Zabezpečení a ochrana osobních údajů pro Správa mimo síť v nástroji Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Toto téma se zobrazuje v příručka Prostředky a kompatibilita v nástroji System Center 2012 Configuration Manager a v příručce Zabezpečení a ochrana soukromí pro aplikaci System Center 2012 Configuration Manager.
Toto téma obsahuje informace zabezpečení a ochrana osobních údajů pro správu band v System Center 2012 Configuration Manager.
Doporučené postupy zabezpečení pro Správa mimo síť
Při správě počítačů se systémem Intel AMT AMT vzdáleně, použijte následující doporučené postupy zabezpečení.
Doporučené zabezpečení |
Další informace |
|---|---|
Předtím, než je zakoupit počítačů se systémem Intel AMT požádat o vlastní firmware. |
Počítače, na kterých lze spravovat mimo pásmo mít systému BIOS rozšíření, které můžete nastavit vlastní hodnoty významně zvyšuje zabezpečení, pokud jsou tyto počítače v síti.Zkontrolujte nastavení systému BIOS rozšíření, které jsou k dispozici od výrobce vašeho počítače a zadejte požadované hodnoty.Další informace naleznete v části Určí, zda má-li používat vlastní Firmware obrázek od výrobce počítače. Pokud vaše počítačů se systémem AMT nemají firmwaru hodnoty, které chcete použít, je možné do nich zadávat ručně.Další informace o ruční konfigurace systému BIOS rozšíření naleznete v dokumentaci Intel nebo v dokumentaci výrobce počítače.Další informace naleznete v tématu Intel vPro Expert Center: Microsoft vPro správy.Přizpůsobte zvyšuje zabezpečení následujících možností:
|
Ovládací prvek požadavku a instalaci zřizování certifikátu. |
Žádost o zřizování certifikát přímo z zřizování serveru pomocí kontextu zabezpečení počítače, tak, že certifikát je nainstalován přímo do úložiště v místním počítači.Pokud je nutné požádat certifikát z jiného počítače, je třeba exportovat privátní klíč a pak pomocí ovládacích prvků dodatečné zabezpečení, pokud přenos a importovat certifikát do úložiště certifikátů. |
Ujistěte se, žádost o nový certifikát zřizování, než vyprší platnost existující certifikát. |
Zřizování certifikátu s vypršenou platností AMT výsledkem zřizování selhání.Pokud používáte externí CA zřizování certifikátu, umožnit další čas na dokončení procesu obnovy a znovu nakonfigurovat mimo pásmo bodu správy. |
Použijte šablonu certifikátu vyhrazený pro zřizování AMT založenými. |
Pokud jste použijte Enterprise verze systému Windows Server pro podnikové certifikační Autority, vytvořte novou šablonu certifikátu pomocí duplikování výchozí šablona certifikátu webového serveru, zajistěte, aby měl pouze skupiny zabezpečení, který zadáte v mimo pásmo vlastnosti součásti správy oprávnění ke čtení a zápisu a nepřidávejte další funkce na výchozí ověření serveru. Šablona certifikátu vyhrazené umožňuje lépe spravovat a řídit přístup k vám mohou pomoci zabránit zvýšení oprávnění.Pokud máte standardní verze systému Windows Server pro podnikové certifikační Autority, nelze vytvořit šablonu duplicitní certifikátu.V takovém případě musíte přidat ke čtení a zápisu oprávnění do skupiny zabezpečení, který zadáte v mimo pásmo vlastnosti součásti správy a odebrat všechna oprávnění, která nepotřebujete. |
Pomocí doplňku power AMT na příkazy paketů funkce wake-up. |
Přestože obě řešení podporují probuzení nahoru počítačů k instalaci softwaru, AMT zapnout příkazy jsou bezpečnější než předávání paketů funkce wake-up, protože poskytují ověřování a šifrování pomocí standardních protokolů zabezpečení.Pomocí doplňku power AMT na příkazy s Správa mimo síť Toto řešení také můžete integrovat s stávajícího nasazení infrastruktury veřejných klíčů (PKI) a ovládací prvky pro zabezpečení můžete spravovat nezávisle z produktu.Další informace naleznete v tématu "Plánování jak do funkce Wake se klienti" v Plánování komunikace klientů v Configuration Manageru. |
Pokud počítač není podporován pro Správa mimo síť, zakažte AMT ve firmwaru. |
I když na základě AMT počítače mají podporovanou verzi AMT, existují některé scénáře, které Správa mimo síť nepodporuje.Tyto scénáře patří počítače ve skupině, počítačů, které mají jiný obor názvů a počítačů, které mají nesouvislý obor názvů. Chcete-li Ujistěte se, že tyto počítače se systémem AMT nejsou publikovány ke službě Active Directory Domain Services a nemají PKI certifikát požadovaný pro ně, zakažte AMT ve firmwaru.Zřizování AMT v Configuration Manager vytvoří pověření domény pro účty publikován Active Directory Domain Services, která rizika zvýšení oprávnění, když počítače nejsou součástí doménovou strukturu služby Active Directory. |
