Planen der Sicherheit in Configuration ManagerPlan for security in Configuration Manager

Gilt für: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Dieser Artikel beschreibt die Konzepte, die Sie bei der Planung der Sicherheit Ihrer Configuration Manager-Implementierung berücksichtigen sollten.This article describes the concepts for you to consider when planning for security with your Configuration Manager implementation. Er enthält folgende Abschnitte:It includes the following sections:

Planen von Zertifikaten (selbstsigniert und PKI)Plan for certificates (self-signed and PKI)

Von Configuration Manager wird eine Kombination von selbstsignierten Zertifikaten und PKI-Zertifikaten (Public Key-Infrastruktur) verwendet.Configuration Manager uses a combination of self-signed certificates and public key infrastructure (PKI) certificates.

Verwenden Sie nach Möglichkeit immer PKI-Zertifikate.Use PKI certificates whenever possible. Weitere Informationen zu PKI-Zertifikatanforderungen finden Sie unter PKI-Zertifikatanforderungen.For more information, see PKI certificate requirements. Wenn die PKI-Zertifikate von Configuration Manager bei der Registrierung mobiler Geräte angefordert werden, müssen Sie Active Directory Domain Services und eine Unternehmenszertifizierungsstelle verwenden.When Configuration Manager requests PKI certificates during enrollment for mobile devices, you must use Active Directory Domain Services and an enterprise certification authority. Alle anderen PKI-Zertifikate werden unabhängig von Configuration Manager bereitgestellt und verwaltet.For all other PKI certificates, deploy and manage them independently from Configuration Manager.

PKI-Zertifikate sind erforderlich, wenn Clientcomputer eine Verbindung mit internetbasierten Standortsystemen herstellen.PKI certificates are required when client computers connect to internet-based site systems. Für einige Szenarios mit Cloudverwaltungsgateways und Cloudverteilungspunkten sind ebenfalls PKI-Zertifikate erforderlich.Some scenarios with the cloud management gateway and cloud distribution point also require PKI certificates. Weitere Informationen finden Sie unter Verwalten von Clients im Internet.For more information, see Manage clients on the internet.

Wenn Sie eine PKI verwenden, können Sie auch IPsec verwenden, um die Kommunikation zwischen den Servern der Standortsysteme innerhalb eines Standorts, zwischen Standorten sowie beim Übertragen anderer Daten zwischen Computern zu sichern.When you use a PKI, you can also use IPsec to help secure the server-to-server communication between site systems in a site, between sites, and for other data transfer between computers. Die Implementierung von IPsec erfolgt unabhängig von Configuration Manager.Implementation of IPsec is independent from Configuration Manager.

Wenn keine PKI-Zertifikate verfügbar sind, generiert Configuration Manager automatisch selbstsignierte Zertifikate.When PKI certificates aren't available, Configuration Manager automatically generates self-signed certificates. Einige Zertifikate in Configuration Manager sind immer selbstsigniert.Some certificates in Configuration Manager are always self-signed. In den meisten Fällen werden die selbstsignierten Zertifikate von Configuration Manager automatisch verwaltet, sodass Sie keine zusätzlichen Aktionen ausführen müssen.In most cases, Configuration Manager automatically manages the self-signed certificates, and you don't have to take additional action. Ein Beispiel hierfür stellt das Signaturzertifikat des Standortservers dar.One example is the site server signing certificate. Dieses Zertifikat ist immer selbstsigniert.This certificate is always self-signed. Dadurch wird sichergestellt, dass die Richtlinien, die Clients vom Verwaltungspunkt herunterladen, vom Standortserver gesendet und nicht manipuliert wurden.It makes sure that the policies that clients download from the management point were sent from the site server and weren't tampered with.

Cryptography: Next Generation-Zertifikate (CNG)Cryptography: Next Generation (CNG) certificates

Configuration Manager unterstützt CNG-Zertifikate (Cryptography Next Generation).Configuration Manager supports Cryptography: Next Generation (CNG) certificates. Configuration Manager-Clients können das PKI-Clientauthentifizierungszertifikat mit dem privaten Schlüssel im CNG-Schlüsselspeicheranbieter (KSP) verwenden.Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). Dank der KSP-Unterstützung unterstützen Configuration Manager-Clients hardwarebasierte private Schlüssel, wie z. B. TPM KSP für PKI-Clientauthentifizierungszertifikate.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates. Weitere Informationen finden Sie in der Übersicht über CNG-Zertifikate.For more information, see CNG certificates overview.

Erweitertes HTTPEnhanced HTTP

Die HTTPS-Kommunikation wird für alle Configuration Manager-Kommunikationspfade empfohlen, ist jedoch wegen der aufwändigen Verwaltung von PKI-Zertifikaten für einige Kunden schwer umsetzbar.Using HTTPS communication is recommended for all Configuration Manager communication paths, but is challenging for some customers due to the overhead of managing PKI certificates. Die Einführung der Integration von Azure Active Directory (Azure AD) reduziert einige der Zertifikatanforderungen, aber nicht alle.The introduction of Azure Active Directory (Azure AD) integration reduces some but not all of the certificate requirements. Ab Version 1806 können Sie Erweitertes HTTP für Standorte aktivieren.Starting in version 1806, you can enable the site to use Enhanced HTTP. Durch diese Konfiguration wird HTTPS auf Standortsystemen unterstützt, indem eine Kombination aus selbstsignierten Zertifikaten und Azure AD verwendet wird.This configuration supports HTTPS on site systems by using a combination of self-signed certificates and Azure AD. PKI-Zertifikate sind nicht erforderlich.It doesn't require PKI. Weitere Informationen finden Sie unter Enhanced HTTP (Erweitertes HTTP).For more information, see Enhanced HTTP.

Zertifikate für CMG und CDPCertificates for CMG and CDP

Wenn Sie Clients im Internet mithilfe von Cloudverwaltungsgateways und Cloudverteilungspunkten verwalten möchten, müssen Sie Zertifikate verwenden.Managing clients on the internet via the cloud management gateway (CMG) and cloud distribution point (CDP) requires the use of certificates. Die Anzahl und die Art der Zertifikate hängen vom jeweiligen Szenario ab.The number and type of certificates varies depending upon your specific scenarios. Weitere Informationen finden Sie in den folgenden Artikeln:For more information, see the following articles:

Planen des Signaturzertifikats für den Standortserver (selbstsigniert)Plan for the site server signing certificate (self-signed)

Kopien des Signaturzertifikat des Standortservers können auf sichere Art von den Active Directory-Domänendiensten und einer Clientpushinstallation an die Clients übermittelt werden.Clients can securely get a copy of the site server signing certificate from Active Directory Domain Services and from client push installation. Wenn Clients durch diese Mechanismen keine Kopie des Zertifikats erstellen können, installieren Sie das Zertifikat bei der Installation des Clients.If clients can't get a copy of this certificate by one of these mechanisms, install it when you install the client. Dieser Vorgang ist besonders dann wichtig, wenn die erste Kommunikation des Clients mit dem Standort über einen internetbasierten Verwaltungspunkt erfolgt.This process is especially important if the client's first communication with the site is with an internet-based management point. Da dieser Server mit einem nicht vertrauenswürdigen Netzwerk verbunden ist, ist er anfälliger für Angriffe.Because this server is connected to an untrusted network, it's more vulnerable to attack. Wenn Sie diesen zusätzlichen Schritt nicht durchführen, wird von den Clients automatisch eine Kopie des Signaturzertifikats des Standortservers vom Verwaltungspunkt heruntergeladen.If you don't take this additional step, clients automatically download a copy of the site server signing certificate from the management point.

