Informationen zum vertrauenswürdigen Stammschlüssel
Letzte Aktualisierung: Februar 2009
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Bevor Clients eine Kommunikation herstellen, müssen sie den Verwaltungspunkt unabhängig vom Modus des Configuration Manager-Standorts authentifizieren. Dies hindert Angreifer daran, nicht autorisierte Verwaltungspunkte einzufügen und Clients an diese umzuleiten. Mit dem Verwaltungspunkt wird ein Zertifikat für die Signatur erstellt. Diese Zertifikat ist selbstsigniert und 99 Jahre gültig. Es wird im Zertifikatspeicher auf dem Verwaltungspunkt erstellt und gespeichert. Der Verwaltungspunkt erstellt dieses selbstsignierte Zertifikat immer, auch wenn der Standort im einheitlichen Modus ausgeführt wird und ein von einer PKI ausgestelltes Zertifikat aufweist.
Wenn Configuration Manager eine Meldung vom Verwaltungspunkt erhält, kann der Client mithilfe einiger Optionen überprüfen, ob die Meldung von einem gültigen Verwaltungspunkt gesendet wurde. Wenn Clients Active Directory-Domänendienste in der Gesamtstruktur des Standortservers abfragen können, können sie überprüfen, ob es sich um einen vertrauenswürdigen Verwaltungspunkt handelt. Wenn Clients Active Directory-Domänendienste nicht zur Überprüfung des Verwaltungspunkts abfragen können, verwenden sie den vertrauenswürdigen Stammschlüssel.
Was ist ein vertrauenswürdiger Stammschlüssel?
Mit dem vertrauenswürdigen Stammschlüssel können Clients die Authentizität des Verwaltungspunkts und Zertifikats überprüfen, wenn Active Directory-Domänendienste nicht abgefragt werden können. Jeder primäre Standortserver generiert einen vertrauenswürdigen Stammschlüssel, auch wenn der Standort im einheitlichen Modus ausgeführt wird und die Veröffentlichung in Active Directory-Domänendienste aktiviert ist. Wenn der primäre Standort mit einem übergeordneten Standort verbunden ist, wird der eigene vertrauenswürdige Stammschlüssel des untergeordneten Standorts gelöscht und der Schlüssel des übergeordneten Standorts verwendet. Die Funktion des vertrauenswürdigen Stammschlüssels ähnelt der eines Stammzertifikats in einer Public Key-Infrastruktur, in der alle vom privaten Schlüssel des vertrauenswürdigen Stammschlüssels signierten Elemente in der Hierarchie abwärts als vertrauenswürdig angesehen werden. Indem Clients das Verwaltungspunktzertifikat mit dem privaten Schlüssel des vertrauenswürdigen Stammschlüsselpaars signieren und eine Kopie des öffentlichen Schlüssels des für Clients verfügbaren vertrauenswürdigen Stammschlüsselpaars erstellen, können Clients zwischen gültigen und nicht autorisierten Verwaltungspunkten unterscheiden. Clients benötigen den vertrauenswürdigen Stammschlüssel nur, wenn sie im globalen Katalog keine Configuration Manager 2007-Informationen abfragen können, weil sie sich in einer Arbeitsgruppe oder einer Remotegesamtstruktur befinden oder weil das Active Directory-Domänendiensteschema nicht für Configuration Manager 2007 erweitert ist. Der vertrauenswürdige Stammschlüssel ist in WMI im Namespace „root\ccm\locationservices“ gespeichert.
Wie erhalten Verwaltungspunkte den vertrauenswürdigen Stammschlüssel?
