Übersicht über kryptographische Steuerelemente in Configuration Manager

Letzte Aktualisierung: Oktober 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Zum Schutz von Daten im Netzwerk können Sie die Daten signieren, sodass sie bei einer Änderung während der Übertragung verworfen werden. Sie können Daten auch verschlüsseln, damit ein Angreifer sie nicht mithilfe eines Netzwerkprotokoll-Analyseprogramms wie Network Monitor lesen kann. Microsoft System Center Configuration Manager 2007 verwendet im gemischten und einheitlichen Modus sowohl die Signatur als auch die Verschlüsselung von Daten, wie im Folgenden beschrieben.

Kryptographische Steuerelemente in allen Standortmodi

Bestimmte Informationen in Configuration Manager 2007 können unabhängig vom Standortmodus signiert und verschlüsselt werden.

Hashwert der Inhalte

Der Verteilungs-Manager-Dienst des Standortservers erstellt einen Hashwert für die Inhaltsdateien aller Pakete. Der Richtlinienanbieter bindet den Hashwert in die Softwareverteilungsrichtlinie ein. Wenn die Ankündigung beim Herunterladen des Inhalts durch den Client auf Inhalt vom Verteilungspunkt herunterladen und lokal ausführen festgelegt ist, wird der Hashwert lokal generiert und mit dem der Richtlinie verglichen. Stimmen die Hashwerte überein, wurde der Inhalt nicht geändert, und der Client kann mit der Installation beginnen. Wurde ein Byte der Software geändert, stimmen die Hashwerte nicht überein, und die Software wird nicht installiert. Zusätzlich wird mithilfe dieser Überprüfung sichergestellt, dass die korrekte Software installiert wird, da der tatsächliche Inhalt mit der Richtlinie verglichen wird. Ist die Ankündigung jedoch auf Programm vom Verteilungspunkt ausführen festgelegt, überprüft der Client den Hashwert nicht.

Hashrichtlinie

Wenn Configuration Manager 2007-Clients eine Richtlinie anfordern, erhalten sie zunächst eine Richtlinienzuordnung, sodass sie wissen, welche Richtlinien auf sie zutreffen, und fordern dann nur diese Richtlinientexte an. Jede Richtlinienzuordnung enthält den errechneten Hashwert für den entsprechenden Richtlinientext. Der Client ruft die entsprechenden Richtlinientexte ab und berechnet aufgrund dieses Texts dann den Hashwert. Stimmt der Hashwert des heruntergeladenen Richtlinientexts nicht mit dem Hashwert der Richtlinienzuordnung überein, wird der Richtlinientext verworfen.

Signieren von Daten zur Verwaltung gewünschter Konfigurationen

Vor dem Importieren von Konfigurationsdaten durch Configuration Manager 2007 wird damit die digitale Signatur der Datei überprüft. Wenn die Dateien nicht signiert wurden oder bei der Überprüfung der digitalen Signatur ein Fehler auftritt, erhalten Sie eine Warnung und werden aufgefordert, mit dem Import fortzufahren. Sie sollten mit dem Import der Konfigurationsdaten nur fortfahren, wenn Sie dem Herausgeber und der Integrität der Daten wirklich vertrauen.

Signatur und Verschlüsselung zwischen Standorten

Die Standortsteuerungsdatei enthält alle Konfigurationseigenschaften eines Standorts und jeglicher untergeordneter Standorte. Wenn ein Administrator die Konfiguration eines untergeordneten Standorts ändert, sendet der übergeordnete Standort die Änderungen in Form einer Standortsteuerungsdatei an den Server des untergeordneten Standorts. Wenn der Administrator eines untergeordneten Standorts die Konfiguration ändert, werden die Änderungen in Form einer Standortsteuerungsdatei an den übergeordneten Standort gesendet. Untergeordnete Standorte senden an übergeordnete Standorte auch Daten wie Inventur- und Statusdaten, während übergeordnete Standorte an untergeordnete Standorte Daten wie Pakete und Sammlungsdefinitionen senden.

