Megosztás a következőn keresztül:


Biztonság és adatvédelem a sávon kívüli felügyelet a Configuration Manager

 

Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Ez a témakör biztonság és adatvédelem a sávon kívüli felügyelet a System Center 2012 Configuration Manager.

Biztonsági gyakorlati tanácsok sávon kívüli felügyelet

A következő biztonsági gyakorlati tanácsok használja a sávon kívüli, Intel AMT-alapú számítógépek kezelése során.

Bevált biztonsági gyakorlat

További információ

Átlagos testreszabott belső vezérlőprogram, Intel AMT-alapú számítógépek beszerzése előtt.

Sávon kívüli kezelhető számítógépben BIOS-bővítmények beállíthatja a testre szabott értékek biztonsági jelentősen növekszik, ha ezek a számítógépek vannak a hálózaton.Ellenőrizze, hogy mely BIOS-kiterjesztés beállítások érhetők el a számítógép gyártója, és adja meg azokat az értékeket.További információ: Határozza meg, hogy a számítógép gyártója testreszabott belső vezérlőprogram kép használata.

Ha a AMT-alapú számítógépek nem rendelkezik a belső vezérlőprogram értékeket, amelyet használni kíván, lehet manuális megadása.Kézi konfigurálása a BIOS-bővítmények kapcsolatos további tudnivalókért tekintse meg az Intel dokumentáció vagy a dokumentációban a számítógép gyártója.További tudnivalókért tekintse meg a Intel vPro szakértő Center: Microsoft vPro kezeléssel.Növelje a biztonságot a következő lehetőségek testreszabása:

  • Cserélje ki az összes tanúsítvány ujjlenyomatok külső hitelesítésszolgáltatók (CA) a saját belső Hitelesítésszolgáltatói tanúsítvány ujjlenyomata.Ez megakadályozza, hogy engedélyezetlen létesítési kiszolgálók tett kísérlet során a AMT-alapú számítógépek kiépítése, és hogy megvásárolja a létesítési tanúsítványokat a külső hitelesítésszolgáltatók nem rendelkezik.

  • Egyéni jelszó használata a MEBx fiók, hogy az alapértelmezett érték a admin nem használatos.Adja meg ezt a jelszót egy AMT telepítéséhez és a felderítés fiók Configuration Manager.Ez megakadályozza, hogy engedélyezetlen létesítési kiszolgálók tett kísérlet során a AMT-alapú számítógépek, az ismert alapértelmezett jelszóval kiépíteni.

A vezérlő a kérés és a létesítési tanúsítvány telepítését.

Létesítési tanúsítványt kérelmezni közvetlenül a ellátó kiszolgáló segítségével a számítógép biztonsági környezet, úgy, hogy a tanúsítvány telepítve van, közvetlenül a helyi számítógép tárolóba.Ha a tanúsítványt kérelmezni kell egy másik számítógépre, akkor a titkos kulcs exportálását, és a további biztonsági vezérlők átvitele, és importálja a tanúsítványt a tanúsítványtárolójába.

Győződjön meg arról, hogy új létesítési tanúsítvány kérése, a meglévő tanúsítvány lejárata előtt.

Lejárt AMT konfigurálási tanúsítvány létesítési hiba eredményez.A létesítési tanúsítványt használ egy külső hitelesítésszolgáltató, ha lehetővé teszi a megújítási folyamat befejezéséhez, és konfigurálja újra a sávon kívüli felügyeleti pontot ki további időt.

Dedikált tanúsítványsablon használata AMT-alapú számítógépek kiépítése.

Ha Ön egy Windows Server Enterprise verziója a vállalati hitelesítésszolgáltató, hozzon létre egy új tanúsítványsablon alapértelmezett webkiszolgáló tanúsítványsablon másolásával győződjön meg arról, hogy rendelkezik-e olvasási és igénylési engedélyek, csak a biztonsági csoport, amely az elévült sávon felügyeleti összetevő-tulajdonságaiban megadott használja, és ne adjon hozzá további lehetőségeket server-hitelesítés az alapértelmezett.

Dedikált tanúsítványsablon lehetővé teszi, hogy jobban kezelését, és hozzáférést jogosultság megszerzését elkerülése érdekében.Ha a Windows Server Standard verziója van a vállalati hitelesítésszolgáltató, ismétlődő tanúsítványsablon nem hozható létre.Ebben az esetben hozzá kell adnia olvasható és a biztonsági csoport, az elévült sávon felügyeleti összetevő-tulajdonságaiban megadott engedélyeket beléptetéséhez és bármely nem igénylő engedély eltávolítása.

