Implementieren von IPsec in Configuration Manager 2007

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung – März 2008

Microsoft System Center Configuration Manager 2007 bietet eine solide Grundlage zur sicheren Verwaltung der Client-Server-Kommunikation im Intranet und über das Internet. Angreifer können jedoch auf verschiedene Weisen versuchen, in Ihr Netzwerk einzudringen. Die Verwendung von IPsec bietet einen gängigen Schutz vor den unterschiedlichsten Arten von Angriffen. Configuration Manager 2007 wurde für den Einsatz in einer IPsec-Umgebung entwickelt und sollte verwendet werden, wenn Sie befürchten, dass Angreifer Ihre Netzwerkkommunikation abfangen, überwachen oder manipulieren könnten.

IPsec ermöglicht Ihnen die umfassende Steuerung der Kommunikationssicherheit. Zum effektiven Konfigurieren und Verwalten von IPsec-Richtlinien sowie zum Behandeln von Problemen sind fundierte Kenntnisse über IP-Netzwerke, Erfahrung mit der Verwaltung von Firewalls und dem Filtern von Routern sowie der Verwendung von Netzwerktools erforderlich. In diesem Dokument wird davon ausgegangen, dass Sie mit dem generellen Aufbau und der Implementierung von IPsec ausreichend vertraut sind.

Weitere Informationen zur Server- und Domänenisolation mithilfe von IPsec und der Gruppenrichtlinie finden Sie im Microsoft Download Center unter http://go.microsoft.com/fwlink/?LinkId=93073 (möglicherweise in englischer Sprache). Zusätzlich stehen eine Fallstudie zur IPsec-Bereitstellung sowie Erfahrungsberichte in einem technischen Whitepaper unter http://go.microsoft.com/fwlink/?LinkId=93074 zur Verfügung (möglicherweise in englischer Sprache).

Interaktion zwischen IPsec und der unterstützenden Infrastruktur

Configuration Manager 2007 erfordert die Verwendung zahlreicher von den Windows-Betriebssystemen bereitgestellter Standarddienste. Dazu gehören Namensauflösung, DHCP, RRAS, Volumenschattendienste und andere grundlegende Dienste, die für eine sichere Netzwerkumgebung erforderlich sind. Schenken Sie diesen Dienste und ihrer Verwendung in der Configuration Manager-Umgebung bei der Erstellung Ihrer IPsec-Richtlinien sorgfältige Beachtung.

Kommunikationspfade

Es gibt drei primäre Configuration Manager-Kommunikationspfade, die Sie mithilfe von IPsec schützen sollten.

  • Kommunikation zwischen Standorten

  • Kommunikation zwischen Standort und Standortsystem

  • Kommunikation zwischen Client und Standortsystem

Kommunikation zwischen Standorten

Die Kommunikation zwischen Standorten tritt in zwei Situationen ein:

  • Datenreplikation zwischen Standorten

  • Pushinstallation am sekundären Standort

Die Datenreplikation zwischen Standorten erfolgt, wenn ein Datenaustausch zwischen Standorten stattfindet, die in einer Hierarchie als übergeordnete und untergeordnete Standorte konfiguriert sind. Statusmeldungen, Inventurdaten und Zustandsmeldungen werden vom untergeordneten zum übergeordneten Standort übertragen. Softwareverteilungspakete, Softwareupdates, Netzwerkzugriffsrichtlinien, Abbilder von Betriebssystembereitstellungen, Tasksequenzen und Konfigurationsbasislinien-Zuweisungen werden vom übergeordneten an den untergeordneten Standort übertragen. Diese Kommunikation wird zwar von Configuration Manager 2007 signiert, jedoch nur verschlüsselt, wenn Sie IPsec aktivieren.

Wenn Sie einen sekundären Standort von der Configuration Manager 2007-Konsole des übergeordneten primären Standorts aus erstellen, werden die Dateien nur verschlüsselt, wenn Sie IPsec aktivieren. Die Verwendung von IPsec zwischen einem primären und einem sekundären Standort, der gerade installiert wird, sichert den anfänglichen Bootstrap-Kommunikationsprozess, einschließlich Konfigurationsdaten, die vom primären zum sekundären Standort gesendet werden.

