Поделиться через


Безопасность и конфиденциальность развертывания ОС в Configuration Manager

Относится к Configuration Manager (Current Branch)

Эта статья содержит сведения о безопасности и конфиденциальности для функции развертывания ОС в Configuration Manager.

Рекомендации по обеспечению безопасности при развертывании ОС

При развертывании операционных систем с Configuration Manager используйте следующие рекомендации по обеспечению безопасности:

Реализация элементов управления доступом для защиты загрузочного носителя

При создании загрузочного носителя всегда назначьте пароль для защиты носителя. Даже при использовании пароля шифруются только файлы, содержащие конфиденциальную информацию, и все файлы могут быть перезаписаны.

Управляйте физическим доступом к носителю, чтобы злоумышленник не использовал криптографические атаки для получения сертификата проверки подлинности клиента.

Чтобы предотвратить установку клиентом содержимого или политики клиента, которые были изменены, содержимое хэшируется и должно использоваться с исходной политикой. Если сбой хэша содержимого или проверка соответствия содержимого политике, клиент не будет использовать загрузочный носитель. Хэшируется только содержимое. Политика не хэшируется, но шифруется и защищена при указании пароля. Такое поведение усложняет успешное изменение политики злоумышленником.

Использование безопасного расположения при создании носителя для образов ОС

Если несанкционированные пользователи имеют доступ к расположению, они могут изменить создаваемые вами файлы. Они также могут использовать все доступное место на диске, чтобы создать носитель не удается.

Защита файлов сертификатов

Защита файлов сертификатов (PFX) с помощью надежного пароля. Если вы храните их в сети, защитите сетевой канал при импорте в Configuration Manager

Если требуется пароль для импорта сертификата проверки подлинности клиента, используемого для загрузочного носителя, эта конфигурация помогает защитить сертификат от злоумышленника.

Используйте подписывание SMB или IPsec между сетевым расположением и сервером сайта, чтобы предотвратить незаконное изменение файла сертификата злоумышленником.

Блокировка или отзыв любых скомпрометированных сертификатов

Если сертификат клиента скомпрометирован, заблокируйте сертификат из Configuration Manager. Если это PKI-сертификат, отмените его.

Чтобы развернуть ОС с помощью загрузочного носителя и загрузки PXE, необходимо иметь сертификат проверки подлинности клиента с закрытым ключом. Если этот сертификат скомпрометирован, заблокируйте сертификат в узле Сертификаты рабочей области Администрирование , узел Безопасность .

Защита канала связи между сервером сайта и поставщиком SMS

Если поставщик SMS удален с сервера сайта, защитите канал связи, чтобы защитить образы загрузки.

Если вы изменяете образы загрузки и поставщик SMS работает на сервере, который не является сервером сайта, загрузочные образы уязвимы для атак. Защитите сетевой канал между этими компьютерами с помощью подписывания SMB или IPsec.

Включение точек распространения для обмена данными с клиентами PXE только в защищенных сегментах сети

Когда клиент отправляет запрос на загрузку PXE, вы не можете убедиться, что запрос обслуживается допустимой точкой распространения с поддержкой PXE. Этот сценарий сопряжен со следующими рисками безопасности:

  • Несанкционированная точка распространения, отвечающая на запросы PXE, может предоставить клиентам незаконное изображение.

  • Злоумышленник может запустить атаку типа "злоумышленник в середине" против протокола TFTP, используемого PXE. Эта атака может отправить вредоносный код с файлами ОС. Злоумышленник также может создать несанкционированный клиент для отправки запросов TFTP непосредственно к точке распространения.

  • Злоумышленник может использовать вредоносный клиент для атаки типа "отказ в обслуживании" против точки распространения.

Используйте глубинную защиту для защиты сегментов сети, где клиенты обращаются к точкам распространения с поддержкой PXE.

Предупреждение

Из-за этих рисков безопасности не следует включать точку распространения для связи PXE, когда она находится в недоверенной сети, например в сети периметра.

