Grundlegendes zur Configuration Manager-Sicherheit

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Das Sicherheitskonzept für Microsoft System Center Configuration Manager 2007 besteht aus mehreren Ebenen. Auf der ersten Ebene kommen die Sicherheitsfeatures von Windows für Betriebssystem und Netzwerk zum Einsatz. Windows stellt z. B. die folgenden Features bereit:

  • Dateifreigabe zur Übertragung von Dateien zwischen Configuration Manager 2007-Komponenten

  • Zugriffssteuerungslisten (Access Control Lists, ACLs) zum Schutz von Dateien und Registrierungsschlüsseln

  • IPsec zum Schutz der Kommunikation

  • Gruppenrichtlinien zum Festlegen von Sicherheitsrichtlinien

  • DCOM-Berechtigungen für verteilte Anwendungen wie die Configuration Manager 2007-Konsole

  • Active Directory-Domänendienste zum Speichern von Sicherheitsprinzipalen

  • Windows-Kontosicherheit einschließlich einiger Gruppen, die bei der Configuration Manager 2007-Installation erstellt werden

Zusätzliche Sicherheitskomponenten wie Firewalls und Angriffserkennung ermöglichen einen umfassenden Schutz der gesamten Umgebung. Über Industriestandard-PKI-Implementierungen ausgestellte Zertifikate ermöglichen die Authentifizierung von Configuration Manager 2007-Komponenten sowie das Signieren von Anwendungen, die an Clients für mobile Geräte verteilt werden.

Configuration Manager 2007 steuert den Zugriff auf die Configuration Manager 2007-Konsole auf mehrere Weisen. Standardmäßig haben nur Administratoren Zugriffsrechte für die Dateien und Registrierungsschlüssel, die zum Ausführen der Configuration Manager 2007-Konsole auf den Computern erforderlich sind, auf denen sie installiert ist.

Die nächste Sicherheitsebene stellt der Zugriff über die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation oder WMI), speziell über den SMS-Anbieter, dar. Der Zugriff auf den SMS-Anbieter ist standardmäßig auf Mitglieder der lokalen Gruppe „SMS-Administratoren“ beschränkt. Diese Gruppe enthält zunächst nur den Benutzer, der Configuration Manager 2007 installiert hat. Um anderen Konten die Berechtigung für den Zugriff auf das Common Information Model (CIM)-Repository und den SMS-Anbieter zu erteilen, fügen Sie die Konten zur Gruppe „SMS-Administratoren“ hinzu.

Die letzte Sicherheitsebene stellen Berechtigungen für Objekte in der Standortdatenbank dar. Standardmäßig haben das lokale Systemkonto und das Benutzerkonto, das Sie für die Installation von Configuration Manager 2007 verwendet haben, Verwaltungszugriff auf alle Objekte in der Standortdatenbank. Sie können weiteren Benutzern in der Configuration Manager 2007-Konsole Berechtigungen erteilen.

Sicherheitsmodi

Es gibt in Configuration Manager 2007 zwei Sicherheitsmodi.

Der einheitliche Modus ist die empfohlene Standortkonfiguration für neue Configuration Manager 2007-Standorte, weil er mehr Sicherheit bietet, indem zum Schutz der Kommunikation zwischen Client und Server eine Public Key-Infrastruktur (PKI) integriert wird. Mit PKIs können Unternehmen ihre Sicherheits- und Geschäftsanforderungen erfüllen. Sie müssen aber sorgfältig entworfen und implementiert werden, um aktuellen wie zukünftigen Anforderungen gerecht zu werden. Die Installation einer PKI nur zur Unterstützung von Configuration Manager 2007-Vorgängen könnte bestimmte kurzfristige Ziele erfüllen, aber eine umfassendere PKI-Einführung zur Unterstützung anderer Anwendungen zu einem späteren Zeitpunkt erschweren. Verfügt Ihr Unternehmen bereits über eine gut entworfene Industriestandard-PKI, sollte Configuration Manager 2007 in der Lage sein, Zertifikate aus der vorhandenen PKI zu verwenden.

