Sicurezza e privacy per la distribuzione del sistema operativo in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Questo articolo contiene informazioni sulla sicurezza e sulla privacy per la funzionalità di distribuzione del sistema operativo in Configuration Manager.
Procedure consigliate per la sicurezza per la distribuzione del sistema operativo
Usare le procedure consigliate di sicurezza seguenti per quando si distribuiscono sistemi operativi con Configuration Manager:
Implementare controlli di accesso per proteggere i supporti di avvio
Quando si crea un supporto di avvio, assegnare sempre una password per proteggere il supporto. Anche con una password, crittografa solo i file che contengono informazioni riservate e tutti i file possono essere sovrascritti.
Controllare l'accesso fisico ai supporti per impedire a un utente malintenzionato di usare attacchi crittografici per ottenere il certificato di autenticazione client.
Per impedire a un client di installare contenuto o criteri client manomessi, il contenuto viene con hash e deve essere usato con i criteri originali. Se l'hash del contenuto ha esito negativo o se il contenuto corrisponde ai criteri, il client non userà il supporto di avvio. Viene eseguito l'hashing solo del contenuto. Il criterio non è hash, ma viene crittografato e protetto quando si specifica una password. Questo comportamento rende più difficile per un utente malintenzionato modificare correttamente i criteri.
Usare una posizione sicura quando si creano supporti per le immagini del sistema operativo
Se gli utenti non autorizzati hanno accesso alla posizione, possono manomettere i file creati. Possono anche usare tutto lo spazio su disco disponibile in modo che la creazione del supporto non riesca.
Proteggere i file del certificato
Proteggere i file di certificato (con estensione pfx) con una password complessa. Se li si archivia in rete, proteggere il canale di rete quando li si importa in Configuration Manager
Quando è necessaria una password per importare il certificato di autenticazione client usato per i supporti di avvio, questa configurazione consente di proteggere il certificato da un utente malintenzionato.
Usare la firma SMB o IPsec tra il percorso di rete e il server del sito per impedire a un utente malintenzionato di manomettere il file del certificato.
Bloccare o revocare eventuali certificati compromessi
Se il certificato client è compromesso, bloccare il certificato da Configuration Manager. Se si tratta di un certificato PKI, revocarlo.
Per distribuire un sistema operativo usando supporti di avvio e avvio PXE, è necessario disporre di un certificato di autenticazione client con una chiave privata. Se il certificato è compromesso, bloccare il certificato nel nodo Certificati nell'area di lavoro Amministrazione , nodo Sicurezza .
Proteggere il canale di comunicazione tra il server del sito e il provider SMS
Quando il provider SMS è remoto dal server del sito, proteggere il canale di comunicazione per proteggere le immagini di avvio.
Quando si modificano le immagini di avvio e il provider SMS è in esecuzione in un server che non è il server del sito, le immagini di avvio sono vulnerabili agli attacchi. Proteggere il canale di rete tra questi computer usando la firma SMB o IPsec.
Abilitare i punti di distribuzione per la comunicazione client PXE solo nei segmenti di rete protetti
Quando un client invia una richiesta di avvio PXE, non è possibile assicurarsi che la richiesta sia eseguita da un punto di distribuzione valido abilitato per PXE. Questo scenario presenta i rischi di sicurezza seguenti:
Un punto di distribuzione non autorizzato che risponde alle richieste PXE potrebbe fornire un'immagine manomessa ai client.
Un utente malintenzionato potrebbe avviare un attacco man-in-the-middle contro il protocollo TFTP usato da PXE. Questo attacco potrebbe inviare codice dannoso con i file del sistema operativo. L'utente malintenzionato potrebbe anche creare un client non autorizzato per effettuare richieste TFTP direttamente al punto di distribuzione.
Un utente malintenzionato potrebbe usare un client dannoso per avviare un attacco Denial of Service contro il punto di distribuzione.
Usare la difesa approfondita per proteggere i segmenti di rete in cui i client accedono ai punti di distribuzione abilitati per PXE.
Avviso
A causa di questi rischi per la sicurezza, non abilitare un punto di distribuzione per la comunicazione PXE quando si tratta di una rete non attendibile, ad esempio una rete perimetrale.
