インベントリについて推奨するセキュリティ運用方法とプライバシー情報
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
インベントリを収集すると、潜在的な脆弱性が露出します。攻撃者は、次のことを実行できます。
無効なデータを送信する。
過剰な大きさのデータを送信する。
インベントリ情報がサイト システムに転送されたときに、インベントリ情報にアクセスする。
インベントリ情報は他の方法で利用できるため、インベントリ攻撃は通常、許可されていないソフトウェアの配布を強制するよりも重要度が低いと見なされます。
インベントリについて推奨する運用方法
インベントリの暗号化を有効にする Microsoft System Center Configuration Manager 2007 ネイティブ モードでは、クライアントの管理ポイントとの通信は SSL で暗号化されます。混在モードでは、既定で、管理ポイントに送信されるクライアントのインベントリ レポートおよび収集されたファイルは、署名されますが、暗号化されません。管理ポイントに送信されるインベントリ レポートの暗号化の詳細については、「クライアント インベントリ レポートを暗号化する方法」を参照してください。
高セキュリティ環境で IDMIF コレクションおよび NOIDMIF コレクションを無効にする IDMIF コレクションおよび NOIDMIF コレクションはハードウェア インベントリ コレクションの拡張に使用できます。必要に応じて、Configuration Manager 2007 は、IDMIF ファイルおよび NOIDMIF ファイルのプロパティに合わせて、サイト データベース内に新規テーブルを作成したり既存のテーブルを変更したりします。ただし、IDMIF および NOIDMIF ファイルは検証されないため、これらが使用されて変更したくないテーブルが変更される可能性があります。有効なデータが無効なデータで上書きされることもあります。大量のデータが読み込まれ、すべての Configuration Manager 2007 機能に遅延が生じる可能性があります。このリスクを軽減するために、ハードウェア インベントリ クライアント エージェントのプロパティで IDMIF コレクションおよび NOMIDIF コレクションを無効化できます。
注意
SMS_def.mof 拡張を使用したハードウェア インベントリ コレクションの拡張では、同様なセキュリティ問題は発生しません。すべての SMS_def.mof 拡張はサーバー側で行われる必要があり、管理者権限を必要とします。
重要なファイルや機密情報の収集にファイル コレクションを使用しない Configuration Manager 2007 では、LocalSystem アカウントのすべての権利を使用してインベントリが収集されます。このアカウントは、レジストリ キーやセキュリティ アカウント データベースなどの重要なシステム ファイルのコピーを収集する権限があります。これらのファイルがサイト サーバーにある場合、保存されているファイルの場所に対するリソースの読み取り権限または NTFS 権限を持つ人物が、クライアントのセキュリティを低下させることができるようにするために、ファイルの内容を分析し、クライアントに関する重要な詳細を識別できる可能性があります。
プライバシー情報
ハードウェア インベントリにより、Configuration Manager 2007 クライアントの WMI に格納されているすべての情報を取得できます。ソフトウェア インベントリにより、クライアントにある指定された種類のすべてのファイルの探索、および指定されたすべてのファイルの収集を行うことができます。資産インテリジェンスは、ハードウェアおよびソフトウェア インベントリを拡張し、新しいライセンス管理機能を追加することで、インベントリの機能を強化します。
既定では、ハードウェア インベントリはオンです。また、収集される WMI 情報は SMS_def.mof ファイルによって決定されます。.mof ファイルを変更して、収集する情報の量を増減できます。既定では、ソフトウェア インベントリおよびファイル コレクションはオフです。既定では、新規インストールにおいては資産インテリジェンス データ コレクションは無効です。ただし、以前 SMS 2003 SP3 で有効になっていた場合、アップグレード後も有効になります。
インベントリ情報が Microsoft に送信されることはありません。インベントリ情報はサイト データベースに格納されます。ネイティブ モードでは、インベントリは、管理ポイントへの転送中は暗号化されます。ネイティブ モードには、インベントリの暗号化を有効にするオプションがあります。どちらのモードでも、データは暗号化された形式ではデータベースに格納されません。情報は、90 日ごとに実行されるサイトのメンテナンス タスク([期限切れのインベントリ履歴の削除]または[期限切れの収集ファイルの削除])によって削除されるまでデータベースに保持されます。削除間隔は構成できます。
ハードウェア インベントリ、ソフトウェア インベントリ、ファイル コレクション、または資産インテリジェンスを構成する前に、プライバシー要件について検討してください。
参照:
その他のリソース
Configuration Manager 機能について推奨するセキュリティ運用方法とプライバシー情報
Configuration Manager のインベントリ
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.