Seguridad y privacidad para la implementación del sistema operativo en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Este artículo contiene información de seguridad y privacidad de la característica de implementación del sistema operativo en Configuration Manager.
Procedimientos recomendados de seguridad para la implementación del sistema operativo
Use los siguientes procedimientos recomendados de seguridad para al implementar sistemas operativos con Configuration Manager:
Implementación de controles de acceso para proteger los medios de arranque
Al crear medios de arranque, asigne siempre una contraseña para ayudar a proteger el medio. Incluso con una contraseña, solo cifra los archivos que contienen información confidencial y todos los archivos se pueden sobrescribir.
Controle el acceso físico a los medios para evitar que un atacante use ataques criptográficos para obtener el certificado de autenticación de cliente.
Para evitar que un cliente instale contenido o directiva de cliente que se ha alterado, el contenido se aplica un hash y se debe usar con la directiva original. Si se produce un error en el hash de contenido o la comprobación de que el contenido coincide con la directiva, el cliente no usará el medio de arranque. Solo se aplica hash al contenido. La directiva no tiene hash, pero se cifra y protege cuando se especifica una contraseña. Este comportamiento dificulta más que un atacante modifique correctamente la directiva.
Uso de una ubicación segura al crear medios para imágenes del sistema operativo
Si los usuarios no autorizados tienen acceso a la ubicación, pueden manipular los archivos que cree. También pueden usar todo el espacio disponible en disco para que se produzca un error en la creación de medios.
Protección de archivos de certificado
Proteja los archivos de certificado (.pfx) con una contraseña segura. Si los almacena en la red, proteja el canal de red al importarlos en Configuration Manager
Cuando se requiere una contraseña para importar el certificado de autenticación de cliente que se usa para los medios de arranque, esta configuración ayuda a proteger el certificado de un atacante.
Use la firma SMB o IPsec entre la ubicación de red y el servidor de sitio para evitar que un atacante manipule el archivo de certificado.
Bloquear o revocar los certificados en peligro
Si el certificado de cliente está en peligro, bloquee el certificado de Configuration Manager. Si es un certificado PKI, revoquelo.
Para implementar un sistema operativo mediante medios de arranque y arranque PXE, debe tener un certificado de autenticación de cliente con una clave privada. Si ese certificado está en peligro, bloquee el certificado en el nodo Certificados del área de trabajo Administración , nodo Seguridad .
Protección del canal de comunicación entre el servidor de sitio y el proveedor de SMS
Cuando el proveedor de SMS es remoto desde el servidor de sitio, proteja el canal de comunicación para proteger las imágenes de arranque.
Al modificar imágenes de arranque y el proveedor de SMS se ejecuta en un servidor que no es el servidor de sitio, las imágenes de arranque son vulnerables a ataques. Proteja el canal de red entre estos equipos mediante la firma SMB o IPsec.
Habilitación de puntos de distribución para la comunicación de cliente PXE solo en segmentos de red seguros
Cuando un cliente envía una solicitud de arranque PXE, no tiene ninguna manera de asegurarse de que la solicitud esté atesoada por un punto de distribución habilitado para PXE válido. Este escenario tiene los siguientes riesgos de seguridad:
Un punto de distribución no autorizado que responda a las solicitudes PXE podría proporcionar una imagen alterada a los clientes.
Un atacante podría iniciar un ataque man-in-the-middle contra el protocolo TFTP que usa PXE. Este ataque podría enviar código malintencionado con los archivos del sistema operativo. El atacante también podría crear un cliente no autorizado para realizar solicitudes TFTP directamente al punto de distribución.
Un atacante podría usar un cliente malintencionado para iniciar un ataque por denegación de servicio contra el punto de distribución.
Use la defensa en profundidad para proteger los segmentos de red en los que los clientes acceden a puntos de distribución habilitados para PXE.
Advertencia
Debido a estos riesgos de seguridad, no habilite un punto de distribución para la comunicación PXE cuando se encuentra en una red que no es de confianza, como una red perimetral.