In folgenden Szenarios ist ein sicheres Herunterladen einer Kopie des Standortserverzertifikats durch Clients nicht möglich:Clients can't securely get a copy of the site server certificate in the following scenarios:

  • Sie installieren den Client nicht mit Clientpush.You don't install the client by using client push, and:

    • Sie haben das Active Directory-Schema für Configuration Manager nicht erweitert.You haven't extended the Active Directory schema for Configuration Manager.

    • Sie haben den Clientstandort nicht in Active Directory Domain Services veröffentlicht.You haven't published the client's site to Active Directory Domain Services.

    • Der Client befindet sich in einer nicht vertrauenswürdigen Gesamtstruktur oder einer Arbeitsgruppe.The client is from an untrusted forest or a workgroup.

  • Sie verwenden die internetbasierte Clientverwaltung und installieren den Client, wenn dieser online ist.You're using internet-based client management and you install the client when it's on the internet.

So installieren Sie Clients mit einer Kopie des Signaturzertifikats des StandortserversTo install clients with a copy of the site server signing certificate

  1. Suchen Sie das Signaturzertifikat des Standortservers auf dem primären Standortserver.Locate the site server signing certificate on the primary site server. Das Zertifikat ist unter Windows im Zertifikatspeicher SMS gespeichert.The certificate is stored in the SMS certificate store of Windows. Es weist den Antragstellernamen Site Server und den Anzeigenamen Site Server Signing Certificate auf.It has the Subject name Site Server and the friendly name, Site Server Signing Certificate.

  2. Exportieren Sie das Zertifikat ohne den privaten Schlüssel, speichern Sie es an einem sicheren Ort, und greifen Sie nur über gesicherte Kanäle darauf zu.Export the certificate without the private key, store the file securely, and access it only from a secured channel.

  3. Installieren Sie den Client mit der folgenden client.msi-Eigenschaft: SMSSIGNCERT=<full path and file name>Install the client by using the following client.msi property: SMSSIGNCERT=<full path and file name>

Planen der PKI-ZertifikatsperrungPlan for PKI certificate revocation

Wenn Sie PKI-Zertifikate mit Configuration Manager verwenden, planen Sie die Verwendung einer Zertifikatsperrliste (Certificate Revocation List, CRL).When you use PKI certificates with Configuration Manager, plan for use of a certificate revocation list (CRL). Geräte verwenden die Zertifikatsperrliste, um das Zertifikat auf dem Computer zu überprüfen, der eine Verbindung herstellt.Devices use the CRL to verify the certificate on the connecting computer. Bei der Zertifikatsperrliste handelt es sich um eine Datei, die von der Zertifizierungsstelle erstellt und signiert wird.The CRL is a file that a certificate authority (CA) creates and signs. Diese Datei enthält eine Liste der Zertifikate, die die Zertifizierungsstelle zwar ausgestellt hat, die aber gesperrt wurden.It has a list of certificates that the CA has issued but revoked. Wenn ein Zertifikatadministrator Zertifikate widerruft, wird dessen Fingerabdruck zur Zertifikatsperrliste hinzugefügt.When a certificate administrator revokes certificates, its thumbprint is added to the CRL. Dies kann beispielsweise eintreten, wenn bekannt ist oder vermutet wird, dass ein ausgestelltes Zertifikat gefährdet ist.For example, if an issued certificate is known or suspected to be compromised.

Wichtig

Der Speicherort der Zertifikatssperrliste wird einem Zertifikat bei dessen Ausstellung durch die Zertifizierungsstelle hinzugefügt. Deshalb müssen Sie Ihre Sperrliste planen, bevor Sie PKI-Zertifikate bereitstellen, die von Configuration Manager verwendet werden.Because the location of the CRL is added to a certificate when a CA issues it, ensure that you plan for the CRL before you deploy any PKI certificates that Configuration Manager uses.

Die Zertifikatsperrliste wird von IIS stets auf Clientzertifikate hin überprüft. Diese Konfiguration können Sie in Configuration Manager nicht ändern.IIS always checks the CRL for client certificates, and you can't change this configuration in Configuration Manager. Die Zertifikatssperrliste für Standortsysteme wird von Configuration Manager-Clients standardmäßig geprüft.By default, Configuration Manager clients always check the CRL for site systems. Deaktivieren Sie diese Einstellung, indem Sie eine Standorteigenschaft und eine CCMSetup-Eigenschaft angeben.Disable this setting by specifying a site property and by specifying a CCMSetup property.

Wenn die Zertifikatsperrprüfung von Computern verwendet wird, aber keine Zertifikatssperrliste gefunden wird, reagieren die Clients wie bei einer Sperrung aller Zertifikate in der Zertifikatkette.Computers that use certificate revocation checking but can't locate the CRL behave as if all certificates in the certification chain are revoked. Dieses Verhalten ist darauf zurückzuführen, dass nicht überprüft werden kann, ob sich die Zertifikate in der Zertifikatssperrliste befinden.This behavior is due to the fact that they can't verify if the certificates are in the certificate revocation list. In diesem Szenario kommt es für alle Verbindungen zu Fehlern, die Zertifikate erfordern und eine Überprüfung der Zertifikatssperrliste einschließen.In this scenario, all connections fail that require certificates and include CRL checking. Bei der Überprüfung, ob Ihre Zertifikatsperrliste über den HTTP-Standort zugänglich ist, muss beachtet werden, dass der Configuration Manager-Client als LOCAL SYSTEM ausgeführt wird.When validating that your CRL is accessible by browsing to its http location, it is important to note that the Configuration Manager client runs as LOCAL SYSTEM. Daher kann die Überprüfung der Zugänglichkeit der Zertifikatssperrliste erfolgreich sein, wenn hierzu ein Webbrowser mit Ausführung im Benutzerkontext verwendet wird. Beim Versuch einer HTTP-Verbindungsherstellung mit derselben Zertifikatsperrlisten-URL wird das Computerkonto jedoch möglicherweise durch die interne Webfilterlösung blockiert.Therefore, testing CRL accessibility with a web browser running under user context may succeed, however the computer account may be blocked when attempting to make an http connection to the same CRL URL due to the internal web filtering solution. In dieser Situation kann es erforderlich sein, die Zertifikatssperrlisten-URL für vorhandene Webfilterlösungen in die Whitelist aufzunehmen.Whitelisting the CRL URL on any web filtering solutions may be necessary in this situation.

Das Überprüfen der Zertifikatsperrliste, wenn ein Zertifikat verwendet wird, ist sicherer als ein gesperrtes Zertifikat zu verwenden.Checking the CRL every time that a certificate is used offers more security against using a certificate that's revoked. Dadurch entsteht jedoch eine Verzögerung bei der Verbindung, und es müssen zusätzliche Verarbeitungsvorgänge bei dem Client ausgeführt werden.Although it introduces a connection delay and additional processing on the client. Ihre Organisation benötigt diese zusätzliche Sicherheitsprüfung möglicherweise für Clients, die sich im Internet oder in einem nicht vertrauenswürdigen Netzwerk befinden.Your organization may require this additional security check for clients on the internet or an untrusted network.

