Neuigkeiten bei der Sicherheit in Configuration Manager

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 enthält im Vergleich zu Systems Management Server (SMS) 2003 bedeutende Sicherheitsänderungen.

Configuration Manager 2007 verfügt über nur einen Sicherheitsmodus

In SMS 2003 bestand die Auswahl zwischen Standardsicherheit und erweiterter Sicherheit, wobei die erweiterte Sicherheit empfohlen wurde. In Configuration Manager 2007 steht lediglich ein Sicherheitsmodus zur Verfügung, der dem erweiterten Sicherheitsmodus in SMS 2003 entspricht. In SMS 2003 konnten einige Standorte nicht die erweiterten Sicherheitsanforderungen erfüllen, nach denen alle Standortsysteme zu einer Active Directory-Domäne gehören mussten. Dies ist jetzt eine Anforderung für das Ausführen von Configuration Manager 2007.

Bei der Installation eines neuen Standorts werden Sie nicht mehr aufgefordert, einen Sicherheitsmodus auszuwählen. Wenn Sie ein Upgrade von SMS 2003 ausführen, müssen Sie den Standort vor dem Ausführen des Setups für den erweiterten Sicherheitsmodus konvertieren. Nach der Konvertierung sollten Sie alle nicht benötigten Konten löschen. Weitere Informationen finden Sie unter Nach dem Aktualisieren von SMS 2003 zu löschende Konten. Außerdem sollten Sie überprüfen, ob die für Configuration Manager 2007 erforderlichen Konten vorhanden sind. Weitere Informationen finden Sie unter Checkliste für die Kontosicherheit in Configuration Manager.

Configuration Manager 2007 verfügt über zwei Standortmodi

Configuration Manager 2007 bietet die Auswahl zwischen dem einheitlichen Modus für Configuration Manager 2007 und dem gemischten Modus für Configuration Manager 2007. Der einheitliche Modus erfordert die Implementierung einer vorhandenen Public Key-Infrastruktur (PKI), bietet aber eine gegenseitige Authentifizierung zwischen Configuration Manager 2007-Clients und -Servern. Hierbei handelt es sich um die sicherste Option. Der gemischte Modus bietet Abwärtskompatibilität mit Hierarchien, die SMS 2003-Standorte unterstützen müssen, sowie für Organisationen, die nicht über die Ressourcen zur Bereitstellung einer PKI verfügen. Wenn Sie die Bereitstellung im gemischten Modus vornehmen, können Sie optional alle Clients manuell genehmigen, bevor sie dem Standort beitreten dürfen. Weiterhin können Sie alle in die Domäne eingebundenen Clients automatisch genehmigen lassen. Es ist möglich, alle Clients automatisch genehmigen zu lassen, unabhängig davon, ob sie zu einer vertrauenswürdigen Domäne gehören oder nicht, allerdings erhöht sich dadurch das Sicherheitsrisiko, da unbekannte Clients dem Standort beitreten können.

Configuration Manager 2007 unterstützt nur einen Clienttyp

In SMS 2003 gab es die Auswahl zwischen Legacyclient und erweitertem Client. Ab Version SMS 2003 SP1 konnte der Legacyclient lediglich auf Windows 98- oder Windows NT 4.0-Clients installiert werden. In Configuration Manager 2007 gibt es nur einen Client, nämlich den Configuration Manager 2007-Client. Er gleicht dem erweiterten Client in SMS 2003. Vor dem Aktualisieren auf System Center Configuration Manager 2007 müssen Sie alle Legacyclients aus der Standorthierarchie entfernen.

Configuration Manager 2007 unterstützt nur die Windows-Authentifizierung in SQL Server

In SMS 2003 wird SMS für den Zugriff auf den Standortdatenbankserver entweder mit der SQL Server-Authentifizierung konfiguriert, der bisherigen Standardsicherheit, oder mit der Windows-Authentifizierung, der bisherigen integrierten Sicherheit. Bei Verwendung der SQL Server-Authentifizierung musste für den Zugriff auf die Standortdatenbank eine SQL-Anmeldung für SMS angegeben werden. Configuration Manager 2007 unterstützt nur die Windows-Authentifizierung, sodass Configuration Manager 2007 für den Zugriff auf die Standortdatenbank das Computerkonto des Standortservers verwendet. Für eine verbesserte Steuerung des Configuration Manager 2007-Zugriffs auf SQL Server wurden mehrere Datenbankrollen hinzugefügt.

Sichere Kommunikation zwischen Standorten

In SMS 2003 konnten Sie auswählen, ob ein Standort nicht signierte Daten von einem anderen Standort akzeptieren konnte. In Configuration Manager 2007 müssen alle zwischen Standorten übertragenen Daten signiert sein. Diese Anforderung kann nicht deaktiviert werden.

Außerdem war in SMS 2003 der sichere Schlüsselaustausch zwischen Standorten nicht standardmäßig aktiviert. In Configuration Manager 2007 ist bei Neuinstallationen die Anforderung für einen sicheren Schlüsselaustausch zwischen Standorten standardmäßig aktiviert.

