Zabezpieczenia i prywatność wdrożenia systemu operacyjnego w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Ten artykuł zawiera informacje o zabezpieczeniach i ochronie prywatności dotyczące funkcji wdrażania systemu operacyjnego w Configuration Manager.
Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące wdrażania systemu operacyjnego
Podczas wdrażania systemów operacyjnych z Configuration Manager skorzystaj z następujących najlepszych rozwiązań w zakresie zabezpieczeń:
Implementowanie kontroli dostępu w celu ochrony nośników rozruchowych
Podczas tworzenia nośnika rozruchowego zawsze przypisz hasło, aby ułatwić zabezpieczenie nośnika. Nawet przy użyciu hasła szyfruje tylko pliki zawierające informacje poufne, a wszystkie pliki mogą zostać zastąpione.
Kontroluj fizyczny dostęp do nośnika, aby uniemożliwić atakującemu użycie ataków kryptograficznych w celu uzyskania certyfikatu uwierzytelniania klienta.
Aby zapobiec instalowaniu przez klienta zawartości lub zasad klienta, które zostały naruszone, zawartość jest skrótem i musi być używana z oryginalnymi zasadami. Jeśli skrót zawartości nie powiedzie się lub sprawdź, czy zawartość jest zgodna z zasadami, klient nie będzie używać nośnika rozruchowego. Tylko zawartość jest skrótem. Zasady nie są skrótami, ale są szyfrowane i zabezpieczone podczas określania hasła. To zachowanie utrudnia atakującemu pomyślne zmodyfikowanie zasad.
Używanie bezpiecznej lokalizacji podczas tworzenia multimediów dla obrazów systemu operacyjnego
Jeśli nieautoryzowani użytkownicy mają dostęp do lokalizacji, mogą manipulować utworzonymi plikami. Mogą również używać całego dostępnego miejsca na dysku, aby tworzenie nośnika nie powiodło się.
Ochrona plików certyfikatów
Ochrona plików certyfikatów (pfx) przy użyciu silnego hasła. Jeśli przechowujesz je w sieci, zabezpiecz kanał sieciowy podczas importowania ich do Configuration Manager
Jeśli wymagasz hasła do zaimportowania certyfikatu uwierzytelniania klienta używanego na nośniku rozruchowym, ta konfiguracja pomaga chronić certyfikat przed atakującą.
Użyj podpisywania protokołu SMB lub protokołu IPsec między lokalizacją sieciową a serwerem lokacji, aby zapobiec naruszeniu pliku certyfikatu przez osobę atakującą.
Blokowanie lub odwoływanie wszystkich certyfikatów, których zabezpieczenia zostały naruszone
Jeśli certyfikat klienta zostanie naruszona, zablokuj Configuration Manager certyfikatu. Jeśli jest to certyfikat PKI, odwołaj go.
Aby wdrożyć system operacyjny przy użyciu nośnika rozruchowego i rozruchu PXE, musisz mieć certyfikat uwierzytelniania klienta z kluczem prywatnym. Jeśli ten certyfikat zostanie naruszona, zablokuj certyfikat w węźle Certyfikaty w obszarze roboczym Administracja , w węźle Zabezpieczenia .
Zabezpieczanie kanału komunikacji między serwerem lokacji a dostawcą programu SMS
Gdy dostawca programu SMS jest zdalny od serwera lokacji, zabezpiecz kanał komunikacyjny, aby chronić obrazy rozruchowe.
W przypadku modyfikowania obrazów rozruchowych i uruchomienia dostawcy programu SMS na serwerze, który nie jest serwerem lokacji, obrazy rozruchowe są narażone na ataki. Chroń kanał sieciowy między tymi komputerami przy użyciu podpisywania protokołu SMB lub protokołu IPsec.
