次の方法で共有

帯域外管理について推奨するセキュリティ運用方法とプライバシー情報

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 SP1 以降の帯域外管理により、Intel vPro チップ セットおよび Configuration Manager によりサポートされる Intel Active Management Technology (Intel AMT) ファームウェア バージョンを搭載しているコンピュータの管理が容易になります。ただし、承認されていないユーザーがこの機能を使用してネットワーク上のコンピュータを攻撃できないように、アクセスを制限することが重要です。

推奨するセキュリティ運用方法

AMT ベースのコンピュータを購入する前にカスタマイズされたファームウェアを要求する   帯域外管理できるコンピュータには BIOS 拡張があり、これらのコンピュータが自分のネットワーク上にある場合に、カスタマイズされた値を設定しセキュリティを大幅に向上させることができます。コンピュータの製造元から入手できる BIOS 拡張設定を確認し、所定の値を指定します。詳細については、「コンピュータの製造元から提供されるカスタマイズされたファームウェア イメージが必要かどうかを決定する」を参照してください。AMT ベース コンピュータに使用したいファームウェア値がない場合、手作業で指定することができる可能性があります。手作業による BIOS 拡張の構成の詳細については、Intel のドキュメントまたはコンピュータの製造元のドキュメントを参照してください。また、Intel vPro Expert Center:Microsoft vPro Manageability Web サイト (https://go.microsoft.com/fwlink/?LinkId=132001)。以下のオプションをカスタマイズして、セキュリティを向上させます。

  • 外部証明書機関 (CA) のすべての証明書の拇印を独自の内部 CA の証明書の拇印で置換する。 これによって偽のプロビジョニング サーバーが AMT ベース コンピュータのプロビジョニングを試行するのを防ぎ、外部 CA からプロビジョニング証明書を購入する必要がなくなります。内部ルートCA の証明書の拇印を見つける方法については、「AMT プロビジョニング用の内部ルート証明書の拇印を検出する方法」を参照してください。

  • **MEBx アカウントにカスタム パスワードを使用し、admin の既定値が使用されないようにする。**次にこのパスワードと AMT プロビジョニングおよび探索アカウントを Configuration Manager に指定します。これによって偽のプロビジョニング サーバーが既知の既定パスワードで AMT ベース コンピュータのプロビジョニングを試行するのを防ぎます。詳細については、「MEBx アカウントについて」と「AMT プロビジョニングおよび探索アカウントを追加する方法」を参照してください。

  • 既定のプロビジョニング サーバーの値を変更する。 既定の名前 ProvisionServer を使用すると、この名前のレコードが誤ったコンピュータまたは偽のコンピュータの IP アドレスに解決するように構成された場合は、セキュリティ上のリスクになります。プロビジョニング サーバーの値を 1 つの IP アドレスで構成する方が、既知の名前を使用するよりも安全です。ただし、ある IP アドレスが異なるサイトでプロビジョニングされる場合、複数の AMT ベース コンピュータに使用することはできません。IP アドレスではなく別の名前を構成する場合は、名前解決を行う DNS を構成する必要があります。ProvisionServer またはカスタム名の名前解決を使用する場合は、帯域外サービス ポイント サイト システム コンピュータに解決されなくなるような方法でレコードが変更されないようにするために、DNS レコードをセキュリティで保護するようにします。詳細については、「DNS に帯域外サービス ポイントのエイリアスを登録すべきかどうかを判断する」を参照してください。

  • サーバー のプロビジョニングに代替ポートを構成する。 カスタム ポートを使用する方が、帯域外プロビジョニング用に既定のポートを使用するよりも安全です。帯域外プロビジョニングを使用する場合、 [帯域外管理のプロパティ] の [全般] タブで代替のポート番号を構成します。

