次の方法で共有


暗号化コントロールのテクニカル リファレンス

Configuration Manager (現在のブランチ) に適用

Configuration Managerでは、署名と暗号化を使用して、Configuration Manager階層内のデバイスの管理を保護します。 署名では、転送中にデータが変更された場合は破棄されます。 暗号化は、攻撃者がネットワーク プロトコル アナライザーを使用してデータを読み取るのを防ぐのに役立ちます。

署名に使用Configuration Manager主なハッシュ アルゴリズムは SHA-256 です。 2 つのConfiguration Manager サイトが相互に通信する場合、SHA-256 との通信に署名します。

バージョン 2107 以降では、Configuration Manager使用されるプライマリ暗号化アルゴリズムは AES-256 です。 暗号化は主に次の 2 つの領域で行われます。

  • サイトで [暗号化を使用] を有効にした場合、クライアントはインベントリ データと、管理ポイントに送信する状態メッセージを暗号化します。

  • クライアントがシークレット ポリシーをダウンロードすると、管理ポイントは常にこれらのポリシーを暗号化します。 たとえば、パスワードを含む OS 展開タスク シーケンスなどです。

注:

HTTPS 通信を構成すると、これらのメッセージは 2 回暗号化されます。 メッセージは AES で暗号化され、HTTPS トランスポートは AES-256 で暗号化されます。

HTTPS 経由でクライアント通信を使用する場合は、最大ハッシュ アルゴリズムとキー長で証明書を使用するように公開キー インフラストラクチャ (PKI) を構成します。 CNG v3 証明書を使用する場合、Configuration Managerクライアントは RSA 暗号化アルゴリズムを使用する証明書のみをサポートします。 詳細については、「 PKI 証明書の要件 」と 「CNG v3 証明書の概要」を参照してください。

トランスポートセキュリティのために、TLS を使用するすべてのものが AES-256 をサポートします。 このサポートには、 拡張 HTTP (E-HTTP) または HTTPS 用に サイトを構成する場合が含まれます。 オンプレミス サイト システムの場合は、TLS 暗号スイートを制御できます。 クラウド管理ゲートウェイ (CMG) などのクラウドベースのロールの場合、TLS 1.2 を有効にした場合、Configuration Managerは暗号スイートを構成します。

Windows ベースのオペレーティング システムを使用するほとんどの暗号化操作では、Configuration Managerは Windows CryptoAPI ライブラリ rsaenh.dll からこれらのアルゴリズムを使用します。

特定の機能の詳細については、「 サイト操作」を参照してください。

サイト操作

Configuration Managerの情報は、署名および暗号化できます。 PKI 証明書の有無にかかわらず、これらの操作をサポートします。

ポリシーの署名と暗号化

サイトは、自己署名証明書を使用してクライアント ポリシーの割り当てに署名します。 この動作は、侵害された管理ポイントが改ざんされたポリシーを送信するセキュリティ リスクを防ぐのに役立ちます。 インターネット ベースのクライアント管理を使用する場合、インターネットに接続する管理ポイントが必要になるため、この動作は重要です。

バージョン 2107 以降の機密データがポリシーに含まれている場合、管理ポイントは AES-256 で暗号化します。 機密データを含むポリシーは、承認されたクライアントにのみ送信されます。 機密性の高いデータを持たないポリシーは、サイトで暗号化されません。

クライアントは、ポリシーを格納するときに、Windows データ保護アプリケーション プログラミング インターフェイス (DPAPI) を使用してポリシーを暗号化します。

ポリシー ハッシュ

クライアントがポリシーを要求すると、最初にポリシーの割り当てが取得されます。 その後、適用されるポリシーが認識され、それらのポリシー機関のみを要求できます。 各ポリシー割り当てには、対応するポリシー本文の計算ハッシュが含まれています。 クライアントは、該当するポリシー本体をダウンロードし、各ポリシー本文のハッシュを計算します。 ポリシー本文のハッシュがポリシー割り当てのハッシュと一致しない場合、クライアントはポリシー本文を破棄します。

