Configuration Managerでのサイト管理のセキュリティとプライバシー
Configuration Manager (現在のブランチ) に適用
この記事には、Configuration Manager サイトと階層のセキュリティとプライバシーに関する情報が含まれています。
サイト管理のセキュリティ ガイダンス
Configuration Managerサイトと階層をセキュリティで保護するには、次のガイダンスを使用します。
信頼されたソースからセットアップを実行し、セキュリティで保護された通信を行う
ソース ファイルの改ざんを防ぐには、信頼できるソースからConfiguration Managerセットアップを実行します。 ファイルをネットワークに保存する場合は、ネットワークの場所をセキュリティで保護します。
ネットワークの場所からセットアップを実行する場合は、ネットワーク経由でファイルが転送される際に攻撃者がファイルを改ざんするのを防ぐために、セットアップ ファイルのソースの場所とサイト サーバーの間で IPsec または SMB 署名を使用します。
セットアップ ダウンローダーを使用してセットアップに必要なファイルをダウンロードする場合は、これらのファイルが格納されている場所をセキュリティで保護してください。 また、セットアップを実行するときに、この場所の通信チャネルをセキュリティで保護します。
Active Directory スキーマを拡張し、サイトをドメインに発行する
スキーマ拡張機能は、Configuration Managerを実行する必要はありませんが、より安全な環境を作成します。 クライアントとサイト サーバーは、信頼されたソースから情報を取得できます。
クライアントが信頼されていないドメインにある場合は、クライアントのドメインに次のサイト システムの役割を展開します。
管理ポイント
配布ポイント
注:
Configuration Managerの信頼されたドメインには Kerberos 認証が必要です。 クライアントがサイト サーバーのフォレストと双方向フォレストの信頼を持たない別のフォレスト内にある場合、これらのクライアントは信頼されていないドメイン内にあると見なされます。 外部信頼では、この目的には不十分です。
IPsec を使用して通信をセキュリティで保護する
Configuration Managerは、サイト サーバーとSQL Serverを実行するコンピューター間の通信をセキュリティで保護しますが、Configuration Managerはサイト システムの役割とSQL Server間の通信をセキュリティで保護しません。 サイト内通信用に HTTPS を使用して一部のサイト システムのみを構成できます。
これらのサーバー間チャネルをセキュリティで保護するために追加のコントロールを使用しない場合、攻撃者はサイト システムに対してさまざまななりすまし攻撃や中間者攻撃を使用できます。 IPsec を使用できない場合は、SMB 署名を使用します。
重要
サイト サーバーとパッケージ ソース サーバーの間の通信チャネルをセキュリティで保護します。 この通信では SMB が使用されます。 IPsec を使用してこの通信をセキュリティで保護できない場合は、SMB 署名を使用して、クライアントがファイルをダウンロードして実行する前に、ファイルが改ざんされていないことを確認します。
既定のセキュリティ グループを変更しない
サイト システム通信用に作成および管理Configuration Manager次のセキュリティ グループは変更しないでください。
<SMS_SiteSystemToSiteServerConnection_MP_SiteCode>
<SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>
<SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>
Configuration Managerは、これらのセキュリティ グループを自動的に作成および管理します。 この動作には、サイト システムの役割が削除されたときのコンピューター アカウントの削除が含まれます。
サービス継続性と最小限の特権を保証するために、これらのグループを手動で編集しないでください。
信頼されたルート キー プロビジョニング プロセスを管理する
クライアントがグローバル カタログに対してConfiguration Manager情報を照会できない場合は、信頼されたルート キーに依存して有効な管理ポイントを認証する必要があります。 信頼されたルート キーは、クライアント レジストリに格納されます。 グループ ポリシーまたは手動構成を使用して設定できます。