Beim Erstellen eines neuen Verwaltungspunkts wird unabhängig vom Standortmodus im Zertifikatspeicher ein selbstsigniertes Zertifikat erstellt. Im gemischten Modus wird das selbstsignierte Zertifikat dann in der Registrierung gespeichert. Im einheitlichen Modus wird das von der PKI ausgestellte Verwaltungspunktzertifikat in der Registrierung gespeichert. Der Standortkomponenten-Manager sammelt das Zertifikat aus der Registrierung und sendet es an den Standortserver. Wenn der Standortserver nicht der zentrale Standort ist, wird das Zertifikat in der Hierarchie weiter nach oben zum zentralen Standort geleitet, der den vertrauenswürdigen Stammschlüssel enthält. Der zentrale Standortserver signiert das Zertifikat des Verwaltungspunkts mit dem privaten vertrauenswürdigen Stammschlüssel und sendet es zusammen mit einer Kopie des öffentlichen vertrauenswürdigen Stammschlüssels in der Hierarchie wieder nach unten zum Verwaltungspunkt. Wenn der Verwaltungspunkt die Kopie des öffentlichen vertrauenswürdigen Stammschlüssels erhält, signiert er den vertrauenswürdigen Stammschlüssel mit dem eigenen privaten Schlüssel. Diese Vorgehensweise erleichtert die Wiederherstellbarkeit, wie im Abschnitt weiter unten beschrieben wird. Zu diesem Zeitpunkt verfügt der Verwaltungspunkt über mehrere Schlüssel, die in Verbindung mit dem vertrauenswürdigen Schlüssel verwendet werden:
Das Zertifikat des Verwaltungspunkts (für den gemischten Modus selbstsigniert oder für den einheitlichen Modus von der PKI ausgestellt)
Das vom vertrauenswürdigen Stammschlüssel signierte Zertifikat des Verwaltungspunkts
Eine Kopie des öffentlichen vertrauenswürdigen Schlüssels vom zentralen Standort
Eine vom privaten Schlüssel des Verwaltungspunkts signierte Kopie des öffentlichen vertrauenswürdigen Schlüssels
Wie authentifizieren Clients den Verwaltungspunkt?
Der Client speichert den folgenden Schlüssel und die folgenden Zertifikatinformationen in Klassen im WMI:
Informationen zu jedem Verwaltungspunkt in der Verwaltungspunktliste, einschließlich Verwaltungspunktzertifikat
Die Kopie des öffentlichen vertrauenswürdigen Stammschlüssels
Die Liste der Verwaltungspunkte, mit denen der Client kommuniziert
Hinweis
Wenn sich der Verwaltungspunkt in einem NLB-Cluster befindet, enthält die Liste mit für den Client vertrauenswürdigen Verwaltungspunkten alle Standortsysteme im Cluster. Wenn dieser Standort keinen NLB-Cluster aufweist, enthält die Liste nur die Standardverwaltungspunkte.
Wenn der Client eine Abfrage an den Verwaltungspunkt sendet, wird die Antwort überprüft. Der Client überprüft, ob der Verwaltungspunkt für den Standortcode in der Verwaltungspunktliste in der WMI enthalten ist. Wenn ja, ruft der Client das Verwaltungspunktzertifikat aus der WMI ab. Falls das Zertifikat gefunden wird, wird die Meldung bestätigt. Jede Meldung muss bestätigt werden, sonst wird sie verworfen.
Wenn der Client das Verwaltungspunktzertifikat nicht in der WMI gespeichert hat, wird überprüft, wann die Verwaltungspunktliste zum letzen Mal aktualisiert wurde. Wenn die letzte Aktualisierung länger als fünf Minuten zurück liegt, ruft der Client eine neue Verwaltungspunktliste ab. Wenn in der WMI keine Verwaltungspunktliste enthalten ist, muss der Client ebenfalls einen Verwaltungspunkt abrufen. Von welchem Ort der Client die Liste mit Verwaltungspunkten abruft, hängt vom Clientmodus ab und davon, ob Sie das Active Directory-Domänendiensteschema für Configuration Manager 2007 erweitert haben.