ポリシーのハッシュ アルゴリズムは SHA-256 です

コンテンツ ハッシュ

サイト サーバーのディストリビューション マネージャー サービスは、すべてのパッケージのコンテンツ ファイルをハッシュします。 ポリシー プロバイダーには、ソフトウェア配布ポリシーにハッシュが含まれています。 Configuration Manager クライアントがコンテンツをダウンロードすると、クライアントはハッシュをローカルで再生成し、ポリシーで指定されたものと比較します。 ハッシュが一致する場合、コンテンツは変更されないため、クライアントによってインストールされます。 コンテンツの 1 バイトが変更された場合、ハッシュは一致せず、クライアントはソフトウェアをインストールしません。 このチェックは、実際のコンテンツがポリシーと比較されるため、正しいソフトウェアがインストールされていることを確認するのに役立ちます。

コンテンツの既定のハッシュ アルゴリズムは SHA-256 です

すべてのデバイスがコンテンツ ハッシュをサポートできるわけではありません。 例外は次のとおりです。

  • Windows クライアントが App-V コンテンツをストリーミングする場合。

インベントリの署名と暗号化

クライアントがハードウェアまたはソフトウェア インベントリを管理ポイントに送信すると、常にインベントリに署名されます。 クライアントが E-HTTP または HTTPS 経由で管理ポイントと通信するかどうかは関係ありません。 E-HTTP を使用する場合は、このデータの暗号化を選択することもできます。これは推奨されます。

状態移行の暗号化

タスク シーケンスは、OS の展開のためにクライアントからデータをキャプチャするときに、常にデータを暗号化します。 バージョン 2103 以降では、タスク シーケンスは AES-256 暗号化アルゴリズムを使用してユーザー状態移行ツール (USMT) を実行します。

マルチキャスト パッケージの暗号化

OS 展開パッケージごとに、マルチキャストを使用するときに暗号化を有効にすることができます。 この暗号化では 、AES-256 アルゴリズムが 使用されます。 暗号化を有効にした場合、他の証明書構成は必要ありません。 マルチキャストが有効な配布ポイントは、パッケージを暗号化するための対称キーを自動的に生成します。 各パッケージには、異なる暗号化キーがあります。 キーは、標準の Windows API を使用してマルチキャスト対応配布ポイントに格納されます。

クライアントがマルチキャスト セッションに接続すると、暗号化されたチャネル経由でキー交換が行われます。 クライアントが HTTPS を使用する場合は、PKI によって発行されたクライアント認証証明書が使用されます。 クライアントが E-HTTP を使用する場合は、自己署名証明書が使用されます。 クライアントは、マルチキャスト セッション中にのみ暗号化キーをメモリに格納します。

OS 展開メディアの暗号化

メディアを使用してオペレーティング システムを展開する場合は、メディアを保護するためのパスワードを常に指定する必要があります。 パスワードを使用すると、タスク シーケンス環境変数は AES-128 で暗号化されます。 アプリケーションのパッケージやコンテンツなど、メディア上の他のデータは暗号化されません。

クラウドベースのコンテンツの暗号化

クラウド管理ゲートウェイ (CMG) でコンテンツを格納できるようにすると、コンテンツは AES-256 で暗号化されます。 コンテンツは、更新するたびに暗号化されます。 クライアントがコンテンツをダウンロードすると、HTTPS 接続によって暗号化および保護されます。

ソフトウェア更新プログラムのサインイン

すべてのソフトウェア更新プログラムは、改ざんから保護するために、信頼された発行元によって署名されている必要があります。 クライアント コンピューターでは、Windows Update エージェント (WUA) によってカタログからの更新プログラムがスキャンされます。 ローカル コンピューターの信頼された発行元ストアにデジタル証明書が見つからない場合、更新プログラムはインストールされません。

System Center Updates Publisher でソフトウェア更新プログラムを発行すると、デジタル証明書によってソフトウェア更新プログラムに署名されます。 PKI 証明書を指定するか、ソフトウェア更新プログラムに署名Updates自己署名証明書を生成するようにパブリッシャーを構成できます。 自己署名証明書を使用して WSUS パブリッシャーの自己署名などの更新プログラム カタログを発行する場合、証明書はローカル コンピューターの信頼されたルート証明機関の証明書ストアにも存在する必要があります。 WUA は、ローカル コンピューターで [ イントラネットから署名されたコンテンツを許可する] Microsoft 更新サービスの場所 グループ ポリシー設定が有効になっているかどうかも確認します。 WUA が System Center Updates Publisher で作成および発行された更新プログラムをスキャンするには、このポリシー設定を有効にする必要があります。