Die Clientpushinstallation kann das Konto „Computer$“ verwenden

Selbst wenn Ihr SMS 2003-Standort erweiterte Sicherheit verwendete, mussten Sie für die Clientpushinstallation ein Benutzerkonto konfigurieren. Wenn in Configuration Manager 2007 kein Benutzerkonto konfiguriert ist, versucht Configuration Manager 2007, auf das Konto Computer$ des Standortservers zuzugreifen. Wenn keine Clientpushinstallationskonten definiert sind und das Konto Computer$ nicht über Administratorrechte für den Clientcomputer verfügt, kann die Clientpushinstallation nicht ausgeführt werden.

Wichtig

Es wird nicht empfohlen, das Konto Computer$ des Standortservers der globalen Gruppe „Domänen-Admins“ hinzuzufügen, da hierdurch übermäßig hohe Rechte entstehen. Eine bessere Alternative ist, das Konto Computer$ einer anderen globalen Gruppe hinzuzufügen und anschließend die globale Gruppe mithilfe der Gruppenrichtlinie der lokalen Gruppe „Administratoren“ als eingeschränkte Gruppe hinzuzufügen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 320065, „Konfigurieren einer globalen Gruppe als Mitglied der Gruppe „Administratoren“ auf allen Arbeitsstationen“ (maschinell übersetzter Artikel).

Sicherheitskonfigurations-Assistent sichert Standortrollen

Ab Version Windows Server 2003 SP1 bietet der Sicherheitskonfigurations-Assistent (Security Configuration Wizard, SCW) eine Serverhärtung auf Grundlage der vom Server ausgeführten Rollen. Configuration Manager 2007-Vorlagen können SCW hinzugefügt werden und stellen die empfohlene Sicherheitskonfiguration für Configuration Manager 2007-Standortsystemrollen bereit. Durch Ausführen des SCW werden die vorherigen Sicherheitsempfehlungen ersetzt, nach denen IIS Lockdown und URLScan für Configuration Manager 2007-Rollen ausgeführt werden sollten, die IIS erfordern. Da der SCW eine automatisierte Möglichkeit zum Sichern von Servern darstellt, werden die manuellen Härtungschecklisten für IIS und SQL in „Szenarios und Prozeduren für SMS 2003: Sicherheit“ nicht mehr bereitgestellt.

Bevor der SCW auf dem Standortserver und den Standortsystemen ausgeführt werden kann, müssen Sie die Configuration Manager 2007 SCW-Vorlage installieren, die im Configuration Manager 2007-Toolkit (https://go.microsoft.com/fwlink/?LinkId=93071) enthalten ist.

Administratoren haben nach einer Aktualisierung keinen Zugriff auf alle Objekte

Nach einer Aktualisierung hat der Benutzer, der das Upgrade durchführte, Zugriff auf alle Objekte in der Configuration Manager 2007-Konsole, vorhandene Administratoren dagegen haben lediglich Zugriff auf Objekte, die bereits vor der Aktualisierung vorhanden waren. Das gilt selbst für Softwareupdateobjekte. Benutzern, die Vollzugriff auf alle SMS 2003-Softwareupdateobjekte hatten, wird Vollzugriff auf dieselben Objekte in Configuration Manager 2007 gewährt, jedoch kein Zugriff auf neue Objekte wie Vorlagen.

Kontoänderungen

Da Standardsicherheit und der Legacyclient in Configuration Manager 2007 nicht verwendet werden, sind alle mit diesen Konfigurationen verbundenen Konten nicht mehr erforderlich. Configuration Manager 2007 erstellt während des Setups oder bei der Clientinstallation keine Benutzerkonten. In Configuration Manager 2007 werden mehrere neue Konten, die in der nachfolgenden Tabelle beschrieben sind, eingeführt.

Kontoname Verwendung

Standortsystem-Installationskonto

Installation und Konfiguration von Standortsystemen

Konto zum Veröffentlichen der Integritätszustandsreferenz

Netzwerkzugriffsschutz-Veröffentlichung in Active Directory-Domänendiensten

Konto zum Abfragen der Integritätszustandsreferenz

Netzwerkzugriffsschutz-Abfrage von Active Directory-Domänendiensten

Konto für die Erfassung des Betriebssystemabbilds

Erfassen von Abbildern für Betriebssystembereitstellungen

Proxyserverkonto für Softwareupdatepunkt

Synchronisieren des Softwareupdatekatalogs, wenn Ihr Proxyserver eine Authentifizierung erfordert

Tasksequenz-Editor-Domänenbeitrittskonto

Tasksequenzen für Betriebssystembereitstellungen, die einen Sicherheitskontext zum Domänenbeitritt erfordern

Proxykonto für internetbasierte Clients

Internetbasierte Clients, die sich beim Zugriff auf das Internet bei einem Proxyserver authentifizieren müssen

Die Gruppe „SMS_SiteSystemToSQLConnection“ ist nicht mehr erforderlich, da der Datenbankzugriff durch SQL Serverrollen kontrolliert wird, die beim Configuration Manager 2007-Setup automatisch erstellt werden. Weitere Informationen finden Sie unter Informationen zu Datenbankrollen für Configuration Manager.

Die neue Gruppe „ConfigMgr-Remotesteuerungsbenutzer“ wurde hinzugefügt und enthält die Mitglieder der Liste der zugelassenen Viewer.

Siehe auch

Konzepte

Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Softwareverteilung
Neuigkeiten in Configuration Manager 2007

Andere Ressourcen

Konten und Gruppen in Configuration Manager
Sicherheit und Datenschutz für Configuration Manager 2007

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com