Der Client kann in einem von drei Modi konfiguriert werden, indem Sie die Clientinstallation mit der Installationseigenschaft SMSDIRECTORYLOOKUP=<Switch> ausführen. In der folgenden Tabelle wird jeder Modus und der zugehörige Verwaltungspunkt-Authentifizierungsprozess beschrieben.
| Modus | Switch | Verwaltungspunkt-Authentifizierungsprozess |
|---|---|---|
Nur Active Directory |
NOWINS |
In diesem Modus kann der Client keine Verwaltungspunktliste von WINS abrufen. Wenn der Client die Liste nicht vom globalen Katalogserver oder DNS abrufen kann, kann die Abfrage nicht ausgeführt werden und der Client nicht mit dem Verwaltungspunkt kommunizieren. |
Sicherer WINS |
WINSSECURE |
In diesem Modus versucht der Client zuerst, die Liste mit den Verwaltungspunkten von Active Directory-Domänendienste abzurufen. Wenn der Abruf erfolglos bleibt, sucht der Client mit WINS den Standardverwaltungspunkt des Standorts und fordert dann die Verwaltungspunktliste vom Standardverwaltungspunkt an. Darüber hinaus fordert der Client das Zertifikat vom Standardverwaltungspunkt an und überprüft anschließend, ob es vom vertrauenswürdigen Stammschlüssel signiert wurde. Hierzu wird die Kopie des vertrauenswürdigen Stammschlüssels in der WMI überprüft. Ein gültiges Zertifikat ist für den Client vertrauenswürdig und kann zum Überprüfen von Meldungen vom Verwaltungspunkt verwendet werden. Wenn die Signatur auf dem Verwaltungspunktzertifikat nicht mit der Kopie des vertrauenswürdigen Stammschlüssels übereinstimmt, wird die Meldung dieses Verwaltungspunkts verworfen. |
Jeder WINS |
WINSPROMISCUOUS |
In diesem Modus ruft der Client die Liste mit den Verwaltungspunkten zuerst von Active Directory-Domänendienste ab. Wenn der Abruf erfolglos bleibt, sucht der Client mit WINS den Standardverwaltungspunkt des Standorts und fordert dann die Verwaltungspunktliste vom Standardverwaltungspunkt an. Der Client vertraut dem Verwaltungspunkt ohne weitere Zertifikatüberprüfung. |
Wenn kein Switch angegeben ist, wird der Client im sicheren WINS-Modus installiert. Der Modus „Nur Active Directory“ ist durch die zugrunde liegende Sicherheit des Active Directory-Domänendienste-Abfrageprozesses der sicherste Modus. Dieser Modus kann jedoch nur verwendet werden, wenn die Clients eine Abfrage an den globalen Katalog senden können. Er kann daher nicht für Clients in Remotegesamtstrukturen oder Arbeitsgruppen verwendet werden. Der Modus „Jeder WINS“ ist nicht sicher und wird daher nicht empfohlen.
Wie rufen Clients den vertrauenswürdigen Stammschlüssel ab?
Wenn die Active Directory-Domänendienste erweitert sind und die Veröffentlichung für Configuration Manager aktiviert ist, können Clients in der gleichen Gesamtstruktur wie der Standortserver die öffentliche Kopie des vertrauenswürdigen Stammschlüssels abrufen. Hierzu senden sie eine Abfrage an den globalen Katalogserver. Wenn der Client keine Startkopie des vertrauenswürdigen Stammschlüssels von Active Directory-Domänendienste abrufen kann, können Sie den vertrauenswürdigen Stammschlüssel für den Client bei der Clientinstallation im Voraus bereitstellen.
Was geschieht, wenn Clients keinen vertrauenswürdigen Stammschlüssel aufweisen?
