Beveiliging en privacy voor besturingssysteemimplementatie in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Dit artikel bevat informatie over beveiliging en privacy voor de implementatiefunctie van het besturingssysteem in Configuration Manager.
Aanbevolen beveiligingsprocedures voor besturingssysteemimplementatie
Gebruik de volgende aanbevolen beveiligingsprocedures voor wanneer u besturingssystemen implementeert met Configuration Manager:
Toegangsbeheer implementeren om opstartbare media te beveiligen
Wanneer u opstartbare media maakt, wijst u altijd een wachtwoord toe om de media te beveiligen. Zelfs met een wachtwoord worden alleen bestanden versleuteld die gevoelige informatie bevatten en kunnen alle bestanden worden overschreven.
Fysieke toegang tot de media beheren om te voorkomen dat een aanvaller cryptografische aanvallen gebruikt om het certificaat voor clientverificatie te verkrijgen.
Om te voorkomen dat een client inhoud of clientbeleid installeert waarmee is geknoeid, wordt de inhoud gehasht en moet deze worden gebruikt met het oorspronkelijke beleid. Als de hash van de inhoud mislukt of de controle dat de inhoud overeenkomt met het beleid, gebruikt de client de opstartbare media niet. Alleen de inhoud wordt gehasht. Het beleid is niet gehasht, maar wordt versleuteld en beveiligd wanneer u een wachtwoord opgeeft. Dit gedrag maakt het moeilijker voor een aanvaller om het beleid te wijzigen.
Een veilige locatie gebruiken bij het maken van media voor installatiekopieën van het besturingssysteem
Als onbevoegde gebruikers toegang hebben tot de locatie, kunnen ze knoeien met de bestanden die u maakt. Ze kunnen ook alle beschikbare schijfruimte gebruiken, zodat het maken van media mislukt.
Certificaatbestanden beveiligen
Beveilig certificaatbestanden (.pfx) met een sterk wachtwoord. Als u ze opslaat in het netwerk, beveiligt u het netwerkkanaal wanneer u ze importeert in Configuration Manager
Wanneer u een wachtwoord nodig hebt om het clientverificatiecertificaat te importeren dat u gebruikt voor opstartbare media, helpt deze configuratie het certificaat te beschermen tegen een aanvaller.
Gebruik SMB-ondertekening of IPsec tussen de netwerklocatie en de siteserver om te voorkomen dat een aanvaller kan knoeien met het certificaatbestand.
Eventuele gehackte certificaten blokkeren of intrekken
Als het clientcertificaat is aangetast, blokkeert u het certificaat uit Configuration Manager. Als het een PKI-certificaat is, trekt u het in.
Als u een besturingssysteem wilt implementeren met behulp van opstartbare media en PXE-opstartbewerkingen, moet u een clientverificatiecertificaat met een persoonlijke sleutel hebben. Als dat certificaat is gecompromitteerd, blokkeert u het certificaat in het knooppunt Certificaten in de werkruimte Beheer , beveiligingsknooppunt .
Beveilig het communicatiekanaal tussen de siteserver en de SMS-provider
Wanneer de SMS-provider zich op afstand van de siteserver bevindt, beveiligt u het communicatiekanaal om opstartinstallatiekopieën te beveiligen.
Wanneer u opstartinstallatiekopieën wijzigt en de SMS-provider wordt uitgevoerd op een server die niet de siteserver is, zijn de opstartinstallatiekopieën kwetsbaar voor aanvallen. Beveilig het netwerkkanaal tussen deze computers met behulp van SMB-ondertekening of IPsec.
Distributiepunten inschakelen voor PXE-clientcommunicatie alleen in beveiligde netwerksegmenten
Wanneer een client een PXE-opstartaanvraag verzendt, kunt u er niet voor zorgen dat de aanvraag wordt uitgevoerd door een geldig distributiepunt met PXE-functionaliteit. Dit scenario heeft de volgende beveiligingsrisico's:
Een rogue distributiepunt dat reageert op PXE-aanvragen kan een geknoeid installatiekopieën aan clients leveren.
Een aanvaller kan een man-in-the-middle-aanval starten tegen het TFTP-protocol dat wordt gebruikt door PXE. Deze aanval kan schadelijke code verzenden met de bestanden van het besturingssysteem. De aanvaller kan ook een rogue-client maken om TFTP-aanvragen rechtstreeks naar het distributiepunt te verzenden.
Een aanvaller kan een schadelijke client gebruiken om een Denial of Service-aanval op het distributiepunt te starten.
Gebruik diepgaande verdediging om de netwerksegmenten te beveiligen waar clients toegang hebben tot PXE-distributiepunten.