クライアントが初めて管理ポイントに接続する前に、信頼されたルート キーのコピーがない場合は、通信する最初の管理ポイントが信頼されます。 攻撃者がクライアントを不正な管理ポイントに誤って転送するリスクを減らすために、信頼されたルート キーを使用してクライアントを事前にプロビジョニングできます。 詳細については、「 信頼されたルート キーの計画」を参照してください。
既定以外のポート番号を使用する
既定以外のポート番号を使用すると、セキュリティが強化される可能性があります。 攻撃者が攻撃に備えて環境を探索するのが難しくなります。 既定以外のポートを使用する場合は、Configuration Managerをインストールする前にそれらのポートを計画してください。 階層内のすべてのサイトで一貫して使用します。 クライアント要求ポートと Wake On LAN は、既定以外のポート番号を使用できる例です。
サイト システムでロールの分離を使用する
すべてのサイト システムの役割を 1 台のコンピューターにインストールできますが、この方法は運用ネットワークではほとんど使用されません。 単一障害点が作成されます。
攻撃プロファイルを減らす
異なるサーバーで各サイト システムの役割を分離すると、1 つのサイト システムの脆弱性に対する攻撃を異なるサイト システムに対して使用できる可能性が低くなります。 多くの役割では、サイト システムにインターネット インフォメーション サービス (IIS) をインストールする必要があり、攻撃対象領域が増加します。 ハードウェアのコストを削減するためにロールを組み合わせる必要がある場合は、IIS ロールを IIS を必要とする他のロールとのみ組み合わせてください。
重要
フォールバック ステータス ポイントロールは例外です。 このサイト システムの役割はクライアントからの認証されていないデータを受け入れるため、フォールバック ステータス ポイントの役割を他のConfiguration Managerサイト システムの役割に割り当てないでください。
サイト システムの静的 IP アドレスを構成する
静的 IP アドレスは、名前解決攻撃から保護する方が簡単です。
静的 IP アドレスを使用すると、IPsec の構成も簡単になります。 IPsec の使用は、Configuration Managerのサイト システム間の通信をセキュリティで保護するためのセキュリティのベスト プラクティスです。
サイト システム サーバーに他のアプリケーションをインストールしない
サイト システム サーバーに他のアプリケーションをインストールすると、Configuration Managerの攻撃対象領域が増えます。 また、互換性の問題も危険にさらされます。
サイト オプションとして署名を要求し、暗号化を有効にする
サイトの署名と暗号化のオプションを有効にします。 すべてのクライアントが SHA-256 ハッシュ アルゴリズムをサポートできることを確認し、[ SHA-256 が必要] オプションを有効にします。
管理ユーザーの制限と監視
信頼できるユーザーにのみConfiguration Managerへの管理アクセス権を付与します。 次に、組み込みのセキュリティ ロールを使用するか、セキュリティ ロールをカスタマイズして、最小限のアクセス許可を付与します。 ソフトウェアと構成を作成、変更、展開できる管理ユーザーは、Configuration Manager階層内のデバイスを制御する可能性があります。
管理ユーザーの割り当てとその承認レベルを定期的に監査して、必要な変更を確認します。
詳細については、「 ロールベースの管理を構成する」を参照してください。
Configuration Managerバックアップをセキュリティで保護する
Configuration Managerをバックアップすると、この情報には、偽装のために攻撃者が使用できる証明書やその他の機密データが含まれます。
このデータをネットワーク経由で転送し、バックアップの場所をセキュリティで保護する場合は、SMB 署名または IPsec を使用します。
エクスポートされたオブジェクトの場所をセキュリティで保護する
Configuration Manager コンソールからネットワークの場所にオブジェクトをエクスポートまたはインポートするたびに、場所をセキュリティで保護し、ネットワーク チャネルをセキュリティで保護します。
ネットワーク フォルダーにアクセスできるユーザーを制限します。
攻撃者がエクスポートされたデータを改ざんするのを防ぐには、ネットワークの場所とサイト サーバーの間で SMB 署名または IPsec を使用します。 また、Configuration Manager コンソールとサイト サーバーを実行するコンピューター間の通信をセキュリティで保護します。 情報漏えいを防ぐために、IPsec を使用してネットワーク上のデータを暗号化します。
