Zabezpečení a ochrana osobních údajů pro nasazení operačního systému v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Tento článek obsahuje informace o zabezpečení a ochraně osobních údajů pro funkci nasazení operačního systému v Configuration Manager.
Osvědčené postupy zabezpečení pro nasazení operačního systému
Při nasazování operačních systémů s Configuration Manager použijte následující osvědčené postupy zabezpečení:
Implementace řízení přístupu pro ochranu spouštěcích médií
Při vytváření spouštěcího média vždy přiřaďte heslo, které pomáhá médium zabezpečit. I s heslem šifruje jenom soubory, které obsahují citlivé informace, a všechny soubory se dají přepsat.
Řiďte fyzický přístup k médiím, abyste zabránili útočníkovi v použití kryptografických útoků k získání ověřovacího certifikátu klienta.
Aby se zabránilo klientovi v instalaci obsahu nebo zásad klienta, se kterými se manipulovalo, obsah se zatřiďuje a musí se použít s původní zásadou. Pokud se hodnota hash obsahu nezdaří nebo zkontroluje, jestli obsah odpovídá zásadám, klient spouštěcí médium nepoužije. Hashuje se pouze obsah. Zásady nejsou hashované, ale jsou šifrované a zabezpečené, když zadáte heslo. Toto chování znesnadňuje útočníkovi úspěšnou úpravu zásad.
Použití zabezpečeného umístění při vytváření médií pro image operačního systému
Pokud mají k umístění přístup neoprávnění uživatelé, můžou se soubory, které vytvoříte, manipulovat. Můžou také využít veškeré dostupné místo na disku, aby se nepodařilo vytvořit médium.
Ochrana souborů certifikátů
Chraňte soubory certifikátů (.pfx) pomocí silného hesla. Pokud je ukládáte v síti, zabezpečte síťový kanál při jejich importu do Configuration Manager
Pokud k importu ověřovacího certifikátu klienta, který používáte pro spouštěcí médium, potřebujete heslo, pomůže tato konfigurace chránit certifikát před útočníkem.
Pomocí podepisování SMB nebo protokolu IPsec mezi síťovým umístěním a serverem lokality zabráníte útočníkovi v manipulaci se souborem certifikátu.
Blokování nebo odvolání všech ohrožených certifikátů
Pokud dojde k ohrožení zabezpečení klientského certifikátu, zablokujte certifikát v Configuration Manager. Pokud se jedná o certifikát PKI, odvolej ho.
Pokud chcete nasadit operační systém pomocí spouštěcího média a spouštění pomocí technologie PXE, musíte mít certifikát pro ověřování klienta s privátním klíčem. Pokud dojde k ohrožení zabezpečení certifikátu, zablokujte certifikát v uzlu Certifikáty v pracovním prostoru Správa v uzlu Zabezpečení .
Zabezpečení komunikačního kanálu mezi serverem lokality a poskytovatelem serveru SMS
Pokud je poskytovatel serveru SMS vzdálený od serveru lokality, zabezpečte komunikační kanál pro ochranu spouštěcích imagí.
Pokud upravíte spouštěcí image a poskytovatel serveru SMS je spuštěný na serveru, který není serverem lokality, jsou spouštěcí image zranitelné vůči útokům. Chraňte síťový kanál mezi těmito počítači pomocí podepisování SMB nebo protokolu IPsec.
Povolení distribučních bodů pro komunikaci klientů PXE pouze v zabezpečených síťových segmentech
Když klient odešle žádost o spuštění PXE, nemáte žádný způsob, jak zajistit, aby byl požadavek obsluhován platným distribučním bodem s povoleným PXE. Tento scénář má následující bezpečnostní rizika:
Podvodný distribuční bod, který reaguje na požadavky PXE, může klientům poskytnout zfalšovanou image.
Útočník by mohl spustit útok man-in-the-middle na protokol TFTP, který používá PXE. Tento útok by mohl odeslat škodlivý kód se soubory operačního systému. Útočník by také mohl vytvořit podvodného klienta, který bude provádět požadavky TFTP přímo do distribučního bodu.
Útočník by mohl použít klienta se zlými úmysly k zahájení útoku na distribuční bod na odepření služby.
Hloubkovou ochranu použijte k ochraně segmentů sítě, ve kterých klienti přistupují k distribučním bodům s podporou PXE.