Wenn Clients keinen vertrauenswürdigen Stammschlüssel aufweisen, akzeptieren sie den vertrauenswürdigen Stammschlüssel des ersten Verwaltungspunkts, mit dem sie kommunizieren. Dies bedeutet, dass ein Client an den Verwaltungspunkt eines Angreifers fehlgeleitet werden kann, an dem der Client möglicherweise eine Richtlinie des nicht autorisierten Verwaltungspunkts erhält. Ein solcher Angriff trägt die Handschrift eines technisch versierten Angreifers und kann nur innerhalb eines beschränkten Zeitraums auftreten, bevor der Client den vertrauenswürdigen Stammschlüssel von einem gültigen Verwaltungspunkt abruft. Um das Risiko zu reduzieren, dass Clients von einem Angreifer an einen nicht autorisierten Verwaltungspunkt fehlgeleitet werden, können Sie für den Client im Voraus einen vertrauenswürdigen Stammschlüssel bereitstellen. Weitere Informationen finden Sie unter Vorbereiten der Bereitstellung des vertrauenswürdigen Stammschlüssels auf Clients.
Hinweis
Reduzieren Sie das Risiko, dass neue Clients an einen nicht autorisierten Verwaltungspunkt fehlgeleitet werden, indem Sie für den Client im Voraus den vertrauenswürdigen Stammschlüssel bereitstellen, falls er keine Abfrage an Active Directory-Domänendienste senden kann.
Wie aktualisieren Clients den vertrauenswürdigen Stammschlüssel?
Nachdem der Client eine Kopie des vertrauenswürdigen Stammschlüssels erhalten hat, wird diese Kopie in der Registrierung gespeichert. Wenn bei der Authentifizierung einer Verwaltungspunkmeldung ein Fehler auftritt, aktualisiert der Client den vertrauenswürdigen Stammschlüssel, verwirft das aktuelle Verwaltungspunktzertifikat und erhält eine neue Kopie des vom vertrauenswürdigen Stammschlüssel signierten Verwaltungspunktzertifikats.
Wie werden Clients nach einem Fehler am zentralen Standort wiederhergestellt?
Wenn der zentrale Standortserver wiederhergestellt werden muss, wird ein neuer vertrauenswürdiger Stammschlüssel generiert. Die Zertifikate sämtlicher Verwaltungspunkte von anderen Standorten in der Hierarchie werden gesammelt, an den zentralen Standort gesendet, vom vertrauenswürdigen Stammschlüssel signiert und schließlich an jeden Verwaltungspunkt zurückgesendet. Da ein Client in einem anderen Standort den Verwaltungspunkt als vertrauenswürdig einstuft, wird der neue vertrauenswürdige Stammschlüssel akzeptiert. Wenn der Client eine Verbindung mit einem Verwaltungspunkt herstellt, der noch nicht als vertrauenswürdig eingestuft ist, und der Verwaltungspunkt nicht mit einer Abfrage der Active Directory-Domänendienste überprüft werden kann, werden Informationen von diesem Verwaltungspunkt nicht akzeptiert. Der Client wird erst verwaltet, wenn der Verwaltungspunkt überprüft werden kann.
Wenn der Client keine Verbindung mit einem vertrauenswürdigen Verwaltungspunkt herstellen kann, kann dies zu Problemen führen. Beispiel: Clients berichten möglicherweise an einen zentralen Standortserver, der auch der Verwaltungspunkt des Standorts ist, und dieser Standortserver ist nicht verfügbar. Diese Situation tritt oft in kleinen Bereitstellungen mit nur einem Standort auf, in denen der Standortserver alle Rollen des Standorts ausführt. Im Falle eines Systemfehlers auf dem Standortserver wird bei der Wiederherstellung des Standortservers ein neuer vertrauenswürdiger Stammschlüssel erstellt, und der Verwaltungspunkt erhält ein neues Zertifikat. Hierzu wird entweder ein selbstsigniertes Zertifikat für den gemischten Modus erstellt oder ein neues von der PKI ausgestelltes Zertifikat für den einheitlichen Modus abgerufen. Der Client verfügt weder über die Kopie des Verwaltungszertifikats noch die Kopie des vertrauenswürdigen Stammschlüssels und auch über keinen automatischen Mechanismus, um eine der Kopien abzurufen. Wenn der Client den Verwaltungspunkt nicht über die Active Directory-Domänendienste überprüfen kann, kann er erst dann mit dem Standort kommunizieren, wenn der Administrator entweder den alten vertrauenswürdigen Stammschlüssel vom Client entfernt und einen neuen vertrauenswürdigen Stammschlüssel im Voraus bereitstellt oder zulässt, dass der Client den Schlüssel vom ersten kontaktierten Verwaltungspunkt erhält.
