次の方法で共有


Configuration Manager の帯域外管理のセキュリティとプライバシー

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

このトピックでは、System Center 2012 Configuration Manager での帯域外管理におけるセキュリティとプライバシー情報について説明します。

帯域外管理用のセキュリティのベスト プラクティス

Intel AMT ベースのコンピューターを帯域外で管理する際は、次のセキュリティのベスト プラクティスを参考にします。

セキュリティのベスト プラクティス

説明

Intel AMT ベースのコンピューターを購入する前に、カスタマイズされたファームウェアを要求する。

帯域外管理できるコンピューターには BIOS 拡張があり、これらのコンピューターが自分のネットワーク上にある場合、カスタマイズされた値を設定してセキュリティを大幅に向上させることができます。コンピューターの製造元から入手できる BIOS 拡張設定を確認し、所定の値を指定します。詳細については、「コンピューターの製造元からカスタマイズされたファームウェア イメージを使用するかどうかを決定します。」をご覧ください。

AMT ベース コンピューターに使用するファームウェア値がない場合、手動で指定できることもあります。手作業による BIOS 拡張の構成の詳細については、Intel のドキュメントまたはコンピューターの製造元のドキュメントを参照してください。詳細については、を参照してください Intel vPro Expert Center:Microsoft vPro の管理です。以下のオプションをカスタマイズして、セキュリティを向上させます。

  • 外部証明書機関 (CA) のすべての証明書の拇印を独自の内部 CA の証明書の拇印で置換する。これによって偽のプロビジョニング サーバーが AMT ベース コンピューターのプロビジョニングを試行するのを防ぎ、外部 CA からプロビジョニング証明書を購入する必要がなくなります。

  • MEBx アカウントにカスタム パスワードを使用し、admin の既定値が使用されないようにする。そして、このパスワードと AMT プロビジョニングおよび探索アカウントを Configuration Manager に指定します。これによって偽のプロビジョニング サーバーが既知の既定パスワードで AMT ベース コンピューターのプロビジョニングを試行するのを防ぎます。

プロビジョニング証明書の要求とインストールを管理する。

コンピューターのセキュリティ コンテキストを使用して、プロビジョニング サーバーから直接プロビジョニング証明書を要求します。これにより、証明書はローカル コンピューター ストアに直接インストールされます。別のコンピューターから証明書を要求する必要がある場合は、まず、プライベート キーをエクスポートし、そして証明書を証明書ストアに転送してインポートする際に、追加のセキュリティ制御を使用する必要があります。

既存のプロビジョニング証明書の有効期限が切れる前に必ず、新しい証明書を要求する。

期限切れの AMT プロビジョニング証明書はプロビジョニング失敗の原因になります。プロビジョニング証明書を取得するために CA を使用している場合、証明書の更新処理の完了と、帯域外管理ポイントの再構成にかかる時間を考慮します。

AMT ベースのコンピューターのプロビジョニング専用の証明書テンプレートを使用する。

エンタープライズ CA 用に Windows Server のエンタープライズ バージョンを使用している場合は、既定の Web Server 証明書テンプレートを複製して新しい証明書のテンプレートを作成し、 [読み取り] と [登録] のアクセス許可を持つのは帯域外管理のコンポーネント プロパティで指定したセキュリティ グループのみにし、既定のサーバー認証に追加の機能は追加しないようにします。

専用の証明書テンプレートにより、適切にアクセスの管理と制御を行うことができるようになり、権限の昇格を防ぐのに役立てることができます。エンタープライズ CA 用に Windows Server の Standard バージョンを使用している場合、重複した証明書テンプレートを作成することはできません。このシナリオでは、帯域外管理のコンポーテント プロパティで指定したセキュリティ グループに [読み取り] および [登録] のアクセス許可を追加し、必要のないアクセス許可は取り除く必要があります。

ウェイク アップ パケットの代わりに、コマンド上で AMT 電源を使用する。

どちらのソリューションもソウフトウェア インストール用のウェイク アップ コンピューターに対応していますが、業界標準のセキュリティ プロトコルを使用して認証および暗号を提供するため、コマンドでの AMT 電源のほうが、ウェイク アップ パケットを転送するよりも安全です。帯域外管理によりコマンドで AMT 電源を使用するため、このソリューションは既存の公開キー基盤 (PKI) の展開と統合し、セキュリティ制御を製品から独立して管理することができます。詳細については、「Configuration Manager のクライアント接続の計画」の「クライアントをウェイクアップする方法の計画」を参照してください。

コンピューターが帯域外管理をサポートしていない場合、ファームウェアの AMT を無効にする。

AMT ベースのコンピューターが、AMT の対応バージョンを持っているときでも、帯域外管理が対応しないシナリオがいくつかあります。それらのシナリオには、ワークグループ コンピューター、異なる名前空間を持つコンピューター、分離された名前空間を持つコンピューターが含まれます。