AMT power, parancsok ébresztési csomagok helyett használja.

Bár mindkét megoldások támogatja, a szoftver telepítése számítógépek állapotból, a parancsok AMT power biztonságosabbak, mint ébresztési csomagok átvitelére, mert biztosítják a hitelesítési és titkosítási normál iparág biztonsági protokollok használatával.AMT power használatával parancsok a sávon kívüli felügyelet Ez a megoldás integrálhatja egy meglévő nyilvános kulcs infrastruktúra (PKI) központi, és a biztonsági vezérlők egymástól függetlenül a termék kezelhető.További tudnivalókért tekintse meg a "Tervezési hogyan való ébresztés felfelé ügyfelek" részben Az ügyfél-kommunikáció tervezése a Configuration Manager alkalmazásban.

A belső vezérlőprogram AMT letiltása, ha a számítógép nem támogatott a sávon kívüli felügyelet.

Akkor is, ha az AMT-alapú számítógépek AMT támogatott verziója, a vannak az egyes forgatókönyvek sávon kívüli felügyelet nem támogatja.Ezek az esetek munkacsoport számítógépek, a számítógépek, amelyek egy másik névtér és a különálló névtér rendelkező számítógépek.

Gondoskodjon arról, hogy ezek a AMT-alapú számítógépek Active Directory tartományi szolgáltatások közzétéve, és azokat a kért PKI tanúsítvány nem rendelkezik, tiltsa le a belső vezérlőprogram AMT.AMT telepítéséhez a Configuration Manager hoz létre a tartományi hitelesítő adatok az Active Directory tartományi szolgáltatások, amely kockázatok jogosultság megszerzését, amikor a számítógépek nem szerepelnek az Active Directory-erdőt közzé fiókokhoz.

Egy dedikált OU segítségével AMT-alapú számítógép fiókok közzétenni.

Ne használjon egy létező tároló vagy a szervezeti egység (OU) közzététele az AMT telepítéséhez során létrehozott Active Directory-fiókok.Egy külön OU megadásával engedélyezhető a kezelése, és ezek a fiókok jobban vezérlő és az biztosítja, hogy Helykiszolgálók, és ezek a fiókok nem kapnak, mint a szükséges további engedélyek.

Lehetővé teszi a webhely-számítógép fiókok írási engedéllyel a szervezeti Egységet, a tartományi számítógépek csoportot és minden tartományban, amely tartalmazza az AMT-alapú számítógépek a tartományi Vendég csoport.

Mellett, amely lehetővé teszi a helykiszolgáló számítógép fiókok gyermekobjektumok létrehozása és Gyermekobjektumok törlése a szervezeti Egységet engedélyeinek és alkalmazása csak ezt az objektumot, a következő engedélyek a helykiszolgáló számítógép fiókok:

  • A szervezeti egység: Az összes tulajdonság írása engedély vonatkozik, és ezt az objektumot, és a gyermekobjektumok.

  • A tartományi számítógépek csoport: Az összes tulajdonság írása engedély vonatkozik, és csak ezt az objektumot.

  • A tartományi Vendég csoport: Az összes tulajdonság írása engedélyek és alkalmazása csak ezt az objektumot.

Az AMT telepítéséhez használja a dedikált gyűjteménye.

Ne használjon egy létező gyűjteményt, amely tartalmazza a további számítógépeket kiépíteni a Hátralék kívánt, mintEhelyett a AMT állapotának használatával hozzon létre egy lekérdezésen alapuló gyűjtemény nem létesített.

További információ az AMT-állapot és hogyan kell a lekérdezést nem létesített, lásd: Az AMT állapotáról, és a sávon kívüli felügyelet a Configuration Manager ki.

És képfájlok biztonságosan tároljuk, a IDE átirányítás függvény használatát alternatív adathordozón való rendszerindítás során.

Elindításakor alternatív adathordozón a funkcióval IDE átirányítás, ha lehetséges, a kép fájlokat helyileg a kimenő sávon management Console futtató számítógép tárolja.Ha azokat a hálózaton kell tárolni, biztosíthatja, hogy a kapcsolatok a fájlok beolvasni a hálózaton keresztül SMB-aláírás a fájlokat, a tartalom a hálózati átvitel során elkerülése érdekében.Mindkét esetben biztonságos NTFS-engedélyek és a titkosított fájlrendszer használatával a jogosulatlan hozzáférést, például elkerülése érdekében a tárolt fájlokat.

