Configuration Manager中 OS 部署的安全性和隐私

适用于: Configuration Manager(current branch)

本文包含 Configuration Manager 中 OS 部署功能的安全和隐私信息。

OS 部署的安全最佳做法

使用 Configuration Manager 部署操作系统时使用以下安全最佳做法:

实现访问控制以保护可启动媒体

创建可启动媒体时,请始终分配密码以帮助保护媒体。 即使使用密码,它也只加密包含敏感信息的文件,并且所有文件都可以被覆盖。

控制对媒体的物理访问,以防止攻击者使用加密攻击获取客户端身份验证证书。

为了帮助防止客户端安装已篡改的内容或客户端策略,内容经过哈希处理,必须与原始策略一起使用。 如果内容哈希失败或检查内容是否与策略匹配,则客户端不会使用可启动媒体。 仅对内容进行哈希处理。 该策略不是哈希策略,但在指定密码时会加密和保护策略。 此行为使攻击者更难成功修改策略。

为 OS 映像创建媒体时使用安全位置

如果未经授权的用户有权访问该位置,他们可能会篡改你创建的文件。 他们还可以使用所有可用的磁盘空间,以便媒体创建失败。

保护证书文件

使用强密码保护证书文件 (.pfx) 。 如果将它们存储在网络上,请在将网络通道导入到 Configuration Manager

需要密码才能导入用于可启动媒体的客户端身份验证证书时,此配置有助于保护证书免受攻击者的侵害。

在网络位置和站点服务器之间使用 SMB 签名或 IPsec,以防止攻击者篡改证书文件。

阻止或撤销任何泄露的证书

如果客户端证书已泄露,请阻止证书Configuration Manager。 如果是 PKI 证书,请吊销它。

若要使用可启动媒体和 PXE 启动部署 OS,必须具有具有私钥的客户端身份验证证书。 如果该证书已泄露,请在“管理”工作区的“证书”节点“安全”节点中阻止该证书。

保护站点服务器与 SMS 提供程序之间的信道

当 SMS 提供程序远离站点服务器时,请保护信道以保护启动映像。

修改启动映像并且 SMS 提供程序在不是站点服务器的服务器上运行时,启动映像容易受到攻击。 使用 SMB 签名或 IPsec 保护这些计算机之间的网络通道。

仅在安全网段上启用 PXE 客户端通信的分发点

当客户端发送 PXE 启动请求时,你无法确保请求由启用了 PXE 的有效分发点提供服务。 此方案具有以下安全风险:

  • 响应 PXE 请求的恶意分发点可能会向客户端提供被篡改的映像。

  • 攻击者可能会针对 PXE 使用的 TFTP 协议发起中间人攻击。 此攻击可能会将恶意代码与 OS 文件一起发送。 攻击者还可以创建恶意客户端,以直接向分发点发出 TFTP 请求。