失敗したサーバーから証明書を手動で削除する
サイト システムが正しくアンインストールされていない場合、または機能を停止して復元できない場合は、このサーバーのConfiguration Manager証明書を他のConfiguration Manager サーバーから手動で削除します。
サイト システムとサイト システムの役割で最初に確立されたピア信頼を削除するには、他のサイト システム サーバーの信頼されたPeople証明書ストアで、障害が発生したサーバーのConfiguration Manager証明書を手動で削除します。 このアクションは、再フォーマットせずにサーバーを再利用する場合に重要です。
詳細については、「 サーバー通信の暗号化制御」を参照してください。
境界ネットワークをブリッジするようにインターネット ベースのサイト システムを構成しない
境界ネットワークとイントラネットに接続するように、サイト システム サーバーをマルチホームに構成しないでください。 この構成により、インターネット ベースのサイト システムはインターネットとイントラネットからのクライアント接続を受け入れますが、境界ネットワークとイントラネットの間のセキュリティ境界は排除されます。
境界ネットワークへの接続を開始するようにサイト サーバーを構成する
サイト システムが境界ネットワークなどの信頼されていないネットワーク上にある場合は、サイト システムへの接続を開始するようにサイト サーバーを構成します。
既定では、サイト システムはサイト サーバーへの接続を開始してデータを転送します。 この構成は、接続の開始が信頼されていないネットワークから信頼されたネットワークへの場合、セキュリティ 上のリスクになる可能性があります。 サイト システムがインターネットからの接続を受け入れる場合、または信頼されていないフォレストに存在する場合は、サイト システム オプションを [ このサイト システムへの接続を開始するためにサイト サーバーを要求する] に構成します。 サイト システムとロールのインストール後、すべての接続は、信頼されたネットワークからサイト サーバーによって開始されます。
認証で SSL ブリッジングと終了を使用する
インターネット ベースのクライアント管理に Web プロキシ サーバーを使用する場合は、認証で終了を使用して SSL への SSL ブリッジングを使用します。
プロキシ Web サーバーで SSL 終了を構成すると、インターネットからのパケットは、内部ネットワークに転送される前に検査の対象になります。 プロキシ Web サーバーは、クライアントからの接続を認証して終了した後、インターネット ベースのサイト システムへの新しい認証された接続を開きます。
クライアント コンピューター Configuration Managerプロキシ Web サーバーを使用してインターネット ベースのサイト システムに接続する場合、クライアント ID (GUID) はパケット ペイロード内に安全に格納されます。 その後、管理ポイントはプロキシ Web サーバーをクライアントとは見なしません。
プロキシ Web サーバーが SSL ブリッジングの要件をサポートできない場合は、SSL トンネリングもサポートされます。 このオプションの安全性は低くなります。 インターネットからの SSL パケットは、終了せずにサイト システムに転送されます。 その後、悪意のあるコンテンツを検査することはできません。
警告
Configuration Managerによって登録されたモバイル デバイスは、SSL ブリッジングを使用できません。 SSL トンネリングのみを使用する必要があります。
ソフトウェアをインストールするようにコンピューターをウェイクアップするようにサイトを構成する場合に使用する構成
従来のウェイクアップ パケットを使用する場合は、サブネット指向ブロードキャストではなくユニキャストを使用します。
サブネット向けブロードキャストを使用する必要がある場合は、サイト サーバーからの IP ダイレクト ブロードキャストのみを許可し、既定以外のポート番号でのみ許可するようにルーターを構成します。
さまざまな Wake On LAN テクノロジの詳細については、「 クライアントをウェイクアップする方法の計画」を参照してください。
電子メール通知を使用する場合は、SMTP メール サーバーへの認証済みアクセスを構成します
可能な限り、認証されたアクセスをサポートするメール サーバーを使用します。 認証には、サイト サーバーのコンピューター アカウントを使用します。 認証にユーザー アカウントを指定する必要がある場合は、最小限の特権を持つアカウントを使用します。
LDAP チャネル バインドと LDAP 署名を適用する