Wie soll bei einem kompromittierten vertrauenswürdigen Stammschlüssel vorgegangen werden?
Clients, die Active Directory-Domänendienste abfragen können, sind nicht auf den vertrauenswürdigen Stammschlüssel angewiesen. Eine Beschädigung stellt daher kein großes Sicherheitsrisiko dar. Die Ausführung im einheitlichen Modus erfordert ein von der PKI ausgestelltes Zertifikat für den Verwaltungspunkt, sodass ein beschädigter vertrauenswürdiger Stammschlüssel im einheitlichen Modus weniger risikoreich als im gemischten Modus ist.
Wenn Sie vermuten, dass der vertrauenswürdige Stammschlüssel kompromittiert ist, sollten Sie die Standortüberwachungs-Clientstatusmeldungen auf Anzeichen für nicht autorisierte Standortaktivitäten überprüfen, z. B. nicht erkannte ausgeführte Pakete.
Wenn Sie den zentralen Standortserver neu installieren und wiederherstellen, wird ein neuer vertrauenswürdiger Stammschlüssel generiert. Wenn Sie die Standorthierarchie neu strukturieren und ein untergeordneter Standort als neuer zentraler Standort festgelegt wird, erstellt Configuration Manager 2007 einen neuen vertrauenswürdigen Stammschlüssel für die Hierarchie. Sie können im Voraus festlegen, dass Clients den neuen vertrauenswürdigen Stammschlüssel verwenden (weiter oben beschrieben). Für das Netzwerk besteht jedoch weiterhin das Risiko, dass ein Angreifer Hintertüren im System hinterlassen hat. Um eine Gefährdung des vertrauenswürdigen Stammschlüssels vollständig auszuschließen, sollten Sie alle Standortserver, Verwaltungspunkte und Clientcomputer neu installieren.
Informationen zum vertrauenswürdigen Stammschlüssel bei der Betriebssystembereitstellung
Nachdem für einen Verteilungspunkt eine Multicast-Unterstützung aktiviert wurde, wird vom Verteilungspunkt ein selbstsigniertes Zertifikat im lokalen Zertifikatsspeicher erstellt und die Zertifikatssignatur in die Registrierung geschrieben. Die Signatur wird vom Standortkomponenten-Manager in der Registrierung entdeckt und, da sie nicht vom vertrauenswürdigen Stammschlüssel signiert ist, an den Hierarchie-Manager weitergeleitet, um eine Signatur des vertrauenswürdigen Stammschlüssels des Standorts zu erhalten. Nachdem die Zertifikatssignatur mit dem vertrauenswürdigen Stammschlüssel signiert wurde, wird die Signatur erneut in der Registrierung gespeichert. Nach der Signaturvergabe ist der Verteilungspunkt zur Unterstützung von Multicast-Clients bereit. Wenn das selbstsignierte Zertifikat abläuft, wird vom Verteilungspunkt ein neues Zertifikat erstellt und der Prozess der Signaturvergabe erneut eingeleitet.
Siehe auch
Tasks
Vorbereiten der Bereitstellung des vertrauenswürdigen Stammschlüssels auf Clients
Entfernen des vertrauenswürdigen Stammschlüssels
Überprüfen des vertrauenswürdigen Stammschlüssels
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com