Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Betriebssystembereitstellung

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung des Themas – März 2008

Die Betriebssystembereitstellung kann eine bequeme Methode sein, um in Ihrer Umgebung möglichst sichere Betriebssysteme und Konfigurationen bereitzustellen. Sollte ein Angreifer jedoch Kontrolle über Ihre Microsoft System Center Configuration Manager 2007-Standortinfrastruktur erhalten, könnte er eine Tasksequenz seiner Wahl ausführen und zum Beispiel die Festplatten auf allen Clientcomputern formatieren. Tasksequenzen können so konfiguriert werden, dass sie vertrauliche Informationen wie Konten mit Berechtigungen zum Domänenbeitritt und Volumenlizenzschlüssel enthalten, wodurch das Risiko besteht, dass Informationen offen gelegt werden.

Ein weiteres wichtiges Prinzip der Betriebssystembereitstellungs-Sicherheit besteht darin, das für startbare Tasksequenzmedien und für die PXE-Startbereitstellung verwendete Clientauthentifizierungszertifikat zu schützen. Erhält der Angreifer Zugang zum Clientauthentifizierungszertifikat, kann er mithilfe des privaten Schlüssels die Identität eines gültigen Clients im Netzwerk annehmen.

Empfehlungen

Implementieren Sie Zugriffssteuerungen zum Schutz von startbaren Medien    Wenn Sie startbare Medien erstellen, sollten Sie stets ein Kennwort zum Schutz der Medien zuweisen. Selbst mit einem Kennwort werden aber nur Dateien geschützt, die vertrauliche Informationen enthalten. Sie sollten auch den physischen Zugriff auf die Medien kontrollieren, um zu verhindern, dass ein Angreifer das Clientauthentifizierungszertifikat mithilfe kryptografischer Angriffe erhält.

Sperren Sie das Zertifikat, wenn das Clientzertifikat kompromittiert wurde     Um den Client mithilfe von startbaren Medien und PXE-Dienstpunkten bereitzustellen, müssen Sie über ein Clientauthentifizierungszertifikat mit einem privaten Schlüssel verfügen. Wurde dieses Zertifikat kompromittiert, sollten Sie es unter Standorteinstellungen > Zertifikate und dem Knoten Startmedienoder PXE blockieren.

Sichern Sie den Kommunikationskanal zwischen dem Standortserver und dem PXE-Dienstpunkt    Wenn der PXE-Dienstpunkt vom Standortserver mit dem Clientauthentifizierungszertifikat konfiguriert wurde, kann ein Angreifer im Netzwerk auf das Zertifikat zugreifen. Verwenden Sie zwischen dem Standortserver und dem PXE-Dienstpunkt Internetprotokollsicherheit (Internet Protocol security, IPsec) oder eine andere Verschlüsselungsmethode.

Verwenden Sie PXE-Dienstpunkte nur in sicheren Netzwerksegmenten    Wenn ein Client eine PXE-Startanforderung sendet, kann nicht garantiert werden, dass sie von einem gültigen PXE-Dienstpunkt bearbeitet wird. Ein nicht autorisierter PXE-Dienstpunkt kann Clients ein gefälschtes Abbild liefern. Angreifer können einen Man-in-the-Middle-Angriff gegen das von PXE verwendete TFTP-Protokoll richten und schädlichen Code mit den Betriebssystemdateien senden oder einen nicht autorisierten Client erstellen, der TFTP-Anforderungen direkt an den PXE-Dienstpunkt richtet. Ein Angreifer kann mit einem schädlichen Client einen DoS-Angriff gegen den PXE-Dienstpunkt richten. Versehen Sie die Netzwerksegmente, in denen Clients auf PXE-Dienstpunkte zugreifen, mit umfassendem Schutz.

Wichtig

Obgleich die Konfiguration des PXE-Dienstpunkts in einem Umkreisnetzwerk unterstützt wird, wird dies nicht empfohlen.

Konfigurieren Sie den PXE-Dienstpunkt so, dass er nur auf PXE-Anforderungen an die angegebenen Netzwerkschnittstellen reagiert    Wenn der PXE-Dienstpunkt auf alle Netzwerkschnittstellen reagieren kann, könnte er auch auf ein ungesichertes Netzwerk reagieren.