Waarschuwing
Schakel vanwege deze beveiligingsrisico's geen distributiepunt in voor PXE-communicatie wanneer deze zich in een niet-vertrouwd netwerk bevindt, zoals een perimeternetwerk.
Distributiepunten met PXE configureren om alleen op opgegeven netwerkinterfaces te reageren op PXE-aanvragen
Als u het distributiepunt toestaat om te reageren op PXE-aanvragen op alle netwerkinterfaces, kan deze configuratie de PXE-service blootstellen aan niet-vertrouwde netwerken
Een wachtwoord vereisen om PXE op te starten
Wanneer u een wachtwoord nodig hebt voor PXE-opstarten, voegt deze configuratie een extra beveiligingsniveau toe aan het PXE-opstartproces. Deze configuratie helpt beschermen tegen rogue clients die lid worden van de Configuration Manager hiërarchie.
Inhoud beperken in installatiekopieën van het besturingssysteem die worden gebruikt voor PXE-opstarten of multicast
Neem geen Line-Of-Business-toepassingen of software op die gevoelige gegevens bevat in een installatiekopie die u gebruikt voor PXE-opstarten of multicast.
Vanwege de inherente beveiligingsrisico's die gepaard gaan met PXE-opstarten en multicast, vermindert u de risico's als een rogue-computer de installatiekopie van het besturingssysteem downloadt.
Inhoud beperken die wordt geïnstalleerd door takenreeksvariabelen
Neem geen Line-Of-Business-toepassingen of software op die gevoelige gegevens bevat in pakketten van toepassingen die u installeert met behulp van takenreeksvariabelen.
Wanneer u software implementeert met behulp van takenreeksvariabelen, kan deze worden geïnstalleerd op computers en voor gebruikers die niet gemachtigd zijn om die software te ontvangen.
Het netwerkkanaal beveiligen bij het migreren van de gebruikersstatus
Wanneer u de gebruikersstatus migreert, beveiligt u het netwerkkanaal tussen de client en het statusmigratiepunt met behulp van SMB-ondertekening of IPsec.
Na de eerste verbinding via HTTP worden de migratiegegevens van de gebruikersstatus overgedragen met behulp van SMB. Als u het netwerkkanaal niet beveiligt, kan een aanvaller deze gegevens lezen en wijzigen.
De nieuwste versie van USMT gebruiken
Gebruik de nieuwste versie van het hulpprogramma voor migratie van gebruikersstatus (USMT) die Configuration Manager ondersteunt.
De nieuwste versie van USMT biedt beveiligingsverbeteringen en meer controle over wanneer u gebruikersstatusgegevens migreert.
Mappen op statusmigratiepunten handmatig verwijderen wanneer u ze buiten gebruik stelt
Wanneer u een map met statusmigratiepunten verwijdert in de Configuration Manager-console op de eigenschappen van het statusmigratiepunt, wordt de fysieke map niet verwijderd op de site. Als u de migratiegegevens van de gebruikersstatus wilt beschermen tegen openbaarmaking van informatie, verwijdert u de netwerkshare handmatig en verwijdert u de map.
Het verwijderingsbeleid niet configureren om de gebruikersstatus onmiddellijk te verwijderen
Als u het verwijderingsbeleid op het statusmigratiepunt configureert om onmiddellijk gegevens te verwijderen die zijn gemarkeerd voor verwijdering en als een aanvaller de gebruikersstatusgegevens weet op te halen voordat de geldige computer dat doet, verwijdert de site onmiddellijk de gebruikersstatusgegevens. Stel het interval Verwijderen na in op lang genoeg om te controleren of de gegevens van de gebruikersstatus zijn hersteld.
Computerkoppelingen handmatig verwijderen
Verwijder computerkoppelingen handmatig wanneer het herstellen van de migratiegegevens van de gebruikersstatus is voltooid en geverifieerd.
Configuration Manager verwijdert niet automatisch computerkoppelingen. Help de identiteit van gebruikersstatusgegevens te beveiligen door computerkoppelingen die niet meer nodig zijn handmatig te verwijderen.
Handmatig een back-up maken van de migratiegegevens van de gebruikersstatus op het statusmigratiepunt
Configuration Manager Back-up bevat niet de migratiegegevens van de gebruikersstatus in de back-up van de site.
Toegangsbeheer implementeren om de voorbereide media te beveiligen
Fysieke toegang tot de media beheren om te voorkomen dat een aanvaller cryptografische aanvallen gebruikt om het clientverificatiecertificaat en gevoelige gegevens te verkrijgen.
