安全和隐私的带外管理配置管理器中

 

适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

本主题包含的安全和隐私信息中带外管理 System Center 2012 Configuration Manager。

安全的带外管理的最佳方案

在基于 Intel AMT 的计算机进行带外管理时使用下列最佳安全方案。

最佳安全方案

更多信息

在购买基于 Intel AMT 的计算机之前请求自定义的固件。

可以进行带外管理的计算机具有可以设置自定义的值可显著提高安全时这些计算机位于网络上的 BIOS 扩展。检查哪些 BIOS 扩展设置可从计算机制造商联系,并指定您的值。有关详细信息,请参阅 确定是否使用从您的计算机制造商的自定义的固件映像

如果基于 AMT 的计算机没有您想要使用的固件值,您可以手动指定它们。有关手动配置 BIOS 扩展的详细信息,请参阅 Intel 文档或从计算机制造商的文档。有关其他信息,请参阅 Intel vPro Expert Center:Microsoft vPro 可管理性。自定义以下选项来提高安全性:

  • 用您自己的内部 CA 的证书指纹替换外部证书颁发机构 (CA) 的所有证书指纹。这可以防止恶意设置的服务器尝试设置基于 AMT 的计算机,并不需要从外部 Ca 购买设置证书。

  • MEBx 帐户使用自定义密码,以便默认值为 admin 不使用。然后使用 AMT 设置和发现帐户中指定此密码 配置管理器。这样可以防止恶意设置的服务器尝试使用已知的默认密码设置基于 AMT 的计算机。

控制的请求和安装设置的证书。

通过使用计算机的安全上下文,以便可以直接在本地计算机存储中安装该证书直接从设置服务器申请设置证书。如果您必须从另一台计算机请求证书,您必须导出私钥,以及如何将其他安全控制措施时传输并将证书导入的证书存储区。

确保您的现有证书过期之前请求新的设置证书。

过期的 AMT 设置证书会导致设置失败。如果您将外部 CA 来设置证书,则留出更长时间才能完成续订过程并重新配置带外管理点。

使用专用证书模板设置基于 AMT 的计算机。

如果您是的使用企业版的 Windows Server 您的企业 CA,则可以创建新的证书模板通过复制默认 Web 服务器证书模板中,确保您在带外管理组件属性中指定的安全组具有读取和注册权限,而不添加到默认的服务器身份验证的其他功能。

专用的证书模板可以更好地管理和控制访问,从而有助于防止特权提升。如果必须将标准版本的 Windows Server 作为企业 CA,不能创建重复的证书模板。在此方案中,您必须添加和读取和注册到您在带外管理组件属性中指定的安全组的权限并删除不需要任何权限。

使用 AMT 开机命令而不是唤醒数据包。

尽管这两种解决方案都支持唤醒计算机以安装软件,但 AMT 开机命令是比因为它们提供了通过使用标准的行业安全协议身份验证和加密传输唤醒数据包更安全。通过使用 AMT 电源命令与带外管理,此解决方案还可以与现有的公钥基础结构 (PKI) 部署集成并可以通过该产品单独管理安全控制。有关详细信息,请参阅"规划如何为唤醒客户端" 在 Configuration Manager 中规划客户端通信

如果计算机不支持的带外管理则禁用 AMT 固件中。

即使基于 AMT 的计算机具有受支持的 AMT 版本,在某些情况下不支持带外管理的。这些方案包括工作组计算机、 具有不同的命名空间的计算机和具有非连续命名空间的计算机。

若要确保这些基于 AMT 的计算机不会将其发布到 Active Directory 域服务并且没有为其请求的 PKI 证书,则禁用 AMT 固件中。AMT 设置在 配置管理器 创建发布到 Active Directory 域服务,如果计算机不是 Active Directory 林的一部分的风险提升权限的帐户的域凭据。

使用专用的 OU 发布基于 AMT 的计算机帐户。

不使用现有容器或组织单位 (OU) 发布在 AMT 设置期间创建的 Active Directory 帐户。单独的 OU 允许您管理和更好地控制这些帐户和有助于确保站点服务器和这些帐户不会授予超出其所需的更多权限。

允许站点服务器计算机帐户的 OU、 域计算机组和包含基于 AMT 的计算机的每个域中的域来宾组的写入权限。

除了允许站点服务器计算机帐户外 创建所有子对象删除所有子对象 OU 的权限并将应用于 仅此对象, ,允许计算机帐户的站点服务器的以下权限:

  • 为 OU:写入所有属性 权限并将应用于 这个对象及所有子对象

  • 对于域计算机组中:写入所有属性 权限并将应用于 仅此对象

  • 对于域来宾组中:写入所有属性 权限并将应用于 仅此对象

使用专用的集合进行 AMT 设置。

请不要使用包含更多的计算机不是您想要为 AMT 设置的现有集合相反,通过使用 AMT 状态为创建基于查询的集合 未设置

有关 AMT 状态以及如何构造查询的详细信息 未设置, ,请参阅 有关 AMT 状态和带外管理配置管理器中

检索并在您从备用媒体启动以使用 IDE 重定向功能时安全地存储图像文件。

当您从备用媒体启动以使用 IDE 重定向功能,只要有可能时,存储在运行带外管理控制台的计算机上本地图像文件。如果您必须将它们存储在网络上,则确保在网络上检索文件的连接使用 SMB 签名,以便有助于防止在网络传输期间文件被篡改。在这两种情况下,安全存储的文件来帮助防止未经授权的访问,例如,通过使用 NTFS 权限和加密的文件系统。