Vor der Versendung von Daten zwischen Standorten generiert der sendende Standortserver einen Hashwert und signiert ihn mit seinem privaten Schlüssel. Der empfangende Standortserver prüft die Signatur mithilfe des öffentlichen Schlüssels und vergleicht den Hashwert mit einem lokal erstellten Wert. Stimmen die Werte überein, akzeptiert der empfangende Standort die Standortsteuerungsdatei. Stimmen die Werte nicht überein, wird die Standortsteuerungsdatei abgelehnt.

Mithilfe einer entsprechenden Konfiguration kann Configuration Manager 2007 automatisch die Schlüssel für die Kommunikation zwischen Standorten an den übergeordneten oder untergeordneten Standort verteilen, auch wenn der Kommunikationskanal nicht sicher ist. Wenn Sie eine Neuinstallation durchführen, ist die Option Sicherer Schlüsselaustausch erforderlich standardmäßig aktiviert, während die aktuelle Einstellung bei einer Aktualisierung beibehalten wird.

Nachdem Sicherer Schlüsselaustausch erforderlich aktiviert wurde, kann der öffentliche Schlüssel für die Kommunikation zwischen Standorten auf zweierlei Weise ausgetauscht werden:

• Wenn das Active Directory-Domänendiensteschema für Configuration Manager 2007 erweitert wurde und Configuration Manager 2007 zum Veröffentlichen in Active Directory berechtigt ist, veröffentlicht der Standortserver seinen öffentlichen Schlüssel für die Kommunikation zwischen Standorten automatisch in seinem Standortobjekt im Systemverwaltungscontainer.

• Wenn das Active Directory-Schema nicht aktiviert wurde oder wenn Configuration Manager 2007 nicht zum Veröffentlichen in Active Directory berechtigt ist, muss der Configuration Manager 2007-Administrator den öffentlichen Schlüssel mithilfe des Befehls „Preinst“ sichern und dann manuell auf den Zielstandort kopieren.

  Wichtig

  Der automatische Schlüsselaustausch ist zwischen Gesamtstrukturen nicht möglich. Umfasst die Standorthierarchie Grenzen der Gesamtstruktur, muss der Administrator die Schlüssel manuell austauschen, auch wenn beide Gesamtstrukturen das Schema erweitert haben und von Configuration Manager 2007 in Active Directory veröffentlicht wird.

Einige Informationen in der Standortsteuerungsdatei sind verschlüsselt, die Standortsteuerungsdatei selbst ist jedoch bei der Übertragung zwischen Standorten unverschlüsselt. Sie sollten die Verschlüsselung der Kommunikation zwischen Standorten mithilfe von IPsec aktivieren. Weitere Informationen finden Sie unter Implementieren von IPsec in Configuration Manager 2007.

Signieren und Verschlüsseln der Inventur

Die Inventur wird für Computer, unabhängig vom Modus, immer signiert. Für mobile Geräte wird sie jedoch nur im einheitlichen Modus signiert. Im gemischten Modus ist die Verschlüsselung optional, jedoch empfohlen. Weitere Informationen finden Sie unter Verschlüsseln von Clientinventurberichten.

Zustandsmigrationsverschlüsselung

Daten, die auf Zustandsmigrationspunkten für die Betriebssystembereitstellung gespeichert werden, werden stets verschlüsselt.

Signieren von Softwareupdates

Alle Softwareupdates müssen zum Schutz vor Manipulation von einem vertrauenswürdigen Herausgeber signiert werden. Windows Update Agent (WUA) überprüft Clientcomputer auf die Updates aus dem Katalog, installiert ein Update jedoch nur, wenn das digitale Zertifikat im Speicher des vertrauenswürdigen Herausgebers auf dem lokalen Computer vorhanden ist. Wenn bei der Veröffentlichung des Updatekatalogs ein selbstsigniertes Zertifikat wie WSUS Publishers Self-signed verwendet wird, muss sich das Zertifikat auch im Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen auf dem lokalen Computer befinden, damit die Gültigkeit des Zertifikats überprüft werden kann. WUA überprüft auch, ob auf dem lokalen Computer die Gruppenrichtlinieneinstellung zum Zulassen von signiertem Inhalt von einem Intranetspeicherort für Microsoft-Updatedienste aktiviert ist. Diese Richtlinieneinstellung muss für WUA aktiviert sein, damit Updates überprüft werden können, die mithilfe von Update Publisher erstellt und veröffentlicht wurden.