Použijte vyhrazený OU k publikování počítače se systémem AMT účty. |
Chcete-li publikovat účty služby Active Directory, které jsou vytvořeny během zřizování AMT nepoužívejte existující kontejneru nebo organizační jednotku (OU).Samostatné umožňuje OU spravovat a řídit těchto účtů lépe a pomáhá zajistit, aby webových serverech a tyto účty nejsou udělena další oprávnění, než potřebují. |
Povolíte oprávnění k zápisu do organizační jednotky, skupiny počítačů domény a skupina hosté domény v každé doméně, která obsahuje počítače se systémem AMT účty počítače serveru lokality. |
Kromě povolení účty počítače serveru lokality vytvářet všechny podřízené objekty a Odstranit všechny podřízené objekty oprávnění pro organizační jednotku a vztahují na pouze tento objekt, povolit následující oprávnění pro webový server účty počítačů:
|
Použijte pro zřizování AMT vyhrazené kolekci. |
Nepoužívejte existující kolekci, která obsahuje více počítačích, než chcete zřízení pro částkaNamísto toho vytvořit kolekci založené na dotazech s použitím AMT stav není zajištěna. Další informace o stavu AMT a jak vytvořit dotaz na není zajištěna, naleznete v části O stavu AMT a Out Vzdálená správa v produktu Configuration Manager. |
Načíst a ukládat soubory bitových kopií při spuštění z alternativních médií, které chcete použít funkci přesměrování integrovaného vývojového prostředí. |
Při spuštění z alternativních médií, které chcete použít funkci přesměrování integrovaného vývojového prostředí, pokud je to možné, uloženy obrázky místně na počítači, ve kterém mimo pásmo management Console.Pokud je třeba uložit v síti, ujistěte se, že připojení k načtení soubory v síti používat SMB podepisování pomáhá zabránit souborů během přenosu sítě manipulováno.V obou případech Zabezpečte uložené souborech, které vám mohou pomoci zabránit neoprávněnému přístupu, například pomocí oprávnění systému souborů NTFS a šifrované souborové systémy. |
Načíst a ukládat soubory protokolu auditu AMT. |
Pokud uložíte AMT auditovat soubory protokolu, pokud je to možné, uložte soubory místně v počítači, který je spuštěn mimo pásmo management Console.Pokud je třeba uložit v síti, ujistěte se, že připojení k načtení soubory v síti používat SMB podepisování pomáhá zabránit souborů během přenosu sítě manipulováno.V obou případech Zabezpečte uložené souborech, které vám mohou pomoci zabránit neoprávněnému přístupu, například pomocí oprávnění systému souborů NTFS a šifrované souborové systémy. |
Minimalizujte počet zřizování AMT a účty zjišťování. |
Ačkoliv je možné zadat více zřizování AMT a zjišťování účtů tak, aby Configuration Manager může zjišťovat počítačů, které mají řadiči pro správu AMT a jejich pro zřízení Správa mimo síť, není účty, které nejsou aktuálně požadována a odstranit účty, které již nejsou potřebné.Zadejte pouze účty, které vyžadují pomáhají zajistit, že tyto účty nejsou udělena další oprávnění, než potřebují a snížit nepotřebné síťový provoz a zpracování.Další informace o zřizování AMT a zjišťování účtu naleznete v tématu Krok 5: Konfigurace mimo pásmo komponenty správy. |
Pro služby kontinuitu zadejte uživatelský účet jako účet odebrání zřizování AMT a ujistěte se, že tento uživatelský účet je zadána také jako uživatelský účet AMT. |
Odebrání účtu zřizování AMT pomáhá zajistit kontinuitu služby, pokud je nutné obnovit Configuration Manager webu.Po obnovení webu požadavku a konfigurovat nový certifikát zřizování AMT, použít k odebrání informací o zřizování z počítačů se systémem AMT zřizování AMT a odebrání účet a spravovat (reprovision) k počítačům. Může být také moci použít tento účet, je-li v počítači s procesorem AMT byla přeřazena z jiného webu a informací o zřizování nebyla odebrána. Další informace o odebrání informací o zřizování AMT najdete v části Postup odebrání informací o AMT. |
Použijte šablonu jeden certifikát pro certifikáty pro ověřování klientů vždy, když je praktické. |
I když můžete zadat jiný certifikát šablony pro každou z bezdrátové profily, používání jednom šablona certifikátu, pokud nemáte obchodních požadavcích pro různá nastavení pro použití různých bezdrátových sítí, zadejte pouze možnosti ověřování klienta a vyhradit tuto šablonu certifikátu pro použití s Configuration Manager Správa mimo síť.V případě potřeby jeden bezdrátové sítě vyšší velikost klíče nebo kratší dobou platnosti než jiný je třeba vytvořit šablonu samostatné certifikátu.Šablonu jeden certifikát umožňuje snadno řídit jeho použití a chrání proti zvýšení oprávnění. |
