次の方法で共有

Configuration Managerでの OS 展開のセキュリティとプライバシー

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

この記事では、Configuration Managerの OS 展開機能のセキュリティとプライバシーに関する情報について説明します。

OS の展開に関するセキュリティのベスト プラクティス

Configuration Managerを使用してオペレーティング システムを展開する場合は、次のセキュリティのベスト プラクティスを使用します。

起動可能なメディアを保護するためのアクセス制御を実装する

起動可能なメディアを作成するときは、メディアのセキュリティ保護に役立つパスワードを常に割り当てます。 パスワードを使用しても、機密情報を含むファイルのみが暗号化され、すべてのファイルを上書きできます。

メディアへの物理的なアクセスを制御して、攻撃者が暗号化攻撃を使用してクライアント認証証明書を取得できないようにします。

改ざんされたコンテンツまたはクライアント ポリシーをクライアントがインストールできないようにするには、コンテンツがハッシュされ、元のポリシーで使用する必要があります。 コンテンツ ハッシュが失敗した場合、またはコンテンツがポリシーと一致することを確認した場合、クライアントは起動可能なメディアを使用しません。 コンテンツのみがハッシュされます。 ポリシーはハッシュされませんが、パスワードを指定すると暗号化され、セキュリティで保護されます。 この動作により、攻撃者がポリシーを正常に変更することがより困難になります。

OS イメージのメディアを作成するときにセキュリティで保護された場所を使用する

未承認のユーザーが場所にアクセスできる場合は、作成したファイルを改ざんする可能性があります。 また、メディアの作成が失敗するように、使用可能なすべてのディスク領域を使用することもできます。

証明書ファイルを保護する

証明書ファイル (.pfx) を強力なパスワードで保護します。 ネットワークに保存する場合は、ネットワーク チャネルを Configuration Manager にインポートするときにネットワーク チャネルをセキュリティで保護します。

起動可能なメディアに使用するクライアント認証証明書をインポートするためにパスワードが必要な場合、この構成は、証明書を攻撃者から保護するのに役立ちます。

ネットワークの場所とサイト サーバーの間で SMB 署名または IPsec を使用して、攻撃者が証明書ファイルを改ざんするのを防ぎます。

侵害された証明書をブロックまたは取り消す

クライアント証明書が侵害された場合は、証明書をConfiguration Managerからブロックします。 PKI 証明書の場合は、取り消します。

起動可能なメディアと PXE ブートを使用して OS を展開するには、秘密キーを持つクライアント認証証明書が必要です。 その証明書が侵害された場合は、[管理] ワークスペースの [証明書] ノードの [セキュリティ] ノードで証明書をブロックします。

サイト サーバーと SMS プロバイダー間の通信チャネルをセキュリティで保護する

SMS プロバイダーがサイト サーバーからリモートである場合は、通信チャネルをセキュリティで保護してブート イメージを保護します。

ブート イメージを変更し、SMS プロバイダーがサイト サーバーではないサーバーで実行されている場合、ブート イメージは攻撃に対して脆弱です。 SMB 署名または IPsec を使用して、これらのコンピューター間のネットワーク チャネルを保護します。

セキュリティで保護されたネットワーク セグメントでのみ PXE クライアント通信の配布ポイントを有効にする

クライアントが PXE ブート要求を送信するときに、有効な PXE 対応配布ポイントによって要求が処理されるようにする方法はありません。 このシナリオには、次のセキュリティ リスクがあります。

  • PXE 要求に応答する不正な配布ポイントは、改ざんされたイメージをクライアントに提供する可能性があります。

  • 攻撃者は、PXE で使用される TFTP プロトコルに対して中間者攻撃を開始する可能性があります。 この攻撃により、悪意のあるコードが OS ファイルと共に送信される可能性があります。 攻撃者は、配布ポイントに直接 TFTP 要求を行う不正なクライアントを作成する可能性もあります。