Włączanie punktów dystrybucji dla komunikacji klienta PXE tylko w bezpiecznych segmentach sieci
Gdy klient wysyła żądanie rozruchu środowiska PXE, nie masz możliwości upewnienia się, że żądanie jest obsługiwane przez prawidłowy punkt dystrybucji z obsługą środowiska PXE. Ten scenariusz ma następujące zagrożenia dla bezpieczeństwa:
Nieautoryzowany punkt dystrybucji, który odpowiada na żądania PXE, może zapewnić klientom zmodyfikowany obraz.
Osoba atakująca może uruchomić atak typu man-in-the-middle na protokół TFTP używany przez protokół PXE. Ten atak może wysłać złośliwy kod z plikami systemu operacyjnego. Osoba atakująca może również utworzyć nieautoryzowanego klienta do wysyłania żądań TFTP bezpośrednio do punktu dystrybucji.
Osoba atakująca może użyć złośliwego klienta do uruchomienia ataku typu "odmowa usługi" na punkt dystrybucji.
Ochrona segmentów sieciowych, w których klienci uzyskują dostęp do punktów dystrybucji z obsługą środowiska PXE, umożliwia ochronę segmentów sieciowych.
Ostrzeżenie
Z powodu tych zagrożeń bezpieczeństwa nie włączaj punktu dystrybucji dla komunikacji PXE, gdy jest on w niezaufanej sieci, takiej jak sieć obwodowa.
Konfigurowanie punktów dystrybucji z obsługą środowiska PXE w celu odpowiadania na żądania PXE tylko w określonych interfejsach sieciowych
Jeśli zezwolisz punktowi dystrybucji na odpowiadanie na żądania PXE we wszystkich interfejsach sieciowych, ta konfiguracja może uwidoczniać usługę PXE w niezaufanych sieciach
Wymaganie hasła do rozruchu środowiska PXE
Jeśli wymagasz hasła do rozruchu w środowisku PXE, ta konfiguracja dodaje dodatkowy poziom zabezpieczeń do procesu rozruchu środowiska PXE. Ta konfiguracja pomaga chronić przed nieautoryzowanymi klientami przyłączającym się do hierarchii Configuration Manager.
Ograniczanie zawartości obrazów systemu operacyjnego używanych do rozruchu środowiska PXE lub multiemisji
Nie dołączaj aplikacji biznesowych ani oprogramowania, które zawiera dane poufne na obrazie używanym do rozruchu środowiska PXE lub multiemisji.
Ze względu na nieodłączne zagrożenia bezpieczeństwa związane z rozruchem PXE i multiemisji, zmniejsz ryzyko, jeśli nieautoryzowany komputer pobierze obraz systemu operacyjnego.
Ograniczanie zawartości zainstalowanej przez zmienne sekwencji zadań
Nie dołączaj aplikacji biznesowych ani oprogramowania, które zawiera dane poufne w pakietach aplikacji instalowanych przy użyciu zmiennych sekwencji zadań.
Podczas wdrażania oprogramowania przy użyciu zmiennych sekwencji zadań może być ono instalowane na komputerach i dla użytkowników, którzy nie mają uprawnień do odbierania tego oprogramowania.
Zabezpieczanie kanału sieciowego podczas migracji stanu użytkownika
Podczas migracji stanu użytkownika zabezpiecz kanał sieciowy między klientem a punktem migracji stanu przy użyciu podpisywania protokołu SMB lub protokołu IPsec.
Po początkowym połączeniu za pośrednictwem protokołu HTTP dane migracji stanu użytkownika są przesyłane przy użyciu protokołu SMB. Jeśli kanał sieciowy nie zostanie zabezpieczony, osoba atakująca będzie mogła odczytać i zmodyfikować te dane.
Korzystanie z najnowszej wersji narzędzia USMT
Użyj najnowszej wersji narzędzia do migracji stanu użytkownika (USMT), które Configuration Manager obsługuje.
Najnowsza wersja narzędzia USMT zapewnia ulepszenia zabezpieczeń i większą kontrolę podczas migracji danych stanu użytkownika.