コンプライアンス設定の署名済み構成データ

構成データをインポートすると、Configuration Managerはファイルのデジタル署名を検証します。 ファイルが署名されていない場合、または署名チェック失敗した場合は、インポートを続行するようコンソールから警告が表示されます。 パブリッシャーとファイルの整合性を明示的に信頼する場合にのみ、構成データをインポートします。

クライアント通知の暗号化とハッシュ

クライアント通知を使用する場合、すべての通信で TLS と、サーバーとクライアントがネゴシエートできる最高のアルゴリズムが使用されます。 SHA-2 を使用するクライアント通知中に転送されるパケットをハッシュする場合も同じネゴシエーションが行われます。

証明書

Configuration Managerで使用できる公開キー 基盤 (PKI) 証明書の一覧、特別な要件または制限事項、および証明書の使用方法については、「PKI 証明書の要件」を参照してください。 この一覧には、サポートされているハッシュ アルゴリズムとキーの長さが含まれています。 ほとんどの証明書では 、SHA-2562048 ビットのキー長がサポートされています。

証明書を使用するほとんどのConfiguration Manager操作では、v3 証明書もサポートされています。 詳細については、「 CNG v3 証明書の概要」を参照してください。

注:

Configuration Manager使用するすべての証明書には、サブジェクト名またはサブジェクトの別名に 1 バイト文字のみを含める必要があります。

Configuration Managerには、次のシナリオで PKI 証明書が必要です。

  • インターネット上Configuration Managerクライアントを管理する場合

  • クラウド管理ゲートウェイ (CMG) を使用する場合

認証、署名、または暗号化に証明書を必要とするその他のほとんどの通信では、使用可能な場合Configuration Manager自動的に PKI 証明書が使用されます。 使用できない場合、Configuration Managerは自己署名証明書を生成します。

モバイル デバイス管理と PKI 証明書

注:

2021 年 11 月以降、モバイル デバイス管理は非推奨となり、このロールをアンインストールすることをお勧めします。

OS の展開と PKI 証明書

Configuration Managerを使用してオペレーティング システムを展開し、管理ポイントで HTTPS クライアント接続が必要な場合、クライアントは管理ポイントと通信するための証明書を必要とします。 この要件は、クライアントがタスク シーケンス メディアや PXE 対応配布ポイントからの起動などの移行フェーズにある場合でも発生します。 このシナリオをサポートするには、PKI クライアント認証証明書を作成し、秘密キーを使用してエクスポートします。 次に、サイト サーバーのプロパティにインポートし、管理ポイントの信頼されたルート CA 証明書も追加します。

起動可能なメディアを作成する場合は、起動可能なメディアを作成するときにクライアント認証証明書をインポートします。 タスク シーケンスで構成されている秘密キーやその他の機密データを保護するには、起動可能なメディアでパスワードを構成します。 起動可能なメディアから起動するすべてのコンピューターは、クライアント ポリシーの要求などのクライアント機能に必要な管理ポイントと同じ証明書を使用します。

PXE を使用する場合は、クライアント認証証明書を PXE 対応配布ポイントにインポートします。 PXE 対応配布ポイントから起動するすべてのクライアントで同じ証明書が使用されます。 タスク シーケンス内の秘密キーやその他の機密データを保護するには、PXE のパスワードが必要です。

これらのクライアント認証証明書のいずれかが侵害された場合は、[管理] ワークスペースの [セキュリティ] ノードの [証明書] ノードで証明書をブロックします。 これらの証明書を管理するには、 オペレーティング システム展開証明書の管理に対するアクセス許可が必要です。

Configuration Manager OS がクライアントをインストールした後、クライアントは HTTPS クライアント通信用に独自の PKI クライアント認証証明書を必要とします。

ISV プロキシ ソリューションと PKI 証明書

独立系ソフトウェア ベンダー (ISV) は、Configuration Managerを拡張するアプリケーションを作成できます。 たとえば、ISV では、Windows 以外のクライアント プラットフォームをサポートする拡張機能を作成できます。 ただし、サイト システムで HTTPS クライアント接続が必要な場合、これらのクライアントはサイトとの通信に PKI 証明書も使用する必要があります。 Configuration Managerには、ISV プロキシ クライアントと管理ポイント間の通信を可能にする ISV プロキシに証明書を割り当てる機能が含まれています。 ISV プロキシ証明書を必要とする拡張機能を使用する場合は、その製品のドキュメントを参照してください。