  • 攻撃者は、悪意のあるクライアントを使用して、配布ポイントに対してサービス拒否攻撃を開始する可能性があります。

クライアントが PXE 対応配布ポイントにアクセスするネットワーク セグメントを保護するには、多層防御を使用します。

警告

このようなセキュリティ リスクがあるため、境界ネットワークなどの信頼されていないネットワーク内にある場合は、PXE 通信の配布ポイントを有効にしないでください。

指定されたネットワーク インターフェイスでのみ PXE 要求に応答するように PXE 対応配布ポイントを構成する

配布ポイントがすべてのネットワーク インターフェイスで PXE 要求に応答できるようにする場合、この構成によって PXE サービスが信頼されていないネットワークに公開される可能性があります

PXE ブートにパスワードを要求する

PXE ブートにパスワードが必要な場合、この構成により、PXE ブート プロセスに追加のセキュリティ レベルが追加されます。 この構成は、Configuration Manager階層に参加する不正なクライアントから保護するのに役立ちます。

PXE ブートまたはマルチキャストに使用される OS イメージ内のコンテンツを制限する

PXE ブートまたはマルチキャストに使用するイメージに機密データを含む基幹業務アプリケーションやソフトウェアは含めないでください。

PXE ブートとマルチキャストに関連する固有のセキュリティ リスクがあるため、不正なコンピューターが OS イメージをダウンロードした場合のリスクを軽減します。

タスク シーケンス変数によってインストールされるコンテンツを制限する

基幹業務アプリケーションや、タスク シーケンス変数を使用してインストールするアプリケーションのパッケージに機密データを含むソフトウェアは含めないでください。

タスク シーケンス変数を使用してソフトウェアを展開すると、そのソフトウェアを受け取る権限のないユーザーとコンピューターにインストールされる可能性があります。

ユーザー状態の移行時にネットワーク チャネルをセキュリティで保護する

ユーザー状態を移行するときは、SMB 署名または IPsec を使用して、クライアントと状態移行ポイントの間のネットワーク チャネルをセキュリティで保護します。

HTTP 経由での初期接続後、ユーザー状態移行データは SMB を使用して転送されます。 ネットワーク チャネルをセキュリティで保護しない場合、攻撃者はこのデータの読み取りと変更を行うことができます。

USMT の最新バージョンを使用する

サポートされているユーザー状態移行ツール (USMT) の最新バージョンConfiguration Manager使用します。

USMT の最新バージョンでは、ユーザー状態データを移行する際のセキュリティ強化と制御が強化されています。

状態移行ポイントの使用停止時にフォルダーを手動で削除する

状態移行ポイントのプロパティでConfiguration Manager コンソールの状態移行ポイント フォルダーを削除しても、サイトは物理フォルダーを削除しません。 ユーザー状態の移行データを情報漏えいから保護するには、ネットワーク共有を手動で削除し、フォルダーを削除します。

削除ポリシーを構成してユーザーの状態を直ちに削除しない

削除対象としてマークされたデータを直ちに削除するように状態移行ポイントに削除ポリシーを構成し、有効なコンピューターが実行される前に攻撃者がユーザー状態データを取得した場合、サイトは直ちにユーザー状態データを削除します。 ユーザー状態データの復元が成功したことを確認するのに十分な長さにするには、[ 間隔後の削除] を設定します。

コンピューターの関連付けを手動で削除する

ユーザー状態の移行データの復元が完了して検証されたら、コンピューターの関連付けを手動で削除します。

Configuration Managerは、コンピューターの関連付けを自動的に削除しません。 不要になったコンピューターの関連付けを手動で削除することで、ユーザー状態データの ID を保護するのに役立ちます。

状態移行ポイントでユーザー状態移行データを手動でバックアップする

Configuration Managerバックアップには、サイト バックアップにユーザー状態の移行データが含まれていません。

事前設定されたメディアを保護するためのアクセス制御を実装する

メディアへの物理的なアクセスを制御して、攻撃者が暗号化攻撃を使用してクライアント認証証明書と機密データを取得できないようにします。

参照コンピューターのイメージング プロセスを保護するためのアクセス制御を実装する

OS イメージのキャプチャに使用する参照コンピューターがセキュリティで保護された環境にあることを確認します。 予期しないソフトウェアや悪意のあるソフトウェアをインストールして、キャプチャしたイメージに誤って含めないように、適切なアクセス制御を使用します。 イメージをキャプチャするときは、宛先ネットワークの場所がセキュリティで保護されていることを確認します。 このプロセスは、キャプチャ後にイメージを改ざんできないようにするのに役立ちます。

