Segurança e privacidade para implantação do sistema operacional no Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Este artigo contém informações de segurança e privacidade para o recurso de implantação do sistema operacional em Configuration Manager.
Práticas recomendadas de segurança para implantação do sistema operacional
Use as seguintes práticas recomendadas de segurança para quando você implantar sistemas operacionais com Configuration Manager:
Implementar controles de acesso para proteger a mídia inicializável
Ao criar mídia inicializável, atribua sempre uma senha para ajudar a proteger a mídia. Mesmo com uma senha, ela criptografa apenas arquivos que contêm informações confidenciais e todos os arquivos podem ser substituídos.
Controle o acesso físico à mídia para impedir que um invasor use ataques criptográficos para obter o certificado de autenticação do cliente.
Para ajudar a impedir que um cliente instale conteúdo ou política de cliente que tenha sido adulterado, o conteúdo é hash e deve ser usado com a política original. Se o hash de conteúdo falhar ou a verificação de que o conteúdo corresponde à política, o cliente não usará a mídia inicializável. Somente o conteúdo é hash. A política não é hash, mas é criptografada e protegida quando você especifica uma senha. Esse comportamento torna mais difícil para um invasor modificar a política com êxito.
Usar um local seguro ao criar mídia para imagens do sistema operacional
Se usuários não autorizados tiverem acesso ao local, eles poderão adulterar os arquivos que você cria. Eles também podem usar todo o espaço em disco disponível para que a criação de mídia falhe.
Proteger arquivos de certificado
Proteja arquivos de certificado (.pfx) com uma senha forte. Se você armazená-los na rede, proteja o canal de rede ao importá-los para Configuration Manager
Quando você precisa de uma senha para importar o certificado de autenticação do cliente que você usa para mídia inicializável, essa configuração ajuda a proteger o certificado de um invasor.
Use a assinatura do SMB ou o IPsec entre o local de rede e o servidor do site para impedir que um invasor altere o arquivo de certificado.
Bloquear ou revogar quaisquer certificados comprometidos
Se o certificado do cliente estiver comprometido, bloqueie o certificado de Configuration Manager. Se for um certificado PKI, revogue-o.
Para implantar um sistema operacional usando mídia inicializável e inicialização PXE, você deve ter um certificado de autenticação do cliente com uma chave privada. Se esse certificado estiver comprometido, bloqueie o certificado no nó Certificados no workspace Administração , nó segurança .
Proteger o canal de comunicação entre o servidor do site e o provedor de SMS
Quando o Provedor de SMS estiver remoto do servidor do site, proteja o canal de comunicação para proteger as imagens de inicialização.
Quando você modifica imagens de inicialização e o Provedor de SMS está em execução em um servidor que não é o servidor do site, as imagens de inicialização ficam vulneráveis a ataques. Proteja o canal de rede entre esses computadores usando assinatura de SMB ou IPsec.
Habilitar pontos de distribuição para comunicação do cliente PXE somente em segmentos de rede seguros
Quando um cliente envia uma solicitação de inicialização PXE, você não tem como garantir que a solicitação seja atendida por um ponto de distribuição válido habilitado para PXE. Esse cenário tem os seguintes riscos de segurança:
Um ponto de distribuição desonesto que responde às solicitações PXE pode fornecer uma imagem adulterada aos clientes.
Um invasor pode iniciar um ataque homem-no-meio contra o protocolo TFTP usado pelo PXE. Esse ataque pode enviar código mal-intencionado com os arquivos do sistema operacional. O invasor também pode criar um cliente desonesto para fazer solicitações TFTP diretamente no ponto de distribuição.
Um invasor pode usar um cliente mal-intencionado para iniciar um ataque de negação de serviço contra o ponto de distribuição.
Use a defesa em profundidade para proteger os segmentos de rede em que os clientes acessam pontos de distribuição habilitados para PXE.
