Clientzertifikatbasierte Sicherheit

Mit Ivanti® Endpoint Manager Version 2016 wurde ein neues clientzertifikatbasiertes Sicherheitsmodell für Windows-basierte Geräte eingeführt. Wenn dieses Sicherheitsmodell aktiv ist, können nur Geräte mit gültigen Zertifikaten Daten von sicheren Coreservern entschlüsseln.

Ab Version 2020.1 ist dieses Modell standardmäßig aktiviert und Sie werden beim Setup nicht mehr gefragt, ob Sie es aktivieren möchten. Falls Sie ein Upgrade auf Version 2020.1 oder eine neuere Version durchführen und das clientzertifikatbasierte Sicherheitsmodell in der früheren Version nicht aktiviert hatten, müssen Sie die in diesem Thema beschriebenen Schritte durchführen.

Falls Sie das clientzertifikatbasierte Sicherheitsmodell in Version 2016 oder später bereits aktiviert hatten und ein Upgrade auf eine neuere Version von Endpoint Manager durchführen, müssen Sie die in diesem Thema beschriebenen Schritte nicht durchführen.

Wenn Version Endpoint Manager 2016 oder höher die erste Installation von Endpoint Manager in Ihrer Netzwerkumgebung ist, können Sie die clientzertifikatbasierte Sicherheit problemlos aktivieren, da keine älteren Agentenversionen vorhanden sind.

Falls jedoch Geräte mit älteren Agentenversionen vorhanden sind und Sie die clientzertifikatbasierte Sicherheit aktivieren, können diese Geräte keine sicheren Daten vom Coreserver entschlüsseln, und viele Agentenfunktionen funktionieren nicht ordnungsgemäß.

Ist die clientzertifikatbasierte Sicherheit einmal aktiviert, kann sie nicht mehr deaktiviert werden.

Führen Sie die folgenden Schritte aus, um die clientzertifikatbasierte Sicherheit zu aktivieren:

1.Prüfung der Bereitschaft und Update der Geräte mit älteren Agentenversionen (9.x) durchführen

2.Client-Zertifikate genehmigen

3.Clientzertifikatbasierte Sicherheit auf dem Coreserver aktivieren

4.Kennwörter der von Clients verwendeten Coreserver-Komponente erneut verschlüsseln

5.(Wenn Sie mit Coresynchronisierung arbeiten): Neue Verschlüsselungsschlüssel auf andere Coreserver kopieren

Schritt 1: Bereitschaft der verwalteten Windows-Geräte sicherstellen

Im Dialogfeld "Sicherheitseinstellungen" (Konfigurieren > Sicherheit) wird in einem Diagramm die Erfolgsquote der zertifikatbasierten Authentifizierung für verwaltete Geräte angezeigt. Wenn verwaltete Geräte versuchen, eine sichere Verbindung mit dem Coreserver herzustellen, oder wenn der Sicherheitsscanner (vulscan.exe) ausgeführt wird, werden die Verbindungsergebnisse im Geräteinventar gespeichert. Das geschieht auch dann, wenn das neue Sicherheitsmodell noch nicht aktiviert ist.

Geräte, die nicht den Status Authentifizierung erfolgreich haben, können nach der Aktivierung des neuen Sicherheitsmodells nicht in vollem Umfang verwaltet werden. Normalerweise sind es ältere Agenten auf den Geräten, die dazu führen, dass die Geräte einen anderen Status aufweisen. Aktivieren Sie das neue Sicherheitsmodell erst dann, wenn alle Geräte dafür bereit sind.