Toegangsbeheer implementeren om het afbeeldingsproces van de referentiecomputer te beveiligen
Zorg ervoor dat de referentiecomputer die u gebruikt om installatiekopieën van het besturingssysteem vast te leggen zich in een beveiligde omgeving bevindt. Gebruik de juiste toegangsbeheeropties, zodat onverwachte of schadelijke software niet kan worden geïnstalleerd en per ongeluk kan worden opgenomen in de vastgelegde installatiekopieën. Wanneer u de installatiekopieën vastlegt, controleert u of de doelnetwerklocatie veilig is. Met dit proces kunt u ervoor zorgen dat er niet met de afbeelding kan worden geknoeid nadat u deze hebt vastgelegd.
Installeer altijd de meest recente beveiligingsupdates op de referentiecomputer
Wanneer de referentiecomputer de huidige beveiligingsupdates heeft, helpt het om het beveiligingsvenster voor nieuwe computers te verminderen wanneer ze voor het eerst worden opgestart.
Toegangsbeheer implementeren bij het implementeren van een besturingssysteem op een onbekende computer
Als u een besturingssysteem op een onbekende computer moet implementeren, implementeert u toegangsbeheer om te voorkomen dat onbevoegde computers verbinding maken met het netwerk.
Het inrichten van onbekende computers biedt een handige methode om nieuwe computers op aanvraag te implementeren. Maar het kan een aanvaller ook in staat stellen om efficiënt een vertrouwde client in uw netwerk te worden. Beperk fysieke toegang tot het netwerk en bewaak clients om niet-geautoriseerde computers te detecteren.
Op computers die reageren op een door PXE geïnitieerde besturingssysteemimplementatie kunnen alle gegevens tijdens het proces worden vernietigd. Dit gedrag kan leiden tot een verlies van beschikbaarheid van systemen die per ongeluk opnieuw zijn geformatteerd.
Versleuteling voor multicast-pakketten inschakelen
Voor elk besturingssysteemimplementatiepakket kunt u versleuteling inschakelen wanneer Configuration Manager het pakket overdraagt met behulp van multicast. Deze configuratie helpt voorkomen dat rogue computers deelnemen aan de multicastsessie. Het helpt ook te voorkomen dat aanvallers met de overdracht knoeien.
Controleren op niet-geautoriseerde multicast-distributiepunten
Als aanvallers toegang kunnen krijgen tot uw netwerk, kunnen ze rogue multicast-servers configureren om de implementatie van het besturingssysteem te spoofen.
Wanneer u takenreeksen naar een netwerklocatie exporteert, beveiligt u de locatie en beveiligt u het netwerkkanaal
Beperken wie toegang heeft tot de netwerkmap.
Gebruik SMB-ondertekening of IPsec tussen de netwerklocatie en de siteserver om te voorkomen dat een aanvaller kan knoeien met de geëxporteerde takenreeks.
Als u de takenreeks uitvoeren als account gebruikt, neemt u extra beveiligingsmaatregelen
Als u de takenreeks als account uitvoert, moet u de volgende voorzorgsmaatregelen nemen:
Gebruik een account met de minst mogelijke machtigingen.
Gebruik het netwerktoegangsaccount niet voor dit account.
Maak van het account nooit een domeinbeheerder.
Configureer nooit zwervende profielen voor dit account. Wanneer de takenreeks wordt uitgevoerd, wordt het zwervende profiel voor het account gedownload, waardoor het profiel kwetsbaar is voor toegang op de lokale computer.
Beperk het bereik van het account. Maak bijvoorbeeld een andere takenreeks als accounts voor elke takenreeks. Als één account is gecompromitteerd, worden alleen de clientcomputers waartoe dat account toegang heeft, gecompromitteerd. Als de opdrachtregel beheerderstoegang op de computer vereist, kunt u overwegen om een lokaal beheerdersaccount te maken voor de takenreeks die als account wordt uitgevoerd. Maak dit lokale account op alle computers waarop de takenreeks wordt uitgevoerd en verwijder het account zodra dit niet meer nodig is.
De gebruikers met beheerdersrechten beperken en bewaken aan wie de beveiligingsrol besturingssysteemimplementatiemanager is toegekend
Gebruikers met beheerdersrechten aan wie de beveiligingsrol OS Deployment Manager is toegewezen, kunnen zelfondertekende certificaten maken. Deze certificaten kunnen vervolgens worden gebruikt om een client te imiteren en clientbeleid op te halen uit Configuration Manager.
Verbeterde HTTP gebruiken om de behoefte aan een netwerktoegangsaccount te verminderen
Vanaf versie 1806 is voor verschillende implementatiescenario's van het besturingssysteem, wanneer u verbeterde HTTP inschakelt, geen netwerktoegangsaccount vereist om inhoud van een distributiepunt te downloaden. Zie Takenreeksen en het netwerktoegangsaccount voor meer informatie.