Wichtig

Der einheitliche Modus erfordert vor der Implementierung eine umfassende Planung und umfassendes Testen im Testlabor. Wird die PKI nicht korrekt für die Unterstützung von Configuration Manager 2007 implementiert, funktioniert u. U. der gesamte Standort nicht mehr richtig. Implementieren Sie den einheitlichen Modus erst in einer Produktionsumgebung, wenn Sie völlig mit den Anforderungen vertraut sind.

Obgleich der einheitliche Modus der sicherste in Configuration Manager 2007 verfügbare Modus ist, kann auch der gemischte Modus für viele Unternehmen angemessene Sicherheit bieten, und er erfordert einen viel geringeren Verwaltungsaufwand. Der gemischte Modus ist bei der Aktualisierung eines vorhandenen Systems Management Server (SMS) 2003-Standorts der Standard und bietet Abwärtskompatibilität für Hierarchien, die sowohl SMS 2003- als auch Configuration Manager 2007-Standorte umfassen. Sie können die Installation im gemischten Modus ausführen und dann später zum einheitlichen Modus migrieren. Es ist auch möglich, vom einheitlichen Modus auf den gemischten Modus zurückzusetzen. Sowohl Migration als auch Zurücksetzen erfordern vor der Implementierung gründliche Planung.

Standorte im einheitlichen Modus können nicht Standorten im gemischten Modus untergeordnet sein. Wenn Sie vom gemischten Modus zum einheitlichen Modus migrieren, konvertieren Sie stets zunächst den zentralen Standort, und gehen Sie dann in der Hierarchie nach unten vor.

Internetbasierte Clients

Computer, die mithilfe von VPN- oder DFÜ-Technologie eine Verbindung mit dem Unternehmensnetzwerk herstellen, können auch als normale Configuration Manager 2007-Clients verwaltet werden. Computer, die eine Verbindung mit dem Internet, aber nie mit dem Unternehmensnetzwerk herstellen, können als internetbasierte Clients konfiguriert werden. Internetbasierte Clients können nur Standorten im einheitlichen Modus angehören. Die Verwaltung internetbasierter Clients erfordert, dass Sie genau planen, wo sich die Standortsysteme befinden. Sie können z. B. Verwaltungs- und Verteilungspunkte in Ihrem Umkreisnetzwerk festlegen oder es internetbasierten Clients ermöglichen, Ihre Firewall zu überwinden, um auf Standortsysteme in Ihrem Unternehmensnetzwerk zuzugreifen. Sie können auch einen separaten Standort im Umkreisnetzwerk erstellen, der nur internetbasierte Clients unterstützt.

Datenschutz

Während Sie mit Netzwerkverwaltungsprodukten effektiv viele Clients gleichzeitig verwalten können, müssen Sie auch wissen, wie sich diese Software auf den Datenschutz der Benutzer in Ihrem Unternehmen auswirkt. Configuration Manager 2007 umfasst viele Tools zum Sammeln von Daten und Überwachen von Clientcomputern, von denen einige Datenschutzfragen aufwerfen könnten.

Z. B. werden bei der Bereitstellung des Configuration Manager 2007-Clients Client-Agents aktiviert, damit Configuration Manager 2007-Features verwendet werden können. Die für die Konfiguration der Features verwendeten Einstellungen gelten für alle Clients am Standort, egal, ob sie direkt mit dem Unternehmensnetzwerk, über eine Remotesitzung oder mit dem Internet verbunden sind, aber vom Standort unterstützt werden. Clientinformationen werden in der Datenbank gespeichert und nicht an Microsoft zurückgesendet. Vor der Configuration Manager 2007-Implementierung müssen Sie die Datenschutzanforderungen berücksichtigen.

Konten und Gruppen im Configuration Manager

Configuration Manager 2007 verwendet das lokale Systemkonto für den Großteil der Standortvorgänge. Bestimmte Konfigurationen erfordern möglicherweise, dass zusätzliche Konten erstellt und gewartet werden. Bei der Installation werden mehrere Standardgruppen und SQL Server-Rollen erstellt. Sie müssen aber möglicherweise Computer oder Benutzerkonten manuell zu diesen Standardgruppen und Rollen hinzufügen.

Siehe auch

Andere Ressourcen

Grundlagen von Configuration Manager 2007

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com