Configurare i punti di distribuzione abilitati per PXE per rispondere alle richieste PXE solo nelle interfacce di rete specificate
Se si consente al punto di distribuzione di rispondere alle richieste PXE in tutte le interfacce di rete, questa configurazione potrebbe esporre il servizio PXE a reti non attendibili
Richiedere una password per l'avvio PXE
Quando è necessaria una password per l'avvio PXE, questa configurazione aggiunge un ulteriore livello di sicurezza al processo di avvio PXE. Questa configurazione consente di proteggersi dai client non autorizzati che si uniscono alla gerarchia Configuration Manager.
Limitare il contenuto nelle immagini del sistema operativo usate per l'avvio PXE o il multicast
Non includere applicazioni line-of-business o software che contengono dati sensibili in un'immagine usata per l'avvio PXE o multicast.
A causa dei rischi di sicurezza intrinseci associati all'avvio PXE e al multicast, ridurre i rischi se un computer non autorizzato scarica l'immagine del sistema operativo.
Limitare il contenuto installato dalle variabili della sequenza di attività
Non includere applicazioni line-of-business o software che contengono dati sensibili nei pacchetti di applicazioni installate usando variabili delle sequenze di attività.
Quando si distribuisce il software usando le variabili delle sequenze di attività, potrebbe essere installato nei computer e agli utenti che non sono autorizzati a ricevere tale software.
Proteggere il canale di rete durante la migrazione dello stato utente
Quando si esegue la migrazione dello stato utente, proteggere il canale di rete tra il client e il punto di migrazione dello stato usando la firma SMB o IPsec.
Dopo la connessione iniziale tramite HTTP, i dati di migrazione dello stato utente vengono trasferiti tramite SMB. Se non si protegge il canale di rete, un utente malintenzionato può leggere e modificare questi dati.
Usare la versione più recente di USMT
Usare la versione più recente dello strumento USMT (User State Migration Tool) supportata Configuration Manager.
La versione più recente di USMT offre miglioramenti della sicurezza e un maggiore controllo per quando si esegue la migrazione dei dati sullo stato utente.
Eliminare manualmente le cartelle nei punti di migrazione dello stato quando vengono rimosse
Quando si rimuove una cartella del punto di migrazione dello stato nella console Configuration Manager nelle proprietà del punto di migrazione dello stato, il sito non elimina la cartella fisica. Per proteggere i dati di migrazione dello stato utente dalla divulgazione di informazioni, rimuovere manualmente la condivisione di rete ed eliminare la cartella.
Non configurare i criteri di eliminazione per eliminare immediatamente lo stato utente
Se si configurano i criteri di eliminazione nel punto di migrazione dello stato per rimuovere immediatamente i dati contrassegnati per l'eliminazione e se un utente malintenzionato riesce a recuperare i dati sullo stato utente prima del computer valido, il sito elimina immediatamente i dati sullo stato utente. Impostare l'opzione Elimina dopo l'intervallo in modo che sia sufficientemente lunga da verificare il corretto ripristino dei dati sullo stato utente.
Eliminare manualmente le associazioni di computer
Eliminare manualmente le associazioni di computer quando il ripristino dei dati di migrazione dello stato utente viene completato e verificato.
Configuration Manager non rimuove automaticamente le associazioni di computer. Proteggere l'identità dei dati sullo stato utente eliminando manualmente le associazioni di computer che non sono più necessarie.
Eseguire manualmente il backup dei dati di migrazione dello stato utente nel punto di migrazione dello stato
Configuration Manager Backup non include i dati di migrazione dello stato utente nel backup del sito.
Implementare controlli di accesso per proteggere i supporti pre-installati
Controllare l'accesso fisico ai supporti per impedire a un utente malintenzionato di usare attacchi crittografici per ottenere il certificato di autenticazione client e i dati sensibili.
Implementare controlli di accesso per proteggere il processo di creazione di immagini del computer di riferimento
Assicurarsi che il computer di riferimento usato per acquisire immagini del sistema operativo si trova in un ambiente sicuro. Usare i controlli di accesso appropriati in modo che il software imprevisto o dannoso non possa essere installato e inavvertitamente incluso nell'immagine acquisita. Quando si acquisisce l'immagine, assicurarsi che il percorso di rete di destinazione sia sicuro. Questo processo consente di assicurarsi che l'immagine non possa essere manomessa dopo l'acquisizione.
