Sicherheit

In diesem Abschnitt werden die wichtigsten Sicherheitsmaßnahmen in Jamf Pro erläutert:

  • Passwörter

  • Kommunikationsprotokolle

  • Public Key Infrastructure (PKI)

  • Signierte Anwendungen

Passwörter

Sie können in Jamf Pro die Passwörter von Accounts für verwaltete Computer speichern und ggf. zurücksetzen.

Die in der Datenbank gespeicherten Passwörter werden mithilfe des gängigen 256-Bit-AES-Verschlüsselungsalgorithmus verschlüsselt.

Kommunikationsprotokolle

Jamf Pro wurde von Grund auf sicher konzipiert. Die Verbindungen zwischen dem Jamf Pro Server, den anderen Jamf Pro Apps und den Mobilgeräten werden über SSL (Secure Sockets Layer) mithilfe von TLS (Transport Layer Security) hergestellt.

Die Verbindung zwischen Jamf Remote und dem Netzwerkscanner der Recon Anwendung mit den Computern erfolgt über SSH (Secure Shell) bzw. Remote Login.

SSH (Secure Shell)

SSH ist ein in macOS integriertes Netzwerksicherheitsprotokoll. Weitere Informationen finden Sie hier:
http://openssh.com/

TLS (Transport Layer Security)

TLS ist ein Protokoll für die sichere Datenübertragung im Internet. Weitere Informationen finden Sie hier:
https://tools.ietf.org/html/rfc5246

PKI (Public Key Infrastructure)

Mit einer Public Key Infrastructure (PKI) wird festgelegt, wie digitale Zertifikate abgerufen, verwaltet, gespeichert und verteilt werden, um den sicheren Austausch von Daten über ein öffentliches Netzwerk zu gewährleisten.

Zertifizierungsstelle (Certificate Authority)

Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine vertrauenswürdige Stelle, von der die für die zertifikatbasierte Authentifizierung benötigten Zertifikate signiert und ausgestellt werden. Sie bildet die zentrale Komponente der PKI.

In Jamf Pro können Sie auswählen, ob Sie die integrierte Zertifizierungsstelle, eine vertrauenswürdige externe Zertifizierungsstelle (DigiCert oder Active Directory Certificate Services) integrieren oder Ihre eigene PKI konfigurieren möchten. Letzteres ist jedoch nur dann möglich, wenn Sie Zugang zu einer externen Zertifizierungsstelle haben, die SCEP (Simple Certificate Enrollment Protocol) unterstützt. Von Zertifizierungsstellen können Zertifikate sowohl für Computer als auch für Mobilgeräte ausgestellt werden.

Hinweis: Zertifikate für Computer können auch von einer externen Zertifizierungsstelle ausgestellt werden. Diese Einstellung ist jedoch standardmäßig deaktiviert. Wenden Sie sich für weitere Informationen an Ihren Kundenbetreuer bei Jamf.

Weitere Informationen zu Zertifizierungsstellen in Jamf Pro finden Sie unter PKI-Zertifikate.

Simple Certificate Enrollment Protocol

Mit Simple Certificate Enrollment Protocol (SCEP) werden Zertifikate von der Zertifizierungsstelle abgerufen und an verwaltete Mobilgeräte verteilt. Dadurch wird die Verteilung einer sehr großen Anzahl von Zertifikaten erheblich vereinfacht. Wenn Computer oder Mobilgeräte nicht direkt mit einem SCEP-Server kommunizieren sollen, können Sie die Einstellungen so konfigurieren, dass Jamf Pro als Proxy zwischen dem SCEP-Server und den Computern und Mobilgeräten in Ihrer Umgebung fungiert. Auf diese Weise kann von Jamf Pro eine direkte Verbindung zum SCEP-Server hergestellt werden, um Zertifikate abzurufen und auf den Geräten zu installieren. Weitere Informationen finden Sie in der Anleitung Enabling Jamf Pro as SCEP Proxy (Aktivieren von Jamf Pro als SCEP-Proxy).

Die in Jamf Pro integrierte Zertifizierungsstelle unterstützt SCEP. Wenn Sie stattdessen eine von Ihrer Organisation gehostete externe Zertifizierungsstelle oder die Zertifizierungsstelle eines Drittanbieters verwenden möchten, muss diese Zertifizierungsstelle ebenfalls SCEP unterstützen.

Zertifikate

Von Jamf Pro werden die folgenden Sicherheitszertifikate verwendet:

  • SSL-Zertifikate – Für Jamf Pro ist ein gültiges SSL-Zertifikat erforderlich, damit sichergestellt ist, dass von den Computern und Mobilgeräten eine Verbindung mit Jamf Pro und nicht mit einem betrügerischen Server hergestellt wird. Mit dem von der integrierten Zertifizierungsstelle ausgestellten SSL-Zertifikat können Sie die Kommunikation mithilfe einer 2.048-Bit-RSA-Verschlüsselung verschlüsseln.

  • Geräteidentitätszertifikate – Anhand der Geräteidentitätszertifikate wird von Jamf Pro jedes Mal die Identität von Computern und Mobilgeräten überprüft, wenn von diesen eine Verbindung zum Jamf Pro Server hergestellt wird.

  • Gerätezertifikate – Gerätezertifikate werden in JAMF.keychain gespeichert und fortan vom Jamf Management Framework verwendet, um die Kommunikation zwischen Jamf Pro und dem verwalteten Computer zu sichern.

  • Zertifizierungsstellenzertifikat – Mithilfe dieses Zertifikats (CA-Zertifikats) wird die Kommunikation zwischen der Zertifizierungsstelle und den Computern bzw. Mobilgeräten als vertrauenswürdig gekennzeichnet.

  • Signierungszertifikat – Mit diesem Zertifikat werden Nachrichten signiert, die zwischen dem Jamf Pro Server und Mac Computern sowie zwischen dem Jamf Pro Server und Mobilgeräten ausgetauscht werden.

  • Push-Zertifikat—Jamf Pro benötigt ein gültiges Push-Zertifikat, um mit dem Apple Push Notification Service (APNs) kommunizieren zu können.

  • Als Vertrauensanker fungierendes Zertifikat – Mithilfe dieses Zertifikats wird das SSL-Zertifikat von den Mobilgeräten und Computern als vertrauenswürdig eingestuft.

Signierte Anwendungen

Die folgenden Anwendungen sind von Jamf signiert:

  • Composer

  • Jamf Admin

  • Jamf Binary

  • Jamf Helper

  • Jamf Imaging

  • Jamf Remote

  • Jamf Self Service

  • Recon

Weiterführende Informationen

Weiterführende Informationen finden Sie im folgenden Artikel:

Von Jamf Pro verwendete Netzwerkports
Hier erfahren Sie, welche Netzwerkports von Jamf Pro verwendet werden.

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2021 Jamf. Alle Rechte vorbehalten.