És AMT naplófájlok biztonságosan tároljuk.

AMT menti a naplófájlokat, ha lehetséges, hogy helyileg a számítógépen, hogy fut-e a kimenő sávon management Console fájlok tárolásához.Ha azokat a hálózaton kell tárolni, biztosíthatja, hogy a kapcsolatok a fájlok beolvasni a hálózaton keresztül SMB-aláírás a fájlokat, a tartalom a hálózati átvitel során elkerülése érdekében.Mindkét esetben biztonságos NTFS-engedélyek és a titkosított fájlrendszer használatával a jogosulatlan hozzáférést, például elkerülése érdekében a tárolt fájlokat.

AMT telepítéséhez és felderítési fiókok számának csökkentése érdekében.

Bár több AMT telepítéséhez és felderítési fiókok megadhatja, hogy Configuration Manager AMT-felügyeleti vezérlőket és oszthatnak ki azokat a sávon kívüli felügyelet, nem adja meg, amelyek nem jelenleg szükséges fiókok és törlése, amelyek már nem szükséges fiókok számítógépek felderíthetik.Adja meg, csak a érdekében, hogy ezek a fiókok nem kapnak, mint a szükséges további engedélyek, és csökkentheti a szükségtelen hálózati forgalmat, és a feldolgozáshoz igénylő fiókokat.Az AMT telepítéséhez és felderítési fiók további tájékoztatásért lásd: 5. lépés: A kimenő sávon felügyeleti összetevő konfigurálása.

A szolgáltatás folytonosságot adja meg a felhasználói fiók AMT kiépítés eltávolítása fiókként, és győződjön meg arról, hogy ezt a felhasználói fiókot is meg van adva, AMT felhasználói fiókkal.

Az AMT kiépítés eltávolítása fiók biztosítja szolgáltatási folytonosság Ha vissza kell állítania a Configuration Manager hely.Után a hely visszaállításához kérelem és egy új AMT konfigurálási tanúsítvány konfigurálása, használja a AMT telepítéséhez és az eltávolítási fiók konfigurálási adatainak eltávolítása AMT-alapú számítógépek és majd reprovision a számítógépeket.

Előfordulhat, hogy is tudnak ezt a fiókot használja, ha az AMT-alapú számítógépek rendelték egy másik webhelyről, és a konfigurálási adatainak eltávolítása nem történt meg.

További tudnivalók az AMT kiépítési információk eltávolításáról: AMT-adatok eltávolítása.

A tanúsítványnak sablont használ az ügyfél-hitelesítési tanúsítványok amikor gyakorlati.

Bár megadhatja a különböző tanúsítványsablonok mindegyikéhez a vezeték nélküli profilok, egyetlen sablon tanúsítvány, kivéve, ha használható a különböző vezeték nélküli hálózat különböző beállítások üzleti követelmény használata adja meg a csak ügyfél-hitelesítési lehetőséget-e, és a tanúsítványsablon való használatra forrásfájloktól Configuration Manager sávon kívüli felügyelet.Például ha egy vezeték nélküli hálózati szükséges egy újabb kulcsméret vagy rövidebb érvényességi, mint egy másik, akkor kellene külön tanúsítványsablon létrehozása.Egyetlen tanúsítványsablon lehetővé teszi, hogy könnyebben használatának szabályozhatja, és ellen jogosultság megszerzését megóvja.

Ellenőrizze, hogy csak a meghatalmazott rendszergazda felhasználók hajtsa végre a műveletek naplózása AMT, és szükség szerint az AMT naplófájlok kezelése.

AMT verziójától függően Configuration Manager Előfordulhat, hogy állítsa le a írás új bejegyzéseket az AMT-audit napló, ha szinte teljes, vagy felülírhatja a régi bejegyzéseket.Gondoskodjon arról, hogy új bejegyzések kerülnek, és nem írja felül régi bejegyzéseket, rendszeresen törölje a jelet a napló, ha szükséges, és mentse a naplóbejegyzéseket.A naplófájl és a tevékenységek naplózás figyelő kezelése további tájékoztatásért lásd: A napló kezelése AMT-alapú számítógépek a Configuration Manager.