Wenn Softwareupdates in System Center Updates Publisher veröffentlicht werden, werden die Softwareupdates bei Veröffentlichung auf einem Updateserver durch ein digitales Zertifikat signiert. Sie können entweder ein PKI-Zertifikat angeben oder festlegen, dass Update Publisher ein selbstsigniertes Zertifikat zur Signatur des Updates generieren soll.

Zertifikate bei der Verwaltung mobiler Geräte

Wenn das mobile Gerät nicht durch den Betreiber des mobilen Geräts gesperrt wurde, können Sie Configuration Manager 2007 bei der Installation von Zertifikaten verwenden, die für die Überprüfung der Signatur mobiler Anwendungen erforderlich sind, indem damit Zertifikate als Konfigurationselemente versendet oder gemeinsam mit der Clientsoftware installiert werden. Wenn Ihr mobiles Gerät gesperrt ist, können Sie Configuration Manager 2007 nicht zur Bereitstellung von Zertifikaten verwenden. Weitere Informationen finden Sie unter Bereitstellen von Zertifikaten für Clients für mobile Geräte.

Wenn Sie die Hardwareinventur für mobile Geräte aktivieren, werden von Configuration Manager 2007 auch die Zertifikate inventarisiert, die auf dem mobilen Gerät installiert sind.

Zertifikate in der Out-of-Band-Verwaltung (Configuration Manager 2007 SP1 und höher)

Bei der Out-of-Band-Verwaltung werden mindestens zwei Typen von PKI-Zertifikaten verwendet: ein AMT-Bereitstellungszertifikat und ein Webserverzertifikat.

Der Out-of-Band-Dienstpunkt verwendet ein AMT-Bereitstellungszertifikat, um Computer auf die Out-of-Band-Verwaltung vorzubereiten. Die bereitzustellenden AMT-basierten Computer müssen dem vom Out-of-Band-Verwaltungspunkt vorgelegten Zertifikat vertrauen. Standardmäßig werden AMT-basierte Computer vom Computerhersteller für die Verwendung externer Zertifizierungsstellen (Certification Autorities, CAs) wie VeriSign, Go Daddy, Comodo und Starfield konfiguriert. Wenn Sie ein Bereitstellungszertifikat von einer externen Zertifizierungsstelle erwerben und Configuration Manager für die Verwendung dieses Bereitstellungszertifikats konfigurieren, vertrauen AMT-basierte Computer der Zertifizierungsstelle für das Bereitstellungszertifikat, und die Bereitstellung kann erfolgreich durchgeführt werden. Aus Sicherheitsgründen sollten Sie jedoch eine eigene interne Zertifizierungsstelle zum Ausstellen des AMT-Bereitstellungszertifikats verwenden. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Out-of-Band-Verwaltung.

AMT-basierte Computer führen innerhalb der Firmware eine Webserverkomponente aus, die den Kommunikationskanal mit dem Out-of-Band-Dienstpunkt unter Verwendung von Transport Layer Security (TLS) verschlüsselt. Es gibt keine Benutzeroberfläche, über die ein Zertifikat manuell für das AMT-BIOS konfiguriert werden könnte. Sie müssen daher über eine Microsoft-Unternehmenszertifizierungsstelle verfügen, die Zertifikatanforderungen vom primären Standortserver automatisch genehmigt und die Zertifikate auf AMT-basierten Computern installiert. Als Format für die Anforderung wird „PKCS#10“ verwendet, was wiederum die Verwendung von „PKCS#7“ für die Übertragung der Zertifikatinformationen an den AMT-basierten Computer nach sich zieht.

Der AMT-basierte Computer ist zwar für den jeweiligen Verwaltungscomputer authentifiziert, es gibt aber kein entsprechendes PKI-Zertifikat für den Clientcomputer, der diesen verwaltet. Für diese Kommunikationen wird stattdessen Kerberos oder HTTP Digest-Authentifizierung verwendet. Wen HTTP Digest verwendet wird, wird eine Verschlüsselung mittels TLS vorgenommen.

