クライアントについて推奨するセキュリティ運用方法
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 は、クライアントからのデータを受け入れる必要があります。このため、クライアントが形式の正しくないインベントリを送信したり、サイト システムに過剰な負荷をかけようとするなどして、サイトを攻撃する可能性が発生します。Configuration Manager 2007 は、信頼できるコンピュータおよびデバイスにのみ展開してください。
次のセクションはクライアント コンピュータにのみ適用されます。モバイル デバイス クライアントの詳細については、「モバイル デバイス クライアントについて推奨するセキュリティ運用方法とプライバシー情報」を参照してください。
混在モードについて推奨する運用方法
信頼されたドメインのクライアントを自動的に承認する 承認は、手動で行うか、信頼されたドメインのコンピュータに対して自動的に行うか、すべてのコンピュータに対して自動的に行うことができます。承認は、混在モード サイトでは [サイト モード] タブのサイト プロパティとして構成されます。最も安全な承認方法は、信頼されたドメインのメンバであるクライアントを自動で承認する方法です。このモードでは、ワークグループ クライアントなどの信頼されたドメインのメンバではないクライアントは手動で承認する必要があります。機密データを含むポリシーを受信できるようにする前に、クライアントごとに手動で確認したい場合は、承認モードを手動に設定します。すべてのクライアントを自動で承認することは、信頼できないコンピュータがネットワークにアクセスするのを防止するように、その他のアクセス制御を行っていない限り、推奨されません。クライアントは、自動的に承認されない場合でも Configuration Manager 2007 コンソールに表示され、コレクションで場所を確認してから [操作] メニューの [承認] を使用することで、手動で承認できます。
注意
以前に承認されたクライアントが Configuration Manager 2007 コンソールから削除され、コンソールに再び表示されたときに承認されない場合、そのクライアントには依然として機密データを含むすべてのポリシーが存在します。
クライアントがサイトにアクセスするのを防ぐためにブロックに依存しない ブロックされたクライアントは、Configuration Manager 2007 インフラストラクチャによって拒否されるため、サイト システムと通信してポリシーをダウンロードしたり、インベントリ データをアップロードしたり、状態またはステータス メッセージを送信したりすることができなくなります。ただし、サイトが混在モードである場合は、ブロックされたクライアントが新しい自己署名入り証明書とハードウェア ID を使用してサイトに再参加することができるため、信頼されていないコンピュータまたはモバイル デバイスからサイトを保護する目的でブロックに依存しないでください。この機能は、オペレーティング システムの展開機能とネイティブ モード クライアントを使用してクライアントを展開する場合に、紛失したまたは危険のあるブート メディアをブロックするのに使用されるように設計されています。サイトがネイティブ モードであり、公開キー インフラストラクチャで証明書失効リスト (CRL) がサポートされている場合、危険の可能性のある証明書に対しては、証明書失効が第 1 の防御ラインとなることを常に考慮してください。Configuration Manager 2007 でクライアントをブロックすることは、階層を保護するための第 2 の防御ラインとなります。詳細については、「Configuration Manager クライアントのブロックが必要かどうかを判断する」を参照してください。
すべてのクライアントを Configuration Manager 2007 にアップグレードし、[このサイトに ConfigMgr 2007 クライアントのみを含める] をオンにする [このサイトに ConfigMgr 2007 クライアントのみを含める] チェック ボックスがオンになっている場合、承認されたクライアントのみが機密データを含むポリシーを受信できます。ただし、このチェック ボックスがオフの場合でも、機密データを含むポリシーを任意のクライアントに送信することができます。
ネイティブ モードについて推奨する運用方法
可能なときは常にネイティブ モードを使用する ネイティブ モードでは、PKI によって発行された証明書を使用して、サイト システムとクライアントの間での認証を提供します。ネイティブ モードは、Configuration Manager 2007 で最もセキュリティの高いモードとして設計されています。
BITS を使用するようにすべての配布ポイントを構成する [クライアントがこの配布ポイントから BITS、HTTP、および HTTPS を使用してコンテンツを転送できるようにする] 設定を構成しない場合、クライアントは、ネイティブ モードでもサーバー メッセージ ブロックを使用してそれらの配布ポイントと通信します。SMB の通信は、ネイティブ モードでも Configuration Manager 2007 によって認証も暗号化もされません。
[ローミングとサイト割り当てのための HTTP 通信を許可する] を有効にしない この設定を有効にすると、ネイティブ モード クライアントが混在モード サイトとローミングするときに、HTTPS ではなく HTTP を使用して常駐管理ポイントおよび配布ポイントと通信できるようになります。ただし、Active Directory ドメイン サービス スキーマが Configuration Manager 2007 用に拡張されていない場合、またはネイティブ モードのサイトが信頼されていないドメインまたはワークグループからイントラネット上のクライアントを管理する場合は、この設定を有効にする必要があります。詳細については、「ローミングとサイト割り当てのために HTTP 通信を構成する必要があるかどうかを判断する (ネイティブ モード)」を参照してください。