帯域外プロビジョニングではなく帯域内プロビジョニングを使用する 帯域内プロビジョニングを使用することにより、特にネイティブ モードの場合に、クライアントが既に Configuration Manager インフラストラクチャとの間に確立している信頼関係を利用できるようになります。帯域外プロビジョニングでは、信用されないコンピュータは、帯域外コンピュータのインポート ウィザードで指定されている SMBIOS GUID (UUID とも呼ばれます) を提供する場合にプロビジョニングされます。正常にプロビジョニングされたコンピュータは Active Directory ドメイン サービスでアカウントが自動的に作成され、サーバー認証の機能がある証明書をエンタープライズ CA から受信します。偽のコンピュータがプロビジョニングされた場合、結果のネットワーク認証によって権限が昇格し、承認済みアクセス用にセキュリティで保護されたネットワーク上で情報を読み取るためにアカウントが使用される可能性があります (情報の流出)。信頼を確立するためにサーバー認証のある証明書が誤用される場合があります。攻撃者には、有効な DNS サーバーおよびプロビジョニング サーバーを偽装するサーバーを作成し、AMT ベース コンピュータを偽のプロビジョニング サーバーに誘導することも可能です。帯域外プロビジョニングを使用する必要がなければ、以下に従ってこれらのセキュリティ リスクを軽減するのに役立てます。

  • Configuration Manager 2007 SP2 のみに適用:[コンポーネントの構成] から、 [帯域外管理プロパティ] ダイアログ ボックスの [全般] タブで [帯域外プロビジョニングを有効にする] オプションを選択しないでください。既定では、このオプションは選択されていません。この既定の設定では、Configuration Manager が帯域外プロビジョニング要求に応答しません。これは、偽のコンピュータが帯域外でプロビジョニングされるのを防ぐのに役立ちます。

  • 偽のコンピュータが帯域外でプロビジョニングされるのを防ぐためには: 新しいコンピュータを Configuration Manager データベースに追加するのに帯域外コンピュータのインポート ウィザードを使用しません。帯域外サービス ポイントの役割を実行するサーバーの Windows ファイアウォールを構成してプロビジョニング ポート (既定では TCP 9971) をブロックします。帯域外サービス ポイント用のエイリアスを DNS に登録しません。DNS エイリアスの情報の詳細については、「DNS に帯域外サービス ポイントのエイリアスを登録すべきかどうかを判断する」を参照してください。さらに、ネットワークへの物理アクセスを制限し、クライアントを監視して不正なコンピュータを検出します。

  • 偽のサーバーによる AMT ベース コンピュータのプロビジョニングを防ぐには、AMT BIOS 拡張で MEBx アカウント用にカスタム パスワードを使用して、admin の既定値が使用されないようにします。次にこのパスワードと AMT プロビジョニングおよび探索アカウントを Configuration Manager に指定します。詳細については、「MEBx アカウントについて」と「AMT プロビジョニングおよび探索アカウントを追加する方法」を参照してください。

コンピュータが新しく、オペレーティング システムが一切インストールされていないために帯域内プロビジョニングを使用できない場合、オペレーティング システムの展開を使用してオペレーティング システムをインストールし、Configuration Manager 2007 SP1 以降用のクライアントをインストールして、コンピュータが帯域内でプロビジョニングできるようにする方法を検討します。オペレーティング システムの展開は帯域外プロビジョニングと異なり、Active Directory ドメイン サービスに認証アカウントを作成せず、エンタープライズ CA からのサーバー認証証明書を必要としません。オペレーティング システムの展開の詳細については、「Configuration Manager のオペレーティング システムの展開」を参照してください。コンピュータに Configuration Manager 2007 SP1 以降用のクライアントがインストールされていないため、またはコンピュータに Configuration Manager によってネイティブでサポートされる AMT のバージョンがないために帯域内プロビジョニングを使用できない場合は、Configuration Manager 2007 SP1 以降用のクライアントをインストールし、必要に応じてファームウェアをサポートされているバージョンにアップグレードします。Configuration Manager でサポートされる AMT のバージョンの詳細については、「帯域外管理の概要」を参照してください。

手動で証明書を失効させ、Configuration Manager 2007 SP1 サイトによってブロックされている AMT ベースのコンピュータの Active Directory アカウントを削除する   Configuration Manager 2007 SP1 サイトによってブロックされるコンピュータは、引き続き帯域外管理通信を受け入れます。AMT ベース コンピュータが信頼できなくなったためにブロックされた場合には、次の手作業による操作を実行します。

  • 発行元 CA 上で、証明書サブジェクトにある AMT ベース コンピュータの FQDN を持つサイト サーバーに発行された証明書を失効させます。

  • Active Directory ドメイン サービスで、AMT ベース コンピュータ用に作成された AMT アカウントを無効にするか、または削除します。

プロビジョニング証明書の要求およびインストールを管理する    コンピュータのセキュリティ コンテキストを使用して、プロビジョニング サーバーから直接プロビジョニング証明書を要求します。これにより、証明書はローカル コンピュータ ストアに直接インストールされます。別のコンピュータから証明書を要求する必要がある場合は、秘密キーをエクスポートした後、制限付きアクセスで証明書を証明書ストアに転送してインポートする間、別のセキュリティ制御を使用する必要があります。

