Сведения о конфиденциальности и рекомендации по безопасности развертывания операционной системы
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Последнее обновление раздела: март 2008 г.
Развертывание операционной системы — это удобный способ развертывания вашей среды с наиболее безопасными операционными системами и конфигурациями. Однако если атакующий сможет получить контроль над инфраструктурой сайта Microsoft System Center Configuration Manager 2007, он сможет запустить последовательность задач на свое усмотрение, включая форматирование жестких дисков на всех клиентских компьютерах. Настройки последовательностей задач могут включать конфиденциальные сведения, такие как учетные записи с разрешениями входа в домен и ключи корпоративных лицензий, что представляет собой угрозу раскрытия информации.
Другим важным принципом защиты развертывания операционной системы является защита сертификата проверки подлинности клиента, используемого для загрузочного носителя с последовательностью задач и для развертывания загрузки PXE. При захвате сертификата проверки подлинности клиента атакующий получает закрытый ключ для олицетворения действительного клиента в сети.
Рекомендации
Внедрите управление доступом для защиты загрузочного носителя. При создании загрузочного носителя всегда следует назначать пароль для защиты носителя. Однако даже при использовании пароля защищаются только файлы, содержащие конфиденциальную информацию. Также следует установить управление физическим доступом к носителю, чтобы не позволить атакующему использовать криптографические атаки для получения сертификата проверки подлинности клиента.
Если сертификат клиента скомпрометирован, заблокируйте сертификат Чтобы развернуть клиент с помощью загрузочного носителя и точек обслуживания PXE, необходим сертификат проверки подлинности клиента с закрытым ключом. Если этот сертификат скомпрометирован, его следует заблокировать в узле Параметры сайта / Сертификаты / Загрузочныйноситель или узле PXE.
Защитите канал связи между сервером сайта и точкой обслуживания PXE. При настройке использования с точкой обслуживания PXE сертификата проверки подлинности клиента от сервера сайта, существует уязвимость захвата сертификата в сети. Следует использовать протокол IPsec или другую форму шифрования между сервером сайта и точкой обслуживания PXE.
Используйте точки обслуживания PXE только в защищенных сегментах сети. Когда клиент отправляет запросы загрузки PXE, невозможно гарантировать, что запрос обслуживается действительной точкой обслуживания PXE. Поддельная точка обслуживания PXE может предоставлять клиентам небезопасный образ. Атакующий может запустить атаку типа "злоумышленник в середине", направленную на протокол TFTP, используемый PXE, и отправить вредоносный код вместе с файлами операционной системы или создать поддельный клиент для отправки TFTP-запросов непосредственно на точку обслуживания PXE. Атакующий может использовать вредоносный клиент для запуска атаки типа “отказ в обслуживании”, направленную на точку обслуживания PXE. Чтобы защитить сегменты сети, в которых клиенты будут получать доступ к точкам обслуживания PXE, используйте глубокую оборону.
Важно!
Несмотря на то что поддерживается настройка точки обслуживания PXE в демилитаризованной зоне, так делать не рекомендуется.
Настройте точку обслуживания PXE для ответа на запросы PXE только в указанных сетевых интерфейсах. Разрешение точке обслуживания PXE реагировать во всех сетевых интерфейсах позволяет точке обслуживания PXE отправить ответ в незащищенную сеть.
Установите пароль на загрузку PXE. В базу данных необходимо занести удостоверения клиентов, чтобы закрыть доступ к загрузке PXE для полностью неизвестных компьютеров. Запрос пароля является дополнительным уровнем защиты процесса загрузки PXE, который изначально небезопасен.
При выведении из эксплуатации точек миграции состояния вручную удалите их папки. При удалении папки точки миграции состояния в консоли Configuration Manager 2007 в свойствах точки миграции состояния, физически папка не удаляется. Необходимо вручную удалить сетевую папку и удалить папку.
Не настраивайте в политике удаления немедленное удаление состояния пользователя **. **Если в политике удаления в точке миграции состояния настроить удаление данных, помеченных для немедленного удаления и если атакующему удастся получить состояние пользователей до того, как это сделает действительный компьютер, данные о состоянии пользователя будут немедленно удалены. Установите для интервала Удалить после величину, достаточную для проверки успешного восстановления данных о состоянии пользователя.
Управляйте физическим доступом к компьютерам с помощью USB-устройства флэш-памяти для последовательности задач. При автоматической установке с использованием BitLocker для записи USB-устройств флэш-памяти последовательность задач вместе с действием "Отключить BitLocker" сохраняет предохранители ключа BitLocker в виде открытого текста, чтобы дать возможность получения доступа к тому из среды предустановки Microsoft Windows и отключения проверки целостности загрузки доверенным платформенным модулем. После запуска этого действия атакующий с физическим доступом к компьютеру может получить доступ к зашифрованному тому. Таким образом, если для последовательности задач используется USB-устройство флэш-памяти, атакующий может украсть USB-устройство.