証明書管理の推奨される運用方法に従う 詳細については、「証明書管理について推奨する運用方法」を参照してください。
すべてのクライアント コンピュータについて推奨する運用方法
リスク プロファイルに適したクライアント インストール方法を選択する 管理対象コンピュータに Configuration Manager 2007 クライアント ソフトウェアをインストールするには、いくつかの方法があります。次の表に、各方法のセキュリティに関する長所と短所、および考慮事項を示します。
| 方法 | 長所 | 短所 | 考慮事項 |
|---|---|---|---|
手動インストール |
アクセス制御および変更制御が実装された場合は非常に安全になります。 |
リソースとプロセスを集中的に使用します。効率的に拡大縮小できません。 各コンピュータに管理者権限を持つユーザーが必要です。 |
管理者が、プロセス全体のセキュリティ制御を作成する必要があります。 |
イメージング |
アクセス制御および変更制御が実装された場合は非常に安全になります。 |
既存のコンピュータではなく、新しいクライアント ベースを展開する場合にのみ実用的です。 |
Configuration Manager 2007 のオペレーティング システムの展開機能を使用して、新しいオペレーティング システムを展開しながら Configuration Manager 2007 クライアント ソフトウェアをインストールできます。 |
グループ ポリシー |
多数のクライアント コンピュータに容易に拡張できます。 Active Directory ドメイン サービス内に既に存在するセキュリティ制御を使用します。 管理者権限で自動的に実行されます。 |
Active Directory ドメイン サービス管理者との連携が必要です。 組織単位がサイト全体でクライアントを展開する方法と一致しないことがあります。 ワークグループ クライアントでは機能しません。 |
グループ ポリシーの対話の評価が複雑になる可能性があります。コンピュータがクライアント ソフトウェアと正しいクライアント設定を受信することを監視して確認します。 |
クライアント プッシュ インストール |
多数のクライアント コンピュータに容易に拡張できます。 |
クライアントごとに管理者権限のあるアカウントが必要です。 ファイルとプリンタの共有が必要です。 クライアントのパーソナル ファイアウォール上でファイルと印刷の共有ポートおよびリモート管理サービスが開いている必要があります。詳細については、「Configuration Manager クライアントのファイアウォール設定」を参照してください。 |
クライアント プッシュ インストール アカウントとして Domain Admin アカウントを使用しないでください。攻撃者が 1 つのアカウントを侵害してもすべての Configuration Manager 2007 クライアント コンピュータの管理上の制御を取得できないように、管理範囲が小さい複数のクライアント プッシュ インストール アカウントを使用することを検討してください。詳細については、「クライアント プッシュ インストール アカウントについて」を参照してください。 |
ソフトウェアの更新ポイントのクライアント インストール |
ソフトウェアの更新機能と統合できます。 すべてのソフトウェアの更新が署名されるので、ファイルが改ざんされるリスクが少なくなります。 管理者権限で自動的に実行されます。 |
WSUS インフラストラクチャが必要です。 別の WSUS サーバーをクライアント インストールとソフトウェアの更新に使用することはできません。 クライアントがまだインストールされていない場合は、正しいサーバー名形式とポート番号を使用して、Active Directory グループ ポリシー オブジェクトを構成する必要があります。 |
正しく構成されていない Active Directory グループ ポリシー オブジェクトによって、クライアントがソフトウェアの更新ポイントからソフトウェアの更新を取得できなくなる可能性があります。詳細については、「ソフトウェアの更新ポイント ベースで Configuration Manager クライアントをインストールする方法」を参照してください。 |
ソフトウェアの配布 |
ローカルの管理者アカウントを必要とせずに既存のクライアントを簡単にアップグレードできます。 多数のクライアント コンピュータに容易に拡張できます。 管理者権限で実行されるように構成できます。 |
アップグレードする必要がある既存のクライアント コンピュータでのみ機能します。 |
すべてのソフトウェアの配布と同様に、Configuration Manager 2007 でパッケージの作成に使用されるソース ファイルをセキュリティで保護する必要があります。 |
クライアントのイメージングの前に証明書を削除する イメージング テクノロジを使用してクライアントを展開する予定がある場合は常に、イメージをキャプチャする前に、ネイティブ モード クライアントの認証証明書や混在モードの自己署名証明書などの証明書を削除してください。削除しないと、クライアントが互いになりすましを行い、各クライアントのデータを検証できなくなる可能性があります。Sysprep を使用してコンピュータをイメージング用に準備する方法については、https://go.microsoft.com/fwlink/?LinkId=93068 を参照してください。
Configuration Manager クライアントが、インストール時に信頼されたルート キーの承認されたコピーを取得することを確認する Active Directory スキーマを拡張していない場合、クライアントは信頼されたルート キーに依存して、有効な管理ポイントを認証します。信頼されたルート キーがないと、クライアントは管理ポイントがサイトの信頼された管理ポイントであることを確認する方法がないため、技術を持った攻撃者が、クライアントを偽の管理ポイントに誘導できるようになります。