Für Configuration Manager 2007 SP2 wird möglicherweise ein zusätzlicher Zertifikattyp benötigt: ein optionales Clientzertifikat für 802.1X-authentifizierte Kabel- und Drahtlosnetzwerke. Der AMT-basierte Computer benötigt möglicherweise ein Clientzertifikat zur Authentifizierung beim RADIUS-Server. Wurde der RADIUS-Server für die EAP-TLS-Authentifizierung konfiguriert, ist ein Clientzertifikat immer erforderlich. Wurde der RADIUS-Server für EAP-TTLS/MSCHAPv2 oder PEAPv0/EAP-MSCHAPv2 konfiguriert, hängt es von der RADIUS-Konfiguration ab, ob ein Clientzertifikat erforderlich ist oder nicht. Dieses Zertifikat wird vom Standortserver angefordert und mithilfe derselben Prozesse auf AMT-basierten Computern installiert, die auch zur Anforderung und Installation des Webserverzertifikats für AMT-basierte Computer verwendet werden.

Weitere Informationen finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.

Verschlüsselung für Multicastpakete (Configuration Manager 2007 R2)

Sie haben für jedes Betriebssystem-Bereitstellungspaket die Wahl, beim Übertragen des Pakets über Multicast eine Verschlüsselung zu aktivieren. Wenn Sie die Verschlüsselung aktivieren, ist keine zusätzliche Konfiguration für das Zertifikat erforderlich. Der multicastfähige Verteilungspunkt generiert automatisch symmetrische Schlüssel zur Paketverschlüsselung. Jedes Paket erhält einen anderen Verschlüsselungsschlüssel. Der Schlüssel wird unter Verwendung von Windows-Standard-APIs auf dem multicastfähigen Verteilungspunkt gespeichert. Wenn der Client eine Verbindung mit der Multicastsitzung aufnimmt, erfolgt der Schlüsselaustausch über einen Kanal, der entweder mit dem Clientauthentifizierungszertifikat (einheitlicher Modus) der PKI oder mit dem selbst signierten Zertifikat (gemischter Modus) verschlüsselt ist. Der Client speichert den Schlüssel nur für die Dauer der Multicastsitzung im Arbeitsspeicher.

Kryptographische Steuerelemente im einheitlichen Modus

Der einheitliche Modus ist der empfohlene Modus, weil er mehr Sicherheit bietet, indem zum Schutz der Kommunikation zwischen Client und Server eine Public Key-Infrastruktur (PKI) integriert wird. Wenn Sie den einheitlichen Modus implementieren, ohne sich zuvor umfassend mit der PKI-Planung, -Bereitstellung und den PKI-Operationen vertraut gemacht zu haben, können jedoch immer noch Sicherheitslücken bestehen. Wenn Sie Ihre Stammzertifizierungsstelle beispielsweise nicht ausreichend sichern, können Angreifer das Vertrauen Ihrer gesamten PKI-Infrastruktur kompromittieren. Wenn Sie die erforderlichen Zertifikate für den einheitlichen Modus nicht ordnungsgemäß bereitstellen und verwalten, werden Ihre Clients u. U. nicht mehr verwaltet, sodass sie keine wichtigen Softwareupdates oder Softwarepakete erhalten.

Wichtig

Der einheitliche Modus schützt nur die Kommunikation zwischen dem Client und einigen Standortsystemen. Er bietet keinen Schutz für den Kommunikationskanal zwischen dem Standortserver und den Standortsystemen oder zwischen Standortservern.

Zertifikate für den einheitlichen Modus

Für den einheitlichen Modus sind verschiedene Zertifikattypen erforderlich:

Standortsysteme, die IIS erfordern, benötigen Webserverzertifikate für die Verschlüsselung der Kommunikation mit Clients mithilfe von SSL. Die folgenden Standortsysteme erfordern Webserverzertifikate.