Aviso
Devido a esses riscos de segurança, não habilite um ponto de distribuição para comunicação PXE quando estiver em uma rede não confiável, como uma rede de perímetro.
Configurar pontos de distribuição habilitados para PXE para responder a solicitações PXE somente em interfaces de rede especificadas
Se você permitir que o ponto de distribuição responda a solicitações PXE em todas as interfaces de rede, essa configuração poderá expor o serviço PXE a redes não confiáveis
Exigir uma senha para inicialização PXE
Quando você precisa de uma senha para inicialização PXE, essa configuração adiciona um nível extra de segurança ao processo de inicialização PXE. Essa configuração ajuda a proteger contra clientes desonestos que ingressam na hierarquia de Configuration Manager.
Restringir o conteúdo em imagens do sistema operacional usadas para inicialização PXE ou multicast
Não inclua aplicativos de linha de negócios ou software que contenha dados confidenciais em uma imagem que você usa para inicialização PXE ou multicast.
Devido aos riscos de segurança inerentes envolvidos com inicialização PXE e multicast, reduza os riscos se um computador desonesto baixar a imagem do sistema operacional.
Restringir o conteúdo instalado por variáveis de sequência de tarefas
Não inclua aplicativos de linha de negócios ou software que contenha dados confidenciais em pacotes de aplicativos que você instala usando variáveis de sequências de tarefas.
Quando você implanta o software usando variáveis de sequências de tarefas, ele pode ser instalado em computadores e em usuários que não estão autorizados a receber esse software.
Proteger o canal de rede ao migrar o estado do usuário
Ao migrar o estado do usuário, proteja o canal de rede entre o cliente e o ponto de migração de estado usando assinatura SMB ou IPsec.
Após a conexão inicial por HTTP, os dados de migração de estado do usuário são transferidos usando o SMB. Se você não proteger o canal de rede, um invasor poderá ler e modificar esses dados.
Usar a versão mais recente do USMT
Use a versão mais recente da USMT (Ferramenta de Migração de Estado do Usuário) que Configuration Manager dá suporte.
A versão mais recente do USMT fornece aprimoramentos de segurança e maior controle para quando você migrar dados de estado do usuário.
Excluir manualmente pastas em pontos de migração de estado ao descomissioná-las
Quando você remove uma pasta de ponto de migração de estado no console Configuration Manager nas propriedades do ponto de migração de estado, o site não exclui a pasta física. Para proteger os dados de migração do estado do usuário da divulgação de informações, remova manualmente o compartilhamento de rede e exclua a pasta.
Não configure a política de exclusão para excluir imediatamente o estado do usuário
Se você configurar a política de exclusão no ponto de migração de estado para remover imediatamente os dados marcados para exclusão e, se um invasor conseguir recuperar os dados de estado do usuário antes do computador válido, o site excluirá imediatamente os dados de estado do usuário. Defina a Exclusão após o intervalo como tempo suficiente para verificar a restauração bem-sucedida dos dados de estado do usuário.
Excluir manualmente associações de computador
Exclua manualmente as associações de computador quando a restauração de dados de migração do estado do usuário for concluída e verificada.
Configuration Manager não remove automaticamente as associações de computador. Ajude a proteger a identidade dos dados de estado do usuário excluindo manualmente as associações de computador que não são mais necessárias.
Fazer backup manual dos dados de migração de estado do usuário no ponto de migração de estado
Configuration Manager Backup não inclui os dados de migração de estado do usuário no backup do site.
Implementar controles de acesso para proteger a mídia prestada
Controle o acesso físico à mídia para impedir que um invasor use ataques criptográficos para obter o certificado de autenticação do cliente e dados confidenciais.