Configuración de puntos de distribución habilitados para PXE para responder a solicitudes PXE solo en interfaces de red especificadas
Si permite que el punto de distribución responda a las solicitudes PXE en todas las interfaces de red, esta configuración podría exponer el servicio PXE a redes que no son de confianza.
Requerir una contraseña para el arranque PXE
Cuando se requiere una contraseña para el arranque PXE, esta configuración agrega un nivel adicional de seguridad al proceso de arranque PXE. Esta configuración ayuda a proteger contra clientes no autorizados que se unen a la jerarquía de Configuration Manager.
Restricción del contenido en imágenes del sistema operativo que se usan para el arranque PXE o la multidifusión
No incluya aplicaciones de línea de negocio ni software que contenga datos confidenciales en una imagen que use para el arranque PXE o la multidifusión.
Debido a los riesgos de seguridad inherentes relacionados con el arranque PXE y la multidifusión, reduzca los riesgos si un equipo no autorizado descarga la imagen del sistema operativo.
Restricción del contenido instalado por variables de secuencia de tareas
No incluya aplicaciones de línea de negocio ni software que contenga datos confidenciales en paquetes de aplicaciones que instale mediante variables de secuencias de tareas.
Al implementar software mediante variables de secuencias de tareas, es posible que se instale en equipos y en usuarios que no estén autorizados para recibir ese software.
Protección del canal de red al migrar el estado de usuario
Al migrar el estado de usuario, proteja el canal de red entre el cliente y el punto de migración de estado mediante la firma SMB o IPsec.
Después de la conexión inicial a través de HTTP, los datos de migración de estado de usuario se transfieren mediante SMB. Si no protege el canal de red, un atacante puede leer y modificar estos datos.
Uso de la versión más reciente de USMT
Use la versión más reciente de la Herramienta de migración de estado de usuario (USMT) que admite Configuration Manager.
La versión más reciente de USMT proporciona mejoras de seguridad y un mayor control para cuando se migran los datos de estado de usuario.
Elimine manualmente las carpetas en los puntos de migración de estado al retirarlas.
Al quitar una carpeta de punto de migración de estado en la consola de Configuration Manager en las propiedades del punto de migración de estado, el sitio no elimina la carpeta física. Para proteger los datos de migración de estado de usuario de la divulgación de información, quite manualmente el recurso compartido de red y elimine la carpeta.
No configure la directiva de eliminación para eliminar inmediatamente el estado del usuario.
Si configura la directiva de eliminación en el punto de migración de estado para quitar inmediatamente los datos marcados para su eliminación, y si un atacante se las arregla para recuperar los datos de estado de usuario antes de que lo haga el equipo válido, el sitio elimina inmediatamente los datos de estado de usuario. Establezca la opción Eliminar después del intervalo para que sea lo suficientemente larga como para comprobar la restauración correcta de los datos de estado de usuario.
Eliminación manual de asociaciones de equipos
Elimine manualmente las asociaciones de equipos cuando se complete y compruebe la restauración de datos de migración de estado de usuario.
Configuration Manager no quita automáticamente las asociaciones de equipos. Ayuda para proteger la identidad de los datos de estado de usuario mediante la eliminación manual de asociaciones de equipos que ya no son necesarias.
Copia de seguridad manual de los datos de migración de estado de usuario en el punto de migración de estado
Configuration Manager Backup no incluye los datos de migración de estado de usuario en la copia de seguridad del sitio.
Implementación de controles de acceso para proteger los medios preconfigurados
Controle el acceso físico a los medios para evitar que un atacante use ataques criptográficos para obtener el certificado de autenticación de cliente y los datos confidenciales.
Implementación de controles de acceso para proteger el proceso de creación de imágenes de equipo de referencia
Asegúrese de que el equipo de referencia que usa para capturar imágenes del sistema operativo se encuentra en un entorno seguro. Use los controles de acceso adecuados para que el software inesperado o malintencionado no pueda instalarse e incluirse involuntariamente en la imagen capturada. Al capturar la imagen, asegúrese de que la ubicación de red de destino es segura. Este proceso ayuda a asegurarse de que la imagen no se puede alterar después de capturarla.