• Verwaltungspunkt

• Proxyverwaltungspunkt

• Verteilungspunkt

• Softwareupdatepunkt

• Zustandsmigrationspunkt

Alle Clients, sowohl Clientcomputer als auch Clients für mobile Geräte, erfordern Clientauthentifizierungszertifikate. Sie müssen ein Clientauthentifizierungszertifikat auch an einem Verwaltungspunkt und Zustandsmigrationspunkt bereitstellen, selbst wenn darauf keine Configuration Manager 2007-Clients installiert sind. Wenn Ihre Clients bereits über Clientauthentifizierungszertifikate verfügen, ist Configuration Manager 2007 eventuell in der Lage, Ihre vorhandenen Zertifikate zu verwenden.

Der Standortserver erfordert ein benutzerdefiniertes Standortserver-Signaturzertifikat zur Signatur von Richtlinien, die an Clients gesendet werden. Dieses Zertifikat muss über eine Funktion für Dokumentsignaturen verfügen, und der Antragstellername muss eine bestimmte Textzeichenfolge sein. Alle Clients müssen über eine Kopie des Standortserver-Signaturzertifikats verfügen, sodass sie die Signatur der Richtlinie überprüfen können.

Weitere Informationen finden Sie unter Zertifikatanforderungen für den einheitlichen Modus.

Wenn alle Computer Ihrer Configuration Manager 2007-Hierarchie Zertifikate derselben Zertifizierungsstelle verwenden, müssen Sie nur eine einzige vertrauenswürdige Stammzertifizierungsstelle bereitstellen. Es ist jedoch nicht vorgeschrieben, dieselbe Zertifizierungsstelle zu verwenden, und es kann mitunter erforderlich sein, mehrere Stammzertifizierungsstellen auf den Clients und Servern zu installieren. Wenn Sie keine PKI-Lösung von Microsoft verwenden, müssen Sie eventuell auch Zwischenzertifizierungsstellen-Zertifikate auf Ihren Standortsystemen installieren.

Weitere Informationen finden Sie unter Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate.

Hinweis

Alle Configuration Manager 2007-Zertifikate dürfen nur Einzelbyte-Zeichen im Antragstellernamen oder alternativen Antragstellernamen enthalten. Weitere Informationen finden Sie unter Zertifikate für den einheitlichen Modus und Doppelbyte-Zeichensätze.

Zertifikate für die internetbasierte Clientverwaltung

Die internetbasierte Clientverwaltung erfordert den einheitlichen Modus sowie die gesamte Zertifikatinfrastruktur des einheitlichen Modus. Wenn der Standort die internetbasierte Clientverwaltung unterstützt und Sie einen Proxyserver mit SSL-Tunnelabschluss (Bridging) für eingehende Internetverbindungen verwenden, müssen Sie ein Zertifikat für die Server- und Clientauthentifizierung auf dem Proxyserver konfigurieren. Wenn Sie einen Proxyserver ohne SSL-Tunnelabschluss (Tunneling) verwenden, sind auf dem Proxyserver keine weiteren Zertifikate erforderlich. Weitere Informationen finden Sie unter Bestimmen der Anforderungen für Proxywebserver zur Verwendung mit internetbasierter Clientverwaltung.

Clientzertifikate für mobile Geräte im einheitlichen Modus

Haben Sie mobile Geräte, die einem Standort im einheitlichen Modus zugewiesen sind, erfordern sie Zertifikate, die den einheitlichen Modus unterstützen. Clients für mobile Geräte im einheitlichen Modus erfordern die Kopie eines Standortserver-Signaturzertifikats, eine Kopie des Webserverzertifikats für Verwaltungs- und Verteilungspunkte, die mobile Geräte unterstützen, sowie Kopien von Zwischenzertifizierungs- und Stammzertifizierungsstellen. Für mobile Geräte ist ein Zertifikat im privaten Speicher erforderlich, das Clientauthentifizierungsfunktionen bietet. Weitere Informationen finden Sie unter Informationen zu den im einheitlichen Modus erforderlichen Zertifikaten für Clients für mobile Geräte.

Im Gegensatz zu Clientcomputern, die ein Zertifikat für die Computerauthentifizierung erfordern, erfordern mobile Geräte Benutzerauthentifizierungszertifikate, um Standortortsysteme im einheitlichen Modus zu authentifizieren.