Upozornění
Kvůli těmto bezpečnostním rizikům nepovolujte distribuční bod pro komunikaci PXE, když je v nedůvěryhodné síti, jako je hraniční síť.
Konfigurace distribučních bodů s povoleným PXE tak, aby odpovídaly na požadavky PXE pouze na zadaných síťových rozhraních
Pokud distribučnímu bodu povolíte reagovat na požadavky PXE na všech síťových rozhraních, může tato konfigurace vystavit službu PXE nedůvěryhodným sítím.
Vyžadování hesla ke spuštění PXE
Pokud pro spouštění pomocí technologie PXE potřebujete heslo, přidá tato konfigurace do procesu spouštění PXE další úroveň zabezpečení. Tato konfigurace pomáhá chránit před neautorizovanými klienty, kteří se připojují k hierarchii Configuration Manager.
Omezení obsahu v imagích operačního systému používaných při spouštění pomocí technologie PXE nebo vícesměrového vysílání
Nezahrnujte obchodní aplikace ani software, který obsahuje citlivá data v imagi, kterou používáte pro spouštění pomocí technologie PXE nebo vícesměrové vysílání.
Vzhledem k inherentním bezpečnostním rizikům spojeným se spouštěním PXE a vícesměrovým vysíláním snižte rizika v případě, že neautorizovaný počítač stáhne image operačního systému.
Omezení obsahu nainstalovaného proměnnými pořadí úkolů
Do balíčků aplikací, které instalujete pomocí proměnných pořadí úkolů, nezahrnujte obchodní aplikace ani software, který obsahuje citlivá data.
Když nasadíte software pomocí proměnných pořadí úkolů, může se nainstalovat do počítačů a uživatelům, kteří nemají oprávnění k příjmu daného softwaru.
Zabezpečení síťového kanálu při migraci stavu uživatele
Při migraci stavu uživatele zabezpečte síťový kanál mezi klientem a bodem migrace stavu pomocí podepisování SMB nebo protokolu IPsec.
Po počátečním připojení přes PROTOKOL HTTP se data migrace stavu uživatele přenesou pomocí protokolu SMB. Pokud síťový kanál nezabezpečíte, útočník může tato data číst a upravovat.
Použití nejnovější verze nástroje USMT
Použijte nejnovější verzi nástroje pro migraci stavu uživatele (USMT), který Configuration Manager podporuje.
Nejnovější verze nástroje USMT poskytuje vylepšení zabezpečení a větší kontrolu nad migrací dat o stavu uživatele.
Ruční odstranění složek v bodech migrace stavu při jejich vyřazení z provozu
Když odeberete složku bodu migrace stavu v konzole Configuration Manager ve vlastnostech bodu migrace stavu, lokalita fyzickou složku neodstraní. Pokud chcete chránit data migrace stavu uživatele před zpřístupněním informací, ručně odeberte sdílenou síťovou složku a odstraňte složku.
Nenakonfigurujte zásady odstraňování tak, aby okamžitě odstranily stav uživatele.
Pokud nakonfigurujete zásadu odstraňování v bodě migrace stavu tak, aby okamžitě odebrala data, která jsou označena k odstranění, a pokud se útočníkovi podaří načíst data o stavu uživatele dříve, než to udělá platný počítač, lokalita okamžitě odstraní data o stavu uživatele. Nastavte možnost Odstranit po intervalu tak, aby byla dostatečně dlouhá k ověření úspěšného obnovení dat o stavu uživatele.
Ruční odstranění přidružení počítačů
Po dokončení a ověření obnovení dat migrace uživatele ručně odstraňte přidružení počítačů.
Configuration Manager automaticky neodebere přidružení počítačů. Pomozte chránit identitu dat o stavu uživatele ručním odstraněním přidružení počítačů, která už nejsou potřeba.
Ruční zálohování dat migrace stavu uživatele v bodě migrace stavu
Configuration Manager Zálohování nezahrnuje data migrace stavu uživatele do zálohy lokality.
Implementace řízení přístupu pro ochranu předpřipravených médií
Řiďte fyzický přístup k médiím, abyste zabránili útočníkovi v použití kryptografických útoků k získání certifikátu ověřování klienta a citlivých dat.