Implementar controles de acesso para proteger o processo de imagem do computador de referência
Verifique se o computador de referência usado para capturar imagens do sistema operacional está em um ambiente seguro. Use controles de acesso apropriados para que o software inesperado ou mal-intencionado não possa ser instalado e inadvertidamente incluído na imagem capturada. Ao capturar a imagem, verifique se o local da rede de destino está seguro. Esse processo ajuda a garantir que a imagem não possa ser adulterada depois de capturá-la.
Sempre instale as atualizações de segurança mais recentes no computador de referência
Quando o computador de referência tem atualizações de segurança atuais, ele ajuda a reduzir a janela de vulnerabilidade para novos computadores quando eles começam pela primeira vez.
Implementar controles de acesso ao implantar um sistema operacional em um computador desconhecido
Se você precisar implantar um sistema operacional em um computador desconhecido, implemente controles de acesso para impedir que computadores não autorizados se conectem à rede.
Provisionar computadores desconhecidos fornece um método conveniente para implantar novos computadores sob demanda. Mas também pode permitir que um invasor se torne eficientemente um cliente confiável em sua rede. Restrinja o acesso físico à rede e monitore os clientes para detectar computadores não autorizados.
Computadores que respondem a uma implantação do sistema operacional iniciado pelo PXE podem ter todos os dados destruídos durante o processo. Esse comportamento pode resultar em uma perda de disponibilidade de sistemas que são inadvertidamente reformatados.
Habilitar a criptografia para pacotes multicast
Para cada pacote de implantação do sistema operacional, você pode habilitar a criptografia quando Configuration Manager transfere o pacote usando o multicast. Essa configuração ajuda a impedir que computadores desonestos ingressem na sessão multicast. Ele também ajuda a impedir que os invasores alterem a transmissão.
Monitorar pontos de distribuição não autorizados habilitados para multicast
Se os invasores puderem obter acesso à sua rede, eles poderão configurar servidores multicast desonestos para falsificar a implantação do sistema operacional.
Ao exportar sequências de tarefas para um local de rede, proteja o local e proteja o canal de rede
Restrinja quem pode acessar a pasta de rede.
Use a assinatura de SMB ou o IPsec entre o local de rede e o servidor do site para impedir que um invasor altere a sequência de tarefas exportada.
Se você usar a sequência de tarefas executada como conta, tome precauções adicionais de segurança
Se você usar a sequência de tarefas executada como conta, siga as seguintes etapas de precaução:
Use uma conta com as permissões menos possíveis.
Não use a conta de acesso de rede para essa conta.
Nunca faça da conta um administrador de domínio.
Nunca configure perfis de roaming para essa conta. Quando a sequência de tarefas é executada, ela baixa o perfil roaming da conta, o que deixa o perfil vulnerável ao acesso no computador local.
Limite o escopo da conta. Por exemplo, crie uma sequência de tarefas diferente executada como contas para cada sequência de tarefas. Se uma conta estiver comprometida, somente os computadores cliente aos quais essa conta tem acesso serão comprometidos. Se a linha de comando exigir acesso administrativo no computador, considere criar uma conta de administrador local apenas para a sequência de tarefas executada como conta. Crie essa conta local em todos os computadores que executam a sequência de tarefas e exclua a conta assim que ela não for mais necessária.
Restringir e monitorar os usuários administrativos que recebem a função de segurança do gerenciador de implantação do sistema operacional
Usuários administrativos que recebem a função de segurança do gerenciador de implantação do sistema operacional podem criar certificados autoassinados. Esses certificados podem então ser usados para representar um cliente e obter a política de cliente de Configuration Manager.
Usar HTTP aprimorado para reduzir a necessidade de uma conta de acesso à rede
A partir da versão 1806, quando você habilita o HTTP aprimorado, vários cenários de implantação do sistema operacional não exigem uma conta de acesso à rede para baixar conteúdo de um ponto de distribuição. Para obter mais informações, confira Sequências de tarefas e a conta de acesso à rede.