Zertifikate für die Betriebssystembereitstellung im einheitlichen Modus

Wenn Sie Configuration Manager 2007 zur Bereitstellung von Betriebssystemen im einheitlichen Modus verwenden, muss ein Clientcomputer ein Zertifikat haben, um mit dem Verwaltungspunkt kommunizieren zu können, auch wenn der Computer sich in einer Übergangsphase wie beim Starten von einem Tasksequenzmedium oder einem PXE-Dienstpunkt befindet. Zur Unterstützung dieses Szenarios muss ein PKI-Clientauthentifizierungszertifikat erstellt und mithilfe des privaten Schlüssels exportiert werden. Außerdem muss in den Eigenschaften des Standortservers das Zertifikat für die vertrauenswürdige Stammzertifizierungsstelle des Verwaltungspunkts konfiguriert werden.

Wenn Sie startbare Medien erstellen, importieren Sie das Clientauthentifizierungszertifikat bei der Erstellung des startbaren Mediums. Sie sollten zum Schutz des privaten Schlüssels und weiterer sensibler Daten, die in der Tasksequenz konfiguriert werden, ein Kennwort für das startbare Medium festlegen. Jeder Computer, der von dem startbaren Medium aus gestartet wird, legt dem Verwaltungspunkt dasselbe Zertifikat wie für Clientfunktionen (z. B. zum Anfordern einer Richtlinie) vor.

Wenn Sie PXE-Startanforderungen verwenden, importieren Sie das Clientauthentifizierungszertifikat in den PXE-Dienstpunkt. Das Zertifikat wird daraufhin an jeden Client ausgeliehen, der von diesem PXE-Dienstpunkt aus gestartet wird. Sie sollten erzwingen, dass Benutzer eine Verbindung mit dem PXE-Dienstpunkt herstellen, damit ein Kennwort zum Schutz des privaten Schlüssels und weiterer sensibler Daten in den Tasksequenzen bereitgestellt wird.

Wenn eins dieser beiden Clientauthentifizierungszertifikate kompromittiert wurde, müssen Sie die Zertifikate im Knoten Zertifikate in den Standorteigenschaften sperren. Für die Verwaltung dieser Zertifikate ist das Recht zur Verwaltung des Zertifikats zur Betriebssystembereitstellung erforderlich.

Nach Bereitstellung des Betriebssystems und Installation von Configuration Manager 2007 benötigt der Client ein eigenes PKI-Clientauthentifizierungszertifikat für die Kommunikation im einheitlichen Modus, wie zuvor in diesem Abschnitt beschrieben.

Weitere Informationen finden Sie unter Verwalten von Zertifikaten und Betriebssystembereitstellung im einheitlichen Modus.

Unterstützung beim Erweitern des Configuration Manager im einheitlichen Modus

Unabhängige Softwarehersteller (Independent Software Vendors, ISV) können Anwendungen zum Erweitern von Configuration Manager 2007 erstellen. Ein ISV kann beispielsweise Erweiterungen erstellen, um Nicht-Windows-Plattformen, wie Macintosh- oder UNIX-Computer, zu unterstützen. Befindet sich der Standort jedoch im einheitlichen Modus, müssen auch erweiterte Clients Zertifikate zur Kommunikation mit dem Configuration Manager 2007-Verwaltungspunkt verwenden. Configuration Manager 2007 enthält die Funktion, dem ISV-Proxy ein Zertifikat zuzuweisen, das die Kommunikation zwischen den ISV-Proxyclients und dem Verwaltungspunkt ermöglicht. Wenn Sie Erweiterungen verwenden, die ISV-Proxyzertifikate erfordern, sollten Sie die Dokumentation des Produkts zu Hilfe nehmen. Weitere Informationen zum Erstellen von ISV-Proxyzertifikaten finden Sie im Configuration Manager 2007-SDK (Software Developer Kit).

Wenn das ISV-Zertifikat kompromittiert wurde, sollten Sie das Zertifikat im Knoten Zertifikate in den Standorteigenschaften sperren.

Unverschlüsselte Kommunikation im einheitlichen Modus

Im einheitlichen Modus wird die Kommunikation normalerweise über SSL verschlüsselt. In den folgenden Situationen findet die Kommunikation der Clients mit den Standortsystemen im einheitlichen Modus jedoch ohne Verschlüsselung statt:

• Ankündigungen sind für die Option Programm vom Verteilungspunkt ausführen konfiguriert.

