Configuration Manager コンソールについて推奨するセキュリティ運用方法とプライバシー情報

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 コンソールは SMS プロバイダへのインターフェイスです。サイトへの不正なアクセスを制限するために Configuration Manager 2007 コンソール コンピュータを保護します。

推奨する運用方法

Configuration Manager コンソールを実行するときは常に最小のアクセス許可を持つアカウントを使用する    リモートのサーバーまたはワークステーションに Configuration Manager 2007 コンソールをインストールする場合、そのサーバーまたはワークステーションに Configuration Manager の管理者アカウントでログオンしないでください。代わりに、通常のユーザー アカウントでログオンし、［別のユーザーとして実行］(Windows Server 2003 および Windows XP の場合) または ユーザー アクセス制御 (Windows Vista および Configuration Manager 2007 の場合) を使用して Windows Server 2008 オペレーティング システム コンソールを起動し、Configuration Manager 2007 の管理者権限を持つアカウントの資格情報を指定します。

管理者以外のユーザーがサイトで Configuration Manager コンソールを使用できないようにする    Configuration Manager 2007 の管理者がサイト サーバー コンピュータに対するすべての管理者権限を必要としない場合は、サイト サーバーでコンソールを実行できないようにします。代わりに、セキュリティで保護されたクライアント コンピュータに Configuration Manager 2007 コンソールをインストールし、Configuration Manager 2007 オブジェクト セキュリティ権限を割り当てて、ユーザー アクセスを可能な限り最小限のアクセス許可に制限します。

Configuration Manager コンソールからの Web 参照を制限する     Configuration Manager 2007 では、Microsoft 管理コンソール (MMC) のウィンドウに Web ページを自動的に表示して、レポートや製品の［開始］ページを表示できます。MMC の Web ページを使用して他のサイトを参照すると、攻撃者にコンソールと、場合によってはサイトの制御を奪われるリスクが増大します。

権限の低いターミナル サービス ユーザーがサイト システムの役割で接続を確立できないようにする     権限の低いユーザーにターミナル サーバー セッションへの直接アクセスを許可すると、必要以上の権限を与えることになります。

サイト設定の転送ウィザードからの XML 出力を保護する     サイト設定の転送ウィザードでは、サイト設定を XML ファイルとしてローカル フォルダまたはネットワーク共有フォルダにエクスポートできます。ネットワーク上の場所に XML ファイルを保存すると、SMB を使用した通信が発生しますが、これはセキュリティで保護されていません。IPsec を使用して通信チャネルをセキュリティで保護するか、ファイルをローカルに保存し、安全な方法を使用してネットワーク共有フォルダに転送します。

管理者以外のユーザーがリモート デスクトップやターミナル サービスを使用してサイト サーバーにアクセスできないようにする     サイト サーバーでのアクセス許可の構成方法によっては、ターミナル サービスのユーザーが権限を超えてファイルにアクセスできる場合があります。代わりに、セキュリティで保護されたクライアント コンピュータに Configuration Manager 2007 コンソールをインストールし、Configuration Manager 2007 オブジェクト セキュリティ権限を割り当てて、ユーザー アクセスを可能な限り最小限のアクセス許可に制限します。

プライバシー情報

Configuration Manager 2007 をインストールすると、カスタマ エクスペリエンス 向上プログラムに参加するかどうかを選択できます。参加することを選択すると、Configuration Manager 2007 はシステムの構成、一部の Configuration Manager 2007 コンポーネントのパフォーマンス、および Configuration Manager 2007 が生成するエラー イベントに関する統計情報を収集します。Windows が定期的に概要データを含む小さいファイルを Microsoft に送信します。Microsoft では、そのデータを使用して製品を向上させる方法を特定します。

参加の有無は、サイトの Configuration Manager 2007 コンソール セッションすべてに適用されます。参加の有無はいつでも変更できます。1 つのコンソール セッションから設定を変更すると、すべてのコンソール セッションの設定が変更されます。カスタマ エクスペリエンス 向上プログラムの詳細については、https://go.microsoft.com/fwlink/?LinkId=81182 を参照してください。

参照:

タスク

カスタマ エクスペリエンス向上プログラムへの参加および辞退方法

その他のリソース

Configuration Manager 機能について推奨するセキュリティ運用方法とプライバシー情報

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.