Wenden Sie sich an Ihre PKI-Administratoren, bevor Sie festlegen, ob die Konfigurations-Manager-Clients die Zertifikatsperrliste überprüfen müssen.Consult your PKI administrators before you decide whether Configuration Manager clients must check the CRL. Wenn alle folgenden Bedingungen erfüllt sind, sollte diese Option in Configuration Manager aktiviert bleiben:Then consider keeping this option enabled in Configuration Manager when both of the following conditions are true:

  • Ihre PKI-Infrastruktur unterstützt eine Zertifikatsperrliste, und diese wurde an einem Speicherort veröffentlicht, der für alle Konfigurations-Manager-Clients zugänglich ist.Your PKI infrastructure supports a CRL, and it's published where all Configuration Manager clients can locate it. Zu diesen Clients können Geräte im Internet oder in nicht vertrauenswürdigen Gesamtstrukturen zählen.These clients might include devices on the internet, and ones in untrusted forests.

  • Es ist wichtiger, die Zertifikatsperrliste bei jeder Verbindung mit einem Standortsystem zu überprüfen, das für die Verwendung von PKI-Zertifikaten konfiguriert ist, als folgende Anforderungen zu erfüllen:The requirement to check the CRL for each connection to a site system that's configured to use a PKI certificate is greater than the following requirements:

    • Schnellere VerbindungenFaster connections
    • Effiziente Verarbeitung auf dem ClientEfficient processing on the client
    • Das Risiko, dass Clients keine Verbindung mit den Servern herstellen können, wenn die Zertifikatsperrliste nicht gefunden werden kannThe risk of clients failing to connect to servers if the CRL cannot be located

Planen von vertrauenswürdigen PKI-Stammzertifikaten und der Liste der ZertifikatausstellerPlan for the PKI trusted root certificates and the certificate issuers list

Wenn von Ihren IIS-Standortsystemen PKI-Clientzertifikate zur Clientauthentifizierung über HTTP oder zur Clientauthentifizierung und Verschlüsselung über HTTPS verwendet werden, müssen Sie möglicherweise die Stammzertifikate der Zertifizierungsstelle als Standorteigenschaft importieren.If your IIS site systems use PKI client certificates for client authentication over HTTP, or for client authentication and encryption over HTTPS, you might have to import root CA certificates as a site property. Die folgenden beiden Szenarios sind möglich:Here are the two scenarios:

  • Sie stellen Betriebssysteme mithilfe von Configuration Manager bereit, und von den Verwaltungspunkten werden nur HTTPS-Clientverbindungen akzeptiert.You deploy operating systems by using Configuration Manager, and the management points only accept HTTPS client connections.

  • Sie verwenden PKI-Clientzertifikate, die nicht mit ein Stammzertifikat verkettet sind, dem der Verwaltungspunkt vertraut.You use PKI client certificates that don't chain to a root certificate that the management points trust.

    Hinweis

    Wenn Sie PKI-Clientzertifikate aus der gleichen Zertifizierungsstellenhierarchie ausstellen, von der auch die Serverzertifikate ausgestellt werden, die Sie für Verwaltungspunkte verwenden, müssen Sie dieses Stammzertifikat der Zertifizierungsstelle nicht angeben.When you issue client PKI certificates from the same CA hierarchy that issues the server certificates that you use for management points, you don't have to specify this root CA certificate. Wenn Sie jedoch mehrere Zertifizierungsstellenhierarchien verwenden und nicht sicher sind, ob diese voneinander als vertrauenswürdig eingestuft werden, importieren Sie die Stammzertifizierungsstelle der Zertifizierungsstellenhierarchie des Clients.However, if you use multiple CA hierarchies and you aren't sure whether they trust each other, import the root CA for the clients' CA hierarchy.

Wenn Sie Stamm-Zertifizierungsstellenzertifikate für Configuration Manager importieren müssen, exportieren Sie sie von der ausstellenden Zertifizierungsstelle oder vom Clientcomputer.If you must import root CA certificates for Configuration Manager, export them from the issuing CA or from the client computer. Wenn Sie das Zertifikat von der ausstellenden Zertifizierungsstelle exportieren, die auch die Stammzertifizierungsstelle ist, dann achten Sie darauf, dass der private Schlüssel nicht exportiert wird.If you export the certificate from the issuing CA that's also the root CA, make sure you don't export the private key. Speichern Sie die exportierte Zertifikatsdatei an einem sicheren Ort, um Manipulationen zu verhindern.Store the exported certificate file in a secure location to prevent tampering. Beim Einrichten des Standorts benötigen Sie Zugriff auf diese Datei.You need access to the file when you set up the site. Wenn Sie über das Netzwerk auf die Datei zugreifen, vergewissern Sie sich, dass die Kommunikation durch IPsec vor Manipulationen geschützt ist.If you access the file over the network, make sure the communication is protected from tampering by using IPsec.

Wenn ein importiertes Stamm-Zertifizierungsstellenzertifikat erneuert wird, müssen Sie das erneuerte Zertifikat importieren.If any root CA certificate that you import is renewed, you must import the renewed certificate.

Aus diesen importierten Stamm-Zertifizierungsstellenzertifikaten sowie aus den Stamm-Zertifizierungsstellenzertifikaten jedes Verwaltungspunkts wird die Liste der Zertifikataussteller erstellt, die von Configuration Manager-Computern auf folgende Arten verwendet wird:These imported root CA certificates and the root CA certificate of each management point create the certificate issuers list that Configuration Manager computers use in the following ways:

  • Wenn Clients Verbindungen mit Verwaltungspunkten herstellen, wird durch die Verwaltungspunkte überprüft, ob das Clientzertifikat mit einem vertrauenswürdigen Stammzertifikat auf der Standortliste der Zertifikataussteller verkettet ist.When clients connect to management points, the management point verifies that the client certificate is chained to a trusted root certificate in the site's certificate issuers list. Wenn dies nicht der Fall ist, wird das Zertifikat abgelehnt, und die PKI-Verbindung kann nicht hergestellt werden.If it doesn't, the certificate is rejected, and the PKI connection fails.

  • Wenn von Clients ein PKI-Zertifikat ausgewählt wird und für die Clients eine Liste der Zertifikataussteller verfügbar ist, wird ein Zertifikat ausgewählt, das mit einem vertrauenswürdigen Stammzertifikat in dieser Liste verkettet ist.When clients select a PKI certificate and have a certificate issuers list, they select a certificate that chains to a trusted root certificate in the certificate issuers list. Wenn keine Übereinstimmung vorhanden ist, wird vom Client kein PKI-Zertifikat ausgewählt.If there's no match, the client doesn't select a PKI certificate. Weitere Informationen finden Sie unter Planen der Auswahl des PKI-Clientzertifikats.For more information, see Plan for PKI client certificate selection.

Planen der Auswahl des PKI-ClientzertifikatsPlan for PKI client certificate selection

Wenn von Ihren IIS-Standortsystemen PKI-Clientzertifikate zur Clientauthentifizierung über HTTP oder zur Clientauthentifizierung und Verschlüsselung über HTTPS verwendet wird, sollten Sie planen, auf welche Art das Zertifikat zur Verwendung in Configuration Manager von den Windows-Clients ausgewählt werden soll.If your IIS site systems use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, plan for how Windows clients select the certificate to use for Configuration Manager.