Instale siempre las actualizaciones de seguridad más recientes en el equipo de referencia.
Cuando el equipo de referencia tiene actualizaciones de seguridad actuales, ayuda a reducir la ventana de vulnerabilidad de los nuevos equipos cuando se inician por primera vez.
Implementación de controles de acceso al implementar un sistema operativo en un equipo desconocido
Si debe implementar un sistema operativo en un equipo desconocido, implemente controles de acceso para evitar que los equipos no autorizados se conecten a la red.
El aprovisionamiento de equipos desconocidos proporciona un método cómodo para implementar nuevos equipos a petición. Pero también puede permitir que un atacante se convierta de forma eficaz en un cliente de confianza en la red. Restrinja el acceso físico a la red y supervise los clientes para detectar equipos no autorizados.
Los equipos que responden a una implementación del sistema operativo iniciado por PXE pueden tener todos los datos destruidos durante el proceso. Este comportamiento podría dar lugar a una pérdida de disponibilidad de los sistemas que se reformatean involuntariamente.
Habilitación del cifrado para paquetes de multidifusión
Para cada paquete de implementación del sistema operativo, puede habilitar el cifrado cuando Configuration Manager transfiere el paquete mediante multidifusión. Esta configuración ayuda a evitar que los equipos no autorizados se unan a la sesión de multidifusión. También ayuda a evitar que los atacantes manipulen la transmisión.
Supervisión de puntos de distribución habilitados para multidifusión no autorizados
Si los atacantes pueden obtener acceso a la red, pueden configurar servidores de multidifusión no autorizados para suplantar la implementación del sistema operativo.
Al exportar secuencias de tareas a una ubicación de red, proteja la ubicación y proteja el canal de red.
Restringir quién puede acceder a la carpeta de red.
Use la firma SMB o IPsec entre la ubicación de red y el servidor de sitio para evitar que un atacante manipule la secuencia de tareas exportada.
Si usa la ejecución de secuencia de tareas como cuenta, tome precauciones de seguridad adicionales.
Si usa la ejecución de secuencia de tareas como cuenta, siga estos pasos de precaución:
Use una cuenta con los permisos mínimos posibles.
No use la cuenta de acceso de red para esta cuenta.
Nunca convierta la cuenta en administrador de dominio.
Nunca configure perfiles móviles para esta cuenta. Cuando se ejecuta la secuencia de tareas, descarga el perfil móvil de la cuenta, lo que hace que el perfil sea vulnerable al acceso en el equipo local.
Limite el ámbito de la cuenta. Por ejemplo, cree diferentes ejecuciones de secuencia de tareas como cuentas para cada secuencia de tareas. Si una cuenta está en peligro, solo se ponen en peligro los equipos cliente a los que esa cuenta tiene acceso. Si la línea de comandos requiere acceso administrativo en el equipo, considere la posibilidad de crear una cuenta de administrador local únicamente para la secuencia de tareas que se ejecuta como cuenta. Cree esta cuenta local en todos los equipos que ejecutan la secuencia de tareas y elimine la cuenta en cuanto ya no sea necesaria.
Restricción y supervisión de los usuarios administrativos a los que se concede el rol de seguridad administrador de implementación del sistema operativo
Los usuarios administrativos a los que se concede el rol de seguridad administrador de implementación del sistema operativo pueden crear certificados autofirmados. A continuación, estos certificados se pueden usar para suplantar a un cliente y obtener la directiva de cliente de Configuration Manager.
Uso de HTTP mejorado para reducir la necesidad de una cuenta de acceso a la red
A partir de la versión 1806, al habilitar HTTP mejorado, varios escenarios de implementación del sistema operativo no requieren una cuenta de acceso de red para descargar contenido desde un punto de distribución. Para obtener más información, consulte Secuencias de tareas y la cuenta de acceso de red.
