ソフトウェアの配布について推奨するセキュリティ運用方法とプライバシー情報
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
前回の改訂 : 2008 年 8 月
ソフトウェアの配布は、セキュリティの保護が不適切な場合、主な攻撃対象として使用される可能性がある強力な機能です。Microsoft System Center Configuration Manager 2007 は、パッケージのインストール時に、ユーザーに管理者権限がなくても、ユーザーかシステムのコンテキストで昇格された権限を使用できます。この Microsoft System Center Configuration Manager 2007 の機能により、攻撃者は事実上、権限を昇格する攻撃を実行できます。
推奨する運用方法
常に、コンテンツをダウンロードするように提供情報を構成する Configuration Manager 2007 はコンテンツのダウンロード後にパッケージ ハッシュを検証し、ハッシュがポリシーのハッシュと一致しない場合はパッケージを破棄するので、[配布ポイントからコンテンツをダウンロードしてローカルで実行する]に構成した方が安全です。提供情報を[配布ポイントからプログラムを実行する]に構成すると、検証は行われず、攻撃者はコンテンツを改ざんできます。配布ポイントからプログラムを実行する必要がある場合は、配布ポイントのパッケージに対して NTFS の最低限のアクセス許可を使用し、インターネット プロトコル セキュリティ (IPsec) を使用してクライアントと配布ポイントの間および配布ポイントとサイト サーバーの間のチャネルをセキュリティで保護します。
管理者権限での実行が必要となる場合は、プログラムとの対話をユーザーに許可しない プログラムを構成するとき、[プログラムとの対話をユーザーに許可する]オプションを設定して、ユーザーがユーザー インターフェイスで必要な要求に対応できるようにすることができます。プログラムを[管理者権限で実行する]にも構成した場合、プログラムを実行するコンピュータを操作している攻撃者は、ユーザー インターフェイスを使用してクライアント コンピュータに対する権限を昇格する可能性があります。管理者資格情報が必要でも、管理者資格情報がないユーザーのコンテキストで実行する必要があるインストールには、ユーザーごとに昇格した権限で Windows インストーラ ベースのセットアップ プログラムを使用してください。Windows インストーラのユーザーごとに昇格した権限を使用すると、この要件でアプリケーションを最も安全に展開できます。
サブコレクションでソフトウェアの配布を制限する必要がある場合に、サブコレクションを作成しない 管理者に、サブコレクションではなくコレクションに対する提供アクセス許可しかない場合でも、サブコレクションを含むコレクションへの提供情報は、コレクションおよびサブコレクションのすべてのメンバに送信されます。あるコレクションを別のコレクションにリンクできる管理者は、コレクションへの提供アクセス許可をまったく保有していない場合でも、あるコレクションで、別のコレクションを対象とする提供情報を受信させることができます。このため、提供情報があるコレクションへのサブコレクションの追加を監視し、提供情報を受信するコレクションの読み取りアクセス許可の付与先を慎重に選択する必要があります。
パッケージの作成時にパッケージのアクセス許可を設定する パッケージ ファイルのアクセス アカウントへの変更は、配布ポイントの共有フォルダの場合とは異なり、パッケージをリフレッシュするまで有効になりません。このため、最初にパッケージを作成するときは、パッケージ アクセス許可を慎重に設定する必要があります。特にパッケージのサイズが大きい場合、多数の配布ポイントにパッケージを配布する場合、およびネットワークのパッケージの配布能力が限られている場合は注意が必要です。すべての配布ポイントのリフレッシュを迅速に開始するには、パッケージに対して配布ポイントの更新タスクを使用できます。
パッケージ アクセス レベルでソフトウェアを保護する 既定では、配布ポイントのパッケージ ファイルを管理者は完全にアクセスでき、ユーザーは読み取ることができます。クライアント コンピュータに対する管理者権限があるユーザーは、コンピュータがサイトの境界内にない場合でも、任意のサイトに参加するようにクライアントを設定できます。サイトに結合されたクライアントは、そのサイト、およびコンピュータまたはユーザーが関連コレクションの要件を満たす場所に有効なすべてのソフトウェアの配布を受け取ることができます。このため、特定のユーザーに限定する必要があるソフトウェアは、サイトの有効性やコレクションの条件によって限定するのではなく、パッケージ アクセス レベルでこれらのユーザーに指定する必要があります。ただし、インターネット ゲスト アカウントによるパッケージへのアクセスを制限すると、インターネット ベースのクライアントがパッケージにアクセスできなくなります。詳細については、「パッケージ アクセス シナリオの例」を参照してください。
パッケージが SMS 2003 にある場合、アップグレード後にすべてのパッケージを更新する SMS 2003 (製品版) では MD5 を使用してパッケージをハッシュしています。Configuration Manager 2007 と SMS 2003 の SP1 以降のサービス パックでは SHA-1 を使用しています。すべてのパッケージを SHA-1 でハッシュし直すには、SMS 2003 (製品版) で作成したパッケージのうち、SMS サービス パックで更新されていないものをすべて更新する必要があります。この作業に失敗すると、提供情報がパッケージをダウンロードしてローカルで実行するよう設定されている場合、クライアントにより有効なパッケージが破棄される場合があります。
配布ポイントについて推奨する運用方法