Implementace řízení přístupu pro ochranu procesu zpracování obrazu referenčního počítače
Ujistěte se, že referenční počítač, který používáte k zachycení imagí operačního systému, je v zabezpečeném prostředí. Použijte odpovídající řízení přístupu, aby nešlo nainstalovat neočekávaný nebo škodlivý software a neúmyslně zahrnout do zachycené image. Při zachycení image se ujistěte, že je cílové umístění v síti zabezpečené. Tento proces pomáhá zajistit, aby po zachycení nebylo možné s imagí manipulovat.
Do referenčního počítače vždy nainstalujte nejnovější aktualizace zabezpečení.
Pokud má referenční počítač aktuální aktualizace zabezpečení, pomůže to snížit riziko ohrožení zabezpečení pro nové počítače při prvním spuštění.
Implementace řízení přístupu při nasazení operačního systému do neznámého počítače
Pokud musíte nasadit operační systém do neznámého počítače, implementujte řízení přístupu, abyste zabránili neoprávněným počítačům v připojení k síti.
Zřizování neznámých počítačů poskytuje pohodlnou metodu nasazení nových počítačů na vyžádání. Může ale také útočníkovi umožnit, aby se stal důvěryhodným klientem ve vaší síti. Omezte fyzický přístup k síti a monitorujte klienty, aby zjistili neautorizované počítače.
Počítače, které reagují na nasazení operačního systému iniciované technologií PXE, můžou mít během procesu zničená všechna data. Toto chování může vést ke ztrátě dostupnosti systémů, které jsou neúmyslně přeformátované.
Povolení šifrování pro balíčky vícesměrového vysílání
U každého balíčku pro nasazení operačního systému můžete povolit šifrování, když Configuration Manager balíček přenáší pomocí vícesměrového vysílání. Tato konfigurace pomáhá zabránit podvodným počítačům v připojení k relaci vícesměrového vysílání. Pomáhá také zabránit útočníkům v manipulaci s přenosem.
Monitorování neautorizovaných distribučních bodů s povoleným vícesměrovým vysíláním
Pokud útočníci získají přístup k vaší síti, můžou nakonfigurovat podvodné servery vícesměrového vysílání tak, aby zfalšovali nasazení operačního systému.
Při exportu pořadí úkolů do síťového umístění zabezpečte umístění a zabezpečte síťový kanál.
Omezte, kdo má přístup k síťové složce.
Pomocí podepisování SMB nebo protokolu IPsec mezi síťovým umístěním a serverem lokality zabráníte útočníkovi v manipulaci s exportovaným pořadím úkolů.
Pokud používáte účet spustit jako pořadí úkolů, proveďte další bezpečnostní opatření.
Pokud používáte účet spustit jako pořadí úkolů, proveďte následující preventivní kroky:
Použijte účet s nejmenšími možnými oprávněními.
Nepoužívejte pro tento účet účet pro přístup k síti.
Nikdy neudělujte účet jako správce domény.
Pro tento účet nikdy nekonfigurujte cestovní profily. Když se pořadí úkolů spustí, stáhne cestovní profil pro účet, což ponechá profil zranitelný pro přístup na místním počítači.
Omezte rozsah účtu. Pro každé pořadí úkolů můžete například vytvořit různé účty spuštěné jako pořadí úkolů. Pokud dojde k ohrožení zabezpečení jednoho účtu, jsou ohroženy pouze klientské počítače, ke kterým má tento účet přístup. Pokud příkazový řádek vyžaduje přístup správce na počítači, zvažte vytvoření účtu místního správce výhradně pro účet pořadí úkolů spustit jako. Vytvořte tento místní účet na všech počítačích, na kterých běží pořadí úkolů, a odstraňte ho, jakmile už ho nepotřebujete.
Omezení a monitorování správců, kteří mají udělenou roli zabezpečení Správce nasazení operačního systému
Správci, kteří mají udělenou roli zabezpečení Správce nasazení operačního systému, můžou vytvářet certifikáty podepsané svým držitelem. Tyto certifikáty se pak dají použít k zosobnění klienta a získání zásad klienta z Configuration Manager.
Použití rozšířeného protokolu HTTP ke snížení potřeby účtu pro přístup k síti
Počínaje verzí 1806 povolíte rozšířený protokol HTTP, několik scénářů nasazení operačního systému nevyžaduje účet síťového přístupu ke stahování obsahu z distribučního bodu. Další informace najdete v tématu Pořadí úloh a účet síťového přístupu.