Настройка точек распространения с поддержкой PXE для реагирования на запросы PXE только в указанных сетевых интерфейсах.

Если разрешить точке распространения отвечать на запросы PXE во всех сетевых интерфейсах, эта конфигурация может предоставить службу PXE ненадежным сетям.

Требовать пароль для загрузки PXE

Если требуется пароль для загрузки PXE, эта конфигурация добавляет дополнительный уровень безопасности к процессу загрузки PXE. Эта конфигурация помогает защититься от несанкционированных клиентов, присоединяющихся к Configuration Manager иерархии.

Ограничение содержимого в образах ОС, используемых для загрузки PXE или многоадресной рассылки

Не включайте бизнес-приложения или программное обеспечение, содержащее конфиденциальные данные, в образ, который используется для загрузки PXE или многоадресной рассылки.

Из-за присущих угроз безопасности, связанных с загрузкой PXE и многоадресной рассылкой, уменьшите риски, если компьютер-изгоев скачает образ ОС.

Ограничение содержимого, установленного переменными последовательности задач

Не включайте бизнес-приложения или программное обеспечение, содержащее конфиденциальные данные, в пакеты приложений, устанавливаемых с помощью переменных последовательностей задач.

При развертывании программного обеспечения с помощью переменных последовательностей задач оно может быть установлено на компьютерах и для пользователей, которые не имеют прав на получение этого программного обеспечения.

Защита сетевого канала при переносе пользовательского состояния

При переносе пользовательского состояния защитите сетевой канал между клиентом и точкой миграции состояния с помощью подписывания SMB или IPsec.

После первоначального подключения по протоколу HTTP данные миграции пользовательской среды передаются с помощью SMB. Если не защитить сетевой канал, злоумышленник может считывать и изменять эти данные.

Использование последней версии USMT

Используйте последнюю версию средства миграции пользовательской среды (USMT), которую Configuration Manager поддерживает.

Последняя версия USMT обеспечивает улучшения безопасности и больший контроль при переносе данных о состоянии пользователя.

Удаление папок в точках миграции состояния вручную при их выводе из эксплуатации

При удалении папки точки миграции состояния в консоли Configuration Manager свойств точки миграции состояния сайт не удаляет физическую папку. Чтобы защитить данные миграции пользовательской среды от раскрытия информации, вручную удалите сетевую папку и папку.

Не настраивайте политику удаления для немедленного удаления пользовательского состояния

Если вы настроите политику удаления в точке миграции состояния, чтобы немедленно удалить данные, помеченные для удаления, и если злоумышленнику удастся получить данные пользовательского состояния до того, как это делает допустимый компьютер, сайт немедленно удаляет данные пользовательского состояния. Задайте для параметра Удалить после интервала достаточное время, чтобы проверить успешное восстановление данных пользовательского состояния.

Удаление сопоставлений компьютеров вручную

Вручную удалите связи компьютеров, когда восстановление данных миграции пользовательской среды завершено и проверено.

Configuration Manager не удаляет связи компьютеров автоматически. Помогите защитить удостоверение данных о состоянии пользователя, вручную удалив связи компьютеров, которые больше не требуются.

Резервное копирование данных миграции пользовательской среды вручную в точке миграции состояния

Configuration Manager Резервное копирование не включает данные миграции пользовательской среды в резервную копию сайта.

Реализация элементов управления доступом для защиты предварительно подготовленных носителей

Управляйте физическим доступом к носителю, чтобы предотвратить использование злоумышленником криптографических атак для получения сертификата проверки подлинности клиента и конфиденциальных данных.

Реализация элементов управления доступом для защиты процесса создания образов эталонного компьютера

Убедитесь, что эталонный компьютер, используемый для записи образов ОС, находится в безопасной среде. Используйте соответствующие элементы управления доступом, чтобы непредвиденное или вредоносное программное обеспечение нельзя было установить и случайно включить в захваченный образ. При записи образа убедитесь, что расположение целевой сети безопасно. Этот процесс помогает убедиться, что изображение не может быть изменено после захвата.

