Segurança e privacidade da implementação do SO no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Este artigo contém informações de segurança e privacidade para a funcionalidade de implementação do SO no Configuration Manager.
Melhores práticas de segurança para a implementação do SO
Utilize as seguintes melhores práticas de segurança para quando implementar sistemas operativos com Configuration Manager:
Implementar controlos de acesso para proteger suportes de dados de arranque
Quando cria suportes de dados de arranque, atribua sempre uma palavra-passe para ajudar a proteger o suporte de dados. Mesmo com uma palavra-passe, encripta apenas os ficheiros que contêm informações confidenciais e todos os ficheiros podem ser substituídos.
Controle o acesso físico ao suporte de dados para impedir que um atacante utilize ataques criptográficos para obter o certificado de autenticação de cliente.
Para ajudar a impedir que um cliente instale conteúdo ou política de cliente que tenha sido adulterada, o conteúdo é hash e tem de ser utilizado com a política original. Se o hash de conteúdo falhar ou o marcar que o conteúdo corresponde à política, o cliente não utilizará o suporte de dados de arranque. Apenas o conteúdo é hash. A política não tem hash, mas é encriptada e protegida quando especifica uma palavra-passe. Este comportamento torna mais difícil para um atacante modificar a política com êxito.
Utilizar uma localização segura quando criar suportes de dados para imagens do SO
Se os utilizadores não autorizados tiverem acesso à localização, podem adulterar os ficheiros que criar. Também podem utilizar todo o espaço disponível em disco para que a criação do suporte de dados falhe.
Proteger ficheiros de certificado
Proteja os ficheiros de certificado (.pfx) com uma palavra-passe segura. Se os armazenar na rede, proteja o canal de rede quando os importar para Configuration Manager
Quando precisa de uma palavra-passe para importar o certificado de autenticação de cliente que utiliza para suportes de dados de arranque, esta configuração ajuda a proteger o certificado de um atacante.
Utilize a assinatura SMB ou IPsec entre a localização de rede e o servidor do site para impedir que um atacante adultere o ficheiro de certificado.
Bloquear ou revogar certificados comprometidos
Se o certificado de cliente estiver comprometido, bloqueie o certificado de Configuration Manager. Se for um certificado PKI, revogue-o.
Para implementar um SO com suportes de dados de arranque e arranque PXE, tem de ter um certificado de autenticação de cliente com uma chave privada. Se esse certificado estiver comprometido, bloqueie o certificado no nó Certificados na área de trabalho Administração , nó Segurança .
Proteger o canal de comunicação entre o servidor do site e o Fornecedor de SMS
Quando o Fornecedor de SMS é remoto a partir do servidor do site, proteja o canal de comunicação para proteger as imagens de arranque.
Quando modifica imagens de arranque e o Fornecedor de SMS está em execução num servidor que não é o servidor do site, as imagens de arranque são vulneráveis a ataques. Proteja o canal de rede entre estes computadores através da assinatura SMB ou IPsec.
Ativar pontos de distribuição para comunicação de cliente PXE apenas em segmentos de rede seguros
Quando um cliente envia um pedido de arranque PXE, não tem como garantir que o pedido é reparado por um ponto de distribuição válido ativado por PXE. Este cenário tem os seguintes riscos de segurança:
Um ponto de distribuição não autorizado que responda a pedidos PXE pode fornecer uma imagem adulterada aos clientes.
Um atacante pode lançar um ataque man-in-the-middle contra o protocolo TFTP que é utilizado pelo PXE. Este ataque pode enviar código malicioso com os ficheiros do SO. O atacante também pode criar um cliente não autorizado para fazer pedidos TFTP diretamente para o ponto de distribuição.
Um atacante pode utilizar um cliente malicioso para iniciar um ataque denial of service contra o ponto de distribuição.
Utilize a defesa em profundidade para proteger os segmentos de rede nos quais os clientes acedem a pontos de distribuição preparados para PXE.