Problémy se zabezpečením pro nasazení operačního systému
Přestože nasazení operačního systému může být pohodlný způsob nasazení nejbezpečnějších operačních systémů a konfigurací pro počítače ve vaší síti, má následující bezpečnostní rizika:
Zpřístupnění informací a odepření služby
Pokud útočník získá kontrolu nad vaší infrastrukturou Configuration Manager, může spustit libovolná pořadí úkolů. Tento proces může zahrnovat formátování pevných disků všech klientských počítačů. Pořadí úkolů je možné nakonfigurovat tak, aby obsahovala citlivé informace, například účty, které mají oprávnění k připojení k doméně a multilicenčním klíčům.
Zosobnění a zvýšení oprávnění
Pořadí úkolů mohou připojit počítač k doméně, což může poskytnout podvodný počítač s ověřeným síťovým přístupem.
Chraňte certifikát ověřování klienta, který se používá pro spustitelné médium pořadí úloh a pro nasazení spouštění PXE. Když zachytíte ověřovací certifikát klienta, poskytne tento proces útočníkovi příležitost získat privátní klíč v certifikátu. Tento certifikát jim umožňuje zosobnit platného klienta v síti. V tomto scénáři může podvodný počítač stáhnout zásady, které můžou obsahovat citlivá data.
Pokud klienti používají účet pro přístup k síti pro přístup k datům uloženým v bodě migrace stavu, tito klienti v podstatě sdílejí stejnou identitu. K datům migrace stavu by mohli přistupovat z jiného klienta, který používá účet pro přístup k síti. Data jsou zašifrovaná, takže je může číst jenom původní klient, ale data se můžou manipulovat nebo je odstranit.
Ověření klienta k bodu migrace stavu se provádí pomocí tokenu Configuration Manager vydaného bodem správy.
Configuration Manager neomezuje ani nespravuje množství dat uložených v bodě migrace stavu. Útočník by mohl zaplnit dostupné místo na disku a způsobit odepření služby.
Pokud používáte proměnné kolekce, můžou místní správci číst potenciálně citlivé informace.
I když proměnné kolekce nabízejí flexibilní metodu nasazení operačních systémů, tato funkce může vést ke zpřístupnění informací.
Informace o ochraně osobních údajů pro nasazení operačního systému
Kromě nasazení operačního systému do počítačů bez operačního systému je možné Configuration Manager použít k migraci souborů a nastavení uživatelů z jednoho počítače do druhého. Správce nakonfiguruje, které informace se mají přenést, včetně souborů osobních dat, nastavení konfigurace a souborů cookie prohlížeče.
Configuration Manager ukládá informace do bodu migrace stavu a během přenosu a ukládání je šifruje. Uložené informace může načíst pouze nový počítač přidružený k informacím o stavu. Pokud nový počítač ztratí klíč pro načtení informací, správce Configuration Manager s právem Zobrazit informace o obnovení v objektech instance přidružení počítače může získat přístup k informacím a přidružit je k novému počítači. Jakmile nový počítač obnoví informace o stavu, odstraní ve výchozím nastavení data po jednom dni. Můžete nakonfigurovat, kdy bod migrace stavu odebere data označená k odstranění. Configuration Manager neukládá informace o migraci stavu v databázi lokality a neodesílá je do Microsoft.
Pokud k nasazení imagí operačního systému používáte spouštěcí médium, vždy použijte výchozí možnost pro ochranu spouštěcího média heslem. Heslo zašifruje všechny proměnné uložené v pořadí úkolů, ale všechny informace, které nejsou uložené v proměnné, můžou být ohroženy zveřejněním.
Nasazení operačního systému může používat pořadí úkolů k provádění mnoha různých úloh během procesu nasazení, což zahrnuje instalaci aplikací a aktualizací softwaru. Při konfiguraci pořadí úkolů byste také měli vědět o dopadech instalace softwaru na ochranu osobních údajů.
Configuration Manager ve výchozím nastavení neimplementuje nasazení operačního systému. Před shromážděním informací o stavu uživatele nebo vytvořením pořadí úkolů nebo spouštěcích imagí vyžaduje několik kroků konfigurace.
Před konfigurací nasazení operačního systému zvažte své požadavky na ochranu osobních údajů.
Viz také
Zabezpečení a ochrana osobních údajů pro Configuration Manager