必ず既存の証明書の有効期限が切れる前に新しいプロビジョニング証明書を要求する    AMT プロビジョニング証明書の有効期限が切れると、プロビジョニングは失敗します。プロビジョニング証明書を取得するために CA を使用している場合は、証明書の更新処理の完了と、帯域外管理ポイントの再構成にかかる時間を考慮するようにします。

注意

AMT プロビジョニング証明書の期限切れが近づくと、Configuration Manager は ID 7210 の警告ステータス メッセージを生成し、使用中のプロビジョニング証明書の有効期限が 40 日以内に切れることを通知します。このステータス メッセージは、証明書が 40 日を超える有効期間で置き換えられるか、または有効期間が 15 日未満になるまで、1 日に一度繰り返し送信されます。有効期間が 15 日未満になると、ID 7211 のエラー ステータス メッセージが生成され、証明書が 15 日を超える有効期間で置き換えられるまで繰り返し送信されます。

プロビジョニング証明書が失効した場合は、帯域外サービス ポイント サイト システム サーバーにある証明書ストアから証明書を削除し、帯域外管理コンポーネントの構成のプロパティから削除する    AMT プロビジョニング証明書が失効しているとわかっている場合は、AMT ベースのコンピュータをプロビジョニングするために手作業で Configuration Manager によってその証明書が使用されないようにする必要があります。これは、ATM ベースのコンピュータがプロビジョニング証明書用の CRL を確認しないためです。証明書を帯域外サービス ポイント サイト システム サーバーにある証明書ストアから削除します。次に、新しいプロビジョニング証明書を展開し、それを [帯域外管理プロパティ] ダイアログ ボックスで構成します。有効な AMT プロビジョニング証明書をすぐに展開できない場合は、証明書を置き換えるまでの間、帯域外サービス ポイントの役割を削除しておきます。

内部証明機関から提供されるプロビジョニング証明書を失効させる必要がある場合は、証明機関コンソールで証明書を失効させる    Configuration Manager 2007 SP1 以降にはプロビジョニング証明書を失効させる機能はありません。

AMT ベースのコンピュータのプロビジョニング専用の証明書テンプレートを使用する   エンタープライズ CA 用に Windows Server の Enterprise バージョンを使用している場合、既定の Web サーバー証明書テンプレートを複製することで新しい証明書テンプレートを作成します。 読み取りおよび登録アクセス許可は必ず Configuration Manager サイト サーバーのみに持たせ、既定のサーバー認証に追加機能を付与しないでください。専用の証明書テンプレートを持つことにより、より適切にアクセスの管理と制御を行うことができるようになり、権限の昇格を防ぐのに役立てることができます。エンタープライズ CA 用に Windows Server の Standard バージョンを使用している場合、重複した証明書テンプレートを作成することはできません。このシナリオでは、AMT ベース コンピュータをプロビジョニングする Configuration Manager サイト サーバー以外のコンピュータに読み取りおよび登録アクセス許可を与えないでください。

Wake On LAN ではなく帯域外管理を使用する    両方ともソフトウェアの更新および提供情報でコンピュータのウェイクアップをサポートしていますが、帯域外管理は、業界標準のセキュリティ プロトコルを使用した認証と暗号化を提供するため、Wake On LAN より安全なソリューションであるといえます。また、帯域外管理は、既存の公開キー基盤 (PKI) 展開と統合し、セキュリティ制御を製品から独立して管理できます。詳細については、「帯域外管理による電源オン コマンドまたは Wake On LAN のウェイクアップ パケットを選択する」を参照してください。

コンピュータが帯域外管理をサポートしていない場合ファームウェアで AMT を無効にする    AMT ベースのコンピュータがサポートされている AMT バージョンを搭載していても、帯域外管理がサポートしていないシナリオがあります。該当するシナリオには次のようなものがあります。ワークグループ コンピュータ、異なる名前空間を持つコンピュータ、分離された名前空間を持つコンピュータAMT ベースのコンピュータが Active Directory ドメインサービスに公開されておらず、必要とされる PKI 証明書がないことを確認するには、ファームウェアの AMT を無効にしてください。Configuration Manager の AMT プロビジョニングでは、Active Directory ドメイン サービスに公開されたアカウントのドメイン資格情報が作成されます。このため、コンピュータが Active Directory フォレストの一部でないと、権限の昇格のリスクがあります。