Kommunikation zwischen Standortserver und Standortsystem

Die Kommunikation zwischen Standort und Standortsystem umfasst drei Hauptfunktionen:

  • Erste Bereitstellung der Standortsystemrolle

  • Konfiguration der Dienste

  • Übertragung der Konfigurations-, Status- und Vorgangsdaten

Die erste Bereitstellung der Standortsystemdienste erfolgt mithilfe der Remoteprozeduraufrufe (RPC) und die Übertragung von Daten mithilfe von SMB (Server Message Block). Obwohl im einheitlichen Modus Richtlinien mithilfe des Standortserver-Signaturzertifikats signiert und somit einige Angriffe auf die Kommunikation zwischen Standortserver und Standortsystemen vermieden werden, wird diese Kommunikation weder im gemischten noch im einheitlichen Modus gesichert. Sie sollten IPsec zum Schutz der Kommunikation zwischen Standortservern und Standortsystemen aktivieren, insbesondere, wenn die Kommunikation zwischen Standortsystemen (z. B. zwischen Active Directory-Gesamtstrukturen oder einem Umkreisnetzwerk und Ihrem Intranet) über eine Sicherheitsgrenze erfolgt.

IPsec schützt vor Angriffen, bei denen ein nicht autorisiertes Standortsystem die Identität eines gültigen Standortsystems annimmt und mithilfe der vertrauenswürdigen Verbindung die Steuerung des Standortservers oder der Standortsystemdatenbank übernimmt.

Kommunikation zwischen Client und Standortsystem

Wenn sich Ihr Configuration Manager 2007-Standort im einheitlichen Modus befindet, verwendet Configuration Manager 2007 Internetinformationsdienste (Internet Information Services, IIS) zum Erstellen einer sicheren SSL-Verbindung zwischen dem Client und einigen Standortsystemen, einschließlich des Verwaltungspunkts. Anderweitige Kommunikation, wie die Verbindung mit dem Fallbackstatuspunkt, wird jedoch nicht verschlüsselt. Befindet sich Ihr Standort im gemischten Modus, wird die nur teilweise Kommunikation verschlüsselt. Nur durch die Verwendung von IPsec können Sie sicherstellen, dass die gesamte Kommunikation zwischen Client und Standortsystemen in allen Modi signiert und verschlüsselt wird.

Weitere Informationen zur Verwendung von HTTP und HTTPS im gemischten und einheitlichen Modus finden Sie unter Clientkommunikation im gemischten und einheitlichen Modus.

Hinweis

Konfigurieren Sie keine IPsec-Richtlinien für die AMT-Kommunikation zwischen dem Standortsystemserver des Out-of-Band-Dienstpunkts und dem Computer, für den die Out-of-Band-Verwaltung verwendet werden soll.

IPsec-Richtlinienkonfiguration

Sie sollten eine IPsec-Richtlinie erstellen, die zwischen den angegebenen Endpunkten (Standortserver, Standortsysteme, Clients) ESP/3DES erfordert. Durch das Verschlüsseln von Paketschichten erhöht sich die CPU-Belastung dieser Systeme, sodass Sie die Leistung der Konfiguration vor der Bereitstellung im Labor testen sollten. Grenzen Sie den Zugriff auf die angegebenen Standortsysteme ein, indem Sie die Computer, die über IPsec-Internetschlüsselaustausch (Internet Key Exchange, IKE) authentifiziert werden können, mithilfe der Configuration Manager-IPsec-Richtlinie einschränken. Sie können den Zugriff auf Systeme auch mittels der Zertifikatauthentifizierung einer Zertifizierungsstelle (Certification Authority, CA) einschränken, die nur Zertifikate zur Verwendung mit IPsec in Configuration Manager ausstellt.

Mithilfe der unter Von Configuration Manager verwendete Ports bereitgestellten Portinformationen können Sie Netzwerkverkehrzuordnungen je nach Serverrollenkonfiguration jedes Computers Ihres Standorts vornehmen. Clientrollen werden auch angezeigt, wenn Sie IPsec zur Verschlüsselung der Kommunikation zwischen Client und Standortsystemen verwenden möchten oder den Configuration Manager 2007-Client auf Standortsystemen ausführen und den erforderlichen Verkehr genehmigen müssen.

