Configuration Manager のコンプライアンス設定のセキュリティとプライバシー
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
[!メモ]
このトピックは次の場所に表示されます:「System Center 2012 Configuration Manager の資産とコンプライアンス」ガイドおよび「System Center 2012 Configuration Manager のセキュリティとプライバシー」ガイド
このトピックでは System Center 2012 Configuration Manager のコンプライアンス設定に関するセキュリティおよびプライバシー情報について説明します。
コンプライアンス設定に関するセキュリティ上のベスト プラクティス
クライアントでコンプライアンス設定を管理するときは、次のようなセキュリティのベスト プラクティスに従ってください。
セキュリティのベスト プラクティス |
説明 |
|---|---|
機密データを監視しないでください。 |
情報開示を防ぐため、構成項目が機密の可能性のある情報を監視するように構成しないでください。 |
エンド ユーザーによって変更できるユーザー データを使用するコンプライアンス規則を構成しない |
構成の選択用のレジストリ設定など、ユーザーが変更できるデータに基づく、コンプライアンス規則を作成する場合は、対応結果は信頼性の高いできません。 |
Microsoft System Center 構成パッケージと、その他の外部ソースからの構成データをインポートします。外部ソースからの構成データは信頼された発行元の有効なデジタル署名がある場合に限り、インポートしてください。 |
発行された構成データは、発行元を検証し、不正に変更されていないことを確認できるように、デジタル署名することが可能です。デジタル署名の確認に失敗すると、警告が表示され、インポートを続行するかどうか選択を求められます。発行元やデータの整合性が証明できない場合は、署名のないデータをインポートしないでください。 |
アクセス制御を実装して参照コンピューターを保護する |
参照コンピューターを参照して管理者がレジストリやファイル システム設定を構成する場合は、参照コンピューターが侵害されていないことを確認してください。 |
参照コンピューターを参照するときは、通信チャネルを保護してください。 |
ネットワークを介してデータを転送するときはデータの改ざんを防ぐため、Configuration Manager コンソールを実行するコンピューターと参照コンピューター間で、インターネット セキュリティ プロトコル (IPsec) またはサーバー メッセージ ブロック (SMB) を使用してください。 |
コンプライアンス設定マネージャーの役割によってセキュリティ ロールを付与された管理者を制限し、監視してください。 |
コンプライアンス設定マネージャーの役割を与えられた管理者は、階層内のすべてのデバイスとすべてのユーザーに構成項目を展開できます。構成項目は、きわめて強力で、たとえばスクリプトやレジストリの再構成を含むことが可能です。 |
コンプライアンス設定に関するプライバシー情報
コンプライアンス設定を使って、構成基準によって展開する構成項目に対して、クライアント デバイスがコンプライアンス対応しているかどうかを評価できます。コンプライアンス対応していない場合、一部の設定は自動修復できます。コンプライアンス対応情報は管理ポイントによってサイト サーバーに送信され、サイト データベースに保存されます。情報はデバイスが管理ポイントに送信するときは暗号化されますが、サイト データベースに保存するときは暗号化されません。情報は、90 日ごとに実行されるサイトのメンテナンス タスク [期限切れの構成管理データの削除] によって削除されるまでデータベースに保持されます。削除間隔は構成できます。対応情報がマイクロソフトに送信されることはありません。
既定では、デバイスはコンプライアンス設定を評価しません。さらに、構成項目と構成基準を設定してから、それをデバイスに展開することが必要です。
コンプライアンス設定を構成する前に、プライバシー要件について検討してください。