Problemas de seguridad para la implementación del sistema operativo
Aunque la implementación del sistema operativo puede ser una manera cómoda de implementar los sistemas operativos y configuraciones más seguros para los equipos de la red, tiene los siguientes riesgos de seguridad:
Divulgación de información y denegación de servicio
Si un atacante puede obtener el control de la infraestructura de Configuration Manager, podría ejecutar cualquier secuencia de tareas. Este proceso puede incluir el formato de las unidades de disco duro de todos los equipos cliente. Las secuencias de tareas se pueden configurar para contener información confidencial, como cuentas que tienen permisos para unirse a las claves de licencias por volumen y dominio.
Suplantación y elevación de privilegios
Las secuencias de tareas pueden unir un equipo a un dominio, lo que puede proporcionar a un equipo no autorizado acceso a la red autenticado.
Proteja el certificado de autenticación de cliente que se usa para los medios de secuencia de tareas de arranque y para la implementación de arranque PXE. Al capturar un certificado de autenticación de cliente, este proceso ofrece a un atacante la oportunidad de obtener la clave privada en el certificado. Este certificado les permite suplantar a un cliente válido en la red. En este escenario, el equipo no autorizado puede descargar la directiva, que puede contener datos confidenciales.
Si los clientes usan la cuenta de acceso de red para acceder a los datos almacenados en el punto de migración de estado, estos clientes comparten eficazmente la misma identidad. Podrían acceder a los datos de migración de estado desde otro cliente que use la cuenta de acceso de red. Los datos se cifran para que solo el cliente original pueda leerlos, pero los datos se podrían manipular o eliminar.
La autenticación de cliente al punto de migración de estado se logra mediante un token de Configuration Manager emitido por el punto de administración.
Configuration Manager no limita ni administra la cantidad de datos almacenados en el punto de migración de estado. Un atacante podría llenar el espacio disponible en disco y provocar una denegación de servicio.
Si usa variables de recopilación, los administradores locales pueden leer información potencialmente confidencial.
Aunque las variables de recopilación ofrecen un método flexible para implementar sistemas operativos, esta característica podría dar lugar a la divulgación de información.
Información de privacidad para la implementación del sistema operativo
Además de implementar un sistema operativo en equipos sin uno, Configuration Manager se pueden usar para migrar los archivos y la configuración de los usuarios de un equipo a otro. El administrador configura la información que se va a transferir, incluidos los archivos de datos personales, la configuración y las cookies del explorador.
Configuration Manager almacena la información sobre un punto de migración de estado y la cifra durante la transmisión y el almacenamiento. Solo el nuevo equipo asociado a la información de estado puede recuperar la información almacenada. Si el nuevo equipo pierde la clave para recuperar la información, un administrador de Configuration Manager con el derecho Ver información de recuperación en los objetos de instancia de asociación de equipo puede acceder a la información y asociarla a un equipo nuevo. Una vez que el nuevo equipo restaura la información de estado, elimina los datos después de un día de forma predeterminada. Puede configurar cuándo el punto de migración de estado quita los datos marcados para su eliminación. Configuration Manager no almacena la información de migración de estado en la base de datos del sitio y no la envía a Microsoft.
Si usa medios de arranque para implementar imágenes del sistema operativo, use siempre la opción predeterminada para proteger con contraseña el medio de arranque. La contraseña cifra las variables almacenadas en la secuencia de tareas, pero cualquier información no almacenada en una variable podría ser vulnerable a la divulgación.
La implementación del sistema operativo puede usar secuencias de tareas para realizar muchas tareas diferentes durante el proceso de implementación, lo que incluye la instalación de aplicaciones y actualizaciones de software. Al configurar secuencias de tareas, también debe tener en cuenta las implicaciones de privacidad de la instalación de software.
Configuration Manager no implementa la implementación del sistema operativo de forma predeterminada. Requiere varios pasos de configuración antes de recopilar información de estado de usuario o crear secuencias de tareas o imágenes de arranque.
Antes de configurar la implementación del sistema operativo, tenga en cuenta los requisitos de privacidad.
Vea también
Seguridad y privacidad para el Administrador de configuración