ISV 証明書が侵害された場合は、[管理] ワークスペースの [証明書] ノードの [セキュリティ] ノードで証明書をブロックします。

ISV プロキシ証明書の GUID をコピーする

バージョン 2111 以降では、これらの ISV プロキシ証明書の管理を簡略化するために、Configuration Manager コンソールでその GUID をコピーできるようになりました。

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動します。

  2. [ セキュリティ] を展開し、[ 証明書 ] ノードを選択します。

  3. [ 種類 ] 列で証明書の一覧を並べ替えます。

  4. ISV プロキシの種類の証明書を選択します。

  5. リボンで、[ 証明書 GUID のコピー] を選択します。

このアクションでは、次の例のように、この証明書の GUID がコピーされます。 aa05bf38-5cd6-43ea-ac61-ab101f943987

資産インテリジェンスと証明書

注:

2021 年 11 月以降、資産インテリジェンスは非推奨となり、お客様はこのロールをアンインストールすることをお勧めします。

Azure サービスと証明書

クラウド管理ゲートウェイ (CMG) には、サーバー認証証明書が必要です。 これらの証明書を使用すると、サービスはインターネット経由でクライアントに HTTPS 通信を提供できます。 詳細については、「 CMG サーバー認証証明書」を参照してください。

クライアントでは、CMG とオンプレミスの管理ポイントとの通信に別の種類の認証が必要です。 Microsoft Entra ID、PKI 証明書、またはサイト トークンを使用できます。 詳細については、「 クラウド管理ゲートウェイのクライアント認証を構成する」を参照してください。

クライアントは、クラウドベースのストレージを使用するためにクライアント PKI 証明書を必要としません。 管理ポイントに対する認証後、管理ポイントはクライアントにConfiguration Managerアクセス トークンを発行します。 クライアントは、コンテンツにアクセスするためにこのトークンを CMG に提示します。 トークンは 8 時間有効です。

PKI 証明書の CRL チェック

PKI 証明書失効リスト (CRL) は全体的なセキュリティを強化しますが、管理と処理のオーバーヘッドが必要です。 CRL チェックを有効にしても、クライアントが CRL にアクセスできない場合、PKI 接続は失敗します。

IIS では、既定で CRL チェックが有効になります。 PKI 展開で CRL を使用する場合は、IIS を実行するほとんどのサイト システムを構成する必要はありません。 ソフトウェア更新プログラムの場合は例外です。これには、ソフトウェア更新プログラム ファイルの署名を確認するために CRL チェックを有効にする手動の手順が必要です。

クライアントが HTTPS を使用すると、既定で CRL チェックが有効になります。

次の接続では、Configuration Managerでの CRL チェックインはサポートされていません。

  • サーバー間接続

サーバー通信

Configuration Managerは、サーバー通信に次の暗号化制御を使用します。

サイト内のサーバー通信

各サイト システム サーバーは、証明書を使用して、同じConfiguration Manager サイト内の他のサイト システムにデータを転送します。 一部のサイト システムの役割では、認証にも証明書が使用されます。 たとえば、あるサーバーに登録プロキシ ポイントをインストールし、別のサーバーに登録ポイントをインストールする場合、この ID 証明書を使用して相互に認証できます。

Configuration Managerがこの通信に証明書を使用する場合、サーバー認証機能で使用可能な PKI 証明書がある場合は、自動的に使用Configuration Manager。 そうでない場合、Configuration Managerは自己署名証明書を生成します。 この自己署名証明書にはサーバー認証機能があり、SHA-256 を使用し、キーの長さは 2048 ビットです。 Configuration Managerは、サイト システムを信頼する必要がある可能性がある他のサイト システム サーバー上の信頼されたPeople ストアに証明書をコピーします。 サイト システムは、これらの証明書と PeerTrust を使用して相互に信頼できます。

