Segurança e privacidade para implantação de SO no Gestor de Configuração
Aplica-se a: Gestor de Configuração (ramo atual)
Este artigo contém informações de segurança e privacidade para a funcionalidade de implementação do SO no Gestor de Configuração.
Melhores práticas de segurança para implantação de SO
Utilize as seguintes boas práticas de segurança para quando implementar sistemas operativos com o Gestor de Configuração:
Implementar controlos de acesso para proteger os suportes de dados de arranque
Ao criar suportes de dados de arranque, atribua sempre uma palavra-passe para ajudar a proteger os suportes de dados. Mesmo com uma palavra-passe, apenas encripta ficheiros que contêm informações sensíveis, e todos os ficheiros podem ser substituídos.
Controle o acesso físico ao suporte de dados para impedir que um atacante utilize ataques criptográficos para obter o certificado de autenticação de cliente.
Para ajudar a impedir que um cliente instale conteúdo ou adultere a política de cliente, o conteúdo é protegido por hash e tem de ser utilizado com a política original. Se o hash de conteúdo falhar ou a verificação que o conteúdo corresponde à política, o cliente não vai utilizar o suporte de dados de arranque. Só o conteúdo é hahed. A apólice não é hashed, mas é encriptada e segura quando especifica uma palavra-passe. Este comportamento torna mais difícil para um intruso modificar com sucesso a política.
Utilize uma localização segura quando criar meios de comunicação para imagens DE
Se os utilizadores não autorizados tiverem acesso à localização, podem adulterar os ficheiros que cria. Também podem usar todo o espaço de disco disponível para que a criação de mídia falhe.
Proteja os ficheiros de certificados
Proteja os ficheiros de certificados (.pfx) com uma palavra-passe forte. Se os armazenar na rede, proteja o canal de rede quando os importar para o Gestor de Configurações
Quando necessita de uma palavra-passe para importar o certificado de autenticação do cliente que utiliza para meios de arranque, esta configuração ajuda a proteger o certificado de um intruso.
Utilize a assinatura SMB ou IPsec entre a localização de rede e o servidor de site para impedir que um atacante adultere o ficheiro de certificado.
Bloquear ou revogar quaisquer certificados comprometidos
Se o certificado do cliente estiver comprometido, bloqueie o certificado do Gestor de Configuração. Se for um certificado PKI, revogue-o.
Para implementar um SISTEMA utilizando meios de comunicação e boot PXE, tem de ter um certificado de autenticação do cliente com uma chave privada. Se esse certificado for comprometido, bloqueie o certificado no nó Certificados da área de trabalho de Administração, nó Segurança.
Proteja o canal de comunicação entre o servidor do site e o Fornecedor DE SMS
Quando o Fornecedor de SMS estiver afastado do servidor do site, fixe o canal de comunicação para proteger as imagens de arranque.
Quando modifica as imagens de arranque e o Fornecedor de SMS está a funcionar num servidor que não é o servidor do site, as imagens de arranque são vulneráveis a ataques. Proteja o canal de rede entre estes computadores utilizando a assinatura SMB ou IPsec.
Ativar pontos de distribuição para comunicação de cliente PXE apenas em segmentos de rede seguros
Quando um cliente envia um pedido de boot PXE, não tem como se certificar de que o pedido é servido por um ponto de distribuição válido habilitado a PXE. Este cenário apresenta os seguintes riscos de segurança:
Um ponto de distribuição não autorizado que responda a pedidos PXE poderia fornecer uma imagem adulterada aos clientes.
Um atacante pode lançar um ataque homem-no-meio contra o protocolo TFTP que é usado pelo PXE. Este ataque pode enviar código malicioso com os ficheiros oss. O intruso também poderia criar um cliente fraudulento para fazer pedidos de TFTP diretamente para o ponto de distribuição.
Um atacante poderia utilizar um cliente malicioso para lançar um ataque denial-of-service contra o ponto de distribuição.
Utilize a defesa em profundidade para proteger os segmentos de rede onde os clientes acedem a pontos de distribuição ativados por PXE.