Das Diagramm in diesem Dialogfeld liefert eine Übersicht über die Ergebnisse der Verbindungsversuche:

  • Authentifizierung erfolgreich: Auf dem Gerät sind Agenten der Version 2016 vorhanden, es ist sicher verbunden, und es ist für das neue Sicherheitsmodell bereit. Im Idealfall sind alle Geräte hier aufgeführt.
  • Keine Authentifizierungsdaten: Das Gerät hat keine sichere Verbindung versucht, oder der Sicherheitsscanner hat noch keine Verbindungsergebnisse an den Core zurückgegeben. Beachten Sie Folgendes: Wenn auf dem Coreserver keine Agenten installiert sind, erscheint der Core in dieser Liste. Das ist jedoch völlig in Ordnung.
  • Authentifizierung fehlgeschlagen: Das Gerät hat versucht sich zu authentifizieren, die Authentifizierung misslang jedoch aus irgendeinem Grund. Der Grund dafür ist normalerweise, dass das Gerät keine clientzertifikatbasierte Genehmigung erhalten hat (Konfigurieren > Clientzugriff verwalten), wie im nächsten Abschnitt erläutert.
  • Clientagenten müssen Upgrade durchführen: Das Gerät kann sich nicht authentifizieren, weil auf ihm ältere (9.x) Agenten ausgeführt werden.

Durch Doppelklicken auf die Elemente im Diagramm können Sie die zugehörigen Geräte in der Netzansicht anzeigen. Die dynamisch generierte Abfrage für ein Element, auf das Sie doppelgeklickt haben, erscheint unter Abfragen > Eigene Abfragen > Vom Diagramm erzeugte Abfragen. In dieser Ansicht ist es einfacher, Geräte als Ziel zu definieren oder Probleme bei Geräten zu beheben.

Unter Umständen stehen weitere Verbindungsdetails im Geräteinventar unter Ivanti Management > Clientzertifikatbasierte Sicherheit > Authentifizierungsstatus.

Schritt 2: Client-Zertifikate genehmigen

Bei der Installation des Endpoint Manager 2016 Agenten werden automatisch auch Clientsicherzeitszertifikate generiert. Bisher mussten Administratoren dies nach Installation des Agenten manuell durchführen. Wenn ein Gerät mit einem Sicherheitszertifikat zum ersten Mal mit dem Core kommuniziert, trägt der Core im Dialogfeld Clientzugriff auf der Registerkarte Clientzertifikate verwalten einen Eintrag "Nicht genehmigt" für dieses Gerät ein. Administratoren können dann den Zugang für diese Zertifikate genehmigen oder blockieren.

Wenn die clientzertifikatbasierte Sicherheit nicht aktiviert ist, funktionieren nicht genehmigte Geräte wie normal, doch sie können erst dann über eine Cloud Services Appliance (CSA) kommunizieren, wenn sie genehmigt wurden.

Falls die clientzertifikatbasierte Sicherheit aktiviert ist, können nicht genehmigte Geräte keine sicheren Daten vom Coreserver entschlüsseln, und viele Agentenfunktionen funktionieren nicht ordnungsgemäß.

Wenn Sie das Zertifikat eines Geräts genehmigen, erhält der Core eine Statusaktualisierung erst dann von dem Gerät, wenn es einen Sicherheitsscan ausführt, bei dem eine neue Authentifizierungsprüfung ausgelöst wird.

Im Diagramm Zertifikatgenehmigungsstatus sehen Sie weitere Informationen zum Genehmigungsfortschritt und -status (Extras > Sicherheit und Compliance> Sicherheitsaktivität).

So verwalten Sie Genehmigungen für Clientzertifikate:

1.Klicken Sie auf Konfigurieren > Clientzugriff verwalten.

2.Wählen Sie die gültigen nicht genehmigten Geräte aus, und klicken Sie auf Ausgewählte genehmigen.

3.Klicken Sie auf Schließen.

Schritt 3: Clientzertifikatbasierte Sicherheit auf dem Coreserver aktivieren

Wenn Sie sich vergewissert haben, dass Ihre gesamte Umgebung für die clientzertifikatbasierte Sicherheit bereit ist, und auch Sie für die Aktivierung bereit sind, gehen Sie folgendermaßen vor.

So aktivieren Sie die clientzertifikatbasierte Sicherheit:

1.Klicken Sie auf Konfigurieren > Sicherheit.