• Der Client kann keine HTTPS-Verbindung mit dem Verteilungspunkt herstellen.

• Der Client kommuniziert mit den folgenden Standortsystemen:

  • Fallbackstatuspunkt

  • Serverlocatorpunkt

  • PXE-Dienstpunkt

  • Systemintegritätsprüfungspunkt

• Im einheitlichen Modus wird auf Clientcomputern für Roaming und Standortzuordnung die HTTP-Kommunikation konfiguriert, sodass sie mit einem Serverlocatorpunkt kommunizieren können.

• Zweigverteilungspunkte, die immer das SMB-Protokoll (Server Message Block) verwenden, auch im einheitlichen Modus

• Verteilungspunkte, auf denen die Einstellung Übertragung von Inhalten von diesem Verteilungspunkt über BITS, HTTP und HTTPS durch Clients zu ermöglichen nicht konfiguriert ist. Ohne diese Einstellung verwenden Clients immer das SMB, auch im einheitlichen Modus.

Berichterstattungspunkte sind dazu konfiguriert, HTTP oder HTTPS unabhängig vom Standortmodus zu verwenden.

Weitere Informationen finden Sie unter Clientkommunikation im gemischten und einheitlichen Modus.

Signatur im einheitlichen Modus

Im einheitlichen Modus werden Clientrichtlinienzuweisungen mithilfe des Standortserver-Signaturzertifikats signiert, um das Sicherheitsrisiko zu verhindern, dass ein kompromittierter Verwaltungspunkt manipulierte Richtlinien versendet. Diese Schutzmaßnahme ist insbesondere dann wichtig, wenn Sie eine internetbasierte Clientverwaltung verwenden, da diese Umgebung einen Verwaltungspunkt erfordert, der der Internetkommunikation ausgesetzt ist. Die Clientkommunikation zwischen Clients und Servern wird mit Ausnahme der im Abschnitt „Unverschlüsselte Kommunikation im einheitlichen Modus“ beschrieben Situationen ebenfalls signiert.

CRL-Prüfung

Die CRL-Prüfung (Certificate Revocation List, Zertifikatsperrliste) ist in IIS standardmäßig aktiviert. Wenn Sie also CRL gemeinsam mit Ihrer PKI-Bereitstellung verwenden, müssen die Configuration Manager-Standortsysteme in der Regel nicht weiter konfiguriert werden. Eine Ausnahme sind Softwareupdates, die einen manuellen Schritt zum Aktivieren der CRL-Prüfung erfordern, damit die Signaturen in Softwareupdatedateien überprüft werden können. Weitere Informationen finden Sie unter Aktivieren der CRL-Prüfung für Softwareupdates.

Die CRL-Prüfung ist standardmäßig für Clientcomputer im einheitlichen Modus aktiviert, sofern der Standort im einheitlichen Modus installiert wurde. Wurde der Standort im gemischten Modus installiert und später zum einheitlichen Modus migriert, ist die CRL-Prüfung standardmäßig deaktiviert. Durch das Aktivieren der CRL-Prüfung wird zwar der Verwaltungs- und Verarbeitungsaufwand erhöht, aber auch mehr Sicherheit gewährleistet. Wenn die CRL-Prüfung aktiviert ist, der Client jedoch nicht auf die CRL zugreifen kann, ist keine Kommunikation zwischen dem Client und dem Standort möglich. Weitere Informationen finden Sie unter Bestimmen, ob die CRL-Prüfung (Certificate Revocation List) auf Clients aktiviert werden muss (einheitlicher Modus).

Kryptographische Steuerelemente im gemischten Modus

Im gemischten Modus werden einige Zertifikate weiterhin verwendet, es handelt sich jedoch um selbstsignierte Zertifikate, die keine PKI-Infrastruktur erfordern. In den meisten Fällen ist für selbstsignierte Zertifikate kein Eingreifen des Administrators erforderlich.