これらの AMT ベースのコンピューターが Active Directory ドメインサービスに公開されておらず、必要とされる PKI 証明書を持っていないことを確認するには、ファームウェアの AMT を無効にしてください。Configuration Manager の AMT プロビジョニングでは、Active Directory ドメイン サービスに公開されたアカウントのドメイン資格情報が作成されます。このため、コンピューターが Active Directory フォレストの一部でないと、権限の昇格のリスクがあります。

専用の OU を使用して AMT ベースのコンピューターのアカウントを公開する。

既存のコンテナーまたは組織単位 (OU) を使用して、AMT プロビジョニング中に作成された Active Directory アカウントを公開してはいけません。別の OU があると、これらのアカウントの管理や制御だけでなく、サイト サーバーやこれらのアカウントに要求された以上の特権を付与しないようにするのに役立ちます。

AMT ベースのコンピューターが含まれる各ドメインにおいて、サイト サーバーのコンピューターのアカウントに OU、ドメイン コンピューター グループ、およびドメイン ゲスト グループへの [書き込み] アクセス許可を与えます。

サイト サーバー コンピューターのアカウントに [すべての子オブジェクトの作成] および [すべての子オブジェクトの削除] アクセス許可を与え、[このオブジェクトのみ] を適用し、サイト サーバー コンピューター アカウント用の次のアクセス許可を与えます。

  • OU には:すべてのプロパティを書き込む アクセス許可を適用 このオブジェクトとすべての子オブジェクトです。

  • ドメイン コンピューター グループには:すべてのプロパティを書き込む アクセス許可を適用 このオブジェクトのみです。

  • ドメイン ゲスト グループには:すべてのプロパティを書き込む アクセス許可を適用 このオブジェクトのみです。

AMT プロビジョニング専用のコレクションを使用する。

AMT 用にプロビジョニングをするコンピューター以外が含まれている既存のコレクションは使用しません。代わりに、[プロビジョニングされていません] の AMT ステータスを使用して、クエリベースのコレクションを作成します。

AMT ステータスおよびのクエリを作成する方法の詳細については プロビジョニングされていません, を参照してください Configuration Manager の AMT ステータスおよび帯域外管理についてです。

IDE リダイレクト機能を使うため代替メディアから起動するときは、イメージ ファイルを安全に取得し保存する。

IDE リダイレクト機能を使用する代替のメディアから起動するときは、可能な限り、帯域外管理コンソールを実行するコンピューター上にローカルにイメージファイルを保存します。イメージ ファイルをネットワーク上に格納する必要がある場合は、ネットワーク転送中にファイルが不正に改ざんされるのを防ぐために、ネットワーク経由でファイルを取得するための接続に SMB 署名が使用されていることを確認します。いずれのシナリオでも、たとえば、NTFS アクセス許可および暗号化されたファイル システムを使用するなどして、不正なアクセスから格納されたファイルを保護します。

AMT 監査ログ ファイルを安全に取得し保存する。

AMT 監査ログ ファイルを保存する場合は、可能な限り、帯域外管理コンソールを実行するコンピューター上にローカルにファイルを保存します。イメージ ファイルをネットワーク上に格納する必要がある場合は、ネットワーク転送中にファイルが不正に改ざんされるのを防ぐために、ネットワーク経由でファイルを取得するための接続に SMB 署名が使用されていることを確認します。いずれのシナリオでも、たとえば、NTFS アクセス許可および暗号化されたファイル システムを使用するなどして、不正なアクセスから格納されたファイルを保護します。

AMT プロビジョニングおよび探索アカウントの数を最小限にする。

複数の AMT プロビジョニングおよび探索アカウントを指定することで、Configuration Manager が AMT 管理コントローラーを持つコンピューターを検出し、それらを帯域外管理用にプロビジョニングできるようにすることは可能ですが、現在必要ではないアカウントは指定せず、不要になったアカウントは削除してください。必要なアカウントのみを指定し、これらのアカウントに必要以上に多くのアクセス許可を付与しなければ、不要なネットワーク トラフィックおよび処理を軽減することができます。AMT プロビジョニングおよび探索アカウントの詳細については、次を参照してください。 手順 5:帯域外管理コンポーネントの構成です。

サービスの継続性のために、AMT プロビジョニングの削除アカウントとしてユーザーアカウントを指定し、このユーザーアカウントが AMT ユーザー アカウントとしても必ず指定されるようにします。

AMT プロビジョニングの削除アカウントは、Configuration Manager サイトの復元が必要な際のサービスの継続性に役立ちます。サイトを復元したら、新しい AMTプロビジョニング証明書を要求し構成します。そして、AMT プロビジョニングの削除アカウントを使ってAMT ベースのコンピューターからプロビジョニング情報を削除し、コンピューターを再プロビジョニングします。