Active Directory Only モードを使用するようにクライアント コンピュータを構成する クライアント構成の最も安全なオプションは SMSDIRECTORYLOOKUP=NoWINS です。ただし、これを使用できるのは、クライアントがグローバル カタログに照会できる場合のみなので、リモート フォレストまたはワークグループのクライアントの場合や、Active Directory スキーマが拡張されていない場合は使用しないでください。クライアントがサービスの場所に WINS および SMSDIRECTORYLOOKUP=NoWINS を使用する必要がある場合、サービスの場所は失敗します。詳細については、「Configuration Manager とサービスの場所 (サイト情報と管理ポイント)」を参照してください。プロパティを指定しない場合、クライアントは Secure WINS モードでインストールされます。Any WINS モードは、安全ではないので、お勧めしません。詳細については、「Configuration Manager クライアント インストールのプロパティについて」を参照してください。
メンテナンス ウィンドウが重要なソフトウェアの更新を展開するために十分な長さであることを確認する Configuration Manager 2007 では、クライアントがメンバになっているコレクションのメンテナンス ウィンドウを構成して、Configuration Manager 2007 がソフトウェアのインストールに使用できる時間を制限できます。ウィンドウの設定が短すぎると、クライアントは重要なソフトウェアの更新をインストールできず、ソフトウェアの更新によって軽減される攻撃に対して脆弱なままになります。
セキュリティに関する問題
次のセキュリティに関する問題には軽減策がありません。
ステータス メッセージが認証されない ステータス メッセージに対して認証が実行されません。混在モードでは、すべてのコンピュータが管理ポイントにステータス メッセージを送信できます。ネイティブ モードでは、コンピュータは、信頼されたルート CA から有効なクライアント認証証明書を取得する必要がありますが、その後でステータス メッセージを送信することもできます。クライアントが無効なステータス メッセージを送信した場合、そのメッセージは破棄されます。この脆弱性に対していくつかの攻撃の可能性が考えられます。攻撃者は、偽のステータス メッセージを送信し、ステータス メッセージ クエリに基づいてコレクションのメンバシップを取得することができます。任意のクライアントが、管理ポイントに大量のステータス メッセージを送信することで管理ポイントに対するサービス拒否攻撃を開始する可能性があります。ステータス メッセージがステータス メッセージ フィルタ規則内の動作をトリガしている場合、攻撃者はステータス メッセージ フィルタ規則をトリガできます。攻撃者は、レポート情報を不正確なものにするステータス メッセージを送信することもできます。
対象外のクライアントがポリシーの対象に変更される可能性がある 1 つのクライアントを対象としたポリシーをまったく異なるクライアントに適用するために攻撃者が使用できる方法がいくつかあります。たとえば、信頼されたクライアントを使用する攻撃者が、偽のインベントリ情報や探索情報を送信して、所属しないはずのコンピュータをコレクションに追加し、コレクション向けのすべての提供情報を受信することができます。攻撃者がポリシーを直接変更することを防ぐために役立つ制御方法が存在しても、攻撃者は、既存のポリシーを取得して再フォーマットし、オペレーティング システムを再展開して異なるコンピュータに送信し、サービス拒否攻撃を行うことができます。これらの種類の攻撃には、正確なタイミングと、Configuration Manager 2007 インフラストラクチャに関する広範囲にわたる知識が必要です。
クライアント ログに対するユーザー アクセスが許可される すべてのクライアント ログ ファイルでは、ユーザーの読み取りアクセス権と、対話ユーザーの書き込みアクセス権が許可されます。詳細ログ記録を有効にすると、攻撃者がログ ファイルを読み取って、対応またはシステムの脆弱性に関する情報を探す可能性があります。ソフトウェアの配布など、ユーザーのコンテキストで実行されるプロセスでは、権限の低いユーザー アカウントを使用してログに書き込める必要があります。つまり、攻撃者も権限の低いアカウントを使用してログに書き込めることになります。最も重大なリスクは、管理者が監査および侵入者の検知で必要とするログ ファイル内の情報を攻撃者が削除する可能性があることです。
プライバシー情報
Configuration Manager 2007 クライアントを展開すると、クライアント エージェントを有効にして Configuration Manager 2007 機能を使用できます。機能を構成するために使用する設定はサイト内のすべてのクライアントに適用されます。これは、クライアントが企業ネットワークに直接接続しているか、リモート セッションを介して接続しているか、インターネットに接続しているがサイトでサポートされているかに関係ありません。クライアント情報はデータベースに保存されます。Microsoft に送信されることはありません。Configuration Manager 2007 クライアントを構成する前に、プライバシー要件について検討してください。
参照:
その他のリソース
Configuration Manager で信頼されたルート キーを管理する方法
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.