Bewährte Methoden zum Schützen von internetbasierten Clients

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Mit Microsoft System Center Configuration Manager 2007 können Sie Clients verwalten, die keine Verbindung mit Ihrem internen Netzwerk über DFÜ oder VPN-Technologie herstellen. Einerseits kann das Verwalten solcher Clients zu einer Erhöhung ihrer Sicherheit beitragen, andererseits müssen Sie jedoch Ihre Configuration Manager 2007-Infrastruktur dazu so konfigurieren, dass ein Teil Ihrer Standortsysteme per Internetkommunikation erreichbar ist. Wenn Sie internetbasierte Clients unterstützen möchten, müssen Sie den einheitlichen Modus von Configuration Manager 2007 verwenden, weil durch die Verwendung diese Modus ein Teil der Risiken minimiert wird, die sich aus der Erreichbarkeit über das Internet ergeben.

Verwenden Sie SSL-zu-SSL-Bridging und einen SSL-Tunnelabschluss mit Authentifizierung.     Der Vorteil eines SSL-Tunnelabschlusses beim Proxywebserver liegt darin, dass die Datenpakete aus dem Internet einer Überprüfung unterzogen werden, bevor sie ins interne Netzwerk weitergeleitet werden. Der Proxywebserver authentifiziert die vom Client eingehende Verbindung, beendet sie und öffnet eine neue authentifizierte Verbindung mit dem internetbasierten Standortsystem. Wenn Configuration Manager-Clients einen Proxywebserver verwenden, wird die Clientidentität (Client-GUID) sicher als Bestandteil der Paketnutzdaten transportiert, sodass der Verwaltungspunkt den Proxywebserver nicht als Client ansieht. Sollte Ihr Proxywebserver die Voraussetzung für die Unterstützung von SSL-Bridging erfüllen, steht Ihnen als weitere Möglichkeit die Verwendung von SSL-Tunneling zur Verfügung. Diese Option ist weniger sicher, da die SSL-Pakete aus dem Internet ohne Tunnelabschluss an die Standortsysteme weitergeleitet werden und daher nicht auf schädliche Inhalte überprüft werden können.

Verwenden Sie Active Directory zur Bereitstellung von Standortserver-Signaturzertifikaten.    Es gibt für die Clients drei Möglichkeiten, Standortserver-Signaturzertifikate zu erhalten: durch gemeinsame Installation mithilfe des Parameters SMSSIGNCERT, durch Abfragen der Active Directory-Domänendienste oder automatisches Abrufen beim Verwaltungspunkt. Von den drei Lösungen ist die automatische Bereitstellung mit dem Verwaltungspunkt die Lösung mit dem höchsten Risiko. Sie sollte nur verwendet werden, wenn die Sicherheit des Verwaltungspunkts gewährleistet ist. Beispiel: Ein Verwaltungspunkt in einem Umkreisnetzwerk, der Internetverbindungen für die internetbasierte Clientverwaltung zulässt, gilt als weniger sicher als ein Verwaltungspunkt innerhalb eines Intranets, der nur Verbindungen von Intranetclients zulässt. Das automatische Bereitstellen einer Kopie des Standortserver-Signaturzertifikats über den Verwaltungspunkt kann jedoch eine geeignete Lösung sein, wenn der Verwaltungspunkt nur Verbindungen von Intranetclients zulässt und Sie den Verwaltungsaufwand einer manuellen Bereitstellung vermeiden möchten. Weitere Informationen finden Sie unter Entscheiden, wie das Standortserver-Signaturzertifikat den Clients bereitgestellt werden soll (einheitlicher Modus).

Erstellen Sie keine Verteilungspunktfreigaben oder Zweigverteilungspunkte auf internetbasierten Clients.     Configuration Manager 2007 verhindert zwar nicht das Erstellen eines Verteilungspunkts oder einer Verteilungspunktfreigabe auf einem internetbasierten Client, dadurch wird jedoch Ihre Angriffsfläche erhöht, und daher sollte es vermieden werden. Erstellen Sie Verteilungspunkte nur auf Standortsystemen, die innerhalb des Intranets oder des Umkreisnetzwerks verwaltet werden können.

Verwenden Sie keine Standortsysteme, die Umkreisnetzwerk und Intranet verbinden.    Es ist zwar möglich, die Serverplatzierung für internetbasierte Clients so zu konfigurieren, dass alle benötigten Standortsysteme mehrfach vernetzt und sowohl mit dem Umkreisnetzwerk als auch mit dem Intranet verbunden sind, diese Konfiguration ist jedoch nicht empfehlenswert, da in diesem Fall zwischen Umkreisnetzwerk und Intranet keine Sicherheitsgrenze vorhanden ist. Es gibt eine Reihe anderer Möglichkeiten, die wesentlich sicherer sind, als das Überbrücken der Umkreisnetzwerkgrenze. Weitere Informationen finden Sie unter Bestimmen der Serverplatzierung für die internetbasierte Clientverwaltung.

Datenschutzinformationen

Aktivieren Sie bei der Bereitstellung des Configuration Manager 2007-Clients Client-Agents, um Configuration Manager 2007-Features verwenden zu können. Die Einstellungen, die Sie zum Konfigurieren der Features verwenden, gelten für alle Clients des Standorts, einschließlich der mit dem Internet verbundenen Clients, die niemals eine direkte Verbindung mit dem Unternehmensnetzwerk herstellen. Wenn Sie beispielsweise eine Inventur für den Standort konfigurieren, würde diese Inventur auch auf den internetbasierten Homeoffice-Computer von Mitarbeitern ausgeführt werden. Clientinformationen werden in der Datenbank gespeichert und nicht an Microsoft zurückgesendet. Berücksichtigen Sie beim Konfigurieren des Configuration Manager 2007-Clients Ihre Datenschutzanforderungen.

Siehe auch

Konzepte

Übersicht über die internetbasierte Clientverwaltung

Andere Ressourcen

Bewährte Sicherheitsmethoden für Configuration Manager

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com