Aviso
Devido a estes riscos de segurança, não permita um ponto de distribuição para comunicação PXE quando está numa rede não fidedquiríssia, como uma rede de perímetro.
Configurar pontos de distribuição PXE ativados para responder a pedidos PXE apenas em interfaces de rede especificadas
Se permitir que o ponto de distribuição responda a pedidos PXE em todas as interfaces de rede, esta configuração poderá expor o serviço PXE a redes não fidedignas
Exigir uma palavra-passe para efetuar o arranque PXE
Quando necessita de uma palavra-passe para a bota PXE, esta configuração adiciona um nível extra de segurança ao processo de arranque PXE. Esta configuração ajuda a salvaguardar contra clientes fraudulentos que se juntam à hierarquia do Gestor de Configuração.
Restringir o conteúdo em imagens DES utilizadas para a bota PXE ou multicast
Não inclua aplicações de linha de negócio ou software que contenham dados sensíveis numa imagem que utiliza para boot PXE ou multicast.
Devido aos riscos inerentes à segurança envolvidos com a bota PXE e multicast, reduza os riscos se um computador fraudulento descarregar a imagem do SO.
Restringir o conteúdo instalado por variáveis de sequência de tarefas
Não inclua aplicações de linha de negócio ou software que contenham dados sensíveis em pacotes de aplicações que instala usando variáveis de sequências de tarefas.
Quando implementa software utilizando variáveis de sequências de tarefas, pode ser instalado em computadores e utilizadores que não estejam autorizados a receber esse software.
Proteja o canal de rede ao migrar o estado do utilizador
Quando migrar o estado do utilizador, proteja o canal de rede entre o cliente e o ponto de migração do Estado utilizando a assinatura SMB ou o IPsec.
Após a ligação inicial através de HTTP, os dados da migração de estado de utilizador são transferidos utilizando SMB. Se não proteger o canal de rede, um intruso pode ler e modificar estes dados.
Use a versão mais recente do USMT
Utilize a versão mais recente da Ferramenta de Migração do Estado do Utilizador (USMT) que o Gestor de Configuração suporta.
A versão mais recente do USMT fornece melhoramentos de segurança e um maior controlo ao migrar dados de estado do utilizador.
Eliminar manualmente as pastas nos pontos de migração do Estado quando as desativar
Quando remove uma pasta de ponto de migração do estado na consola 'Gestor de Configuração' nas propriedades do ponto de migração do estado, o site não apaga a pasta física. Para proteger os dados de migração do estado do utilizador da divulgação de informações, remova manualmente a partilha da rede e elimine a pasta.
Não configuure a política de eliminação para apagar imediatamente o estado do utilizador
Se configurar a política de eliminação no ponto de migração do Estado para remover imediatamente os dados marcados para eliminação, e se um intruso conseguir recuperar os dados do estado do utilizador antes do computador válido, o site elimina imediatamente os dados do estado do utilizador. Defina o Eliminar depois de intervalo de modo a ser suficientemente longo para verificar o sucesso do restauro dos dados de estado de utilizador.
Eliminar manualmente associações de computadores
Eliminar manualmente as associações de computadores quando os dados de migração do estado do utilizador forem restaurados e verificados.
O Gestor de Configuração não remove automaticamente as associações de computadores. Ajudar a proteger a identidade dos dados do estado do utilizador eliminando manualmente associações de computadores que já não são necessárias.
Fazer manualmente cópias de segurança dos dados de migração de estado de utilizador no ponto de migração de estado
O Backup do Gestor de Configuração não inclui os dados de migração do estado do utilizador na cópia de segurança do site.
Implementar controlos de acesso para proteger os suportes de dados pré-configurados
Controle o acesso físico ao suporte de dados para impedir que um atacante utilize ataques criptográficos para obter o certificado de autenticação de cliente e dados confidenciais.