Legalább jogosultságokkal, és a szerepköralapú felügyelet elve segítségével a rendszergazda felhasználók engedélyeket, AMT-alapú számítógépek sávon kívüli kezelésére.

Használja a távoli eszközök operátor felügyeleti felhasználóknak engedélyt a vezérlő AMT, amely lehetővé teszi őket, megtekintése és kezelése a számítógépek a kimenő sávon management Console segítségével, és elindíthatja a power vezérlő műveleteket a biztonsági szerepkör a Configuration Manager konzolt.

További információ a biztonsági engedélyeket, előfordulhat, hogy igénylő AMT-alapú számítógépek felügyeletére, tekintse meg a "Configuration Manager függőségek" részben Sávon kívüli felügyelet a Configuration Manager előfeltételei.

Biztonsági problémák léptek fel a sávon kívüli felügyelet

AMT-alapú számítógépek sávon kívüli kezelése, tartalmaz a következő biztonsági problémák:

  • A támadó hamis előfordulhat, hogy a létesítési kérelem, és az Active Directory-fiók létrehozását eredményezi.A figyelő a szervezeti Egységet, ahol az AMT-fiókok jönnek létre, és győződjön meg arról, hogy csak a várt fiókok be jönnek létre.

  • A sávon kívüli szolgáltatási pontot a visszavont tanúsítványok listáját (visszavont tanúsítványok Listájának) közzé van-e az interneten, ellenőrizze a kimenő webes proxy hozzáférést nem konfigurálható.Ha engedélyezi a visszavont tanúsítványok Listájának ellenőrzése a AMT konfigurálási tanúsítvány, és a visszavont tanúsítványok Listájának nem érhető el, a sávon kívüli szolgáltatási pontot a kimenő nem nem az rendelkezés AMT-alapú számítógépek.

  • Arra, hogy letiltsa az automatikus AMT telepítéséhez a tárolja a Configuration Manager ügyfél és a nem a HátralékEz azt jelenti, hogy az AMT-alapú számítógép továbbra is kiépítése.Például a Configuration Manager ügyfél előfordulhat, hogy el kell távolítani, vagy a számítógép lehetséges, hogy létesített, egy másik felügyeleti termék alapján.

  • Annak ellenére, hogy az Automatikus kiépítés AMT-alapú számítógép letiltása a beállítást választja, a sávon kívüli szolgáltatási pontot a kimenő az adott számítógépen létesítési kérelem fogad el.

Adatbiztonsági információkat a sávon kívüli felügyelet

A kimenő sávon management Console kezeli a számítógépek, amelyek az Intel vPro chip beállítása és Intel aktív felügyeleti Technology (Intel AMT), amelynek belső vezérlőprogram verziója által támogatott Configuration Manager.Configuration Manager ideiglenesen adatokat gyűjt a számítógép konfigurációja és a beállítások, például a számítógép neve, az IP-cím és a MAC-cím.Információ a felügyelt számítógép és a kimenő sávon management Console között kerül át a titkosított csatornát használatával.Alapértelmezés szerint ez a funkció nincs engedélyezve, és általában nem információ után is megmarad a felügyeleti munkamenet befejeződik.Ha engedélyezi az AMT-naplózás, naplózási adatok mentheti a fájl tartalmazza az IP-címe a kezelt AMT-alapú számítógép és a tartomány- és a felhasználói fiók, amely a felügyeleti műveletet végrehajtani a rögzített dátum és idő.Ezt az információt nem küld a Microsoftnak.

Lehetősége van ahhoz, hogy Configuration Manager felügyeleti vezérlőkkel, a kimenő sávon felügyeleti konzol által kezelt számítógépek felderítésére.A felderítés a kezelhető számítógépek rekordot hoz létre, és a adatbázisában tárolja őket.Az adatfelderítési rekordok számítógép adatokat tartalmazhatnak, például az IP cím, az operációs rendszer és a számítógép neve.Alapértelmezés szerint nincs engedélyezve a felügyeleti tartományvezérlők felderítése.A program nem küld felderítési adatokat a Microsoftnak.Felderítési adatokat a hely adatbázisában tárolja.Információ megmarad az adatbázisban, amíg a hely karbantartási feladatot idősebb felderítési adatok törlése törli a intervallumokban minden 90 nap.Beállíthatja a törlési időközt.

Sávon kívüli felügyelet konfigurálása előtt fontolja meg az adatvédelmi követelményeivel.