専用の OU を使用して AMT ベースのコンピュータを公開する    AMT プロビジョニング中に作成される Active Directory アカウントを発行するのに既存のコンテナまたは OU を使用しないでください。別の OU を使用したほうが、これらのアカウントの管理と制御をより適切に行うことができ、アカウントに必要以上に多くの権限を付与することを防ぐのに役立ちます。

グループ ポリシーを使用して AMT アカウントのユーザー権限を制限する    権限の昇格を防ぎ、攻撃者がこれらのアカウントのいずれかへのアクセス権を取得した場合の攻撃対象を低減するために、Active Directory ドメイン サービスに公開される AMT アカウントに限定的ユーザー権限を適用します。ATM プロビジョニング プロセス中に Configuration Manager によって自動的に作成される AMT アカウントを含むセキュリティ グループを作成し、次にこのグループを \Computer Configuration\Windows Settings\Security Settings\Local Policy\User Rights Assignment の下にある有効化された以下のグループ ポリシー設定に追加します。

  • ネットワークからのこのコンピュータへのアクセスを拒否する

  • バッチ ジョブとしてのログオン権限を拒否する

  • サービスとしてのログオン権限を拒否する

  • ローカルでのログオンを拒否する

  • ターミナル サービス経由のログオンを拒否する

これらのグループ ポリシー設定をフォレスト内のすべてのコンピュータに適用します。必要に応じてグループ メンバシップを定期的に検討して見直し、現在 Active Directory ドメイン サービスに発行されているすべての AMT アカウントを含むようにします。

帯域内プロビジョニング専用のコレクションを使用する    既存のコレクションに含まれるコンピュータの数が帯域内でプロビジョニングしたい数を超える場合は使用しないでください。代わりに、「コンピュータを AMT 用にプロビジョニングする方法」の帯域内プロビジョニング用の手順を使用して、クエリベースのコレクションを作成します。サイトが混在モードの場合、必ずこれらのコンピュータが承認されるようにします。承認の詳細については、「Configuration Manager クライアントの承認について」および「Configuration Manager クライアントの承認方法」を参照してください。

メディアのリダイレクト権限および PT 管理権限 (Configuration Manager 2007 SP1) またはプラットフォーム管理権限 (Configuration Manager 2007 SP2) を付与するユーザーを制限する   メディアのリダイレクト権限を付与することは、コンピュータへの物理アクセス許可を付与することとほぼ同じです。攻撃者がコンピュータを開くための物理アクセス許可を持っていなくても、メディアのリダイレクト権限を持つユーザーが代替オペレーティング システムを読み込み、それを使用してハード ドライブ上のデータをリモートで攻撃することが可能です。PT 管理権限 (Configuration Manager 2007 SP1) およびプラットフォーム管理権限 (Configuration Manager 2007 SP2) は、自動的にすべての AMT 権限を含み、これはメディアのリダイレクト権限を含みます。

別のメディアからブートして IDE リダイレクト機能を使用する場合は、イメージ ファイルを確実に取得し格納する   IDE リダイレクト機能を使用するために別のメディアからブートする場合、可能なときはいつでも帯域外管理コンソールを実行するコンピュータ上にイメージ ファイルをローカルに格納します。イメージ ファイルをネットワーク上に格納する必要がある場合は、ネットワーク転送中にファイルが不正に改ざんされるのを防ぐために、ネットワーク経由でファイルを取得するための接続に SMB 署名が使用されていることを確認します。いずれのシナリオでも、不正なアクセスから格納されたファイルを保護してください (たとえば、NTFS アクセス許可および暗号化されたファイル システムを使用するなど)。

AMT プロビジョニングおよび探索アカウントの数を最小限にする   複数の AMT プロビジョニングおよび探索アカウントを指定することで、Configuration Manager が管理コントローラを持つコンピュータを検出し、それらを帯域外管理用にプロビジョニングできるようにすることは可能ですが、現在必要ではないアカウントは指定せず、不要になったアカウントは削除してください。必要なアカウントのみを指定することで、これらのアカウントに必要以上に多くの権限が付与されることがなくなり、不要なネットワーク トラフィックおよび処理を軽減することができます。AMT プロビジョニングおよび探索アカウントの詳細については、「AMT プロビジョニングおよび探索アカウントを帯域外管理用に構成するかどうかを判断する」および「AMT プロビジョニングおよび探索アカウントについて」を参照してください。