安全检索和存储 AMT 审核日志文件。

如果您保存 AMT 审核日志文件,只要有可能,存储在正在运行带外管理控制台外的计算机上的本地文件。如果您必须将它们存储在网络上,则确保在网络上检索文件的连接使用 SMB 签名,以便有助于防止在网络传输期间文件被篡改。在这两种情况下,安全存储的文件来帮助防止未经授权的访问,例如,通过使用 NTFS 权限和加密的文件系统。

最大程度地减少 AMT 设置和发现帐户的数量。

虽然可以指定多个 AMT 设置和发现帐户,以便 配置管理器 可以发现计算机具有 AMT 管理控制器并将其设置为带外管理、 执行不指定不是当前所需的帐户并删除不再需要的帐户。指定只需要以帮助确保这些帐户不会授予超出其所需的更多权限并减少不必要的网络流量和处理的帐户。有关 AMT 设置和发现帐户的详细信息,请参阅 步骤 5:带外管理组件将部署配置

对于服务持续性将用户帐户指定为 AMT 设置删除帐户,并确保此用户帐户还指定为 AMT 用户帐户。

AMT 设置删除帐户有助于确保服务连续性如果必须还原 配置管理器 站点。将站点还原后,请求和配置新的 AMT 设置证书、 使用 AMT 设置和删除帐户从基于 AMT 的计算机,删除设置信息以及然后重新设置计算机。

您可能还能够使用此帐户如果基于 AMT 的计算机已重新分配从另一个站点,并且不删除设置信息。

有关如何删除 AMT 设置信息的详细信息,请参阅如何删除 AMT 信息

为客户端身份验证证书尽可能使用一个证书模板。

虽然可以为每个无线配置文件指定不同的证书模板,使用一个证书模板除非您有不同的设置要用于不同的无线网络的业务要求指定仅客户端身份验证功能,并将专门用于此证书模板 配置管理器 带外管理。例如,如果一个无线网络需要更高版本的密钥大小或比其他更短的有效期,您将必须创建单独的证书模板。一个证书模板允许您更轻松地控制其使用并可以防止特权提升。

确保只有授权的管理用户执行 AMT 审核操作和管理所需的 AMT 审核日志。

具体取决于 AMT 版本中, 配置管理器 可能会停止对 AMT 审核日志中写入新条目时它是几乎已满或可能会覆盖旧条目。为了确保记录新条目以及不会覆盖旧条目,请根据需要定期清除审核日志并保存审核条目。有关如何管理审核日志和监视审核活动的详细信息,请参阅如何为 Configuration Manager 中基于 AMT 的计算机管理审核日志

使用最低特权和基于角色的管理原则授予管理基于 AMT 的计算机进行带外管理用户权限。

使用 远程工具操作人员 安全角色向管理用户授予控制 AMT 权限,使他们可以查看和使用带外管理控制台管理计算机,并启动电源控制操作从 配置管理器 控制台。

有关可能需要的安全权限的详细信息来管理基于 AMT 的计算机,请参阅"配置管理器依存关系"中 带外管理配置管理器中的先决条件

带外管理的安全问题

基于 AMT 的计算机进行带外管理具有以下安全问题:

  • 攻击者可能会假冒置备请求,这会导致 Active Directory 帐户的创建。监视创建的 AMT 帐户以确保只有预期的帐户创建的 OU。

  • 您不能配置为带外服务点来检查在 Internet 发布证书吊销列表 (CRL) 的 web 代理服务器访问。如果您对启用 CRL 检查 AMT 设置证书,并且不能访问 CRL,带外服务点外执行不设置基于 AMT 的计算机。

  • 此选项来禁用自动 AMT 设置存储在 配置管理器 客户端和不含于 amt。这意味着仍可以设置基于 AMT 的计算机。例如, 配置管理器 可能会卸载客户端,或可能由另一个管理产品设置了此计算机。

  • 即使您选择此选项来禁用自动设置为基于 AMT 的计算机,也是如此外带外服务点将接受来自该计算机的置备请求。

有关带外管理的隐私信息

带外管理控制台外管理的计算机具有 Intel vPro 芯片组和 Intel 主动管理技术 (Intel AMT) 固件版本,支持的 配置管理器。配置管理器 暂时将收集有关计算机配置和设置,例如计算机名称、 IP 地址和 MAC 地址的信息。在被管理的计算机和带外管理控制台之间使用加密通道来传输信息。默认情况下,不启用此功能,并在结束管理会话之后通常会保留任何信息。如果您启用 AMT 审核,您可以将审核信息保存到文件,其中包含管理基于 AMT 的计算机和的记录的日期和时间执行管理操作的域和用户帐户的 IP 地址。此信息不会发送到 Microsoft。

您可以选择要启用 配置管理器 来发现具有管理控制器的可由外带外管理控制台管理的计算机。发现将为可管理的计算机创建记录并将记录存储在数据库中。数据发现记录包含 IP 地址、操作系统和计算机名称等计算机信息。默认情况下,未启用管理控制器的发现。发现信息不会发送给 Microsoft。发现信息存储在站点数据库中。直到站点维护任务的信息保留在数据库中 删除过期的发现数据 将其删除每隔 90 天的间隔。可以配置删除间隔。

配置带外管理之前,请考虑您的隐私要求。