Problemas de segurança para implantação do sistema operacional
Embora a implantação do sistema operacional possa ser uma maneira conveniente de implantar os sistemas operacionais e configurações mais seguros para computadores em sua rede, ele tem os seguintes riscos de segurança:
Divulgação de informações e negação de serviço
Se um invasor puder obter o controle de sua infraestrutura de Configuration Manager, ele poderá executar todas as sequências de tarefas. Esse processo pode incluir a formatação dos discos rígidos de todos os computadores cliente. Sequências de tarefas podem ser configuradas para conter informações confidenciais, como contas que têm permissões para ingressar nas chaves de licenciamento de domínio e volume.
Representação e elevação de privilégios
As sequências de tarefas podem unir um computador ao domínio, que pode fornecer um computador desonesto com acesso de rede autenticado.
Proteja o certificado de autenticação do cliente usado para mídia de sequência de tarefas inicializável e para implantação de inicialização PXE. Quando você captura um certificado de autenticação do cliente, esse processo oferece a um invasor a oportunidade de obter a chave privada no certificado. Esse certificado permite que eles representem um cliente válido na rede. Nesse cenário, o computador desonesto pode baixar a política, que pode conter dados confidenciais.
Se os clientes usarem a conta de acesso à rede para acessar dados armazenados no ponto de migração de estado, esses clientes efetivamente compartilharão a mesma identidade. Eles poderiam acessar dados de migração de estado de outro cliente que usa a conta de acesso à rede. Os dados são criptografados para que apenas o cliente original possa lê-los, mas os dados podem ser adulterados ou excluídos.
A autenticação do cliente no ponto de migração de estado é obtida usando um token Configuration Manager emitido pelo ponto de gerenciamento.
Configuration Manager não limita nem gerencia a quantidade de dados armazenados no ponto de migração de estado. Um invasor pode preencher o espaço em disco disponível e causar uma negação de serviço.
Se você usar variáveis de coleção, os administradores locais poderão ler informações potencialmente confidenciais
Embora as variáveis de coleção ofereçam um método flexível para implantar sistemas operacionais, esse recurso pode resultar em divulgação de informações.
Informações de privacidade para implantação do sistema operacional
Além de implantar um sistema operacional em computadores sem um, Configuration Manager pode ser usado para migrar arquivos e configurações dos usuários de um computador para outro. O administrador configura quais informações transferir, incluindo arquivos de dados pessoais, configurações e cookies do navegador.
Configuration Manager armazena as informações em um ponto de migração de estado e as criptografa durante a transmissão e o armazenamento. Somente o novo computador associado às informações de estado pode recuperar as informações armazenadas. Se o novo computador perder a chave para recuperar as informações, um administrador Configuration Manager com as Informações de Recuperação de Exibição diretamente em objetos de instância de associação de computador poderá acessar as informações e associá-la a um novo computador. Depois que o novo computador restaura as informações de estado, ele exclui os dados após um dia, por padrão. Você pode configurar quando o ponto de migração de estado remover dados marcados para exclusão. Configuration Manager não armazena as informações de migração de estado no banco de dados do site e não as envia para Microsoft.
Se você usar a mídia de inicialização para implantar imagens do sistema operacional, use sempre a opção padrão para proteger a mídia de inicialização por senha. A senha criptografa todas as variáveis armazenadas na sequência de tarefas, mas qualquer informação não armazenada em uma variável pode estar vulnerável à divulgação.
A implantação do sistema operacional pode usar sequências de tarefas para executar muitas tarefas diferentes durante o processo de implantação, o que inclui a instalação de aplicativos e atualizações de software. Ao configurar sequências de tarefas, você também deve estar ciente das implicações de privacidade da instalação do software.
Configuration Manager não implementa a implantação do sistema operacional por padrão. Ele requer várias etapas de configuração antes de coletar informações de estado do usuário ou criar sequências de tarefas ou imagens de inicialização.
Antes de configurar a implantação do sistema operacional, considere seus requisitos de privacidade.