Verlangen Sie zum Starten von PXE ein Kennwort     Clientidentitäten müssen in die Datenbank eingegeben werden, sodass unbekannte Computer keinen PXE-Start ausführen können. Wenn ein Kennwort erforderlich ist, entsteht eine zusätzliche Sicherheitsstufe im PXE-Startvorgang, der grundsätzlich unsicher ist.

Löschen Sie Zustandsmigrationspunkt-Ordner manuell, wenn sie außer Betrieb gesetzt werden    Wenn Sie einen Zustandsmigrationspunkt-Ordner in der Configuration Manager 2007-Konsole in den Eigenschaften des Zustandsmigrationspunkts entfernen, bleibt der physische Ordner weiter bestehen. Sie müssen die Netzwerkfreigabe manuell entfernen und den Ordner löschen.

Konfigurieren Sie die Löschrichtlinie nicht so, dass der Benutzerzustand sofort gelöscht wird     Wenn Sie die Löschrichtlinie auf dem Zustandsmigrationspunkt so festlegen, dass zum Löschen markierte Daten sofort gelöscht werden, und es einem Angreifer vor dem gültigen Computer gelingt, den Benutzerzustand abzurufen, werden die Benutzerzustandsdaten sofort gelöscht. Legen Sie das Intervall Löschen nach auf eine Dauer fest, die dafür ausreicht, die erfolgreiche Wiederherstellung der Benutzerzustandsdaten zu überprüfen.

Steuern Sie den physischen Zugriff auf Computer mithilfe von USB-Flashlaufwerken für Tasksequenzen    In einer unbeaufsichtigten Installation, bei der mit BitLocker auf USB-Flashlaufwerke geschrieben wird, speichert eine Tasksequenz mit der Aktion „BitLocker deaktivieren“ die BitLocker-Schlüsselschutzkomponenten im Klartext, um den Zugriff auf das Volume von Windows PE zu ermöglichen und die Startintegritätsprüfung durch das TPM zu deaktivieren. Nach der Ausführung dieser Aktion kann ein Angreifer mit physischem Zugriff auf den Computer Zugriff auf das verschlüsselte Volume erhalten. Wenn die Tasksequenz ein USB-Flashlaufwerk verwendet, kann der Angreifer dieses außerdem stehlen.

Implementieren Sie Zugriffssteuerungen zum Schutz des Abbilderstellungsprozesses des Referenzcomputers     Stellen Sie sicher, dass sich der zur Aufnahme von Betriebssystemabbildern verwendete Referenzcomputer in einer sicheren Umgebung befindet und die angemessenen Zugriffssteuerungen implementiert sind, sodass unerwartete Software oder Malware nicht installiert und versehentlich ins aufgenommene Abbild einbezogen werden kann. Wenn das Abbild aufgenommen wird, müssen Sie sicherstellen, dass der Dateifreigabepfad des Zielnetzwerks sicher ist, damit das Abbild nicht nach der Erfassung manipuliert werden kann.

Installieren Sie auf dem Referenzcomputer immer die neuesten Sicherheitsupdates    Wenn Sie als Basis einen aktualisierten Referenzcomputer verwenden, werden Sicherheitsrisiken für neu online geschaltete Computer reduziert.

Wenn Sie Betriebssysteme für einen unbekannten Computer bereitstellen müssen, verhindern Sie durch Implementieren von Zugriffssteuerungen, dass nicht autorisierte Computer auf das Netzwerk zugreifen    Die Bereitstellung für unbekannte Computer kann zwar praktisch sein, um bei Bedarf mehrere Computer aufzurufen, birgt jedoch auch die Gefahr, dass sich Angreifer im Netzwerk als vertrauenswürdige Clients anmelden. Schränken Sie den physischen Zugriff auf das Netzwerk ein, und überwachen Sie Clients, um nicht autorisierte Computer zu erkennen. Zudem können auf Computern, die PXE-initiierte Betriebssystembereitstellungen verwenden, während der Betriebssystembereitstellung alle Daten zerstört werden. Dies kann dazu führen, dass unabsichtlich neu formatierte Systeme nicht mehr verfügbar sind.