Ujistěte se, že pouze oprávnění pro správu uživatelé provádět AMT auditování akce a spravovat protokoly auditování AMT podle potřeby. |
V závislosti na verzi AMT Configuration Manager může dojít k zastavení zápisu nové položky do protokol auditování AMT, pokud je téměř plná nebo dojít k přepsání staré položky odstraňovat.Chcete-li zajistit, aby nové položky jsou zaznamenána a nejsou přepsány staré položky odstraňovat, pravidelně vymazat protokol auditu v případě potřeby a uložte položky auditu.Další informace o tom, jak spravovat protokol auditu a sledování auditování aktivity naleznete v tématu Jakým způsobem spravovat protokol auditu pro počítače se systémem AMT v produktu Configuration Manager. |
Udělte oprávnění pro správu uživatelů ke správě počítačů AMT mimo pásmo pomocí zásady alespoň oprávnění a založenou na rolích. |
Použití vzdáleného operátor nástroje roli zabezpečení pro správu uživatelům udělit oprávnění k řízení AMT, což umožňuje jejich zobrazení a Správa počítačů pomocí mimo pásmo management Console, a zahájení akce řízení napájení z Configuration Manager konzoly. Další informace týkající se oprávnění zabezpečení, které mohou vyžadovat ke správě počítačů se systémem AMT, naleznete v části "Závislosti nástroje Configuration Manager" v Předpoklady pro Správa mimo síť v nástroji Configuration Manager. |
Potíže se zabezpečením pro Správa mimo síť
Správa počítačů se systémem AMT mimo pásmo má následující otázky zabezpečení:
Se zlými úmysly může falešné žádostí o zřizování, což vede k vytvoření účtu služby Active Directory.Monitorování OU, kde jsou vytvářeny účty AMT zajistit, že jsou vytvořeny pouze očekávaný účty.
Nelze konfigurovat web access proxy serveru pro mimo pásmo bodu služby ke kontrole seznamu odvolaných certifikátů (seznamu odvolaných certifikátů) publikovaný na Internetu.Pokud povolíte kontrolu seznamu odvolaných certifikátů pro certifikát zřizování AMT a nemůže získat přístup k seznamu odvolaných certifikátů, nemá mimo pásmo bodu služby není poskytování AMT počítačů se systémem.
Možnost vypnout automatické zřizování AMT je uložen na Configuration Manager klienta a není v částkaTo znamená, že počítač se systémem AMT můžete stále zřizovány.Můžete například Configuration Manager klienta může být odinstalovat, nebo počítač může být zřizovány podle jiného správy produktu.
I když vyberete možnost vypnout automatické vytváření pro počítač s procesorem AMT, mimo pásmo bodu služby přijme žádosti o zřizování z tohoto počítače.
Informace o ochraně osobních údajů pro Správa mimo síť
Mimo pásmo management console spravuje počítačů, které mají čipovou Intel vPro, nastavení a Intel aktivní technologii pro správu (Intel AMT) s verze firmwaru, který je podporován Configuration Manager.Configuration Manager dočasně shromažďuje informace o konfiguraci počítače a nastavení, například název počítače, IP adresu a adresu MAC.Informace o přenášena mezi spravovaného počítače a mimo pásmo Konzola pro správu pomocí šifrovaný kanál.Ve výchozím nastavení tato funkce není povolena a obvykle žádné informace zůstane po ukončení relace správy.Pokud povolíte auditování AMT, můžete uložit informace o auditu do souboru, který obsahuje adresu IP počítač se systémem AMT, která jsou spravována a účet domény a uživatelské, který provést akce správy v zaznamenané datum a čas.Tyto údaje se neodesílají společnosti Microsoft.
Máte možnost Povolit Configuration Manager zjistit počítače s řadiči pro správu, které lze spravovat pomocí mimo pásmo management Console.Zjišťování vytvoří záznamy pro spravovatelný počítače a ukládá je v databázi.Záznamy dat zjištění obsahují informace o počítači, jako je IP adresa, operačního systému a název počítače.Ve výchozím nastavení není povoleno zjišťování řadiči pro správu.Informace o zjišťování nejsou zasílány společnosti Microsoft.Zjišťování informace jsou uloženy v databázi webu.Informace o je zachován v databázi, dokud úlohy údržby webu odstranit starý dat pro vyhledávání odstraní ji v intervalech každých 90 dní.Můžete provést konfiguraci intervalu odstranění.
Dříve, než nakonfigurujete Správa mimo síť, zvažte požadavky vaší o ochraně osobních údajů.
Viz také
Nastavení dodržování předpisů v produktu Configuration Manager