Hinweis

Nicht alle Geräte unterstützen eine Zertifikatauswahlmethode.Some devices don't support a certificate selection method. Stattdessen wird das erste Zertifikat ausgewählt, das die Zertifikatanforderungen erfüllt.Instead, they automatically select the first certificate that fulfills the certificate requirements. Von Clients auf Mac-Computern und mobilen Geräten wird beispielsweise keine Zertifikatauswahlmethode unterstützt.For example, clients on Mac computers and mobile devices don't support a certificate selection method.

In vielen Fällen sind Standardkonfiguration und Standardverhalten ausreichend.In many cases, the default configuration and behavior is sufficient. Vom Configuration Manager-Client auf Windows-Computern werden mehrere Zertifikate anhand der folgenden Kriterien in der angegebenen Reihenfolge gefiltert:The Configuration Manager client on Windows computers filters multiple certificates by using these criteria in this order:

  1. Liste der Zertifikataussteller: Das Zertifikat ist mit einem Stamm-Zertifizierungsstellenzertifikat verkettet, das vom Verwaltungspunkt als vertrauenswürdig eingestuft wird.The certificate issuers list: The certificate chains to a root CA that's trusted by the management point.

  2. Das Zertifikat befindet sich im Standardzertifikatspeicher Persönlich.The certificate is in the default certificate store of Personal.

  3. Das Zertifikat ist gültig. Es ist nicht gesperrt und nicht abgelaufen.The certificate is valid, not revoked, and not expired. Die Gültigkeitsüberprüfung stellt ebenfalls sicher, dass auf den privaten Schlüssel zugegriffen werden kann.The validity check also verifies that the private key is accessible.

  4. Zum Zertifikat gehört eine Clientauthentifizierungsfunktion, oder das Zertifikat wurde auf den Computernamen ausgestellt.The certificate has client authentication capability, or it's issued to the computer name.

  5. Das Zertifikat weist die längste Gültigkeitsdauer auf.The certificate has the longest validity period.

Konfigurieren Sie Clients mithilfe der folgenden Mechanismen dafür, die Liste der Zertifikataussteller zu verwenden:Configure clients to use the certificate issuers list by using the following mechanisms:

  • Veröffentlichen Sie diese mit Configuration Manager-Standortinformationen in Active Directory Domain Services.Publish it with Configuration Manager site information to Active Directory Domain Services.

  • Installieren Sie Clients mithilfe von Clientpush.Install clients by using client push.

  • Clients, die ihrem Standort erfolgreich zugewiesen wurden, laden die Liste vom Verwaltungspunkt herunter.Clients download it from the management point after they're successfully assigned to their site.

  • Geben Sie diese während der Clientinstallation als „CCMSetup client.msi“-Eigenschaft von CCMCERTISSUERS an.Specify it during client installation as a CCMSetup client.msi property of CCMCERTISSUERS.

Clients, deren Erstinstallation ohne die Liste der Zertifikataussteller erfolgt und die dem Standort noch nicht zugewiesen sind, überspringen diesen Schritt.Clients that don't have the certificate issuers list when they're first installed and aren't yet assigned to the site skip this check. Wenn für die Clients eine Liste der Zertifikataussteller verfügbar ist, aber kein PKI-Zertifikat vorhanden ist, das mit einem vertrauenswürdigen Stammzertifikat in dieser Liste verkettet ist, schlägt die Zertifikatauswahl fehl.When clients do have the certificate issuers list and don't have a PKI certificate that chains to a trusted root certificate in the certificate issuers list, certificate selection fails. Die Clients fahren nicht mit den anderen Kriterien für die Zertifikatauswahl fort.Clients don't continue with the other certificate selection criteria.

In den meisten Fällen wird vom Configuration Manager-Client ein eindeutiges und angemessenes PKI-Zertifikat korrekt identifiziert.In most cases, the Configuration Manager client correctly identifies a unique and appropriate PKI certificate. Wenn dies jedoch nicht der Fall ist, können Sie die folgenden alternativen Auswahlmethoden einrichten, anstatt das Zertifikat anhand der Clientauthentifizierungsfunktion auszuwählen:However, when this behavior isn't the case, instead of selecting the certificate based on the client authentication capability, you can set up two alternative selection methods:

  • Suche nach teilweise übereinstimmenden Zeichenfolgen im Antragstellernamen des Clientzertifikats.A partial string match on the client certificate subject name. Bei dieser Methode wird die Groß-/Kleinschreibung nicht berücksichtigt.This method is a case-insensitive match. Sie kann eingesetzt werden, wenn Sie den vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) eines Computers im Feld für den Antragstellernamen verwenden und eine Zertifikatauswahl auf Basis des Domänensuffixes anstreben, beispielsweise contoso.com.It's appropriate if you're using the fully qualified domain name (FQDN) of a computer in the subject field and want the certificate selection to be based on the domain suffix, for example contoso.com. Sie können diese Auswahlmethode jedoch auch verwenden, um nach einer beliebigen Zeichenfolge im Antragstellernamen des Zertifikats zu suchen, mit der Sie das gewünschte Zertifikat von den anderen Zertifikaten im Clientzertifikatspeicher unterscheiden können.However, you can use this selection method to identify any string of sequential characters in the certificate subject name that differentiates the certificate from others in the client certificate store.

    Hinweis

    Sie können die teilweise übereinstimmenden Zeichenfolgen nicht mit dem alternativen Antragstellernamen (Subject Alternative Name, SAN) als Standorteinstellung verwenden.You can't use the partial string match with the subject alternative name (SAN) as a site setting. Sie können zwar mithilfe von CCMSetup eine teilweise übereinstimmende Zeichenfolge für den SAN angeben, doch diese wird in den folgenden Szenarios von den Standorteigenschaften überschrieben:Although you can specify a partial string match for the SAN by using CCMSetup, it'll be overwritten by the site properties in the following scenarios:

    • Von Clients werden Standortinformationen abgerufen, die in den Active Directory Domain Services veröffentlicht sind.Clients retrieve site information that's published to Active Directory Domain Services.

      • Clients werden mithilfe einer Clientpushinstallation installiert.Clients are installed by using client push installation.

      Verwenden Sie teilweise Übereinstimmungen beim SAN nur dann, wenn Sie Clients manuell installieren und von den Clients keine Standortinformationen aus Active Directory Domain Services abgerufen werden.Use a partial string match in the SAN only when you install clients manually and when they don't retrieve site information from Active Directory Domain Services. Beispielsweise gelten diese Bedingungen für Clients, die mit der Einstellung „Nur Internetverbindungen zulassen“ konfiguriert sind.For example, these conditions apply to internet-only clients.

  • Eine Suche nach Übereinstimmungen bei den Attributwerten für „Antragstellername“ oder „Alternativer Antragstellername“ im ClientzertifikatA match on the client certificate subject name attribute values or the subject alternative name (SAN) attribute values. Bei dieser Methode wird die Groß-/Kleinschreibung berücksichtigt.This method is a case-sensitive match. Sie kann eingesetzt werden, wenn Sie einen X500-DN (Distinguished Name) oder entsprechende Objektbezeichner (OID) gemäß RFC 3280 verwenden und die Zertifikatauswahl auf den Attributwerten basieren soll.It's appropriate if you're using an X500 distinguished name or equivalent object identifiers (OIDs) in compliance with RFC 3280, and you want the certificate selection to be based on the attribute values. Sie können nur die Attribute und deren Werte angeben, die zur eindeutigen Identifizierung oder Überprüfung der Gültigkeit des Zertifikats erforderlich sind und das Zertifikat von den anderen Zertifikaten im Zertifikatspeicher unterscheiden.You can specify only the attributes and their values that you require to uniquely identify or validate the certificate and differentiate the certificate from others in the certificate store.