Configuration Managerは、サイト システム サーバーごとにこの証明書に加えて、ほとんどのサイト システムの役割に対して自己署名証明書を生成します。 同じサイトにサイト システムの役割のインスタンスが複数ある場合は、同じ証明書を共有します。 たとえば、同じサイトに複数の管理ポイントがあるとします。 この自己署名証明書は SHA-256 を使用し、キーの長さは 2048 ビットです。 信頼する必要があるサイト システム サーバー上の信頼されたPeople ストアにコピーされます。 次のサイト システムの役割によって、この証明書が生成されます。

  • 資産インテリジェンス同期ポイント

  • Endpoint Protection ポイント

  • フォールバック ステータス ポイント

  • 管理ポイント

  • マルチキャスト対応配布ポイント

  • Reporting Services ポイント

  • ソフトウェアの更新ポイント

  • 状態移行ポイント

Configuration Managerは、これらの証明書を自動的に生成および管理します。

配布ポイントから管理ポイントにステータス メッセージを送信するには、Configuration Managerはクライアント認証証明書を使用します。 HTTPS の管理ポイントを構成する場合は、PKI 証明書が必要です。 管理ポイントが E-HTTP 接続を受け入れる場合は、PKI 証明書を使用できます。 また、クライアント認証機能を備えた自己署名証明書を使用し、SHA-256 を使用し、キーの長さは 2048 ビットです。

サイト間のサーバー通信

Configuration Managerデータベース レプリケーションとファイル ベースのレプリケーションを使用して、サイト間でデータを転送します。 詳細については、「 サイト間のデータ転送 」と「 エンドポイント間の通信」を参照してください。

Configuration Managerサイト間のデータベース レプリケーションが自動的に構成されます。 使用可能な場合は、サーバー認証機能を備えた PKI 証明書を使用します。 使用できない場合、Configuration Managerはサーバー認証用の自己署名証明書を作成します。 どちらの場合も、PeerTrust を使用する信頼されたPeople ストアの証明書を使用して、サイト間で認証されます。 この証明書ストアを使用して、Configuration Manager階層 SQL Server のみがサイト間レプリケーションに参加することを確認します。

サイト サーバーは、自動的に発生するセキュリティで保護されたキー交換を使用して、サイト間通信を確立します。 送信サイト サーバーはハッシュを生成し、秘密キーで署名します。 受信側サイト サーバーは、公開キーを使用して署名を確認し、ハッシュをローカルで生成された値と比較します。 一致する場合、受信サイトはレプリケートされたデータを受け入れます。 値が一致しない場合、Configuration Managerはレプリケーション データを拒否します。

Configuration Managerのデータベース レプリケーションでは、SQL Server Service Broker を使用してサイト間でデータを転送します。 次のメカニズムを使用します。

  • SQL ServerするSQL Server: この接続では、サーバー認証に Windows 資格情報を使用し、1024 ビットの自己署名証明書を使用して、AES アルゴリズムを使用してデータに署名および暗号化します。 使用可能な場合は、サーバー認証機能を備えた PKI 証明書を使用します。 コンピューターの個人用証明書ストア内の証明書のみが使用されます。

  • SQL Service Broker: このサービスでは、認証に 2048 ビットの自己署名証明書を使用し、AES アルゴリズムを使用してデータに署名および暗号化します。 SQL Server マスター データベース内の証明書のみが使用されます。

ファイル ベースのレプリケーションでは、サーバー メッセージ ブロック (SMB) プロトコルが使用されます。 SHA-256 を使用して、暗号化されておらず、機密データが含まれていないデータに署名します。 このデータを暗号化するには、Configuration Managerとは別に実装する IPsec を使用します。

HTTPS を使用するクライアント

サイト システムの役割がクライアント接続を受け入れる場合は、HTTPS 接続と HTTP 接続を受け入れるように構成するか、HTTPS 接続のみを受け入れるように構成できます。 インターネットからの接続を受け入れるサイト システムの役割は、HTTPS 経由のクライアント接続のみを受け入れます。

HTTPS 経由のクライアント接続は、公開キー インフラストラクチャ (PKI) と統合して、クライアントとサーバー間の通信を保護することで、より高いレベルのセキュリティを提供します。 ただし、PKI の計画、展開、および操作を十分に理解せずに HTTPS クライアント接続を構成すると、脆弱なままになる可能性があります。 たとえば、ルート証明機関 (CA) をセキュリティで保護しない場合、攻撃者は PKI インフラストラクチャ全体の信頼を侵害する可能性があります。 制御されたセキュリティで保護されたプロセスを使用して PKI 証明書を展開および管理できないと、重要なソフトウェア更新プログラムやパッケージを受信できないアンマネージド クライアントが発生する可能性があります。