Richtliniensignatur

Wenn Clients eine Richtlinie im gemischten Modus anfordern, wird die zurückgesendete Richtlinienzuordnung vom selbstsignierten Zertifikat des Verwaltungspunkts signiert. Der einheitliche Modus ist unter anderem aus dem Grund sicherer, dass die Richtlinie zusätzlich zu dem von der PKI ausgestellten Zertifikat des Verwaltungspunkts auch von dem zentralen Standortserver-Signaturzertifikat signiert wird. Im gemischten Modus kann ein Angreifer, der einen Verwaltungspunkt kompromittiert, beliebige Richtlinien erstellen und signieren. Wenn der Client die Signatur der Richtlinienzuordnung nicht überprüfen kann, verwirft er die Richtlinienzuordnung.

Zertifikate für die Betriebssystembereitstellung

Wenn Sie Configuration Manager 2007 zur Bereitstellung von Betriebssystemen im gemischten Modus verwenden, muss ein Clientcomputer ein Zertifikat haben, um mit dem Verwaltungspunkt kommunizieren zu können, auch wenn der Computer sich in einer Übergangsphase befindet, wie beim Starten von einem Tasksequenzmedium oder einem PXE-Dienstpunkt. Zur Unterstützung dieses Szenarios im gemischten Modus werden von Configuration Manager 2007 selbstsignierte Zertifikate generiert. Falls die selbstsignierten Zertifikate kompromittiert wurden, sollten Sie die Zertifikate im Knoten Zertifikate in den Standorteigenschaften sperren und auf diese Weise verhindern, dass Angreifer die Identität vertrauenswürdiger Clients annehmen können.

Client- und Severauthentifizierung

Im gemischten Modus werden Verwaltungspunkte von Clients entweder mithilfe der Active Directory-Domänendienste oder des vertrauenswürdigen Configuration Manager 2007-Stammschlüssels identifiziert, wie unter Informationen zum vertrauenswürdigen Stammschlüssel beschrieben. Clients authentifizieren keine anderen Serverrollen, wie Zustandsmigrationspunkte oder Softwareupdatepunkte. Clients im gemischten Modus generieren selbstsignierte Zertifikate, die von Verwaltungspunkten zur Authentifizierung der Clients verwendet werden. Da jeder Client ein selbstsigniertes Zertifikat generieren kann, das vom Verwaltungspunkt akzeptiert wird, bietet der gemischte Modus eine sehr geringe Sicherheit. Doch nur genehmigte Clients werden als ausreichend vertrauenswürdig angesehen, um beliebige Richtlinien mit sensiblen Informationen zu erhalten.

Im Configuration Manager verwendete kryptographische Algorithmen

Der in Configuration Manager 2007 verwendete primäre Hashalgorithmus ist SHA-1. Wenn zwei Configuration Manager 2007-Standorte miteinander kommunizieren, signieren sie ihre Kommunikation mithilfe von SHA-2. Der primäre Verschlüsselungsalgorithmus in Configuration Manager 2007 lautet 3DES. Ist der einheitliche Modus implementiert, können Sie Ihre PKI außerdem zur Verwendung von RSA-Zertifikaten mit der maximalen Schlüssellänge konfigurieren, wie unter Zertifikatanforderungen für den einheitlichen Modus beschrieben. Für die Mehrheit der kryptografischen Vorgänge verwendet Configuration Manager die SHA-1-, SHA-2-, 3DES- und RSA-Verschlüsselungsalgorithmen aus der CryptoAPI-Bibliothek „rsaenh.dll“.

Hinweis

Befinden sich in Ihrer Standorthierarchie SMS 2003-Standorte, verwendet Configuration Manager 2007 MD5-Hashwerte, um die Kommunikation mit den untergeordneten SMS 2003-Standorten zu signieren. In SMS 2003 (ohne Service Pack) erstellte Pakete werden mit dem MD5-Hashwert überprüft, bis die Aktualisierung mithilfe des Assistenten für das Aktualisieren von Verteilungspunkten in SMS 2003 (mit beliebigen Service Packs) oder Configuration Manager 2007 erfolgt. Anschließend werden sie mit dem SHA-1-Hashwert überprüft.

Siehe auch

Andere Ressourcen

Übersicht über Sicherheit und Datenschutz in Configuration Manager

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com