In der folgenden Tabelle sind die Attributwerte aufgeführt, die von Configuration Manager bei den Auswahlkriterien für Clientzertifikate unterstützt werden.The following table shows the attribute values that Configuration Manager supports for the client certificate selection criteria.

OID-AttributOID Attribute DN-Attribut (Distinguished Name)Distinguished name attribute AttributdefinitionAttribute definition
0.9.2342.19200300.100.1.250.9.2342.19200300.100.1.25 DCDC DomänenkomponenteDomain component
1.2.840.113549.1.9.11.2.840.113549.1.9.1 E oder E-mailE or E-mail E-Mail-AdresseEmail address
2.5.4.32.5.4.3 CNCN Allgemeiner NameCommon name
2.5.4.42.5.4.4 SNSN AntragstellernameSubject name
2.5.4.52.5.4.5 SERIALNUMBERSERIALNUMBER SeriennummerSerial number
2.5.4.62.5.4.6 CC LändercodeCountry code
2.5.4.72.5.4.7 LL OrtLocality
2.5.4.82.5.4.8 S oder STS or ST Name des Bundeslands bzw. des KantonsState or province name
2.5.4.92.5.4.9 STREETSTREET StraßeStreet address
2.5.4.102.5.4.10 OO OrganisationsnameOrganization name
2.5.4.112.5.4.11 OUOU OrganisationseinheitOrganizational unit
2.5.4.122.5.4.12 T oder TitleT or Title TitelTitle
2.5.4.422.5.4.42 G oder GN oder GivenNameG or GN or GivenName VornameGiven name
2.5.4.432.5.4.43 I oder InitialsI or Initials InitialenInitials
2.5.29.172.5.29.17 (kein Wert)(no value) Alternativer AntragstellernameSubject Alternative Name

Falls nach der Anwendung der Auswahlkriterien mehrere geeignete Zertifikate gefunden werden, können Sie die Standardkonfiguration außer Kraft setzen, laut der das Zertifikat mit der längsten Gültigkeitsdauer ausgewählt wird, und stattdessen festlegen, dass kein Zertifikat ausgewählt werden soll.If more than one appropriate certificate is located after the selection criteria are applied, you can override the default configuration to select the certificate that has the longest validity period and instead, specify that no certificate is selected. In diesem Fall kann die Kommunikation des Clients mit IIS-Standortsystemen nicht über ein PKI-Zertifikat erfolgen.In this scenario, the client won't be able to communicate with IIS site systems with a PKI certificate. Vom Client wird eine Fehlermeldung an den ihm zugewiesenen Fallbackstatuspunkt gesendet, um Sie über den Fehler bei der Zertifikatauswahl zu informieren und Ihnen die Gelegenheit zu geben, die Zertifikatauswahlkriterien zu ändern oder zu optimieren.The client sends an error message to its assigned fallback status point to alert you to the certificate selection failure so that you can change or refine your certificate selection criteria. Das Verhalten des Clients richtet sich dann danach, ob die fehlerhafte Verbindung über HTTPS oder HTTP hergestellt wurde:The client behavior then depends on whether the failed connection was over HTTPS or HTTP:

  • Falls die fehlerhafte Verbindung über HTTPS erfolgte, wird vom Client versucht, eine Verbindung über HTTP herzustellen. Dabei wird das selbstsignierte Zertifikat verwendet.If the failed connection was over HTTPS: The client tries to connect over HTTP and uses the client self-signed certificate.

  • Falls die fehlerhafte Verbindung über HTTP erfolgte, wird vom Client versucht, eine weitere Verbindung über HTTP herzustellen. Dabei wird das selbstsignierte Clientzertifikat verwendet.If the failed connection was over HTTP: The client tries to connect again over HTTP by using the self-signed client certificate.

Sie können die Identifizierung eines eindeutigen PKI-Clientzertifikats erleichtern, indem Sie für den Computerspeicher anstelle der Standardeinstellung Persönlich einen benutzerdefinierten Speicher angeben.To help identify a unique PKI client certificate, you can also specify a custom store other than the default of Personal in the Computer store. Sie müssen diesen Speicher jedoch unabhängig von Configuration Manager erstellen.However, you must create this store independently from Configuration Manager. Zudem müssen Sie in der Lage sein, Zertifikate für diesen benutzerdefinierten Speicher bereitzustellen und zu erneuern, bevor deren Gültigkeit abläuft.You must be able to deploy certificates to this custom store and renew them before the validity period expires.

Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für PKI-Clientzertifikate.For more information, see Configure settings for client PKI certificates.

Planen einer Übergangsstrategie für PKI-Zertifikate und internetbasierte ClientverwaltungPlan a transition strategy for PKI certificates and internet-based client management

Mithilfe der flexiblen Konfigurationsoptionen in Configuration Manager können Sie Clients und den Standort allmählich auf PKI-Zertifikate umstellen und so für sichere Clientendpunkte sorgen.The flexible configuration options in Configuration Manager let you gradually transition clients and the site to use PKI certificates to help secure client endpoints. PKI-Zertifikate bieten nicht nur eine größere Sicherheit, sondern ermöglichen auch die Verwaltung von Clients im Internet.PKI certificates provide better security and enable you to manage internet clients.

Dank der zahlreichen Konfigurationsmöglichkeiten in Configuration Manager gibt es mehrere Methoden, sämtliche Clients eines Standorts auf HTTPS-Verbindungen umzustellen.Because of the number of configuration options and choices in Configuration Manager, there's no single way to transition a site so that all clients use HTTPS connections. Unabhängig von der ausgewählten Methode können Sie die folgenden Schritte als Richtlinie verwenden:However, you can follow these steps as guidance:

  1. Installieren Sie den Configuration Manager-Standort, und konfigurieren Sie ihn so, dass von den Standortsystemen Clientverbindungen über HTTPS und HTTP akzeptiert werden.Install the Configuration Manager site and configure it so that site systems accept client connections over HTTPS and HTTP.

  2. Wählen Sie in den Standorteigenschaften auf der Registerkarte Kommunikation mit Clientcomputern unter Einstellungen des Standortsystems die Option HTTP oder HTTPS aus, und aktivieren Sie das Kontrollkästchen PKI-Clientzertifikat (Clientauthentifizierungsfunktion) verwenden, sofern dieses verfügbar ist.Configure the Client Computer Communication tab in the site properties so that the Site System Settings is HTTP or HTTPS, and select Use PKI client certificate (client authentication capability) when available. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für PKI-Clientzertifikate.For more information, see Configure settings for client PKI certificates.

    Hinweis

    Ab Version 1906 heißt diese Registerkarte Sichere Kommunikation.Starting in version 1906, this tab is called Communication Security.

  3. Führen Sie PKI im Rahmen eines Pilotversuchs für Clientzertifikate ein.Pilot a PKI rollout for client certificates. Ein Beispiel für eine Bereitstellung finden Sie unter Bereitstellen des Clientzertifikats für Windows-Computer.For an example deployment, see Deploy the client certificate for Windows computers.

  4. Installieren Sie Clients mithilfe der Clientpushinstallation.Install clients by using the client push installation method. Weitere Informationen finden Sie unter Installieren von Konfigurations-Manager-Clients mithilfe von Clientpush.For more information, see the How to install Configuration Manager clients by using client push.

