitere Informationen finden Sie unter Grundlagen der rollenbasierten Verwaltung.
Schützen von Clientendpunkten
Configuration Manager sichert die Clientkommunikation mit Standortsystemrollen, indem entweder selbstsignierte Zertifikate oder PKI-Zertifikate oder Microsoft Entra Token verwendet werden. Einige Szenarien erfordern die Verwendung von PKI-Zertifikaten. Beispiel: internetbasierte Clientverwaltung und für Clients mobiler Geräte.
Sie können die Standortsystemrollen konfigurieren, mit denen Clients eine Verbindung für die HTTPS- oder HTTP-Clientkommunikation herstellen. Clientcomputer kommunizieren immer mit der sichersten Methode, die verfügbar ist. Clientcomputer greifen nur dann auf die weniger sichere Kommunikationsmethode zurück, wenn Sie über Standortsystemrollen verfügen, die HTTP-Kommunikation zulassen.
Wichtig
Ab Configuration Manager Version 2103 sind Websites, die die HTTP-Clientkommunikation zulassen, veraltet. Konfigurieren Sie die Website für HTTPS oder erweitertes HTTP. Weitere Informationen finden Sie unter Aktivieren der Website für nur HTTPS oder erweitertes HTTP.
Weitere Informationen finden Sie unter Planen der Sicherheit.
Configuration Manager Konten und Gruppen
Configuration Manager verwendet das Lokale Systemkonto für die meisten Standortvorgänge. Einige Standortvorgänge ermöglichen die Verwendung eines Dienstkontos anstelle des Domänencomputerkontos des Standortservers. Bei einigen Verwaltungsaufgaben müssen Sie möglicherweise andere Konten erstellen und verwalten. Beispielsweise, um der Domäne während einer Tasksequenz für die Betriebssystembereitstellung beizutreten.
Configuration Manager erstellt während des Setups mehrere Standardgruppen und SQL Server Rollen. Möglicherweise müssen Sie computer- oder benutzerkonten manuell zu den Standardgruppen und SQL Server Rollen hinzufügen.
Weitere Informationen finden Sie unter In Configuration Manager verwendete Konten.
Datenschutz
Bevor Sie Configuration Manager implementieren, sollten Sie Ihre Datenschutzanforderungen berücksichtigen. Obwohl Unternehmensverwaltungsprodukte viele Vorteile bieten, da sie viele Clients effektiv verwalten können, kann sich diese Software auf die Privatsphäre der Benutzer in Ihrem organization auswirken. Configuration Manager enthält viele Tools zum Sammeln von Daten und Überwachen von Geräten. Einige Tools werfen möglicherweise Datenschutzbedenken in Ihrem organization auf.
Wenn Sie z. B. den Configuration Manager-Client installieren, werden standardmäßig viele Verwaltungseinstellungen aktiviert. Diese Konfiguration bewirkt, dass die Clientsoftware Informationen an den Configuration Manager Standort sendet. Der Standort speichert Clientinformationen in der Standortdatenbank. Die Clientinformationen werden nicht direkt an Microsoft gesendet. Weitere Informationen finden Sie unter Diagnose- und Nutzungsdaten.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für