Ręczne usuwanie folderów w punktach migracji stanu podczas ich likwidowania
Po usunięciu folderu punktu migracji stanu w konsoli Configuration Manager we właściwościach punktu migracji stanu lokacja nie usuwa folderu fizycznego. Aby chronić dane migracji stanu użytkownika przed ujawnieniem informacji, ręcznie usuń udział sieci i usuń folder.
Nie konfiguruj zasad usuwania w celu natychmiastowego usunięcia stanu użytkownika
Jeśli skonfigurujesz zasady usuwania w punkcie migracji stanu, aby natychmiast usunąć dane oznaczone do usunięcia, a jeśli atakującemu uda się pobrać dane stanu użytkownika przed prawidłowym komputerem, witryna natychmiast usunie dane stanu użytkownika. Ustaw parametr Usuń po interwale na wystarczająco długi, aby zweryfikować pomyślne przywrócenie danych stanu użytkownika.
Ręczne usuwanie skojarzeń komputerów
Ręcznie usuń skojarzenia komputerów po zakończeniu i zweryfikowaniu przywracania danych migracji stanu użytkownika.
Configuration Manager nie usuwa automatycznie skojarzeń komputerów. Pomóż chronić tożsamość danych stanu użytkownika, ręcznie usuwając skojarzenia komputerów, które nie są już wymagane.
Ręczne tworzenie kopii zapasowej danych migracji stanu użytkownika w punkcie migracji stanu
Configuration Manager Kopia zapasowa nie zawiera danych migracji stanu użytkownika w kopii zapasowej lokacji.
Implementowanie kontroli dostępu w celu ochrony wstępnie przygotowanego nośnika
Kontroluj fizyczny dostęp do nośnika, aby uniemożliwić atakującemu użycie ataków kryptograficznych w celu uzyskania certyfikatu uwierzytelniania klienta i poufnych danych.
Implementowanie mechanizmów kontroli dostępu w celu ochrony procesu obrazowania referencyjnego komputera
Upewnij się, że komputer odniesienia używany do przechwytywania obrazów systemu operacyjnego znajduje się w bezpiecznym środowisku. Użyj odpowiednich mechanizmów kontroli dostępu, aby nieoczekiwane lub złośliwe oprogramowanie nie mogło zostać zainstalowane i przypadkowo uwzględnione w przechwyconym obrazie. Podczas przechwytywania obrazu upewnij się, że docelowa lokalizacja sieciowa jest bezpieczna. Ten proces pomaga upewnić się, że nie można manipulować obrazem po jego przechwyceniu.
Zawsze instaluj najnowsze aktualizacje zabezpieczeń na komputerze odniesienia
Gdy komputer odniesienia ma bieżące aktualizacje zabezpieczeń, pomaga zmniejszyć okno luki w zabezpieczeniach dla nowych komputerów podczas pierwszego uruchomienia.
Implementowanie kontroli dostępu podczas wdrażania systemu operacyjnego na nieznanym komputerze
Jeśli musisz wdrożyć system operacyjny na nieznanym komputerze, zaimplementuj mechanizmy kontroli dostępu, aby uniemożliwić nieautoryzowanym komputerom łączenie się z siecią.
Aprowizowanie nieznanych komputerów zapewnia wygodną metodę wdrażania nowych komputerów na żądanie. Ale może również umożliwić atakującemu efektywne stać się zaufanym klientem w sieci. Ogranicz fizyczny dostęp do sieci i monitoruj klientów w celu wykrywania nieautoryzowanych komputerów.
Komputery reagujące na wdrożenie systemu operacyjnego inicjowane przez środowisko PXE mogą mieć wszystkie dane zniszczone podczas procesu. To zachowanie może spowodować utratę dostępności systemów, które zostały przypadkowo sformatowane.
Włączanie szyfrowania pakietów multiemisji
Dla każdego pakietu wdrażania systemu operacyjnego można włączyć szyfrowanie, gdy Configuration Manager transferuje pakiet przy użyciu multiemisji. Ta konfiguracja zapobiega dołączaniu nieautoryzowanych komputerów do sesji multiemisji. Pomaga również zapobiegać naruszeniu transmisji przez osoby atakujące.