  5. Überwachen Sie Clientbereitstellung und -status mithilfe der Berichte und Informationen in der Configuration Manager-Konsole.Monitor client deployment and status by using the reports and information in the Configuration Manager console.

  6. Verfolgen Sie über die Spalte Clientzertifikat im Arbeitsbereich Bestand und Kompatibilität im Knoten Geräte , von wie vielen Clients ein Client-PKI-Zertifikat verwendet wird.Track how many clients are using a client PKI certificate by viewing the Client Certificate column in the Assets and Compliance workspace, Devices node.

    Sie können das Configuration Manager-Tool zur Überprüfung der HTTPS-Bereitschaft (cmHttpsReadiness.exe) ebenfalls auf Computern bereitstellen.You can also deploy the Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe) to computers. Verwenden Sie anschließend die Berichte, um anzuzeigen, wie viele Computer ein PKI-Clientzertifikat mit Configuration Manager verwenden können.Then use the reports to view how many computers can use a client PKI certificate with Configuration Manager.

    Hinweis

    Bei der Installation des Konfigurations-Manager-Clients wird das Tool CMHttpsReadiness.exe im Ordner %windir%\CCM installiert.When you install the Configuration Manager client, it installs the CMHttpsReadiness.exe tool in the %windir%\CCM folder. Folgende Befehlszeilenoptionen sind bei der Ausführung dieses Tools verfügbar:The following command-line options are available when you run this tool:

    • /Store:<name>: Diese Option entspricht der client.msi-Eigenschaft CCMCERTSTORE./Store:<name>: This option is the same as the CCMCERTSTORE client.msi property

    • /Issuers:<list>: Diese Option entspricht der client.msi-Eigenschaft CCMCERTISSUERS./Issuers:<list>: This option is the same as the CCMCERTISSUERS client.msi property

    • /Criteria:<criteria>: Diese Option entspricht der client.msi-Eigenschaft CCMCERTSEL./Criteria:<criteria>: This option is the same as the CCMCERTSEL client.msi property

    • /SelectFirstCert: Diese Option entspricht der client.msi-Eigenschaft CCMFIRSTCERT./SelectFirstCert: This option is the same as the CCMFIRSTCERT client.msi property

      Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften.For more information, see About client installation properties.

  7. Wenn Sie sicher sind, dass von genügend Clients das eigene PKI-Clientzertifikat erfolgreich für die Authentifizierung über HTTP verwendet wird, gehen Sie wie folgt vor:When you're confident that enough clients are successfully using their client PKI certificate for authentication over HTTP, follow these steps:

    1. Stellen Sie ein PKI-Webserverzertifikat auf einem Mitgliedsserver bereit, von dem ein zusätzlicher Verwaltungspunkt für den Standort ausgeführt wird. Konfigurieren Sie dieses Zertifikat in den IIS.Deploy a PKI web server certificate to a member server that runs an additional management point for the site, and configure that certificate in IIS. Weitere Informationen finden Sie unter Bereitstellen des Webserverzertifikats für Standortsysteme, von denen IIS ausgeführt werden.For more information, see Deploy the web server certificate for site systems that run IIS.

    2. Installieren Sie die Verwaltungspunktrolle auf diesem Server, und konfigurieren Sie in den Verwaltungspunkteigenschaften unter HTTPS die Option Clientverbindungen.Install the management point role on this server and configure the Client connections option in the management point properties for HTTPS.

  8. Überwachen und überprüfen Sie, ob der neue Verwaltungspunkt von Clients mit einem PKI-Zertifikat mithilfe von HTTPS verwendet wird.Monitor and verify that clients that have a PKI certificate use the new management point by using HTTPS. Verwenden Sie die IIS-Protokollierung oder Leistungsindikatoren.You can use IIS logging or performance counters to verify.

  9. Konfigurieren Sie andere Standortsystemrollen so neu, dass von ihnen HTTPS-Client-Verbindungen verwendet werden.Reconfigure other site system roles to use HTTPS client connections. Wenn Sie Clients im Internet verwalten möchten, sollten Sie sicherstellen, dass die Standortsysteme über einen vollqualifizierten Domänennamen verfügen.If you want to manage clients on the internet, make sure that site systems have an internet FQDN. Konfigurieren Sie einzelne Verwaltungspunkte und Verteilungspunkte dafür, Clientverbindungen über das Internet zu akzeptieren.Configure individual management points and distribution points to accept client connections from the internet.

    Wichtig

    Prüfen Sie die Planungsinformationen und Voraussetzungen für die internetbasierte Clientverwaltung, bevor Sie die Standortsystemrollen so einrichten, dass von ihnen Verbindungen aus dem Internet akzeptiert werden.Before you set up site system roles to accept connections from the internet, review the planning information and prerequisites for internet-based client management. Weitere Informationen finden Sie unter Datenübertragungen zwischen Endpunkten.For more information, see Communications between endpoints.

  10. Erweitern Sie das Rollout von PKI-Zertifikaten auf Clients und Standortsysteme, die IIS ausführen.Extend the PKI certificate rollout for clients and for site systems that run IIS. Richten Sie die Standortsystemrollen nach Bedarf für HTTPS-Clientverbindungen und Internetverbindungen ein.Set up the site system roles for HTTPS client connections and internet connections, as required.

  11. Zur Gewährleistung eines Höchstmaßes an Sicherheit legen Sie in den Standorteigenschaften die ausschließliche Verwendung von HTTPS fest, wenn Sie sicher sind, dass von allen Clients für die Authentifizierung und Verschlüsselung ein Client-PKI-Zertifikat verwendet wird.For the highest security: When you're confident that all clients are using a client PKI certificate for authentication and encryption, change the site properties to use HTTPS only.

    Mit diesem Plan werden PKI-Zertifikate für die ausschließliche Authentifizierung über HTTP und für die anschließende Authentifizierung und Verschlüsselung über HTTPS eingeführt.This plan first introduces PKI certificates for authentication only over HTTP, and then for authentication and encryption over HTTPS. Wenn Sie diesen Plan verwenden, um die Zertifikate schrittweise einzuführen, wird das Risiko reduziert, dass Clients nicht mehr verwaltet werden.When you follow this plan to gradually introduce these certificates, you reduce the risk that clients become unmanaged. Darüber hinaus profitieren Sie von der höchsten Sicherheit, die Configuration Manager unterstützt.You'll also benefit from the highest security that Configuration Manager supports.

Planen des vertrauenswürdigen StammschlüsselsPlan for the trusted root key

Mit dem vertrauenswürdigen Stammschlüssel von Configuration Manager kann von Konfigurations-Manager-Clients überprüft werden, ob Standortsysteme ihrer Hierarchie angehören.The Configuration Manager trusted root key provides a mechanism for Configuration Manager clients to verify site systems belong to their hierarchy. Von jedem Standortserver wird ein Standortaustauschschlüssel für die Kommunikation mit anderen Standorten generiert.Every site server generates a site exchange key to communicate with other sites. Der Standortaustauschschlüssel des Standorts auf der obersten Ebene einer Hierarchie wird als vertrauenswürdiger Stammschlüssel bezeichnet.The site exchange key from the top-level site in the hierarchy is called the trusted root key.