Внедрите элементы управления доступом для защиты процесса создания образа на компьютере-образце **. **Удостоверьтесь, что компьютер-образец, используемый для записи образов операционных систем, находится в защищенной среде с надлежащим управлением доступом, чтобы устранить возможность установки и непреднамеренного включения в записываемый образ нежелательного или вредоносного программного обеспечения. При записи образа удостоверьтесь в надежности расположения конечной сетевой папки файла, чтобы исключить подделку образа после его записи.
Всегда устанавливайте на компьютере-образце самые последние обновления безопасности. Использование компьютера-образца с последними обновлениями уменьшает степень уязвимости новых компьютеров, подключаемых к сети.
При необходимости развернуть операционные системы на неизвестном компьютере внедрите управление доступом, чтобы предотвратить подключение несанкционированных компьютеров к сети. Несмотря на то, что обеспечение неизвестных компьютеров может быть удобным способом введения в эксплуатацию по требованию нескольких компьютеров, это также является эффективным способом для атакующего стать доверенным клиентом в сети. Ограничьте физический доступ к сети и следите за клиентами для обнаружения несанкционированных компьютеров. Также на компьютерах, реагирующих на развертывание операционной системы, инициированное PXE, при развертывании операционной системы могут быть уничтожены все данные, что может привести к недоступности непреднамеренно форматируемых систем.
Всегда настраивайте объявления последовательности задач для загрузки содержимого. Настройка на Загружать содержимое локально, если требуется для последовательности задач является более надежной, поскольку Configuration Manager 2007 проверяет хэш пакета после загрузки последовательности задач и отклоняет последовательности задач, если хэш не соответствует хэшу в политике. Если настроить объявление последовательностей задач на Доступ к содержимому с точки распространения, когда это необходимо для работающей последовательности задач, проверка не выполняется, и атакующие могут исказить содержимое. При необходимости запустить программу с точки распространения используйте минимальные разрешения NTFS для пакетов на точках распространения и используйте протокол IPsec, чтобы защитить канал между клиентом и точкой распространения, и между точкой распространения и сервером сайта.
Включите шифрование для пакетов многоадресной рассылки. В пакете развертывания каждой операционной системы есть возможность включить шифрование пакетов, которые передаются с помощью многоадресной рассылки. Включение шифрования способствует предотвращению подключению незаконных компьютеров к сеансу многоадресной рассылки и предотвращению искажения передачи атакующими.
Отслеживайте неуполномоченные точки распространения с поддержкой многоадресной рассылки. Если атакующие смогут получить доступ к сети, они смогут настроить поддельные серверы многоадресной рассылки для поддельного развертывания операционной системы.
Конфиденциальные сведения
Кроме развертывания операционных систем на компьютерах без установленной операционной системы, систему Configuration Manager 2007 можно использовать для миграции файлов и параметров пользователей с одного компьютера на другой. Определение информации для переноса, включая личные файлы данных, параметры конфигурации и файлы "cookie" браузера, выполняет администратор.
Информация хранится на точке миграции состояния и шифруется во время передачи и хранения. Эту информацию может получить новый компьютер, связанный со сведениями о состоянии. Если новый компьютер утратит ключ, необходимый для получения информации, администратор Configuration Manager с правом просмотра сведений о восстановлении на объектах экземпляров ассоциации компьютеров может получить доступ к информации и ассоциировать ее с новым компьютером. После восстановления сведений о состоянии на новом компьютере через один день (по умолчанию) эти данные с него будут удалены. Можно настроить время, когда точка миграции состояния будет удалять данные, помеченные для удаления. Сведения о миграции состояния не хранятся в базе данных сайта и не отправляются в корпорацию Майкрософт.
Если для развертывания образов операционной системы используется загрузочный носитель, всегда следует использовать параметр защиты загрузочного носителя паролем, являющимся параметром по умолчанию. Пароль шифрует все переменные в последовательности задач, но существует угроза раскрытия любых сведений, не хранящихся в переменных.
При развертывании операционной системы могут использоваться последовательности задач для выполнения разных задач во время процесса развертывания, включая распространение программного обеспечения и обновлений программного обеспечения. При настройке последовательности задач также следует учитывать вопросы конфиденциальности, связанные с распространением программного обеспечения и обновлениями программного обеспечения.
Configuration Manager 2007 не внедряет развертывание операционной системы по умолчанию и требует несколько шагов настройки перед сбором сведений о состоянии, созданием последовательностей задач или загрузочных образов. Перед настройкой развертывания операционной системы следует проанализировать собственные требования к безопасности.
См. также
Другие ресурсы
Развертывание операционной системы в Configuration Manager
Рекомендации по безопасности и сведения о конфиденциальности для функций Configuration Manager
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.