Implementar controlos de acesso para proteger o processo de processamento de imagens do computador de referência
Certifique-se de que o computador de referência utilizado para capturar imagens de SO se encontra num ambiente seguro. Utilize controlos de acesso apropriados para que software inesperado ou malicioso não possa ser instalado e inadvertidamente incluído na imagem capturada. Quando capturar a imagem, certifique-se de que a localização da rede de destino está segura. Este processo ajuda a garantir que a imagem não pode ser adulterada depois de a capturar.
Instalar sempre as atualizações de segurança mais recentes no computador de referência
Se o computador de referência tiver as atualizações de segurança mais recentes, isso ajudará a reduzir a janela de vulnerabilidade dos novos computadores durante o primeiro arranque.
Implementar controlos de acesso ao implementar um SISTEMA para um computador desconhecido
Se tiver de implantar um SISTEMA num computador desconhecido, implemente controlos de acesso para impedir que computadores não autorizados se conectem à rede.
O fornecimento de computadores desconhecidos fornece um método conveniente para implementar novos computadores a pedido. Mas também pode permitir que um intruso se torne eficientemente um cliente de confiança na sua rede. Limite o acesso físico à rede e monitorize os clientes para detetar computadores não autorizados.
Os computadores que respondem a uma implementação de SO iniciada por PXE podem ter todos os dados destruídos durante o processo. Este comportamento pode resultar numa perda de disponibilidade de sistemas que são inadvertidamente reformatados.
Ativar a encriptação de pacotes multicast
Para cada pacote de implementação de SO, pode ativar a encriptação quando o Gestor de Configuração transfere o pacote utilizando multicast. Esta configuração ajuda a evitar que os computadores fraudulentos se juntem à sessão multicast. Também ajuda a evitar que os atacantes adulteram a transmissão.
Monitorizar pontos de distribuição multicast ativados não autorizados
Se os atacantes puderem aceder à sua rede, podem configurar servidores multicasts fraudulentos para falsificar a implementação do SISTEMA.
Ao exportar sequências de tarefas para uma localização de rede, proteja a localização e o canal de rede
Limite quem pode aceder à pasta de rede.
Utilize a assinatura SMB ou IPsec entre a localização de rede e o servidor de site para impedir que um atacante adultere a sequência de tarefas exportada.
Se utilizar a sequência de tarefa executada como conta, tome precauções adicionais de segurança
Se utilizar a sequência de tarefa executada como conta,tome as seguintes medidas de precaução:
Utilize uma conta com o mínimo de permissões necessárias.
Não utilize a conta de acesso à rede para esta conta.
Nunca torne a conta num administrador do domínio.
Nunca configure perfis itinerantes para essa conta. Quando a sequência de tarefas é executado, descarrega o perfil de roaming para a conta, o que deixa o perfil vulnerável ao acesso no computador local.
Limite o âmbito da conta. Por exemplo, crie uma sequência de tarefas diferente como conta para cada sequência de tarefas. Se uma conta estiver comprometida, apenas os computadores clientes a que essa conta tem acesso estão comprometidos. Se a linha de comando necessitar de acesso administrativo no computador, considere criar uma conta de administrador local apenas para a sequência de tarefas executada como conta. Crie esta conta local em todos os computadores que executam a sequência de tarefas e elimine a conta assim que deixar de ser necessária.
Restringir e monitorizar os utilizadores administrativos a quem é concedida a função de gestor de implementação de sistema de implantação do SISTEMA
Os utilizadores administrativos a quem é concedida a função de gestor de implementação do SISTEMA podem criar certificados auto-assinados. Estes certificados podem então ser usados para personificar um cliente e obter a política do cliente do Gestor de Configuração.
Utilizar HTTP Melhorado para reduzir a necessidade de uma conta de acesso à rede
A partir da versão 1806, quando ativar HTTP Melhorado,vários cenários de implementação de SISTEMA não requerem uma conta de acesso à rede para descarregar conteúdo a partir de um ponto de distribuição. Para obter mais informações, consulte as sequências de tarefas e a conta de acesso à rede.