Die Funktion des vertrauenswürdigen Stammschlüssels in Configuration Manager ähnelt der eines Stammzertifikats in einer Public Key-Infrastruktur.The function of the trusted root key in Configuration Manager resembles a root certificate in a public key infrastructure. Alle Komponenten, die mit dem privaten Schlüssel des vertrauenswürdigen Stammschlüssels signiert sind, werden auch weiter unten in der Hierarchie als vertrauenswürdig betrachtet.Anything signed by the private key of the trusted root key is trusted further down the hierarchy. Clients speichern eine Kopie des vertrauenswürdigen Stammschlüssels des Standorts im WMI-Namespace root\ccm\locationservices.Clients store a copy of the site's trusted root key in the root\ccm\locationservices WMI namespace.

Der Standort stellt beispielsweise ein Zertifikat für den Verwaltungspunkt aus, der dieses mit dem privaten Schlüssel des vertrauenswürdigen Stammschlüssels signiert.For example, the site issues a certificate to the management point, which it signs with the private key of the trusted root key. Der Standort gibt den öffentlichen Schlüssel seines vertrauenswürdigen Stammschlüssels für die Clients frei.The site shares with clients the public key of its trusted root key. Clients können anschließend zwischen den Verwaltungspunkten unterscheiden, die sich in deren Hierarchie befinden oder nicht befinden.Then clients can differentiate between management points that are in their hierarchy and management points that aren't in their hierarchy.

Die öffentliche Kopie des vertrauenswürdigen Stammschlüssels werden von Clients mithilfe der folgenden zwei Methoden automatisch abgerufen:Clients automatically retrieve the public copy of the trusted root key by using two mechanisms:

  • Erweitern Sie das Active Directory-Schema für Configuration Manager, und veröffentlichen Sie den Standort in Active Directory Domain Services.You extend the Active Directory schema for Configuration Manager, and publish the site to Active Directory Domain Services. Clients rufen diese Standortinformationen anschließend vom globalen Katalogserver ab.Then clients retrieve this site information from a global catalog server. Weitere Informationen finden Sie unter Vorbereiten von Active Directory für die Veröffentlichung eines Standorts.For more information, see Prepare Active Directory for site publishing.

  • Installieren Sie Clients mithilfe der Clientpushinstallation.When you install clients using the client push installation method. Weitere Informationen finden Sie unter Clientpushinstallation.For more information, see Client push installation.

Falls der vertrauenswürdige Stammschlüssel nicht anhand einer dieser Methoden von Clients abgerufen werden kann, wird der vertrauenswürdige Stammschlüssel des ersten Verwaltungspunkts, mit dem eine Kommunikation hergestellt werden kann, von den Clients als vertrauenswürdig eingestuft.If clients can't retrieve the trusted root key by using one of these mechanisms, they trust the trusted root key that's provided by the first management point that they communicate with. In diesem Fall könnte ein Client an den Verwaltungspunkt eines Angreifers fehlgeleitet werden und Richtlinien von diesem nicht autorisierten Verwaltungspunkt erhalten.In this scenario, a client might be misdirected to an attacker's management point where it would receive policy from the rogue management point. Hierfür muss der Angreifer sehr erfahren sein.This action requires a sophisticated attacker. Dieser Angriff kann nur in dem kurzen Zeitfenster stattfinden, bevor der Client den vertrauenswürdigen Stammschlüssel von einem gültigen Verwaltungspunkt abruft.This attack is limited to the short time before the client retrieves the trusted root key from a valid management point. Um das Risiko zu reduzieren, dass Clients von einem Angreifer an einen nicht autorisierten Verwaltungspunkt fehlgeleitet werden, sollten Sie für den Client im Voraus einen vertrauenswürdigen Stammschlüssel bereitstellen.To reduce this risk of an attacker misdirecting clients to a rogue management point, pre-provision the clients with the trusted root key.

Anhand der folgenden Methoden können Sie einem Configuration Manager-Client den vertrauenswürdigen Stammschlüssel vorab bereitstellen und diesen Schlüssel prüfen:Use the following procedures to pre-provision and verify the trusted root key for a Configuration Manager client:

Vorabbereitstellung des vertrauenswürdigen Stammschlüssels an einen Client mithilfe einer DateiPre-provision a client with the trusted root key by using a file

  1. Öffnen Sie auf dem Standortserver folgende Datei in einem Text-Editor: <Configuration Manager install directory>\bin\mobileclient.tcf.On the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Suchen Sie den Eintrag SMSPublicRootKey= .Locate the entry, SMSPublicRootKey=. Kopieren Sie den in dieser Zeile stehenden Schlüssel, und schließen Sie die Datei, ohne Änderungen zu speichern.Copy the key from that line, and close the file without any changes.

  3. Erstellen Sie eine neue Textdatei, und fügen Sie den in der Datei „mobileclient.tcf“ kopierten Schlüssel ein.Create a new text file, and paste the key information that you copied from the mobileclient.tcf file.

  4. Speichern Sie die Datei an einem Speicherort, auf den alle Computer Zugriff haben, aber an dem sie vor Manipulationen geschützt ist.Save the file in a location where all computers can access it, but where the file is safe from tampering.

  5. Installieren Sie den Client mit einer beliebigen Methode, von der client.msi-Eigenschaften akzeptiert werden.Install the client by using any installation method that accepts client.msi properties. Geben Sie die folgende Eigenschaft an: SMSROOTKEYPATH=<full path and file name>.Specify the following property: SMSROOTKEYPATH=<full path and file name>

    Wichtig

    Wenn Sie den vertrauenswürdigen Stammschlüssel während der Installation des Clients angeben, geben Sie ebenfalls den Standortcode an.When you specify the trusted root key during client installation, also specify the site code. Verwenden Sie folgende client.msi-Eigenschaft: SMSSITECODE=<site code>.Use the following client.msi property: SMSSITECODE=<site code>

Vorabbereitstellung des vertrauenswürdigen Stammschlüssels an einen Client ohne eine DateiPre-provision a client with the trusted root key without using a file

  1. Öffnen Sie auf dem Standortserver folgende Datei in einem Text-Editor: <Configuration Manager install directory>\bin\mobileclient.tcf.On the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Suchen Sie den Eintrag SMSPublicRootKey= .Locate the entry, SMSPublicRootKey=. Kopieren Sie den in dieser Zeile stehenden Schlüssel, und schließen Sie die Datei, ohne Änderungen zu speichern.Copy the key from that line, and close the file without any changes.

  3. Installieren Sie den Client mit einer beliebigen Methode, von der client.msi-Eigenschaften akzeptiert werden.Install the client by using any installation method that accepts client.msi properties. Geben Sie die client.msi-Eigenschaft SMSPublicRootKey=<key> an, bei der <key> der Zeichenfolge entsprechen sollte, die Sie aus „mobileclient.tcf“ kopiert haben.Specify the following client.msi property: SMSPublicRootKey=<key> where <key> is the string that you copied from mobileclient.tcf.

    Wichtig

    Wenn Sie den vertrauenswürdigen Stammschlüssel während der Installation des Clients angeben, geben Sie ebenfalls den Standortcode an.When you specify the trusted root key during client installation, also specify the site code. Verwenden Sie folgende client.msi-Eigenschaft: SMSSITECODE=<site code>.Use the following client.msi property: SMSSITECODE=<site code>

Überprüfung des vertrauenswürdigen Stammschlüssels auf einem ClientVerify the trusted root key on a client

  1. Öffnen Sie eine Windows PowerShell-Konsole als Administrator.Open a Windows PowerShell console as an administrator.