参照コンピューターに最新のセキュリティ更新プログラムを常にインストールする

参照コンピューターに現在のセキュリティ更新プログラムがある場合、新しいコンピューターが最初に起動したときに脆弱性のウィンドウを減らすのに役立ちます。

不明なコンピューターに OS を展開するときにアクセス制御を実装する

不明なコンピューターに OS を展開する必要がある場合は、未承認のコンピューターがネットワークに接続できないようにアクセス制御を実装します。

不明なコンピューターをプロビジョニングすると、必要に応じて新しいコンピューターを展開するための便利な方法が提供されます。 しかし、攻撃者がネットワーク上の信頼できるクライアントになることも可能です。 ネットワークへの物理的なアクセスを制限し、未承認のコンピューターを検出するようにクライアントを監視します。

PXE によって開始される OS の展開に応答するコンピューターでは、プロセス中にすべてのデータが破棄される可能性があります。 この動作により、誤って再フォーマットされたシステムの可用性が失われる可能性があります。

マルチキャスト パッケージの暗号化を有効にする

OS 展開パッケージごとに、マルチキャストを使用してパッケージConfiguration Manager転送するときに暗号化を有効にすることができます。 この構成は、不正なコンピューターがマルチキャスト セッションに参加するのを防ぐのに役立ちます。 また、攻撃者が転送を改ざんするのを防ぐのにも役立ちます。

未承認のマルチキャスト対応配布ポイントを監視する

攻撃者がネットワークにアクセスできる場合は、OS の展開をスプーフィングするように不正なマルチキャスト サーバーを構成できます。

タスク シーケンスをネットワークの場所にエクスポートする場合は、場所をセキュリティで保護し、ネットワーク チャネルをセキュリティで保護します

ネットワーク フォルダーにアクセスできるユーザーを制限します。

ネットワークの場所とサイト サーバーの間で SMB 署名または IPsec を使用して、攻撃者がエクスポートされたタスク シーケンスを改ざんするのを防ぎます。

タスク シーケンスをアカウントとして実行する場合は、追加のセキュリティ対策を講じてください

タスク シーケンスをアカウントとして実行する場合は、次の予防措置を講じてください。

  • 最小限のアクセス許可を持つアカウントを使用します。

  • このアカウントにはネットワーク アクセス アカウントを使用しないでください。

  • アカウントをドメイン管理者にしないでください。

  • このアカウントのローミング プロファイルを構成しないでください。 タスク シーケンスを実行すると、アカウントのローミング プロファイルがダウンロードされるため、プロファイルはローカル コンピューター上でアクセスに対して脆弱になります。

  • アカウントのスコープを制限します。 たとえば、タスク シーケンスごとに異なるタスク シーケンス実行をアカウントとして作成します。 1 つのアカウントが侵害された場合、そのアカウントがアクセス権を持つクライアント コンピューターのみが侵害されます。 コマンド ラインでコンピューターの管理アクセス権が必要な場合は、タスク シーケンス実行アカウント専用のローカル管理者アカウントを作成することを検討してください。 タスク シーケンスを実行するすべてのコンピューターでこのローカル アカウントを作成し、不要になったらすぐにアカウントを削除します。

OS 展開マネージャーのセキュリティ ロールが付与されている管理ユーザーを制限および監視する

OS 展開マネージャーのセキュリティ ロールが付与されている管理者ユーザーは、自己署名証明書を作成できます。 これらの証明書を使用して、クライアントを偽装し、Configuration Managerからクライアント ポリシーを取得できます。

拡張 HTTP を使用してネットワーク アクセス アカウントの必要性を減らす

バージョン 1806 以降では、 拡張 HTTP を有効にすると、いくつかの OS 展開シナリオで、配布ポイントからコンテンツをダウンロードするためにネットワーク アクセス アカウントは必要ありません。 詳細については、「 タスク シーケンスとネットワーク アクセス アカウント」を参照してください。