Questões de segurança para a implantação do SO
Embora a implementação do SO possa ser uma forma conveniente de implementar os sistemas operativos e configurações operacionais mais seguros para computadores na sua rede, tem os seguintes riscos de segurança:
Divulgação de informações e denial-of-service
Se um intruso conseguir obter o controlo da infraestrutura do Gestor de Configuração, poderá executar quaisquer sequências de tarefas. Este processo pode incluir formatação dos discos rígidos de todos os computadores clientes. As sequências de tarefas podem ser configuradas para conter informações confidenciais, tais como contas que tenham permissões para aderir ao domínio e chaves de licenciamento em volume.
Representação e elevação de privilégios
As sequências de tarefas permitem associar um computador ao domínio, o que poderá fornecer acesso autenticado de rede a um computador não autorizado.
Proteja o certificado de autenticação do cliente utilizado para o sistema de sequência de tarefas bootable e para a implantação de boot-boot PXE. Ao capturar um certificado de autenticação do cliente, este processo dá a um intruso a oportunidade de obter a chave privada no certificado. Este certificado permite-lhes fazer-se passar por um cliente válido na rede. Neste cenário, o computador não autorizado pode transferir a política, que pode conter dados confidenciais.
Se os clientes utilizarem a conta de acesso à rede para aceder aos dados armazenados no ponto de migração do Estado, estes clientes partilham efetivamente a mesma identidade. Poderiam aceder aos dados de migração do Estado de outro cliente que utiliza a conta de acesso à rede. Os dados são encriptados para poderem ser lidos apenas pelo cliente original, mas podem ser adulterados ou eliminados.
A autenticação do cliente no ponto de migração do Estado é conseguida utilizando um token De Gestor de Configuração que é emitido pelo ponto de gestão.
O Gestor de Configuração não limita nem gere a quantidade de dados que é armazenado no ponto de migração do Estado. Um intruso poderia preencher o espaço disponível do disco e causar uma negação de serviço.
Se utilizar variáveis de coleção, os administradores locais podem ler informações potencialmente confidenciais
Embora as variáveis de recolha ofereçam um método flexível para implementar sistemas operativos, esta funcionalidade pode resultar na divulgação de informação.
Informações de privacidade para implantação de SO
Além de implementar um SISTEMA para computadores sem um, o Gestor de Configuração pode ser usado para migrar ficheiros e configurações dos utilizadores de um computador para outro. O administrador configura as informações para transferência, incluindo ficheiros de dados pessoais, definições de configuração e cookies do browser.
O Gestor de Configuração armazena a informação num ponto de migração do Estado e encripta-a durante a transmissão e armazenamento. Apenas o novo computador associado à informação do estado pode recuperar as informações armazenadas. Se o novo computador perder a chave para recuperar a informação, um administrador do Gestor de Configuração com a Informação de Recuperação do Ver em objetos de instância de associação de computadores pode aceder à informação e associá-la a um novo computador. Depois de o novo computador restaurar a informação do estado, elimina os dados após um dia, por padrão. Pode configurar o momento de remoção dos dados marcados para eliminação pelo ponto de migração de estado. O Gestor de Configuração não armazena as informações de migração do estado na base de dados do site e não as envia para a Microsoft.
Se utilizar o sistema de arranque para implementar imagens de SISTEMA, utilize sempre a opção padrão para proteger o sistema de arranque. A palavra-passe encripta todas as variáveis armazenadas na sequência de tarefas, mas informações não armazenadas numa variável poderão ficar sujeitas a divulgação.
A implementação do SO pode utilizar sequências de tarefas para executar muitas tarefas diferentes durante o processo de implementação, que inclui a instalação de aplicações e atualizações de software. Quando configurar sequências de tarefas, também deve estar ciente das implicações de privacidade da instalação de software.
O Gestor de Configuração não implementa a implementação do SO por predefinição. Requer vários passos de configuração antes de recolher informações do estado do utilizador ou criar sequências de tarefas ou imagens de arranque.
Antes de configurar a implementação do SO, considere os seus requisitos de privacidade.