  • 攻击者可以使用恶意客户端对分发点发起拒绝服务攻击。

使用深度防御来保护客户端访问已启用 PXE 的分发点的网络段。

警告

由于存在这些安全风险,当 PXE 位于不受信任的网络(例如外围网络)中时,不要为分发点启用通信。

将已启用 PXE 的分发点配置为仅在指定的网络接口上响应 PXE 请求

如果允许分发点在所有网络接口上响应 PXE 请求,则此配置可能会向不受信任的网络公开 PXE 服务

需要密码才能启动 PXE

当 PXE 启动需要密码时,此配置会为 PXE 启动过程添加额外的安全级别。 此配置有助于防止恶意客户端加入Configuration Manager层次结构。

限制用于 PXE 启动或多播的 OS 映像中的内容

请勿在用于 PXE 启动或多播的映像中包含敏感数据的业务线应用程序或软件。

由于 PXE 启动和多播存在固有的安全风险,因此在恶意计算机下载 OS 映像时降低风险。

限制任务序列变量安装的内容

请勿在通过使用任务序列变量安装的应用程序包中包含敏感数据的业务线应用程序或软件。

使用任务序列变量部署软件时,可能会将其安装在计算机和无权接收该软件的用户。

迁移用户状态时保护网络通道

迁移用户状态时,请使用 SMB 签名或 IPsec 保护客户端和状态迁移点之间的网络通道。

通过 HTTP 进行初始连接后,将使用 SMB 传输用户状态迁移数据。 如果不保护网络通道,攻击者可以读取和修改此数据。

使用最新版本的 USMT

使用最新版本的用户状态迁移工具 (Configuration Manager支持的 USMT) 。

最新版本的 USMT 在迁移用户状态数据时提供安全性增强和更大的控制。

解除授权时手动删除状态迁移点上的文件夹

在 Configuration Manager 控制台中删除状态迁移点属性上的状态迁移点文件夹时,站点不会删除物理文件夹。 若要防止用户状态迁移数据信息泄露,请手动删除网络共享并删除文件夹。

不要将删除策略配置为立即删除用户状态

如果在状态迁移点上配置删除策略以立即删除标记为删除的数据,并且攻击者在有效计算机之前设法检索用户状态数据,则站点会立即删除用户状态数据。 将“ 间隔后删除” 设置为足够长,以验证用户状态数据是否成功还原。

手动删除计算机关联

完成并验证用户状态迁移数据还原后,手动删除计算机关联。

Configuration Manager不会自动删除计算机关联。 通过手动删除不再需要的计算机关联来帮助保护用户状态数据的标识。

在状态迁移点上手动备份用户状态迁移数据

Configuration Manager备份不包括站点备份中的用户状态迁移数据。

实现访问控制以保护预留媒体

控制对媒体的物理访问,以防止攻击者使用加密攻击获取客户端身份验证证书和敏感数据。

实现访问控制以保护引用计算机图像处理过程

确保用于捕获 OS 映像的引用计算机位于安全环境中。 使用适当的访问控制,以便无法安装意外或恶意软件,并且不会意外地包含在捕获的映像中。 捕获映像时,请确保目标网络位置安全。 此过程有助于确保图像在捕获后不会被篡改。

始终在引用计算机上安装最新的安全更新

当引用计算机具有当前安全更新时,它有助于减少新计算机首次启动时的漏洞窗口。

在将 OS 部署到未知计算机时实现访问控制

如果必须将 OS 部署到未知计算机,请实现访问控制以防止未经授权的计算机连接到网络。

预配未知计算机提供了一种按需部署新计算机的便捷方法。 但是,攻击者也可以有效地成为网络上的受信任客户端。 限制对网络的物理访问,并监视客户端以检测未经授权的计算机。

响应 PXE 发起的 OS 部署的计算机在此过程中可能销毁了所有数据。 此行为可能导致意外重新格式化的系统的可用性丢失。

为多播包启用加密

对于每个 OS 部署包,可以在Configuration Manager使用多播传输包时启用加密。 此配置有助于防止恶意计算机加入多播会话。 它还有助于防止攻击者篡改传输。

监视已启用未授权多播的分发点

如果攻击者可以访问你的网络,他们可以配置恶意多播服务器来欺骗 OS 部署。

将任务序列导出到网络位置时,保护该位置并保护网络通道

限制可以访问网络文件夹的人员。

在网络位置和站点服务器之间使用 SMB 签名或 IPsec,以防止攻击者篡改导出的任务序列。

如果使用任务序列运行方式帐户,请采取其他安全预防措施

如果使用 任务序列运行方式帐户,请执行以下预防措施:

  • 使用权限最少的帐户。

  • 不要为此帐户使用网络访问帐户。

  • 切勿将帐户设为域管理员。

  • 切勿为此帐户配置漫游配置文件。 任务序列运行时,它会下载帐户的漫游配置文件,这使配置文件容易受到本地计算机上的访问。

  • 限制帐户的范围。 例如,为每个任务序列创建不同的任务序列运行帐户。 如果一个帐户遭到入侵,则只会泄露该帐户有权访问的客户端计算机。 如果命令行需要计算机上的管理访问权限,请考虑仅针对任务序列运行方式帐户创建本地管理员帐户。 在运行任务序列的所有计算机上创建此本地帐户,并在不再需要该帐户时立即将其删除。