Всегда устанавливайте последние обновления для системы безопасности на компьютере-образце

Если на компьютере-образце есть текущие обновления для системы безопасности, это помогает уменьшить количество уязвимостей для новых компьютеров при первом запуске.

Реализация элементов управления доступом при развертывании ОС на неизвестном компьютере

Если необходимо развернуть ОС на неизвестном компьютере, реализуйте элементы управления доступом, чтобы предотвратить несанкционированное подключение компьютеров к сети.

Подготовка неизвестных компьютеров предоставляет удобный способ развертывания новых компьютеров по запросу. Но это также может позволить злоумышленнику эффективно стать доверенным клиентом в вашей сети. Ограничьте физический доступ к сети и отслеживайте клиенты для обнаружения несанкционированных компьютеров.

Компьютеры, реагируя на развертывание ОС, инициированное PXE, могут быть уничтожены во время процесса. Такое поведение может привести к потере доступности систем, которые непреднамеренно переформатированы.

Включение шифрования для пакетов многоадресной рассылки

Для каждого пакета развертывания ОС можно включить шифрование, когда Configuration Manager передает пакет с помощью многоадресной рассылки. Эта конфигурация помогает предотвратить присоединение компьютеров изгоев к сеансу многоадресной рассылки. Это также помогает предотвратить незаконное изменение передачи данных злоумышленниками.

Мониторинг несанкционированных точек распространения с поддержкой многоадресной рассылки

Если злоумышленники могут получить доступ к вашей сети, они могут настроить несанкционированные многоадресные серверы для подделывания развертывания ОС.

При экспорте последовательностей задач в сетевое расположение обеспечьте безопасность расположения и сетевой канал.

Ограничьте доступ к сетевой папке.

Используйте подписывание SMB или IPsec между сетевым расположением и сервером сайта, чтобы предотвратить незаконное изменение экспортируемой последовательности задач злоумышленником.

Если вы используете последовательность задач, выполняемую от имени учетной записи, примите дополнительные меры предосторожности.

Если вы используете последовательность задач, выполняемую от имени учетной записи, выполните следующие действия предосторожности:

  • Используйте учетную запись с минимальными разрешениями.

  • Не используйте учетную запись доступа к сети для этой учетной записи.

  • Никогда не делайте учетную запись администратором домена.

  • Никогда не настраивайте перемещаемые профили для этой учетной записи. При выполнении последовательности задач она скачивает перемещаемый профиль для учетной записи, что делает профиль уязвимым для доступа на локальном компьютере.

  • Ограничьте область учетной записи. Например, создайте другую последовательность задач, выполняемую как учетные записи для каждой последовательности задач. Если одна учетная запись скомпрометирована, компрометируются только те клиентские компьютеры, к которым эта учетная запись имеет доступ. Если для командной строки требуется административный доступ на компьютере, рассмотрите возможность создания учетной записи локального администратора исключительно для последовательности задач, выполняемой от имени учетной записи. Создайте эту локальную учетную запись на всех компьютерах, на которых выполняется последовательность задач, и удалите ее, как только она больше не требуется.

Ограничение и мониторинг пользователей с правами администратора, которым назначена роль безопасности диспетчера развертывания ОС

Пользователи с правами администратора, которым назначена роль безопасности диспетчера развертывания ОС , могут создавать самозаверяющие сертификаты. Затем эти сертификаты можно использовать для олицетворения клиента и получения политики клиента из Configuration Manager.

Использование расширенного протокола HTTP для уменьшения потребности в учетной записи доступа к сети

Начиная с версии 1806, при включении расширенного HTTP для нескольких сценариев развертывания ОС не требуется учетная запись сетевого доступа для загрузки содержимого из точки распространения. Дополнительные сведения см. в разделе Последовательности задач и учетная запись сетевого доступа.