Active Directory ドメイン コントローラーのセキュリティを強化するには、署名を要求しない簡易認証とセキュリティレイヤー (SASL) LDAP バインドを拒否するか、クリア テキスト接続で実行される LDAP 単純バインドを拒否するようにサーバーを構成します。 バージョン 1910 以降では、Configuration Managerでは LDAP チャネル バインドと LDAP 署名の強制がサポートされています。 詳細については、Windows の 2020 LDAP チャネル バインドと LDAP 署名要件に関するページを参照してください。
サイト サーバーのセキュリティ ガイダンス
Configuration Manager サイト サーバーをセキュリティで保護するには、次のガイダンスを使用します。
警告
ネットワーク アクセス アカウント - SQL Server でこのアカウントに対話型サインイン権限を付与しないでください。 コンピューターをドメインに参加させる権限をこのアカウントに付与しないでください。 タスク シーケンス中にコンピューターをドメインに参加させる必要がある場合は、タスク シーケンス ドメイン参加アカウントを使用します。
ドメイン コントローラーではなくメンバー サーバーにConfiguration Managerをインストールする
Configuration Manager サイト サーバーとサイト システムでは、ドメイン コントローラーへのインストールは必要ありません。 ドメイン コントローラーには、ドメイン データベース以外のローカル セキュリティ アカウント管理 (SAM) データベースがありません。 メンバー サーバーにConfiguration Managerをインストールすると、ドメイン データベースではなくローカル SAM データベースにConfiguration Managerアカウントを保持できます。
この方法により、ドメイン コントローラーの攻撃対象領域も低下します。
ネットワーク経由でファイルをコピーせずにセカンダリ サイトをインストールする
セットアップを実行してセカンダリ サイトを作成するときは、親サイトからセカンダリ サイトにファイルをコピーするオプションを選択しないでください。 また、ネットワーク ソースの場所を使用しないでください。 ネットワーク経由でファイルをコピーすると、熟練した攻撃者がセカンダリ サイトのインストール パッケージをハイジャックし、ファイルをインストールする前に改ざんする可能性があります。 この攻撃のタイミングは難しいでしょう。 この攻撃は、ファイルを転送するときに IPsec または SMB を使用して軽減できます。
ネットワーク経由でファイルをコピーする代わりに、セカンダリ サイト サーバーで、メディア フォルダーからローカル フォルダーにソース ファイルをコピーします。 次に、セットアップを実行してセカンダリ サイトを作成する場合、[ インストール ソース ファイル ] ページで、[ セカンダリ サイト コンピューター上の次の場所にあるソース ファイルを使用する (最も安全な場所)] を選択し、このフォルダーを指定します。
詳細については、「 セカンダリ サイトのインストール」を参照してください。
サイト ロールのインストールは、ドライブ ルートからアクセス許可を継承します
最初のサイト システムの役割を任意のサーバーにインストールする前に、システム ドライブのアクセス許可を適切に構成してください。 たとえば、 C:\SMS_CCM
からアクセス許可 C:\
を継承します。 ドライブのルートが適切にセキュリティで保護されていない場合、権限の低いユーザーは、Configuration Manager フォルダー内のコンテンツにアクセスまたは変更できる可能性があります。
SQL Serverのセキュリティ ガイダンス
Configuration Managerはバックエンド データベースとしてSQL Serverを使用します。 データベースが侵害された場合、攻撃者はConfiguration Managerをバイパスする可能性があります。 SQL Serverに直接アクセスすると、Configuration Managerを介して攻撃を開始できます。 SQL Serverに対する攻撃はリスクが高く、適切に軽減することを検討してください。
Configuration ManagerのSQL Serverをセキュリティで保護するには、次のセキュリティ ガイダンスを使用します。
Configuration Manager サイト データベース サーバーを使用して他のSQL Server アプリケーションを実行しないでください