Aviso
Devido a estes riscos de segurança, não ative um ponto de distribuição para comunicação PXE quando estiver numa rede não fidedigna, como uma rede de perímetro.
Configurar pontos de distribuição preparados para PXE para responder a pedidos PXE apenas em interfaces de rede especificadas
Se permitir que o ponto de distribuição responda a pedidos PXE em todas as interfaces de rede, esta configuração poderá expor o serviço PXE a redes não fidedignas
Exigir uma palavra-passe para o arranque PXE
Quando precisa de uma palavra-passe para o arranque PXE, esta configuração adiciona um nível adicional de segurança ao processo de arranque PXE. Esta configuração ajuda a proteger contra clientes não autorizados que se associam à hierarquia Configuration Manager.
Restringir conteúdo em imagens do SO utilizadas para arranque PXE ou multicast
Não inclua aplicações de linha de negócio ou software que contenham dados confidenciais numa imagem que utiliza para arranque PXE ou multicast.
Devido aos riscos de segurança inerentes envolvidos no arranque PXE e multicast, reduza os riscos se um computador não autorizado transferir a imagem do SO.
Restringir conteúdo instalado por variáveis de sequência de tarefas
Não inclua aplicações de linha de negócio ou software que contenham dados confidenciais em pacotes de aplicações que instala através de variáveis de sequências de tarefas.
Quando implementa software através de variáveis de sequências de tarefas, este pode ser instalado em computadores e para utilizadores que não estão autorizados a receber esse software.
Proteger o canal de rede ao migrar o estado do utilizador
Ao migrar o estado do utilizador, proteja o canal de rede entre o cliente e o ponto de migração de estado através da assinatura SMB ou IPsec.
Após a ligação inicial através de HTTP, os dados de migração de estado do utilizador são transferidos através do SMB. Se não proteger o canal de rede, um atacante pode ler e modificar estes dados.
Utilizar a versão mais recente do USMT
Utilize a versão mais recente da User State Migration Tool (USMT) que Configuration Manager suporta.
A versão mais recente do USMT fornece melhorias de segurança e um maior controlo para quando migra os dados de estado do utilizador.
Eliminar manualmente pastas em pontos de migração de estado quando as desativa
Quando remove uma pasta de ponto de migração de estado na consola do Configuration Manager nas propriedades do ponto de migração de estado, o site não elimina a pasta física. Para proteger os dados de migração de estado do utilizador contra a divulgação de informações, remova manualmente a partilha de rede e elimine a pasta.
Não configure a política de eliminação para eliminar imediatamente o estado do utilizador
Se configurar a política de eliminação no ponto de migração de estado para remover imediatamente os dados marcados para eliminação e se um atacante conseguir obter os dados de estado do utilizador antes do computador válido, o site elimina imediatamente os dados de estado do utilizador. Defina a opção Eliminar após intervalo para ser suficientemente longa para verificar o restauro com êxito dos dados de estado do utilizador.
Eliminar manualmente associações de computadores
Elimine manualmente associações de computadores quando o restauro de dados de migração de estado do utilizador estiver concluído e verificado.
Configuration Manager não remove automaticamente associações de computadores. Ajude a proteger a identidade dos dados de estado do utilizador ao eliminar manualmente as associações de computadores que já não são necessárias.
Fazer uma cópia de segurança manual dos dados de migração de estado do utilizador no ponto de migração de estado
Configuration Manager a Cópia de Segurança não inclui os dados de migração de estado do utilizador na cópia de segurança do site.
Implementar controlos de acesso para proteger os suportes de dados pré-configurados
Controle o acesso físico ao suporte de dados para impedir que um atacante utilize ataques criptográficos para obter o certificado de autenticação de cliente e os dados confidenciais.