AMT ベースのコンピューターが他のサイトから再割り当てされ、プロビジョニング情報が削除されていない場合も、このアカウントを使用できます。

AMT プロビジョニング情報を削除する方法の詳細については、「AMT 情報を削除する方法」を参照してください。

現実的な場合は、クライアント認証証明書には単一の証明書テンプレートを使用する。

ワイヤレス プロファイルごとに異なる証明書テンプレートを指定することはできますが、ワイヤレス ネットワークごとに異なる設定を使用する業務要件がない限り、単一の証明書テンプレートを使用し、クライアント認証の機能のみを指定し、この証明書テンプレートを帯域外管理の Configuration Manager 専用に使用します。たとえば、ワイヤレス ネットワークで要求されるキーサイズが他よりも高い、または有効期間が他よりも短い場合は、別の証明書テンプレートを作成する必要が生じます。単一の証明書テンプレートにより、使用をより簡単に管理し、権限の昇格を防ぐことができるようになります。

承認された管理者ユーザーのみが必要に応じてAMT 監査操作を実行し、AMT 監査ログを管理するようにする。

AMT のバージョンによっては、Configuration Manager は、AMT 監査ログがほとんど使用されていると、新しいエントリの書き込みを停止したり、古いエントリを上書きしたりすることがあります。新しいエントリがログに記録され、古いエントリが上書きされないようにするには、必要に応じて定期的に監査ログを消去し、監査エントリを保存します。監査ログの管理および監査アクティビティの監視方法の詳細については、「Configuration Manager の AMT ベースのコンピューターの監査ログを管理する方法」を参照してください。

AMTベースのコンピューターを帯域外で管理するために管理者ユーザーの権限を付与する際は、もっとも少ないアクセス許可と役割ベースの管理の原則を使用する。

使用して、 リモート ツール オペレーター 管理ユーザーに、それらを表示およびコンピューターを帯域外管理コンソールを使用して管理を使用するには、[AMT の制御アクセス許可を付与してから、電源管理操作を開始するセキュリティ ロール、 Configuration Manager コンソールです。

AMTベースのコンピューターを管理するために必要なセキュリティのアクセス許可の詳細については、「Configuration Manager での帯域外管理の前提条件」の「Configuration Manager の依存関係」を参照してください。

帯域外管理用のセキュリティに関する問題

AMT ベースのコンピューターの帯域外管理には次のセキュリティの問題があります。

  • 攻撃者は、Active Directory アカウントの作成につながるプロビジョン要求を装う場合があります。AMT アカウントが作成された OU を監視し、予期しないアカウントが作成されないように注意します。

  • インターネットで公開された証明書の取消一覧 (CRL) を確認するために帯域外 サービス ポイント用の Web プロキシ アクセスを構成することはできません。AMT プロビジョニング証明書の CRL 確認を有効化し、CRL がアクセスできない場合は、帯域外サービス ポイントは AMT ベースのコンピューターをプロビジョニングしません。

  • 自動のAMT プロビジョニングを無効にするオプションは、AMT ではなく、Configuration Manager クライアントに保存されています。つまり、AMT ベースのコンピューターはプロビジョニングされません。たとえば、Configuration Manager クライアントがインストールされたり、コンピューターが他の管理製品によってプロビジョンニングされたりする可能性があります。

  • AMT ベースのコンピューターの自動プロビジョニングを無効にするオプションを選択しても、帯域外サービス ポイントは、コンピューターからのプロビジョニング要求を受け入れます。

帯域外管理のプライバシー情報

帯域外管理コンソールでは、Intel vPro チップ セットおよびファームウェアのバージョンが Configuration Manager によってサポートされている Intel Active Management Technology (Intel AMT) を搭載しているコンピューターを管理します。Configuration Manager コンピューターの構成とコンピューター名、IP アドレス、および MAC アドレスなどの設定に関する情報を一時的に収集します。情報は管理されているコンピューターと帯域外管理コンソールとの間を、暗号化されたチャネルを使用して転送されます。既定ではこの機能は有効ではなく、通常は管理セッションが終了した後は、情報は保存されません。AMT 監査を有効にすると、管理対象のAMT ベースのコンピューターの IP アドレスを含んだファイルに、記録された日付と時間に管理アクションを実行したドメインとユーザー アカウントを保存することができます。この情報が Microsoft に送信されることはありません。

Configuration Manager を有効にして、帯域外管理コンソールによって管理可能な管理コントローラーを備えたコンピューターを探索するオプションが用意されています。探索によって、管理可能なコンピューター用のレコードが作成され、そのレコードがデータベースに保存されます。探索データ レコードには、IP アドレス、オペレーティング システム、コンピューター名などのコンピューター情報が含まれます。既定では、管理コントローラーの探索機能は無効になっています。探索情報がマイクロソフトに送信されることはありません。探索情報は、サイト データベースに保存されます。情報は、90 日ごとに実行されるサイトの保守タスク [期限切れの探索データの削除] によって削除されるまでデータベースに保持されます。削除間隔は構成できます。

帯域外管理を構成する前に、プライバシー要求を考慮します。