Configuration Manager サイト データベース サーバーへのアクセスを増やすと、このアクションにより、Configuration Manager データに対するリスクが高まります。 Configuration Manager サイト データベースが侵害された場合、同じSQL Server コンピューター上の他のアプリケーションも危険にさらされます。
Windows 認証を使用するようにSQL Serverを構成する
Configuration Managerは、Windows アカウントとWindows 認証を使用してサイト データベースにアクセスしますが、SQL Server混在モードを使用するようにSQL Serverを構成することもできます。 混合モードSQL Server使用すると、追加のSQL Serverサインインでデータベースにアクセスできます。 この構成は必須ではなく、攻撃対象領域が増加します。
セカンダリ サイトでのSQL Server Expressの更新
プライマリ サイトをインストールすると、Configuration Managerは Microsoft ダウンロード センターからSQL Server Expressをダウンロードします。 その後、ファイルがプライマリ サイト サーバーにコピーされます。 セカンダリ サイトをインストールし、SQL Server Expressをインストールするオプションを選択すると、以前にダウンロードしたバージョンConfiguration Managerインストールされます。 新しいバージョンを使用できるかどうかはチェックされません。 セカンダリ サイトに最新バージョンがあることを確認するには、次のいずれかのタスクを実行します。
セカンダリ サイトをインストールしたら、セカンダリ サイト サーバーでWindows Updateを実行します。
セカンダリ サイトをインストールする前に、セカンダリ サイト サーバーにSQL Server Expressを手動でインストールします。 最新バージョンとソフトウェア更新プログラムをインストールしていることを確認します。 次に、セカンダリ サイトをインストールし、既存のSQL Server インスタンスを使用するオプションを選択します。
インストールされているすべてのバージョンのSQL Serverに対してWindows Updateを定期的に実行します。 この方法では、最新のソフトウェア更新プログラムがインストールされていることを確認します。
SQL Serverに関する一般的なガイダンスに従ってください
SQL Serverのバージョンに関する一般的なガイダンスを特定し、従ってください。 ただし、Configuration Managerに関する次の要件を考慮してください。
サイト サーバーのコンピューター アカウントは、SQL Serverを実行するコンピューター上の Administrators グループのメンバーである必要があります。 "管理者プリンシパルを明示的にプロビジョニングする" というSQL Serverの推奨事項に従う場合、サイト サーバーでセットアップを実行するために使用するアカウントは、SQL Server Users グループのメンバーである必要があります。
ドメイン ユーザー アカウントを使用してSQL Serverをインストールする場合は、サイト サーバー コンピューター アカウントが、Active Directory Domain Servicesに発行されたサービス プリンシパル名 (SPN) 用に構成されていることを確認します。 SPN がないと、Kerberos 認証は失敗し、Configuration Managerセットアップは失敗します。
IIS を実行するサイト システムのセキュリティ ガイダンス
Configuration Managerのサイト システムの複数の役割には IIS が必要です。 IIS をセキュリティで保護するプロセスにより、Configuration Managerが正しく動作し、セキュリティ攻撃のリスクが軽減されます。 実用的な場合は、IIS を必要とするサーバーの数を最小限に抑えます。 たとえば、インターネット ベースのクライアント管理の高可用性とネットワーク分離を考慮して、クライアント ベースをサポートするために必要な管理ポイントの数のみを実行します。
IIS を実行するサイト システムをセキュリティで保護するには、次のガイダンスを使用します。
不要な IIS 関数を無効にする
インストールするサイト システムの役割の最小 IIS 機能のみをインストールします。 詳細については、「 サイトとサイト システムの前提条件」を参照してください。
HTTPS を必要とするようにサイト システムの役割を構成する