Implementar controlos de acesso para proteger o processo de processamento de imagens do computador de referência
Certifique-se de que o computador de referência que utiliza para capturar imagens do SO está num ambiente seguro. Utilize controlos de acesso adequados para que o software inesperado ou malicioso não possa ser instalado e inadvertidamente incluído na imagem capturada. Quando capturar a imagem, certifique-se de que a localização da rede de destino está segura. Este processo ajuda a garantir que a imagem não pode ser adulterada depois de a capturar.
Instalar sempre as atualizações de segurança mais recentes no computador de referência
Quando o computador de referência tem atualizações de segurança atuais, ajuda a reduzir a janela de vulnerabilidade dos novos computadores quando são iniciados pela primeira vez.
Implementar controlos de acesso ao implementar um SO num computador desconhecido
Se tiver de implementar um SO num computador desconhecido, implemente controlos de acesso para impedir que computadores não autorizados se liguem à rede.
O aprovisionamento de computadores desconhecidos fornece um método conveniente para implementar novos computadores a pedido. No entanto, também pode permitir que um atacante se torne um cliente fidedigno na sua rede de forma eficiente. Restrinja o acesso físico à rede e monitorize os clientes para detetar computadores não autorizados.
Os computadores que respondem a uma implementação de SO iniciada por PXE podem ter todos os dados destruídos durante o processo. Este comportamento pode resultar numa perda de disponibilidade de sistemas que são reformatados inadvertidamente.
Ativar a encriptação para pacotes multicast
Para cada pacote de implementação do SO, pode ativar a encriptação quando Configuration Manager transfere o pacote através de multicast. Esta configuração ajuda a impedir que computadores não autorizados entrem na sessão multicast. Também ajuda a impedir que os atacantes adulterem a transmissão.
Monitorizar pontos de distribuição multicast não autorizados
Se os atacantes conseguirem aceder à sua rede, podem configurar servidores multicast não autorizados para falsificar a implementação do SO.
Ao exportar sequências de tarefas para uma localização de rede, proteja a localização e proteja o canal de rede
Restringir quem pode aceder à pasta de rede.
Utilize a assinatura SMB ou IPsec entre a localização de rede e o servidor do site para impedir que um atacante adultere a sequência de tarefas exportada.
Se utilizar a sequência de tarefas executada como conta, tome precauções de segurança adicionais
Se utilizar a sequência de tarefas executada como conta, siga os seguintes passos de precaução:
Utilize uma conta com as permissões menos possíveis.
Não utilize a conta de acesso à rede para esta conta.
Nunca torne a conta um administrador de domínio.
Nunca configure perfis de roaming para esta conta. Quando a sequência de tarefas é executada, transfere o perfil de roaming da conta, o que deixa o perfil vulnerável ao acesso no computador local.
Limite o âmbito da conta. Por exemplo, crie diferentes sequências de tarefas executadas como contas para cada sequência de tarefas. Se uma conta for comprometida, apenas os computadores cliente aos quais essa conta tem acesso são comprometidos. Se a linha de comandos necessitar de acesso administrativo no computador, considere criar uma conta de administrador local apenas para a sequência de tarefas executada como conta. Crie esta conta local em todos os computadores que executam a sequência de tarefas e elimine a conta assim que já não for necessária.
Restringir e monitorizar os utilizadores administrativos a quem é concedida a função de segurança do gestor de implementação do SO
Os utilizadores administrativos a quem seja concedida a função de segurança gestor de implementação do SO podem criar certificados autoassinados. Estes certificados podem, em seguida, ser utilizados para representar um cliente e obter a política de cliente do Configuration Manager.
Utilizar HTTP Avançado para reduzir a necessidade de uma conta de acesso à rede
A partir da versão 1806, quando ativa http avançado, vários cenários de implementação do SO não necessitam de uma conta de acesso à rede para transferir conteúdos a partir de um ponto de distribuição. Para obter mais informações, veja Sequências de tarefas e a conta de acesso à rede.