  2. Führen Sie den folgenden Befehl aus:Run the following command:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

Bei der zurückgegebenen Zeichenfolge handelt es sich um den vertrauenswürdigen Stammschlüssel.The returned string is the trusted root key. Überprüfen Sie, ob diese mit dem Wert SMSPublicRootKey in der Datei „mobileclient.tcf“ auf dem Standortserver übereinstimmt.Verify that it matches the SMSPublicRootKey value in the mobileclient.tcf file on the site server.

Entfernen oder Ersetzen des vertrauenswürdigen StammschlüsselsRemove or replace the trusted root key

Entfernen Sie den vertrauenswürdigen Stammschlüssel aus einem Client, indem Sie die client.msi-Eigenschaft RESETKEYINFORMATION=TRUE verwenden.Remove the trusted root key from a client by using the client.msi property, RESETKEYINFORMATION = TRUE.

Installieren Sie den Client erneut mit dem neuen vertrauenswürdigen Stammschlüssel, um den vertrauenswürdigen Stammschlüssel zu ersetzen.To replace the trusted root key, reinstall the client together with the new trusted root key. Verwenden Sie beispielweise die Clientpushmethode, oder geben Sie die client.msi-Eigenschaft SMSPublicRootKey an.For example, use client push, or specify the client.msi property SMSPublicRootKey.

Weitere Informationen zu diesen Installationseigenschaften finden Sie unter Informationen zu Parametern und Eigenschaften für die Clientinstallation.For more information on these installation properties, see About client installation parameters and properties.

Planen von Signierung und VerschlüsselungPlan for signing and encryption

Wenn für die gesamte Clientkommunikation PKI-Zertifikate verwendet werden, ist es nicht notwendig, zum Schutz der übermittelten Daten deren Signierung und Verschlüsselung zu planen.When you use PKI certificates for all client communications, you don't have to plan for signing and encryption to help secure client data communication. Wenn Sie Standortsysteme mit IIS dafür eingerichtet haben, HTTP-Clientverbindungen zuzulassen, sollten Sie zum Schutz der Clientkommunikation an diesem Standort entsprechende Maßnahmen ergreifen.If you set up any site systems that run IIS to allow HTTP client connections, decide how to help secure the client communication for the site.

Beispielsweise können Sie zum Schutz der Daten, die von Clients an Verwaltungspunkte gesendet werden, festlegen, dass diese signiert sein müssen.To help protect the data that clients send to management points, you can require clients to sign the data. Sie können ebenfalls den SHA-256-Algorithmus für die Signierung festlegen.You can also require the SHA-256 algorithm for signing. Diese Konfiguration ist sicherer, aber Sie sollten die Verwendung von SHA-256 nur erzwingen, wenn alle Clients diesen Algorithmus unterstützen.This configuration is more secure, but don't require SHA-256 unless all clients support it. Viele Betriebssysteme bieten zwar eine native Unterstützung dafür, aber für ältere Betriebssysteme ist möglicherweise ein Update oder ein Hotfix erforderlich.Many operating systems natively support this algorithm, but older operating systems might require an update or hotfix.

Durch das Signieren werden Daten vor Manipulationen geschützt, und durch die Verschlüsselung wird die Veröffentlichung von Informationen verhindert.While signing helps protect the data from tampering, encryption helps protect the data from information disclosure. Sie können für die Inventurdaten und Zustandsmeldungen, die von Clients an Verwaltungspunkte des Standorts gesendet werden, die 3DES-Verschlüsselung aktivieren.You can enable 3DES encryption for the inventory data and state messages that clients send to management points in the site. Sie müssen nicht alle Updates auf den Clients installieren, damit diese Option unterstützt wird.You don't have to install any updates on clients to support this option. Für die Ver- und Entschlüsselung benötigen Clients und Verwaltungspunkte zusätzliche CPU-Auslastung.Clients and management points require additional CPU usage for encryption and decryption.

Weitere Informationen zum Konfigurieren der Signatur- und Verschlüsselungseinstellungen finden Sie unter Konfigurieren von Signierung und Verschlüsselung.For more information about how to configure the settings for signing and encryption, see Configure signing and encryption.

Planen der rollenbasierten VerwaltungPlan for role-based administration

Weitere Informationen finden Sie unter Grundlagen der rollenbasierten Verwaltung.For more information, see Fundamentals of role-based administration.

Erstellen von Plänen für Azure Active DirectoryPlan for Azure Active Directory

Configuration Manager ist in Azure Active Directory (Azure AD) integriert, damit der Standort und die Clients eine moderne Authentifizierungsmethode verwenden können.Configuration Manager integrates with Azure Active Directory (Azure AD) to enable the site and clients to use modern authentication. Durch die Integration Ihres Standorts in Azure AD werden folgende Configuration Manager-Szenarios unterstützt:Onboarding your site with Azure AD supports the following Configuration Manager scenarios:

ClientClient

ServerServer

Weitere Informationen zum Verbinden Ihres Standorts mit Azure AD finden Sie unter Konfigurieren von Azure-Diensten.For more information on connecting your site to Azure AD, see Configure Azure services.

Weitere Informationen zu Azure AD finden Sie in der Dokumentation zu Azure Active Directory.For more information about Azure AD, see Azure Active Directory documentation.

Planen der Authentifizierung von SMS-AnbieternPlan for SMS Provider authentication

Ab Version 1810 können Sie die mindestens erforderliche Authentifizierungsebene für den Administratorzugriff auf Configuration Manager-Standorte angeben.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Diese Funktion verpflichtet Administratoren dazu, sich mit der erforderlichen Ebene bei Windows anzumelden.This feature enforces administrators to sign in to Windows with the required level. Dies gilt für alle Komponenten, die auf den SMS-Anbieter zugreifen.It applies to all components that access the SMS Provider. Dazu gehören beispielswiese die Configuration Manager-Konsole, SDK-Methoden und Windows PowerShell-Cmdlets.For example, the Configuration Manager console, SDK methods, and Windows PowerShell cmdlets.

Diese Konfiguration entspricht einer Einstellung für die gesamte Hierarchie.This configuration is a hierarchy-wide setting. Überprüfen Sie vor dem Ändern dieser Einstellung, ob sich alle Configuration Manager-Administratoren mit der erforderlichen Authentifizierungsebene bei Windows anmelden können.Before you change this setting, make sure that all Configuration Manager administrators can sign in to Windows with the required authentication level.

Die folgenden Ebenen sind verfügbar:The following levels are available:

  • Windows-Authentifizierung: Hiermit ist eine Authentifizierung mit Active Directory-Domänenanmeldeinformationen erforderlich.Windows authentication: Require authentication with Active Directory domain credentials.

  • Zertifikatauthentifizierung: Hiermit ist einer Authentifizierung mit einem gültigen Zertifikat erforderlich, das von einer vertrauenswürdigen PKI-Zertifizierungsstelle ausgestellt wurde.Certificate authentication: Require authentication with a valid certificate that's issued by a trusted PKI certificate authority.

  • Windows Hello for Business-Authentifizierung: Hiermit ist eine Authentifizierung mit starker zweistufiger Authentifizierung erforderlich, die an ein Gerät gebunden ist und biometrische Daten oder eine PIN verwendet.Windows Hello for Business authentication: Require authentication with strong two-factor authentication that's tied to a device and uses biometrics or a PIN.

Weitere Informationen finden Sie unter Planen des SMS-Anbieters.For more information, see Plan for the SMS Provider.

Weitere Informationen:See also