重要

クライアント通信に使用Configuration Manager PKI 証明書は、クライアントと一部のサイト システム間の通信のみを保護します。 サイト サーバーとサイト システム間、またはサイト サーバー間の通信チャネルは保護されません。

クライアントが HTTPS を使用する場合の暗号化されていない通信

クライアントが HTTPS 経由でサイト システムと通信する場合、ほとんどのトラフィックは暗号化されます。 次の状況では、クライアントは暗号化を使用せずにサイト システムと通信します。

  • クライアントはイントラネット上で HTTPS 接続を確立できず、サイト システムがこの構成を許可すると HTTP の使用にフォールバックします。

  • 次のサイト システムの役割への通信:

    • クライアントは、フォールバック 状態ポイントに状態メッセージを送信します。

    • クライアントは PXE 要求を PXE 対応配布ポイントに送信します。

    • クライアントは、通知データを管理ポイントに送信します。

レポート サービス ポイントは、クライアント通信モードとは別に HTTP または HTTPS を使用するように構成します。

E-HTTP を使用するクライアント

クライアントがサイト システムの役割に E-HTTP 通信を使用する場合、クライアント認証に PKI 証明書、またはConfiguration Manager生成される自己署名証明書を使用できます。 Configuration Managerが自己署名証明書を生成すると、署名と暗号化のためのカスタム オブジェクト識別子が作成されます。 これらの証明書は、クライアントを一意に識別するために使用されます。 これらの自己署名証明書は SHA-256 を使用し、キーの長さは 2048 ビットです。

OS の展開と自己署名証明書

Configuration Managerを使用して自己署名証明書を使用してオペレーティング システムを展開する場合、クライアントには管理ポイントと通信するための証明書も必要です。 この要件は、コンピューターがタスク シーケンス メディアや PXE 対応配布ポイントからの起動などの移行フェーズにある場合でもです。 E-HTTP クライアント接続のこのシナリオをサポートするために、Configuration Managerは署名と暗号化用のカスタム オブジェクト識別子を持つ自己署名証明書を生成します。 これらの証明書は、クライアントを一意に識別するために使用されます。 これらの自己署名証明書は SHA-256 を使用し、キーの長さは 2048 ビットです。 これらの自己署名証明書が侵害された場合、攻撃者が証明書を使用して信頼されたクライアントを偽装できないようにします。 [管理] ワークスペースの [証明書] ノードの [セキュリティ] ノードで証明書ブロックします。

クライアントとサーバーの認証

クライアントは、E-HTTP 経由で接続するときに、Active Directory Domain Servicesを使用するか、信頼されたルート キー Configuration Manager使用して管理ポイントを認証します。 クライアントは、状態移行ポイントやソフトウェアの更新ポイントなど、他のサイト システムの役割を認証しません。

管理ポイントが最初に自己署名クライアント証明書を使用してクライアントを認証する場合、このメカニズムは、コンピューターが自己署名証明書を生成できるため、最小限のセキュリティを提供します。 このプロセスを強化するには、クライアントの承認を使用します。 Configuration Managerによって自動的に、または管理ユーザーによって手動で、信頼されたコンピューターのみを承認します。 詳細については、「クライアントの 管理」を参照してください。

SSL の脆弱性について

Configuration Manager クライアントとサーバーのセキュリティを強化するには、次の操作を行います。

  • すべてのデバイスとサービスで TLS 1.2 を有効にします。 Configuration Managerで TLS 1.2 を有効にするには、「Configuration Managerで TLS 1.2 を有効にする方法」を参照してください。

  • SSL 3.0、TLS 1.0、TLS 1.1 を無効にします。

  • TLS 関連の暗号スイートを並べ替えます。

詳細については、次の記事を参照してください。

これらの手順は、Configuration Manager機能には影響しません。

注:

Updates、暗号スイートの要件がある Azure コンテンツ配信ネットワーク (CDN) からダウンロードをConfiguration Managerします。 詳細については、「 Azure Front Door: TLS 構成に関する FAQ.」を参照してください。