Installare sempre gli aggiornamenti della sicurezza più recenti nel computer di riferimento
Quando il computer di riferimento dispone di aggiornamenti della sicurezza correnti, consente di ridurre la finestra di vulnerabilità per i nuovi computer alla prima avvio.
Implementare i controlli di accesso durante la distribuzione di un sistema operativo in un computer sconosciuto
Se è necessario distribuire un sistema operativo in un computer sconosciuto, implementare i controlli di accesso per impedire la connessione di computer non autorizzati alla rete.
Il provisioning di computer sconosciuti offre un metodo pratico per distribuire nuovi computer su richiesta. Ma può anche consentire a un utente malintenzionato di diventare in modo efficiente un client attendibile nella rete. Limitare l'accesso fisico alla rete e monitorare i client per rilevare computer non autorizzati.
I computer che rispondono a una distribuzione del sistema operativo avviata da PXE potrebbero avere tutti i dati distrutti durante il processo. Questo comportamento potrebbe comportare una perdita di disponibilità dei sistemi riformattati inavvertitamente.
Abilitare la crittografia per i pacchetti multicast
Per ogni pacchetto di distribuzione del sistema operativo, è possibile abilitare la crittografia quando Configuration Manager trasferisce il pacchetto tramite multicast. Questa configurazione consente di impedire ai computer non autorizzati di partecipare alla sessione multicast. Consente inoltre di impedire agli utenti malintenzionati di manomettere la trasmissione.
Monitorare la ricerca di punti di distribuzione abilitati per multicast non autorizzati
Se gli utenti malintenzionati possono accedere alla rete, possono configurare server multicast non autorizzati per lo spoofing della distribuzione del sistema operativo.
Quando si esportano sequenze di attività in un percorso di rete, proteggere la posizione e proteggere il canale di rete
Limitare gli utenti che possono accedere alla cartella di rete.
Usare la firma SMB o IPsec tra il percorso di rete e il server del sito per impedire a un utente malintenzionato di manomettere la sequenza di attività esportata.
Se si usa la sequenza di attività eseguita come account, prendere ulteriori precauzioni di sicurezza
Se si usa la sequenza di attività eseguita come account, seguire questa procedura precauzionale:
Usare un account con le autorizzazioni meno possibili.
Non usare l'account di accesso alla rete per questo account.
Non rendere mai l'account un amministratore di dominio.
Non configurare mai i profili mobili per questo account. Quando viene eseguita la sequenza di attività, scarica il profilo di roaming per l'account, che lascia il profilo vulnerabile all'accesso nel computer locale.
Limitare l'ambito dell'account. Ad esempio, creare sequenze di attività diverse eseguite come account per ogni sequenza di attività. Se un account viene compromesso, vengono compromessi solo i computer client a cui l'account ha accesso. Se la riga di comando richiede l'accesso amministrativo nel computer, è consigliabile creare un account amministratore locale esclusivamente per la sequenza di attività eseguita come account. Creare questo account locale in tutti i computer che eseguono la sequenza di attività ed eliminare l'account non appena non è più necessario.
Limitare e monitorare gli utenti amministratori a cui viene concesso il ruolo di sicurezza del gestore della distribuzione del sistema operativo
Gli utenti amministratori a cui viene concesso il ruolo di sicurezza del gestore della distribuzione del sistema operativo possono creare certificati autofirmati. Questi certificati possono quindi essere usati per rappresentare un client e ottenere i criteri client da Configuration Manager.
Usare HTTP avanzato per ridurre la necessità di un account di accesso alla rete
A partire dalla versione 1806, quando si abilita HTTP avanzato, diversi scenari di distribuzione del sistema operativo non richiedono un account di accesso alla rete per scaricare il contenuto da un punto di distribuzione. Per altre informazioni, vedere Sequenze di attività e l'account di accesso alla rete.