クライアントは、HTTPS を使用するのではなく、HTTP を使用してサイト システムに接続するときに、Windows 認証を使用します。 この動作は、Kerberos 認証ではなく NTLM 認証の使用にフォールバックする可能性があります。 NTLM 認証を使用すると、クライアントが不正なサーバーに接続する可能性があります。
このガイダンスの例外は、配布ポイントである可能性があります。 配布ポイントが HTTPS 用に構成されている場合、パッケージ アクセス アカウントは機能しません。 パッケージ アクセス アカウントは、コンテンツにアクセスできるユーザーを制限できるように、コンテンツに対する承認を提供します。 詳細については、「 コンテンツ管理のセキュリティ ガイダンス」を参照してください。
重要
バージョン 2103 Configuration Manager以降、HTTP クライアント通信を許可するサイトは非推奨となりました。 HTTPS または拡張 HTTP 用にサイトを構成します。 詳細については、「 HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください。
サイト システムの役割に対して IIS で証明書信頼リスト (CTL) を構成する
サイト システムの役割:
HTTPS 用に構成する配布ポイント
HTTPS 用に構成し、モバイル デバイスをサポートするために有効にする管理ポイント
CTL は、信頼されたルート証明機関 (CA) の定義された一覧です。 グループ ポリシーと公開キー インフラストラクチャ (PKI) 展開で CTL を使用する場合、CTL を使用すると、ネットワーク上に構成されている既存の信頼されたルート CA を補完できます。 たとえば、Microsoft Windows と共に自動的にインストールされる CA や、Windows エンタープライズ ルート CA を介して追加される CA などです。 IIS で CTL を構成すると、信頼されたルート CA のサブセットが定義されます。
このサブセットを使用すると、セキュリティをより詳細に制御できます。 CTL は、受け入れられるクライアント証明書を、CTL 内の CA の一覧から発行された証明書のみに制限します。 たとえば、Windows には、既知のサードパーティ製の CA 証明書が多数付属しています。
既定では、IIS を実行するコンピューターは、これらの既知の CA にチェーンする証明書を信頼します。 一覧表示されたサイト システムの役割に対して CTL を使用して IIS を構成しない場合、サイトは、これらの CA から発行された証明書を持つ任意のデバイスを有効なクライアントとして受け入れます。 これらの CA を含まない CTL で IIS を構成した場合、証明書がこれらの CA にチェーンされている場合、サイトはクライアント接続を拒否します。 Configuration Managerクライアントが一覧表示されたサイト システムの役割に対して受け入れられるには、Configuration Manager クライアントで使用される CA を指定する CTL を使用して IIS を構成する必要があります。
注:
IIS で CTL を構成する必要があるのは、一覧表示されているサイト システムの役割のみです。 管理ポイントに使用Configuration Manager証明書発行者の一覧は、クライアント コンピューターが HTTPS 管理ポイントに接続するときに同じ機能を提供します。
IIS で信頼できる CA の一覧を構成する方法の詳細については、IIS のドキュメントを参照してください。
IIS を使用するコンピューターにサイト サーバーを配置しない
ロールの分離は、攻撃プロファイルを減らし、回復性を向上させるのに役立ちます。 通常、サイト サーバーのコンピューター アカウントには、すべてのサイト システムの役割に対する管理者権限があります。 また、クライアント プッシュ インストールを使用する場合は、Configuration Manager クライアントに対してこれらの権限を持つ場合もあります。
Configuration Managerに専用 IIS サーバーを使用する
Configuration Managerでも使用される複数の Web ベースのアプリケーションを IIS サーバーでホストできますが、この方法により攻撃対象領域が大幅に増加する可能性があります。 アプリケーションの構成が不適切な場合、攻撃者はConfiguration Manager サイト システムを制御できる可能性があります。 この侵害により、攻撃者は階層を制御できる可能性があります。
Configuration Manager サイト システムで他の Web ベースのアプリケーションを実行する必要がある場合は、Configuration Manager サイト システム用のカスタム Web サイトを作成します。
カスタム Web サイトを使用する