Problemas de segurança da implementação do SO
Embora a implementação do SO possa ser uma forma conveniente de implementar os sistemas operativos e configurações mais seguros para computadores na sua rede, tem os seguintes riscos de segurança:
Divulgação de informações e negação de serviço
Se um atacante conseguir obter o controlo da sua infraestrutura de Configuration Manager, pode executar sequências de tarefas. Este processo pode incluir a formatação dos discos rígidos de todos os computadores cliente. As sequências de tarefas podem ser configuradas para conter informações confidenciais, como contas que têm permissões para associar o domínio e chaves de licenciamento em volume.
Representação e elevação de privilégios
As sequências de tarefas podem associar um computador a um domínio, o que pode fornecer a um computador não autorizado acesso de rede autenticado.
Proteja o certificado de autenticação de cliente utilizado para o suporte de dados de sequência de tarefas de arranque e para a implementação de arranque PXE. Quando captura um certificado de autenticação de cliente, este processo dá a um atacante a oportunidade de obter a chave privada no certificado. Este certificado permite-lhes representar um cliente válido na rede. Neste cenário, o computador não autorizado pode transferir a política, que pode conter dados confidenciais.
Se os clientes utilizarem a conta de acesso à rede para aceder aos dados armazenados no ponto de migração de estado, estes clientes partilham efetivamente a mesma identidade. Podem aceder aos dados de migração de estado a partir de outro cliente que utilize a conta de acesso à rede. Os dados são encriptados para que apenas o cliente original possa lê-lo, mas os dados podem ser adulterados ou eliminados.
A autenticação de cliente para o ponto de migração de estado é obtida com um token de Configuration Manager emitido pelo ponto de gestão.
Configuration Manager não limita nem gere a quantidade de dados armazenados no ponto de migração de estado. Um atacante pode preencher o espaço em disco disponível e causar um denial of service.
Se utilizar variáveis de coleção, os administradores locais podem ler informações potencialmente confidenciais
Embora as variáveis de coleção ofereçam um método flexível para implementar sistemas operativos, esta funcionalidade pode resultar na divulgação de informações.
Informações de privacidade da implementação do SO
Além de implementar um SO em computadores sem um, Configuration Manager podem ser utilizadas para migrar ficheiros e definições dos utilizadores de um computador para outro. O administrador configura as informações a transferir, incluindo ficheiros de dados pessoais, definições de configuração e cookies do browser.
Configuration Manager armazena as informações num ponto de migração de estado e encripta-as durante a transmissão e o armazenamento. Apenas o novo computador associado às informações de estado pode obter as informações armazenadas. Se o novo computador perder a chave para obter as informações, um administrador Configuration Manager com a opção Ver Informações de Recuperação diretamente nos objetos da instância de associação do computador pode aceder às informações e associá-la a um novo computador. Depois de o novo computador restaurar as informações de estado, elimina os dados após um dia, por predefinição. Pode configurar quando o ponto de migração de estado remove os dados marcados para eliminação. Configuration Manager não armazena as informações de migração de estado na base de dados do site e não as envia para a Microsoft.
Se utilizar suportes de dados de arranque para implementar imagens do SO, utilize sempre a opção predefinida para proteger o suporte de dados de arranque por palavra-passe. A palavra-passe encripta todas as variáveis armazenadas na sequência de tarefas, mas todas as informações não armazenadas numa variável podem estar vulneráveis à divulgação.
A implementação do SO pode utilizar sequências de tarefas para realizar muitas tarefas diferentes durante o processo de implementação, o que inclui a instalação de aplicações e atualizações de software. Ao configurar sequências de tarefas, também deve estar ciente das implicações de privacidade da instalação de software.
Configuration Manager não implementa a implementação do SO por predefinição. Requer vários passos de configuração antes de recolher informações de estado do utilizador ou criar sequências de tarefas ou imagens de arranque.
Antes de configurar a implementação do SO, considere os seus requisitos de privacidade.