Problemi di sicurezza per la distribuzione del sistema operativo
Anche se la distribuzione del sistema operativo può essere un modo pratico per distribuire i sistemi operativi e le configurazioni più sicuri per i computer nella rete, presenta i rischi di sicurezza seguenti:
Divulgazione di informazioni e denial of service
Se un utente malintenzionato può ottenere il controllo dell'infrastruttura Configuration Manager, può eseguire qualsiasi sequenza di attività. Questo processo può includere la formattazione dei dischi rigidi di tutti i computer client. Le sequenze di attività possono essere configurate in modo da contenere informazioni riservate, ad esempio account con autorizzazioni per l'aggiunta alle chiavi di dominio e contratti multilicenza.
Rappresentazione e elevazione dei privilegi
Le sequenze di attività possono aggiungere un computer al dominio, che può fornire a un computer non autorizzato l'accesso di rete autenticato.
Proteggere il certificato di autenticazione client usato per i supporti della sequenza di attività di avvio e per la distribuzione di avvio PXE. Quando si acquisisce un certificato di autenticazione client, questo processo offre a un utente malintenzionato l'opportunità di ottenere la chiave privata nel certificato. Questo certificato consente loro di rappresentare un client valido nella rete. In questo scenario, il computer non autorizzato può scaricare i criteri, che possono contenere dati sensibili.
Se i client usano l'account di accesso alla rete per accedere ai dati archiviati nel punto di migrazione dello stato, questi client condividono in modo efficace la stessa identità. È possibile accedere ai dati di migrazione dello stato da un altro client che usa l'account di accesso alla rete. I dati vengono crittografati in modo che solo il client originale possa leggerli, ma i dati potrebbero essere manomessi o eliminati.
L'autenticazione client al punto di migrazione dello stato viene eseguita usando un token di Configuration Manager emesso dal punto di gestione.
Configuration Manager non limita né gestisce la quantità di dati archiviati nel punto di migrazione dello stato. Un utente malintenzionato potrebbe riempire lo spazio disponibile su disco e causare un attacco Denial of Service.
Se si usano variabili di raccolta, gli amministratori locali possono leggere informazioni potenzialmente sensibili
Sebbene le variabili di raccolta offrano un metodo flessibile per distribuire i sistemi operativi, questa funzionalità potrebbe comportare la divulgazione di informazioni.
Informazioni sulla privacy per la distribuzione del sistema operativo
Oltre a distribuire un sistema operativo in computer senza uno, Configuration Manager può essere usato per eseguire la migrazione dei file e delle impostazioni degli utenti da un computer a un altro. L'amministratore configura le informazioni da trasferire, inclusi i file di dati personali, le impostazioni di configurazione e i cookie del browser.
Configuration Manager archivia le informazioni in un punto di migrazione dello stato e le crittografa durante la trasmissione e l'archiviazione. Solo il nuovo computer associato alle informazioni sullo stato può recuperare le informazioni archiviate. Se il nuovo computer perde la chiave per recuperare le informazioni, un amministratore Configuration Manager con il diritto Visualizza informazioni di ripristino negli oggetti dell'istanza dell'associazione di computer può accedere alle informazioni e associarla a un nuovo computer. Dopo che il nuovo computer ha ripristinato le informazioni sullo stato, i dati vengono eliminati dopo un giorno, per impostazione predefinita. È possibile configurare quando il punto di migrazione dello stato rimuove i dati contrassegnati per l'eliminazione. Configuration Manager non archivia le informazioni sulla migrazione dello stato nel database del sito e non le invia a Microsoft.
Se si usa il supporto di avvio per distribuire immagini del sistema operativo, usare sempre l'opzione predefinita per proteggere con password il supporto di avvio. La password crittografa tutte le variabili archiviate nella sequenza di attività, ma qualsiasi informazione non archiviata in una variabile potrebbe essere vulnerabile alla divulgazione.
La distribuzione del sistema operativo può usare sequenze di attività per eseguire molte attività diverse durante il processo di distribuzione, tra cui l'installazione di applicazioni e aggiornamenti software. Quando si configurano le sequenze di attività, è necessario tenere presente anche le implicazioni sulla privacy dell'installazione del software.
Configuration Manager non implementa la distribuzione del sistema operativo per impostazione predefinita. Sono necessari diversi passaggi di configurazione prima di raccogliere informazioni sullo stato utente o creare sequenze di attività o immagini di avvio.
Prima di configurare la distribuzione del sistema operativo, considerare i requisiti di privacy.
Vedere anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per