Configuration Manager 2007 SP2 のみに該当: 802.1X およびワイヤレス用にプロビジョニングされたコンピュータを手作業でセキュリティ グループに追加する   [コンポーネントの構成] からは、[帯域外管理のプロパティ] ダイアログ ボックスの [802.1X & Wireless] タブの [AMT ベースのコンピュータを自動的にセキュリティ グループに追加しない] オプションを使用して自動的にコンピュータをセキュリティ グループに追加しないでください。権限の昇格から保護するために、コンピュータへのネットワーク アクセス権の付与に使用されるセキュリティ グループのメンバシップを慎重に管理します。[AMT ベースのコンピュータを自動的にセキュリティ グループに追加しない] オプションを選択し、既知の信頼できるコンピュータ アカウントを手作業でセキュリティ グループに追加します。

Configuration Manager 2007 SP2 のみに該当: 現実的であれば、クライアント認証証明書には単一の証明書テンプレートを使用する   ワイヤレス プロファイルごとに異なる証明書テンプレートを指定することはできますが、ワイヤレス ネットワークごとに異なる設定を使用する業務要件がない限り、単一の証明書テンプレートを使用し、クライアント認証の機能のみを指定し、この証明書テンプレートを帯域外管理の Configuration Manager 専用に使用します。たとえば、ワイヤレス ネットワークで要求されるキーサイズが他よりも高い、または有効期間が他よりも短い場合は、別の証明書テンプレートを作成する必要が生じます。単一の証明書テンプレートを持つことにより、使用管理が簡単になり、権限の昇格を防ぎやすくなります。

Configuration Manager 2007 SP2 のみに該当: 承認された管理者のみが必要に応じて監査操作を実行し、監査ログを管理するようにする   AMT のバージョンによっては、Configuration Manager は AMT 監査ログがほぼ埋まっている場合には新しいエントリの書き込みを停止したり、古いエントリを上書きする場合があります。新しいエントリがログに記録され、古いエントリが上書きされないようにするには、必要に応じて定期的に監査ログを消去し、監査エントリを保存します。監査ログの管理および監査アクティビティの監視方法の詳細については、「AMT ベースのコンピュータの監査ログを管理する方法」を参照してください。

プライバシー情報

Microsoft System Center Configuration Manager 2007 SP1 以降の帯域外管理コンソールでは、Intel vPro チップ セットおよびファームウェアのバージョンが Configuration Manager によってサポートされている Intel Active Management Technology (Intel AMT) を搭載しているコンピュータを管理します。Configuration Manager 2007 SP1 以降では、コンピュータ名、IP アドレス、MAC アドレスなどのコンピュータの構成と設定に関する情報を一時的に収集します。情報は管理されているコンピュータと帯域外管理コンソールとの間を、暗号化されたチャネルを使用して転送されます。この機能は、既定では有効ではなく、通常は管理セッションが終了した後は、情報は保存されません。Configuration Manager 2007 SP2 の監査を有効にすると、管理対象のAMT ベース コンピュータの IP アドレスを含んだファイルに、記録された日付と時間に管理アクションを実行したドメインとユーザー アカウントも一緒に、保存することができます。この情報が Microsoft に送信されることはありません。

Configuration Manager を有効にして、帯域外管理コンソールによって管理可能な管理コントローラを備えたコンピュータを探索するオプションが用意されています。探索によって、管理可能なコンピュータ用のレコードが作成され、そのレコードがデータベースに保存されます。探索データ レコードには、IP アドレス、オペレーティング システム、コンピュータ名などのコンピュータ情報が含まれます。既定では、管理コントローラの探索機能は無効になっています。詳細については、「管理コントローラのあるコンピュータの探索方法」を参照してください。探索情報がマイクロソフトに送信されることはありません。探索情報は、サイト データベースに保存されます。情報は、90 日ごとに実行されるサイトの保守タスク (期限切れの探索データの削除) によって削除されるまでデータベースに保持されます。削除間隔は構成できます。

参照:

リファレンス

期限切れの探索データの削除タスクの概要

その他のリソース

Configuration Manager 機能について推奨するセキュリティ運用方法とプライバシー情報

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.