Monitorowanie nieautoryzowanych punktów dystrybucji z obsługą multiemisji
Jeśli osoby atakujące mogą uzyskać dostęp do sieci, mogą skonfigurować nieautoryzowane serwery multiemisji w celu fałszowania wdrożenia systemu operacyjnego.
Podczas eksportowania sekwencji zadań do lokalizacji sieciowej należy zabezpieczyć lokalizację i zabezpieczyć kanał sieciowy
Ogranicz, kto może uzyskać dostęp do folderu sieciowego.
Użyj podpisywania protokołu SMB lub protokołu IPsec między lokalizacją sieciową a serwerem lokacji, aby uniemożliwić atakującemu manipulowanie wyeksportowanym sekwencją zadań.
Jeśli używasz sekwencji zadań uruchomionej jako konta, podejmij dodatkowe środki ostrożności
Jeśli używasz sekwencji zadań uruchom jako konta, wykonaj następujące kroki ostrożności:
Użyj konta z możliwie najmniejszymi uprawnieniami.
Nie używaj konta dostępu do sieci dla tego konta.
Nigdy nie należy tworzyć konta administratorem domeny.
Nigdy nie konfiguruj profilów mobilnych dla tego konta. Po uruchomieniu sekwencji zadań pobiera ona profil roamingu dla konta, co sprawia, że profil jest narażony na dostęp na komputerze lokalnym.
Ogranicz zakres konta. Na przykład utwórz inną sekwencję zadań uruchamianą jako konta dla każdej sekwencji zadań. Jeśli bezpieczeństwo jednego konta zostanie naruszone, tylko komputery klienckie, do których to konto ma dostęp, zostaną naruszone. Jeśli wiersz polecenia wymaga dostępu administracyjnego na komputerze, rozważ utworzenie konta administratora lokalnego wyłącznie dla sekwencji zadań uruchamianej jako konto. Utwórz to konto lokalne na wszystkich komputerach, na których uruchomiono sekwencję zadań, i usuń konto, gdy tylko nie będzie już wymagane.
Ograniczanie i monitorowanie użytkowników administracyjnych, którym przyznano rolę zabezpieczeń menedżera wdrażania systemu operacyjnego
Użytkownicy administracyjni, którym przyznano rolę zabezpieczeń menedżera wdrażania systemu operacyjnego , mogą tworzyć certyfikaty z podpisem własnym. Te certyfikaty mogą następnie służyć do personifikacji klienta i uzyskiwania zasad klienta z Configuration Manager.
Korzystanie z rozszerzonego protokołu HTTP w celu zmniejszenia zapotrzebowania na konto dostępu do sieci
Począwszy od wersji 1806, po włączeniu rozszerzonego protokołu HTTP kilka scenariuszy wdrażania systemu operacyjnego nie wymaga konta dostępu do sieci w celu pobrania zawartości z punktu dystrybucji. Aby uzyskać więcej informacji, zobacz Sekwencje zadań i konto dostępu do sieci.
Problemy z zabezpieczeniami dotyczące wdrażania systemu operacyjnego
Chociaż wdrożenie systemu operacyjnego może być wygodnym sposobem wdrażania najbezpieczniejszych systemów operacyjnych i konfiguracji dla komputerów w sieci, ma następujące zagrożenia bezpieczeństwa:
Ujawnianie informacji i odmowa usługi
Jeśli osoba atakująca może uzyskać kontrolę nad infrastrukturą Configuration Manager, może uruchomić dowolne sekwencje zadań. Ten proces może obejmować formatowanie dysków twardych wszystkich komputerów klienckich. Sekwencje zadań można skonfigurować tak, aby zawierały poufne informacje, takie jak konta, które mają uprawnienia do dołączania do domeny i kluczy licencjonowania zbiorowego.
Personifikacja i podniesienie uprawnień
Sekwencje zadań mogą dołączać komputer do domeny, co może zapewnić nieautoryzowanemu komputerowi uwierzytelniony dostęp do sieci.