Проблемы с безопасностью при развертывании ОС

Хотя развертывание ОС может быть удобным способом развертывания наиболее безопасных операционных систем и конфигураций для компьютеров в сети, оно сопряжено со следующими рисками безопасности:

Раскрытие информации и отказ в обслуживании

Если злоумышленник может получить контроль над инфраструктурой Configuration Manager, он может выполнять любые последовательности задач. Этот процесс может включать форматирование жестких дисков всех клиентских компьютеров. Последовательности задач можно настроить так, чтобы они содержали конфиденциальную информацию, например учетные записи с разрешениями на присоединение к домену и ключи корпоративного лицензирования.

Олицетворение и повышение привилегий

Последовательности задач могут присоединять компьютер к домену, что может предоставить компьютеру-злоумышленнику доступ к сети с проверкой подлинности.

Защитите сертификат проверки подлинности клиента, используемый для загрузочного носителя последовательности задач и развертывания PXE. При записи сертификата проверки подлинности клиента этот процесс дает злоумышленнику возможность получить закрытый ключ в сертификате. Этот сертификат позволяет им олицетворять допустимый клиент в сети. В этом сценарии компьютер-злоумышленник может скачать политику, которая может содержать конфиденциальные данные.

Если клиенты используют учетную запись сетевого доступа для доступа к данным, хранящимся в точке миграции состояния, эти клиенты фактически совместно используют одно удостоверение. Они могут получать доступ к данным миграции состояния из другого клиента, который использует учетную запись доступа к сети. Данные шифруются, поэтому только исходный клиент может прочитать их, но данные могут быть изменены или удалены.

Проверка подлинности клиента в точке миграции состояния выполняется с помощью маркера Configuration Manager, выданного точкой управления.

Configuration Manager не ограничивает и не управляет объемом данных, хранящихся в точке миграции состояния. Злоумышленник может заполнить доступное место на диске и вызвать отказ в обслуживании.

Если вы используете переменные коллекции, локальные администраторы могут считывать потенциально конфиденциальную информацию.

Хотя переменные коллекции предлагают гибкий метод развертывания операционных систем, эта функция может привести к раскрытию информации.

Сведения о конфиденциальности для развертывания ОС

Помимо развертывания ОС на компьютерах без нее, Configuration Manager можно использовать для переноса файлов и параметров пользователей с одного компьютера на другой. Администратор настраивает информацию для передачи, включая файлы персональных данных, параметры конфигурации и файлы cookie браузера.

Configuration Manager хранит сведения в точке миграции состояния и шифрует их во время передачи и хранения. Только новый компьютер, связанный с данными о состоянии, может получить хранимую информацию. Если новый компьютер теряет ключ для получения сведений, администратор Configuration Manager с правом просмотра сведений о восстановлении в объектах экземпляра ассоциации компьютеров может получить доступ к этой информации и связать ее с новым компьютером. После восстановления сведений о состоянии новый компьютер удаляет данные через один день по умолчанию. Можно настроить, когда точка миграции состояния удаляет данные, помеченные для удаления. Configuration Manager не хранит сведения о миграции состояния в базе данных сайта и не отправляет их Майкрософт.

Если для развертывания образов ОС используется загрузочный носитель, всегда используйте параметр по умолчанию для защиты загрузочного носителя паролем. Пароль шифрует все переменные, хранящиеся в последовательности задач, но любая информация, не хранящейся в переменной, может быть уязвима для раскрытия.

Развертывание ОС может использовать последовательности задач для выполнения множества различных задач в процессе развертывания, включая установку приложений и обновлений программного обеспечения. При настройке последовательностей задач следует также учитывать последствия для конфиденциальности установки программного обеспечения.

Configuration Manager не реализует развертывание ОС по умолчанию. Перед сбором сведений о состоянии пользователя или созданием последовательностей задач или образов загрузки требуется выполнить несколько действий по настройке.

Перед настройкой развертывания ОС учитывайте требования к конфиденциальности.

См. также

Данные диагностики и использования

Безопасность и конфиденциальность Configuration Manager