サイト サーバーから配布ポイントの役割を削除する 既定では、サイト サーバーは標準配布ポイントとしてセットアップされます。しかし、この役割を他のサイト システムに割り当て、サイト サーバーから削除して攻撃対象を縮小してください。クライアントがサイト サーバー、またはサイト サーバーで構成されている役割と直接対話する正当な理由はありません。配布ポイントでバックグラウンド インテリジェント転送サービス (BITS) を有効にすることを選択した場合、これは特に重要です。インターネット インフォメーション サービス (IIS) をインストールして BITS が有効な配布ポイントを作成すると、サイト システムの攻撃対象が大幅に拡がるためです。
インターネット ベースのクライアントで配布ポイント共有およびブランチ配布ポイントを作成しない Configuration Manager 2007 ではこれは禁止されていませんが、インターネット ベースのクライアントでどの種類の配布ポイントを作成することも、攻撃対象を大幅に拡げるため、避けてください。イントラネット内または境界ネットワーク内で管理可能なサイト システムでのみ配布ポイントを作成します。
カスタム Web サイトに切り替えた後、既定の仮想ディレクトリを削除する 使用する Web サイトを既定のものからカスタム Web サイトに切り替えても、Configuration Manager 2007 は既定の Web サイトに作成された仮想ディレクトリを自動的には削除しません。このような仮想ディレクトリは手動で削除する必要があります。この操作が特に重要になるのは、既定の Web サイトを使用しているときに配布ポイントに[クライアントに匿名接続を許可する (モバイル デバイス クライアントに必須)]を設定していて、カスタム Web サイトに切り替えた後に匿名接続を無効にする場合です。このような場合、既定の Web サイトの仮想ディレクトリには匿名アクセス用の構成が残ります。BITS 対応の配布ポイントで作成された仮想ディレクトリの一覧については、「BITS 対応の配布ポイントについて」を参照してください。
ブランチ配布ポイントを保護するためのアクセス制御を実装する ブランチ配布ポイントは、Microsoft Windows XP Professional ワークステーション コンピュータも含むすべての Configuration Manager 2007 クライアントにインストールできます。ワークステーション コンピュータは一般的に、サーバー コンピュータと同じ物理アクセス制御に従わないので、ユーザーはブランチ配布ポイントの使用を監視する必要があります。攻撃者がハード ドライブまたはブランチ配布ポイント全体を盗むリスクがある場合は、ブランチ配布ポイントに機密ソース ファイルを配布しないでください。クライアントがブランチ配布ポイントからパッケージをダウンロードして、ネットワーク経由ではなくローカルでパッケージを実行するように、すべての提供情報を構成する必要があります。Configuration Manager 2007 はダウンロードされたパッケージのハッシュを確認して、確認できないパッケージを破棄します。しかし、配布ポイントから実行されたパッケージの確認は行われません。
アプリケーション仮想化ストリーミングに対応した配布ポイントで暗号化モードを有効にする Configuration Manager 2007 R2 では、アプリケーション仮想化ストリーミングに対応した配布ポイントを構成すると**、**リアルタイム ストリーミング プロトコル (RTSP) または TLS 経由の RTSP (RTSPS) のいずれかを選択できます。暗号化を有効にすると、攻撃者による改ざんからデータ ストリームを保護できます。
セキュリティ関連の問題
次の問題には軽減策がありません。
パッケージはダウンロードされるまで検証されない Configuration Manager 2007 は、クライアント キャッシュにパッケージがダウンロードされた後、パッケージの署名を検証します。攻撃者がパッケージを改ざんした場合、クライアントはかなり広い帯域幅をパッケージのダウンロードで浪費し、署名が無効であるためにパッケージを破棄することになります。
プライバシー情報
ソフトウェアの配布では、サイトの任意のクライアントで任意のプログラムまたはスクリプトを実行できます。Configuration Manager 2007 は、実行するプログラムまたはスクリプトの種類、およびプログラムまたはスクリプトが送信する情報の種類を制御できません。Configuration Manager 2007 は、ソフトウェアの配布処理中に、コンピュータおよびログオン アカウントを識別するクライアントとサーバーの間で情報を送信することがあります。
Configuration Manager 2007 は、ソフトウェアの配布処理に関するステータス情報を維持します。ネイティブ モードを有効にしていない場合、ソフトウェア配布のステータス情報は送信中に暗号化されません。ステータス情報は、暗号化された形式でデータベースに格納されるわけではありません。
ステータス情報は、サイト データベースに格納され、既定では 30 日ごとに削除されます。削除の動作は、[サイト フィルタの規則]プロパティおよびサイト保守タスクの両方を設定することで構成できます。ステータス情報がマイクロソフトに送信されることはありません。
クライアントへのソフトウェアのリモート インストール、対話型インストール、およびサイレント インストールを行うために Configuration Manager 2007 ソフトウェア インストールを使用することは、そのソフトウェアのソフトウェア ライセンス条項に従うものであり、Configuration Manager 2007 のソフトウェア ライセンス条項とは別です。Configuration Manager 2007 を使用してソフトウェアをインストールする前に、常にソフトウェア ライセンス条項を確認して同意してください。
ソフトウェアの配布は、既定で行われることはなく、いくつかの構成手順を必要とします。ソフトウェアの配布を構成する前に、プライバシー要件について検討してください。
参照:
その他のリソース
Configuration Manager 機能について推奨するセキュリティ運用方法とプライバシー情報
Configuration Manager のソフトウェアの配布