Chroń certyfikat uwierzytelniania klienta używany do rozruchowego nośnika sekwencji zadań i do wdrażania rozruchu środowiska PXE. Po przechwyceniu certyfikatu uwierzytelniania klienta ten proces daje atakującemu możliwość uzyskania klucza prywatnego w certyfikacie. Ten certyfikat umożliwia im personifikowanie prawidłowego klienta w sieci. W tym scenariuszu nieautoryzowany komputer może pobrać zasady, które mogą zawierać dane poufne.
Jeśli klienci korzystają z konta dostępu do sieci w celu uzyskania dostępu do danych przechowywanych w punkcie migracji stanu, ci klienci skutecznie współużytkują tę samą tożsamość. Mogą uzyskiwać dostęp do danych migracji stanu z innego klienta korzystającego z konta dostępu do sieci. Dane są szyfrowane, więc tylko oryginalny klient może je odczytać, ale dane mogą zostać naruszone lub usunięte.
Uwierzytelnianie klienta w punkcie migracji stanu jest realizowane przy użyciu tokenu Configuration Manager wystawionego przez punkt zarządzania.
Configuration Manager nie ogranicza ilości danych przechowywanych w punkcie migracji stanu ani nie zarządza nimi. Osoba atakująca może zapełnić dostępne miejsce na dysku i spowodować odmowę usługi.
Jeśli używasz zmiennych kolekcji, administratorzy lokalni mogą odczytywać potencjalnie poufne informacje
Mimo że zmienne kolekcji oferują elastyczną metodę wdrażania systemów operacyjnych, ta funkcja może spowodować ujawnienie informacji.
Informacje o ochronie prywatności dotyczące wdrażania systemu operacyjnego
Oprócz wdrażania systemu operacyjnego na komputerach bez jednego, Configuration Manager może służyć do migrowania plików i ustawień użytkowników z jednego komputera na inny. Administrator konfiguruje, które informacje mają być przesyłane, w tym pliki danych osobowych, ustawienia konfiguracji i pliki cookie przeglądarki.
Configuration Manager przechowuje informacje w punkcie migracji stanu i szyfruje je podczas transmisji i przechowywania. Tylko nowy komputer skojarzony z informacjami o stanie może pobrać przechowywane informacje. Jeśli nowy komputer utraci klucz do pobrania informacji, administrator Configuration Manager z uprawnieniami Wyświetl informacje odzyskiwania w obiektach wystąpienia skojarzenia komputera może uzyskać dostęp do informacji i skojarzyć je z nowym komputerem. Gdy nowy komputer przywróci informacje o stanie, domyślnie usuwa dane po jednym dniu. Można skonfigurować, kiedy punkt migracji stanu usuwa dane oznaczone do usunięcia. Configuration Manager nie przechowuje informacji o migracji stanu w bazie danych lokacji i nie wysyła ich do Microsoft.
Jeśli do wdrażania obrazów systemu operacyjnego używasz nośnika rozruchowego, zawsze używaj opcji domyślnej do ochrony hasłem nośnika rozruchowego. Hasło szyfruje wszystkie zmienne przechowywane w sekwencji zadań, ale wszelkie informacje, które nie są przechowywane w zmiennej, mogą być narażone na ujawnienie.
Wdrożenie systemu operacyjnego może używać sekwencji zadań do wykonywania wielu różnych zadań podczas procesu wdrażania, w tym instalowania aplikacji i aktualizacji oprogramowania. Podczas konfigurowania sekwencji zadań należy również pamiętać o konsekwencjach związanych z prywatnością związanych z instalowaniem oprogramowania.
Configuration Manager domyślnie nie implementuje wdrożenia systemu operacyjnego. Wymaga kilku kroków konfiguracji przed zebraniem informacji o stanie użytkownika lub utworzeniem sekwencji zadań lub obrazów rozruchowych.
Przed skonfigurowanie wdrożenia systemu operacyjnego należy wziąć pod uwagę wymagania dotyczące prywatności.