Configuration Manager のハードウェア インベントリのセキュリティとプライバシー
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
[!メモ]
このトピックは次の場所に表示されます:「System Center 2012 Configuration Manager の資産とコンプライアンス」ガイドおよび「System Center 2012 Configuration Manager のセキュリティとプライバシー」ガイド
このトピックでは、System Center 2012 Configuration Manager のハードウェア インベントリに関するセキュリティとプライバシー情報について説明します。
ハードウェア インベントリについて推奨するセキュリティ運用方法
ここでは、クライアントからハードウェア インベントリを収集するときの、セキュリティのベスト プラクティスについて説明します。
セキュリティのベスト プラクティス |
説明 |
|---|---|
インベントリ データの署名と暗号化 |
クライアントがHTTPS を使用して管理ポイントと通信するときは、送信されるすべてのデータが SSL を使って暗号化されます。しかし、クライアント コンピューターが HTTP を使用してイントラネット上の管理ポイントと通信するときは、クライアント インベントリ データや収集されたファイルを署名なしで、暗号化せずに送信することができます。必ず署名が必要とされ、暗号化が使用されるようにサイトを構成してください。さらに、クライアントが SHA-256 アルゴリズムをサポートできる場合は、SHA-256 を要求するオプションを選択してください。 |
高セキュリティ環境では IDMIF および NOIDMIF ファイルを収集しない |
IDMIF および NOIDMIF ファイル コレクションを使用して、ハードウェア インベントリ コレクションを拡張することができます。必要に応じて、Configuration Manager は、IDMIF ファイルおよび NOIDMIF ファイルのプロパティに合わせて、Configuration Manager データベース内に新規テーブルを作成したり既存のテーブルを変更したりします。ただし、Configuration Manager は IDMIF および NOIDMIF ファイルを検証しないため、これらのファイルが使用されて、変更したくないテーブルが変更される可能性があります。有効なデータが無効なデータで上書きされることもあります。さらに、大量のデータが追加され、このデータの処理が、すべての Configuration Manager 機能で遅延の原因となる可能性があります。リスクを軽減するには、ハードウェア インベントリのクライアント設定を構成する。 収集 MIF ファイル として Noneです。 |
ハードウェア インベントリのセキュリティに関する問題
インベントリを収集すると、潜在的な脆弱性が露出します。攻撃者は、次のような攻撃を行う可能性があります。
ソフトウェア インベントリ クライアント設定が無効化され、ファイル コレクションが有効化されていない場合でも、管理ポイントが受け付けてしまう、無効なデータを送信する。
単一ファイル、あるいは多くのファイルで極めて大量のデータを送信し、その結果サービス拒否攻撃を引き起こす可能性がある。
Configuration Manager に転送されるときに、インベントリ情報にアクセスする。
ローカル管理権限を持つユーザーはどんな情報でもインベントリ データとして送信できるので、Configuration Manager が収集したインベントリ データが必ず正しいとは考えないでください。
既定では、ハードウェア インベントリはクライアント設定として有効になっています。
ハードウェア インベントリに関するプライバシー情報
[!メモ]
このセクションの情報は、次の場所にも表示されます: Configuration Manager のソフトウェア インベントリのセキュリティとプライバシー.
ハードウェア インベントリを使うと、Configuration Manager クライアントのレジストリと WMI に格納されているすべての情報を取得できます。ソフトウェア インベントリにより、クライアントにある指定された種類のすべてのファイルの探索、および指定されたすべてのファイルの収集を行うことができます。資産インテリジェンスは、ハードウェアおよびソフトウェア インベントリを拡張し、新しいライセンス管理機能を追加することで、インベントリの機能を強化します。
ハードウェア インベントリは、クライアント設定として既定で有効になっており、収集される WMI 情報は選択するオプションによって決まります。ソフトウェア インベントリは、既定で有効になっていますが、ファイルは既定では収集されません。有効にするハードウェア インベントリ レポート クラスを選択することは可能ですが、資産インテリジェンス データ コレクションは自動的に有効になります。
インベントリ情報がマイクロソフトに送信されることはありません。インベントリ情報は Configuration Manager データベースに格納されます。クライアントが HTTPS を使用して管理ポイントに接続する場合、クライアントがサイトに送信するインベントリ データは転送中、暗号化されます。クライアントが HTTP を使用して管理ポイントに接続する場合は、インベントリの暗号化を有効にするかどうか選択できます。インベントリ データは、暗号化された形式でデータベースに格納されるわけではありません。サイトの保守タスクによって削除されるまでに、データベースに情報が保持されます 期限切れのインベントリ履歴の削除 または 期限切れの収集ファイルの削除 90 日ごとです。削除間隔は構成できます。
ハードウェア インベントリ、ソフトウェア インベントリ、ファイル コレクション、または資産インテリジェンス データ コレクションを構成する前に、プライバシー要件について検討してください。