OS の展開に関するセキュリティの問題

OS の展開は、ネットワーク上のコンピューターの最も安全なオペレーティング システムと構成を展開する便利な方法ですが、次のセキュリティ リスクがあります。

情報の開示とサービス拒否

攻撃者がConfiguration Managerインフラストラクチャの制御を取得できる場合は、任意のタスク シーケンスを実行できます。 このプロセスには、すべてのクライアント コンピューターのハード ドライブの書式設定が含まれる場合があります。 タスク シーケンスは、ドメインに参加するアクセス許可を持つアカウントやボリューム ライセンス キーなどの機密情報を含むよう構成できます。

権限の偽装と昇格

タスク シーケンスは、コンピューターをドメインに参加させることができます。これにより、認証されたネットワーク アクセスを不正なコンピューターに提供できます。

起動可能なタスク シーケンス メディアと PXE ブート展開に使用されるクライアント認証証明書を保護します。 クライアント認証証明書をキャプチャすると、このプロセスにより、攻撃者は証明書の秘密キーを取得する機会を得られます。 この証明書を使用すると、ネットワーク上の有効なクライアントを偽装できます。 このシナリオでは、不正なコンピューターがポリシーをダウンロードできます。これには機密データを含めることができます。

クライアントがネットワーク アクセス アカウントを使用して状態移行ポイントに格納されているデータにアクセスする場合、これらのクライアントは実質的に同じ ID を共有します。 ネットワーク アクセス アカウントを使用する別のクライアントから状態移行データにアクセスできます。 データは暗号化されているため、元のクライアントのみが読み取ることができますが、データが改ざんされたり削除されたりする可能性があります。

状態移行ポイントに対するクライアント認証は、管理ポイントによって発行されたConfiguration Manager トークンを使用して実現されます。

Configuration Managerは、状態移行ポイントに格納されるデータの量を制限または管理しません。 攻撃者は、使用可能なディスク領域を埋め、サービス拒否を引き起こす可能性があります。

コレクション変数を使用する場合、ローカル管理者は潜在的に機密情報を読み取ることができます

コレクション変数は、オペレーティング システムを展開するための柔軟な方法を提供しますが、この機能によって情報が漏えいする可能性があります。

OS の展開に関するプライバシー情報

OS を展開せずにコンピューターに展開するだけでなく、Configuration Managerを使用してユーザーのファイルと設定をコンピューター間で移行できます。 管理者は、転送する情報 (個人データ ファイル、構成設定、ブラウザー Cookie など) を構成します。

Configuration Managerは、状態移行ポイントに情報を格納し、転送およびストレージ中に暗号化します。 状態情報に関連付けられている新しいコンピューターのみが、格納されている情報を取得できます。 新しいコンピューターが情報を取得するためのキーを失った場合、コンピューター関連付けインスタンス オブジェクトの [回復情報の表示] 権限を持つConfiguration Manager管理者は、その情報にアクセスして新しいコンピューターに関連付けることができます。 新しいコンピューターが状態情報を復元すると、既定で 1 日後にデータが削除されます。 状態移行ポイントが削除対象としてマークされたデータを削除するタイミングを構成できます。 Configuration Managerは、状態移行情報をサイト データベースに格納せず、Microsoftに送信しません。

ブート メディアを使用して OS イメージを展開する場合は、常に既定のオプションを使用してブート メディアをパスワードで保護します。 パスワードは、タスク シーケンスに格納されている変数を暗号化しますが、変数に格納されていない情報は、開示に対して脆弱である可能性があります。

OS の展開では、展開プロセス中にタスク シーケンスを使用してさまざまなタスクを実行できます。これには、アプリケーションとソフトウェアの更新プログラムのインストールが含まれます。 タスク シーケンスを構成するときは、ソフトウェアのインストールによるプライバシーへの影響にも注意する必要があります。

Configuration Managerでは、既定では OS の展開は実装されません。 ユーザー状態情報を収集するか、タスク シーケンスまたはブート イメージを作成する前に、いくつかの構成手順が必要です。

OS の展開を構成する前に、プライバシー要件を検討してください。

関連項目

診断と使用状況データ

Configuration Manager のセキュリティとプライバシー