Konfigurieren Sie zum Herunterladen von Inhalt stets Tasksequenzankündigungen    Erhöhen Sie die Sicherheit durch Aktivieren der Option Inhalt lokal herunterladen, wenn er von der ausgeführten Tasksequenz benötigt wird. Configuration Manager 2007 prüft dadurch nach dem Herunterladen der Tasksequenz den Hashwert des Pakets und verwirft die Tasksequenz, falls der Hashwert nicht dem Wert in der Richtlinie entspricht. Wenn Sie für die Tasksequenzankündigung Auf Inhalt direkt von einem Verteilungspunkt aus zugreifen, wenn er von der ausgeführten Tasksequenz benötigt wird konfigurieren, findet keine Prüfung statt, und der Inhalt kann von Angreifern manipuliert werden. Wenn Sie das Programm vom Verteilungspunkt ausführen müssen, sichern Sie mit den geringstmöglichen NTFS-Berechtigungen für das Paket auf dem Verteilungspunkt und IPsec den Kanal zwischen Client und Verteilungspunkt sowie zwischen Verteilungspunkt und Standortserver.

Aktivieren Sie die Verschlüsselung für Multicastpakete    Sie können bei der Übertragung von Betriebssystembereitstellungs-Paketen per Multicast die Verschlüsselung aktivieren. Auf diese Weise verhindern Sie, dass nicht autorisierte Computer an der Multicastsitzung teilnehmen oder Angreifer die Übertragung manipulieren.

Überwachen Sie nicht autorisierte multicastfähige Verteilungspunkte    Wenn Angreifer Zugriff auf Ihr Netzwerk erhalten, können sie nicht autorisierte Multicastserver konfigurieren, um die Betriebssystembereitstellung zu spoofen.

Datenschutzinformationen

Neben dem Bereitstellen von Betriebssystemen für Computer ohne Betriebssystem können mit Configuration Manager 2007 Benutzerdateien und -einstellungen von einem Computer zu einem anderen migriert werden. Der Administrator konfiguriert, welche Informationen übertragen werden. Dies umfasst persönliche Datendateien, Konfigurationseinstellungen und Browsercookies.

Die Informationen werden auf einem Zustandsmigrationspunkt gespeichert und bei der Übertragung und Speicherung verschlüsselt. Die Informationen können vom neuen, den Zustandsinformationen zugeordneten Computer abgerufen werden. Verliert der neue Computer den Schlüssel zum Abruf der Informationen, kann ein Configuration Manager-Administrator mit dem Recht „Wiederherstellungsinformationen anzeigen“ für Computerzuordnungsinstanzobjekte auf die Informationen zugreifen und sie einem neuen Computer zuordnen. Nachdem der neue Computer die Zustandsinformationen wiederhergestellt hat, werden die Daten standardmäßig nach einem Tag gelöscht. Sie können konfigurieren, wann der Zustandsmigrationspunkt zum Löschen markierte Daten entfernt. Die Zustandsmigrationsinformationen werden nicht in der Standortdatenbank gespeichert und nicht an Microsoft gesendet.

Wenn Sie Startmedien für die Bereitstellung von Betriebssystemabbildern verwenden, sollten Sie stets die Standardoption für den Kennwortschutz der Startmedien verwenden. Mit dem Kennwort werden alle in der Tasksequenz gespeicherten Variablen verschlüsselt. Alle nicht in einer Variablen gespeicherten Informationen können aber Sicherheitsrisiken ausgesetzt sein.

Die Betriebssystembereitstellung kann mithilfe von Tasksequenzen viele verschiedene Tasks ausführen, z. B. Softwareverteilung und Softwareupdates. Wenn Sie Tasksequenzen konfigurieren, sollten Sie auch auf die Datenschutzauswirkungen der Softwareverteilung und Softwareupdates achten.

Configuration Manager 2007 implementiert die Betriebssystembereitstellung nicht standardmäßig und erfordert mehrere Konfigurationsschritte, bevor Sie Zustandsinformationen sammeln oder Tasksequenzen bzw. Startabbilder erstellen können. Bevor Sie die Betriebssystembereitstellung konfigurieren, sollten Sie Ihre Datenschutzanforderungen berücksichtigen.

Siehe auch

Andere Ressourcen

Betriebssystembereitstellung in Configuration Manager
Bewährte Sicherheitsmethoden und Datenschutzinformationen zu Configuration Manager-Features

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com