Hinweis

Eine Aktualisierung auf Windows Server 2003 und Windows XP steht ebenfalls zur Verfügung, um die Erstellung und Wartung von IPsec-Filtern zu vereinfachen. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=93076 (möglicherweise in englischer Sprache).

IPsec auf Domänencontrollern

Bei der Konfiguration von IPsec auf Domänencontrollern müssen Sie weitere Aspekte berücksichtigen, die sich auf Ihre Configuration Manager 2007-IPsec-Richtlinien auswirken können, wenn Sie Ihre Standortrollen auf Domänencontrollern hosten. Weitere Informationen zur Konfiguration von IPsec zwischen Windows Server 2003-Mitgliedsservern und Windows Server 2003-Domänencontrollern finden Sie unter http://go.microsoft.com/fwlink/?LinkId=93078.

Standortserver, auf denen Clientkomponenten installiert sind

In Konfigurationen, in denen auf für IPsec konfigurierten Standortsystemen auch der Configuration Manager 2007-Client-Agent installiert und für den einheitlichen Modus konfiguriert ist, können Sie den Filter ändern, um HTTP- und HTTPS-Verkehr für die Configuration Manager 2007-Kommunikation und ICMP-Verkehr zur Diagnose zuzulassen. Diese Konfiguration sollte mithilfe einer Gruppenrichtlinie implementiert werden, die die IPsec-Richtlinie enthält.

Netzwerkdiagramm zur allgemeinen Bereitstellung für internetbasierte Server

In diesem Szenario wird von einem Configuration Manager 2007-Standort ausgegangen, der keine Intranetclients unterstützt und das Umkreisnetzwerk und Intranet umfasst. Alle internetbasierten Standortsysteme befinden sich im Umkreisnetzwerk und lassen Verbindungen mit Clients über das Internet zu. Der Standortserver und der Standortdatenbankserver befinden sich im Intranet. Der Verwaltungspunkt, der den internetbasierten Client unterstützt, kommuniziert mit einem Standortdatenbankreplikat im Umkreisnetzwerk.

Internetbasiertes Diagramm: Szenario 1b

In dieser gängigen Situation liegt eine Standardserver-Isolationskonfiguration vor. In dieser Konfiguration sollten die Verbindung zwischen dem Standortserver und den Standortsystemen sowie die Verbindung zwischen der Standortdatenbank und dem Verwaltungspunkt mit subnetzbasierten IPsec-Filtern konfiguriert werden. Wenn Sie subnetzbasierte Filter verwenden und keine eingehenden Sitzungen unterstützt werden müssen, die nicht mit IPsec verschlüsselt sind, können Sie eine IPsec-Richtlinie vom Typ Art „Jedes <->-Subnetz“ verwenden. Sie können entweder die Kerberos- oder die Computerzertifikatauthentifizierung verwenden. Die Computerzertifikatauthentifizierung wird empfohlen, wobei die Bereitstellung des Computerzertifikats zusätzlichen Administrationsaufwand erfordert und nicht von Configuration Manager 2007 verwaltet wird. Firewalls zwischen Standorten und Standortsystemen sollten so konfiguriert werden, dass ISAKMP-Verkehr (UDP-Port 500) und der UDP-Port 4500 zugelassen sind, wenn Sie NAT Traversal über die Firewall verwenden.

Die empfohlene IPsec-Richtlinie für diese Konfiguration lautet folgendermaßen:

  • IP-Filterliste:

    • Quelladresse <beliebige IP-Adresse>

    • Zieladresse <Ihr Subnetz>

  • Filteraktion: auf Keine unsichere Kommunikation zulassen festlegen

  • Authentifizierungsmethoden: auf Ein Zertifikat von folgender Zertifizierungsstelle verwenden festlegen

Weitere Einstellungen der Richtlinie sollten gemäß den Standards Ihres Unternehmens festgelegt werden.

Siehe auch

Konzepte

Bewährte Methoden zum Schützen der Kommunikation

Andere Ressourcen

Technische Referenz für Sicherheit in Configuration Manager

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com