IIS を実行するサイト システムの場合は、既定の Web サイトではなくカスタム Web サイトを使用するようにConfiguration Managerを構成します。 サイト システムで他の Web アプリケーションを実行する必要がある場合は、カスタム Web サイトを使用する必要があります。 この設定は、特定のサイト システムの設定ではなく、サイト全体の設定です。
カスタム Web サイトを使用する場合は、既定の仮想ディレクトリを削除します
既定の Web サイトの使用からカスタム Web サイトの使用に変更した場合、Configuration Managerは古い仮想ディレクトリを削除しません。 既定の Web サイトで最初に作成Configuration Manager仮想ディレクトリを削除します。
たとえば、配布ポイントの次の仮想ディレクトリを削除します。
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
IIS サーバーのセキュリティ ガイダンスに従う
IIS Server のバージョンに関する一般的なガイダンスを特定し、従います。 特定のサイト システムの役割Configuration Manager必要な要件を考慮してください。 詳細については、「 サイトとサイト システムの前提条件」を参照してください。
IIS カスタム ヘッダーを構成する
MIME スニッフィングを無効にするには、次のカスタム ヘッダーを構成します。
x-content-type-options: nosniff
詳細については、「 カスタム ヘッダー」を参照してください。
他のサービスで同じ IIS インスタンスが使用されている場合は、これらのカスタム ヘッダーに互換性があることを確認してください。
管理ポイントのセキュリティ ガイダンス
管理ポイントは、デバイスとConfiguration Managerの間のプライマリ インターフェイスです。 管理ポイントと実行されるサーバーに対する攻撃を高リスクと考え、適切に軽減します。 すべての適切なセキュリティ ガイダンスを適用し、異常なアクティビティを監視します。
次のガイダンスを使用して、Configuration Managerの管理ポイントをセキュリティで保護します。
管理ポイント上のクライアントを同じサイトに割り当てる
管理ポイント上にあるConfiguration Manager クライアントを管理ポイントのサイト以外のサイトに割り当てるシナリオは避けてください。
以前のバージョンから現在Configuration Managerブランチに移行する場合は、管理ポイント上のクライアントをできるだけ早く新しいサイトに移行します。
フォールバック ステータス ポイントのセキュリティ ガイダンス
Configuration Managerにフォールバック ステータス ポイントをインストールする場合は、次のセキュリティ ガイダンスを使用します。
フォールバック ステータス ポイントをインストールするときのセキュリティに関する考慮事項の詳細については、「フォールバック ステータス ポイントが 必要かどうかを判断する」を参照してください。
同じサイト システムで他の役割を実行しないでください
フォールバック 状態ポイントは、任意のコンピューターからの認証されていない通信を受け入れるように設計されています。 このサイト システムの役割を他の役割またはドメイン コントローラーと共に実行すると、そのサーバーに対するリスクが大幅に増加します。
PKI 証明書を使用してクライアントをインストールする前にフォールバック ステータス ポイントをインストールする
サイト システムConfiguration Manager HTTP クライアント通信を受け入れない場合は、PKI 関連の証明書の問題のためにクライアントが管理されていない可能性があります。 フォールバック ステータス ポイントにクライアントを割り当てると、フォールバック ステータス ポイントを通じてこれらの証明書の問題が報告されます。
セキュリティ上の理由から、クライアントのインストール後にフォールバック ステータス ポイントを割り当てることはできません。 このロールは、クライアントのインストール中にのみ割り当てることができます。
境界ネットワークでフォールバック ステータス ポイントを使用しないようにする
設計上、フォールバック ステータス ポイントは任意のクライアントからのデータを受け入れます。 境界ネットワークのフォールバック ステータス ポイントは、インターネット ベースのクライアントのトラブルシューティングに役立ちますが、トラブルシューティングの利点と、パブリックにアクセス可能なネットワーク内の認証されていないデータを受け入れるサイト システムのリスクとのバランスを取ることができます。