Beveiligingsproblemen voor besturingssysteemimplementatie
Hoewel besturingssysteemimplementatie een handige manier kan zijn om de veiligste besturingssystemen en configuraties voor computers in uw netwerk te implementeren, heeft dit de volgende beveiligingsrisico's:
Openbaarmaking van informatie en Denial of Service
Als een aanvaller de controle over uw Configuration Manager infrastructuur kan verkrijgen, kan deze alle takenreeksen uitvoeren. Dit proces kan het formatteren van de harde schijven van alle clientcomputers omvatten. Takenreeksen kunnen worden geconfigureerd voor het bevatten van gevoelige informatie, zoals accounts die machtigingen hebben om deel te nemen aan de domein- en volumelicentiesleutels.
Imitatie en uitbreiding van bevoegdheden
Takenreeksen kunnen een computer koppelen aan een domein, wat een rogue computer kan voorzien van geverifieerde netwerktoegang.
Beveilig het clientverificatiecertificaat dat wordt gebruikt voor opstartbare takenreeksmedia en voor pxe-opstartimplementatie. Wanneer u een clientverificatiecertificaat vastlegt, biedt dit proces een aanvaller de mogelijkheid om de persoonlijke sleutel in het certificaat te verkrijgen. Met dit certificaat kunnen ze een geldige client in het netwerk imiteren. In dit scenario kan de rogue-computer beleid downloaden, dat gevoelige gegevens kan bevatten.
Als clients het netwerktoegangsaccount gebruiken voor toegang tot gegevens die zijn opgeslagen op het statusmigratiepunt, delen deze clients in feite dezelfde identiteit. Ze kunnen toegang krijgen tot statusmigratiegegevens van een andere client die gebruikmaakt van het netwerktoegangsaccount. De gegevens zijn versleuteld, zodat alleen de oorspronkelijke client deze kan lezen, maar de gegevens kunnen worden gemanipuleerd of verwijderd.
Clientverificatie voor het statusmigratiepunt wordt bereikt met behulp van een Configuration Manager-token dat is uitgegeven door het beheerpunt.
Configuration Manager beperkt of beheert niet de hoeveelheid gegevens die is opgeslagen op het statusmigratiepunt. Een aanvaller kan de beschikbare schijfruimte vullen en een Denial of Service veroorzaken.
Als u verzamelingsvariabelen gebruikt, kunnen lokale beheerders mogelijk gevoelige informatie lezen
Hoewel verzamelingsvariabelen een flexibele methode bieden om besturingssystemen te implementeren, kan deze functie leiden tot het vrijgeven van informatie.
Privacy-informatie voor besturingssysteemimplementatie
Naast het implementeren van een besturingssysteem op computers zonder een besturingssysteem, kan Configuration Manager worden gebruikt om bestanden en instellingen van gebruikers van de ene computer naar de andere te migreren. De beheerder configureert welke informatie moet worden overgedragen, inclusief persoonlijke gegevensbestanden, configuratie-instellingen en browsercookies.
Configuration Manager slaat de informatie op een statusmigratiepunt op en versleutelt deze tijdens verzending en opslag. Alleen de nieuwe computer die is gekoppeld aan de statusgegevens, kan de opgeslagen informatie ophalen. Als de nieuwe computer de sleutel voor het ophalen van de gegevens verliest, kan een Configuration Manager beheerder met het recht Herstelgegevens weergeven op computerkoppelingsexemplarenobjecten toegang krijgen tot de informatie en deze koppelen aan een nieuwe computer. Nadat de nieuwe computer de statusgegevens heeft hersteld, worden de gegevens standaard na één dag verwijderd. U kunt configureren wanneer het statusmigratiepunt gegevens verwijdert die zijn gemarkeerd voor verwijdering. Configuration Manager slaat de statusmigratiegegevens niet op in de sitedatabase en verzendt deze niet naar Microsoft.
Als u opstartmedia gebruikt om installatiekopieën van het besturingssysteem te implementeren, gebruikt u altijd de standaardoptie om de opstartmedia met een wachtwoord te beveiligen. Het wachtwoord versleutelt alle variabelen die zijn opgeslagen in de takenreeks, maar alle informatie die niet in een variabele is opgeslagen, kan kwetsbaar zijn voor openbaarmaking.
Implementatie van het besturingssysteem kan takenreeksen gebruiken om veel verschillende taken uit te voeren tijdens het implementatieproces, waaronder het installeren van toepassingen en software-updates. Wanneer u takenreeksen configureert, moet u ook rekening houden met de privacy-gevolgen van het installeren van software.
Configuration Manager implementeert niet standaard de implementatie van het besturingssysteem. Hiervoor zijn verschillende configuratiestappen vereist voordat u gebruikersstatusgegevens verzamelt of takenreeksen of opstartinstallatiekopieën maakt.
Houd rekening met uw privacyvereisten voordat u de implementatie van het besturingssysteem configureert.