限制和监视被授予 OS 部署管理员安全角色的管理用户

被授予 OS 部署管理员 安全角色的管理用户可以创建自签名证书。 然后,可以使用这些证书来模拟客户端并从Configuration Manager获取客户端策略。

使用增强型 HTTP 减少对网络访问帐户的需求

从版本 1806 开始,启用 增强型 HTTP 时,多个 OS 部署方案不需要网络访问帐户即可从分发点下载内容。 有关详细信息,请参阅 任务序列和网络访问帐户

OS 部署的安全问题

尽管 OS 部署是一种为网络上的计算机部署最安全的操作系统和配置的便捷方法,但它确实存在以下安全风险:

信息泄露和拒绝服务

如果攻击者可以控制你的Configuration Manager基础结构,他们可以运行任何任务序列。 此过程可能包括格式化所有客户端计算机的硬盘驱动器。 可以将任务序列配置为包含敏感信息,例如有权加入域的帐户和批量许可密钥。

模拟和特权提升

任务序列可以将计算机加入域,从而为恶意计算机提供经过身份验证的网络访问权限。

保护用于可启动任务序列媒体和 PXE 启动部署的客户端身份验证证书。 捕获客户端身份验证证书时,此过程使攻击者有机会获取证书中的私钥。 此证书允许他们在网络上模拟有效的客户端。 在这种情况下,恶意计算机可以下载策略,其中可能包含敏感数据。

如果客户端使用网络访问帐户访问存储在状态迁移点上的数据,则这些客户端实际上共享相同的标识。 他们可以从使用网络访问帐户的另一个客户端访问状态迁移数据。 数据已加密,因此只有原始客户端可以读取数据,但数据可能会被篡改或删除。

使用管理点颁发的Configuration Manager令牌实现对状态迁移点的客户端身份验证。

Configuration Manager不会限制或管理存储在状态迁移点上的数据量。 攻击者可能会填满可用磁盘空间并导致拒绝服务。

如果使用集合变量,本地管理员可以读取潜在的敏感信息

尽管集合变量提供了一种灵活的方法来部署操作系统,但此功能可能会导致信息泄露。

OS 部署的隐私信息

除了将操作系统部署到没有操作系统的计算机之外,Configuration Manager还可用于将用户的文件和设置从一台计算机迁移到另一台计算机。 管理员配置要传输的信息,包括个人数据文件、配置设置和浏览器 Cookie。

Configuration Manager将信息存储在状态迁移点上,并在传输和存储期间对其进行加密。 只有与状态信息关联的新计算机才能检索存储的信息。 如果新计算机丢失了检索信息的密钥,具有计算机关联实例对象上“查看恢复信息”权限的Configuration Manager管理员可以访问该信息并将其与新计算机关联。 新计算机还原状态信息后,默认情况下,它会在一天后删除数据。 可以配置状态迁移点何时删除标记为要删除的数据。 Configuration Manager不会将状态迁移信息存储在站点数据库中,也不会将其发送到Microsoft。

如果使用启动媒体部署 OS 映像,请始终使用默认选项对启动媒体进行密码保护。 密码可加密任务序列中存储的任何变量,但未存储在变量中的任何信息都容易受到泄露。

OS 部署可以使用任务序列在部署过程中执行许多不同的任务,包括安装应用程序和软件更新。 配置任务序列时,还应注意安装软件的隐私影响。

默认情况下,Configuration Manager不实现 OS 部署。 在收集用户状态信息或创建任务序列或启动映像之前,需要执行多个配置步骤。

在配置 OS 部署之前,请考虑隐私要求。

另请参阅

诊断和使用情况数据

Configuration Manager 的安全和隐私