2.Sehen Sie sich das Diagramm an und lesen Sie die Warnhinweise. Sie müssen sie verstanden haben und zum Upgrade bereit sein.

3.Klicken Sie auf die Optionsschaltfläche Clientzertifikatbasierte Sicherheit, um diese zu aktivieren.

4.Wenn Sie die Authentifizierungs- und Entschlüsselungsergebnisse speichern möchten, wählen Sie die gewünschten Optionen aus.

5.Klicken Sie auf Speichern.

6.Lesen Sie das daraufhin angezeigte Dialogfeld mit Warnungen zu den Sicherheitseinstellungen aufmerksam durch.

7.Klicken Sie auf OK, um die clientzertifikatbasierte Sicherheit zu aktivieren. Wenn Sie noch nicht sicher sind, ob Sie bereit sind, klicken Sie auf Abbrechen. Die Aktivierung kann nicht rückgängig gemacht werden, es ist kein Deaktivieren möglich.

Schritt 4: Kennwörter der Coreserver-Komponente erneut verschlüsseln

Wenn Sie die clientzertifikatbasierte Sicherheit aktivieren, erstellt der Coreserver einen neuen und eindeutigen Verschlüsselungsschlüssel, der dann zur Entschlüsselung neuer Daten verwendet wird. Daten, die nicht geändert wurden, nachdem Sie das neue Sicherheitsmodell aktiviert haben, werden weiterhin auf die alte Art und Weise verschlüsselt. Um von verwalteten Geräten gemeinsam genutzte, wichtige Kennwörter der Coreserver-Komponente zu verschlüsseln, ändern Sie diese Kennwörter, nachdem das neue Sicherheitsmodell aktiviert wurde.

So aktualisieren Sie die Kennwörter für bevorzugte Server:

1.Klicken Sie auf Extras > Verteilung > Inhaltsreplikation / Bevorzugte Server.

2.Ändern Sie das Kennwort in den Eigenschaften jedes einzelnen bevorzugten Servers.

So aktualisieren Sie die in Softwarepaketen gespeicherten Anmeldeinformationen:

1.Klicken Sie auf Extras > Verteilung > Verteilungspakete.

2.Klicken Sie in der Symbolleiste auf Aktualisierung der Anmeldeinformationen im Bündelpaket.

3.Geben Sie die Informationen für Domäne\Benutzer und Kennwort ein.

4.Klicken Sie auf Aktualisieren.

So aktualisieren Sie Agentenkennwörter für Verteilung und Patch:

1.Klicken Sie auf Extras > Konfiguration > Agenteneinstellungen.

2.Klicken Sie im Baum auf Verteilung und Patch.

3.Bearbeiten Sie die einzelnen Agenteneinstellungen für Verteilung und Patch, und aktualisieren Sie auf der Seite "MSI-Informationen" die Anmeldeinformationen für "MSI" und "Ausführen als".

Schritt 5 (Wenn Sie mit Coresynchronisierung arbeiten): Neue Verschlüsselungsschlüssel auf andere Coreserver kopieren

Wenn der Coreserver, den Sie konfigurieren, die Coresynchronisierung einsetzt, wird eine weitere Warnmeldung angezeigt, die besagt, dass die Verschlüsselungsschlüssel auf diese anderen Coreserver kopiert werden müssen. Wenn Sie dies unterlassen und Daten mit den neuen Verschlüsselungsschlüsseln verschlüsselt wurden, können die Zielcoreserver diese Daten nicht mehr entschlüsseln.

Kopieren Sie die XML-Verschlüsselungsschlüssel sicher aus diesem Ordner in den gleichen Ordner auf den Zielcores:

  • C:\Programme\LANDesk\Shared Files\keys\Compatible

Da es sich hierbei um Verschlüsselungsschlüssel handelt, sollten Sie sie mit großer Sorgfalt behandeln. Nur die Coreserver dürfen darauf Zugriff haben.