境界ネットワークまたは信頼されていないネットワークにフォールバック 状態ポイントをインストールする場合は、データ転送を開始するようにサイト サーバーを構成します。 フォールバック 状態ポイントがサイト サーバーへの接続を開始できるようにする既定の設定は使用しないでください。
サイト管理のセキュリティに関する問題
Configuration Managerに関する次のセキュリティの問題を確認します。
Configuration Managerには、ネットワークを攻撃するためにConfiguration Managerを使用する承認された管理ユーザーに対する防御はありません。 未承認の管理ユーザーは、高いセキュリティ リスクです。 次の戦略を含む多くの攻撃を開始する可能性があります。
ソフトウェア展開を使用して、organization内のすべてのConfiguration Manager クライアント コンピューターに悪意のあるソフトウェアを自動的にインストールして実行します。
クライアントのアクセス許可なしでConfiguration Manager クライアントをリモートで制御します。
迅速なポーリング間隔と極端な量のインベントリを構成します。 このアクションにより、クライアントとサーバーに対するサービス拒否攻撃が作成されます。
階層内の 1 つのサイトを使用して、別のサイトの Active Directory データにデータを書き込みます。
サイト階層はセキュリティ境界です。 サイトを管理の境界のみと見なします。
すべての管理ユーザー アクティビティを監査し、監査ログを定期的に確認します。 すべてのConfiguration Manager管理ユーザーに対して、採用前にバックグラウンド チェックを受ける必要があります。 雇用条件として定期的な再確認が必要です。
登録ポイントが侵害された場合、攻撃者は認証用の証明書を取得する可能性があります。 モバイル デバイスを登録するユーザーの資格情報を盗む可能性があります。
登録ポイントは CA と通信します。 Active Directory オブジェクトを作成、変更、削除できます。 境界ネットワークに登録ポイントをインストールしないでください。 常に異常なアクティビティを監視します。
インターネット ベースのクライアント管理に対してユーザー ポリシーを許可する場合は、攻撃プロファイルを増やします。
クライアントとサーバー間の接続に PKI 証明書を使用するだけでなく、これらの構成にはWindows 認証が必要です。 Kerberos ではなく NTLM 認証の使用にフォールバックする場合があります。 NTLM 認証は、偽装攻撃や再生攻撃に対して脆弱です。 インターネットでユーザーを正常に認証するには、インターネット ベースのサイト システムからドメイン コントローラーへの接続を許可する必要があります。
サイト システム サーバーでは、管理$ 共有が必要です。
Configuration Manager サイト サーバーは、管理$ 共有を使用してサイト システムに接続してサービス操作を行います。 この共有を無効にしたり削除したりしないでください。
Configuration Managerでは、名前解決サービスを使用して他のコンピューターに接続します。 これらのサービスは、次のセキュリティ攻撃に対してセキュリティで保護するのが困難です。
- スプーフィング
- 改ざん
- 否認
- 情報開示
- サービス拒否
- 特権の昇格
名前解決に使用する DNS のバージョンに関するセキュリティ ガイダンスを特定して従います。
検出のためのプライバシー情報
検出により、ネットワーク リソースのレコードが作成され、Configuration Manager データベースに格納されます。 検出データ レコードには、IP アドレス、OS バージョン、コンピューター名などのコンピューター情報が含まれます。 また、organizationがActive Directory Domain Servicesに格納する情報を返すように Active Directory 検出メソッドを構成することもできます。
既定で有効にする検出方法Configuration Manager、ハートビート検出のみです。 この方法では、Configuration Manager クライアント ソフトウェアが既にインストールされているコンピューターのみを検出します。
検出情報は Microsoft に直接送信されません。 Configuration Manager データベースに格納されます。 Configuration Managerは、データを削除するまでデータベースに情報を保持します。 このプロセスは、サイト メンテナンス タスク [ 期限切れの探索データの削除] によって 90 日ごとに実行されます。