Рекомендации по безопасности и конфиденциальности внешнего управления
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Внешнее управление в Microsoft System Center Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версиях предоставляет удобную возможность для управления компьютерами с набором микросхем Intel vPro и версией микропрограммы Intel Active Management Technology (Intel AMT), поддерживаемой Configuration Manager. Однако важно ограничить доступ, чтобы неавторизованные пользователи не могли использовать эту возможность для атак на компьютеры в сети.
Рекомендации по безопасности
Заказывайте специализированные микропрограммы перед приобретением компьютеров, основанных на AMT. Компьютеры, допускающие внешнее управление, имеют расширения BIOS, которые могут задавать установленные значения для значительного повышения безопасности при использовании этих компьютеров в сети. Проверьте, какие параметры расширений BIOS предоставляются производителем компьютеров и укажите собственный набор значений. Дополнительные сведения см. в разделе Определение необходимости в использовании образа настраиваемой микропрограммы от производителя компьютера. Если компьютеры, основанные на AMT, не имеют значений микропрограммы, которые требуется использовать, может быть доступна возможность указать их самостоятельно. Дополнительные сведения о ручной настройке расширений BIOS см. в документации компании Intel или в документации производителя компьютеров. Также можно воспользоваться веб-сайтом Intel vPro Expert Center: Microsoft vPro Manageability Web site (https://go.microsoft.com/fwlink/?LinkId=132001). Настройте следующие параметры для повышения безопасности.
Замените все отпечатки сертификатов внешних центров сертификации (ЦС) отпечатком сертификата своего собственного внутреннего ЦС. Это предотвращает попытки поддельных серверов обеспечения подготовить компьютеры, основанные на AMT, и при этом не придется приобретать сертификаты обеспечения у внешних центров сертификации. Сведения о том, как найти отпечаток сертификата внутреннего корневого центра сертификации, см. в разделе Обнаружение отпечатка внутреннего корневого сертификата для обеспечения AMT.
Используйте специальный пароль для учетной записи MEBx; не используйте значение по умолчанию admin. Затем укажите этот пароль для учетной записи обеспечения AMT и обнаружения в Configuration Manager. Это предотвратит попытки поддельных серверов обеспечения выполнить подготовку компьютеров, основанных на AMT, с использованием известного пароля по умолчанию. Дополнительные сведения см. в разделах Об учетной записи MEBx и How to Add an AMT Provisioning and Discovery Account.
Измените значение сервера контроля использования по умолчанию. Использование имени по умолчанию ProvisionServer может создавать риск для безопасности, если запись с таким именем настроена для разрешения в IP-адрес неправильного или незаконного компьютера. Настройка значения для сервера контроля использования с применением IP-адреса безопаснее, чем использование общеизвестного имени. Однако IP-адрес не может использоваться для нескольких компьютеров, основанных на AMT, если их подготовка будет выполняться различными сайтами. Если вместо IP-адреса настроено альтернативное имя, необходимо настроить разрешение имен в DNS. При использовании разрешения имен для ProvisionServer или пользовательского имени убедитесь в надежности защиты записи DNS от таких изменений, которые не позволят в дальнейшем осуществлять разрешение для компьютера системы сайта внешней точки обслуживания. Дополнительные сведения см. в разделе Принятие решения о необходимости регистрации псевдонима для внешней точки обслуживания в DNS.
Настройте альтернативный порт для контроля использования сервера. Использование пользовательского порта более безопасно, чем использование порта по умолчанию для внешней подготовки. Если будет использоваться внешняя подготовка, настройте альтернативный номер порта на вкладке Свойства внешнего управления: общие.
Используйте внутреннюю подготовку вместо внешней. В случае применения внутренней подготовки, особенно в основном режиме, клиент может воспользоваться уже установленным отношением доверия между клиентом и инфраструктурой Configuration Manager. При внешней подготовке подготовка недоверенных компьютеров может быть выполнена при условии предоставления этими компьютерами глобальных уникальных идентификаторов SMBIOS (также известных как UUID), которые были указаны в мастере импорта внешних компьютеров. Успешно подготовленные компьютеры имеют автоматически созданную учетную запись в доменных службах Active Directory и получают сертификат с возможностью проверки подлинности сервера от центра сертификации предприятия. В случае подготовки поддельного компьютера проверка подлинности в сети приводит к повышению уровня привилегий, и учетная запись может быть использована для чтения информации в сети, которая защищена проверкой подлинности (раскрытие информации). Возможно несанкционированное использование сертификата с проверкой подлинности сервера для установления отношений доверия. Злоумышленники также могут создавать серверы, олицетворяющие действительные DNS-серверы и серверы подготовки, что приведет к неправильному направлению компьютеров, основанных на AMT, на поддельные серверы подготовки. Если не требуется использование внешней подготовки, выполните следующие действия для снижения этих рисков безопасности.
Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). В разделе Конфигурация компонента не выбирайте вариант Разрешить автоматическую внешнюю подготовку к работе на вкладке Общие диалогового окна Свойства внешнего управления. По умолчанию этот параметр не выбран. При таких настройках по умолчанию Configuration Manager не будет отвечать на запросы внешней подготовки, что поможет предотвратить попытки поддельных компьютеров выполнить внешнюю подготовку.
Предотвращение внешней подготовки поддельных компьютеров. Не используйте мастер импорта внешних компьютеров для добавления новых компьютеров в базу данных Configuration Manager; настройте брандмауэр Windows на сервере, на котором выполняется роль внешней точки обслуживания, чтобы заблокировать порт подготовки (по умолчанию — TCP-порт 9971); не регистрируйте псевдоним для внешней точки обслуживания в DNS. Дополнительные сведения о псевдониме DNS см. в разделе Принятие решения о необходимости регистрации псевдонима для внешней точки обслуживания в DNS. Дополнительно ограничьте физический доступ к сети и следите за клиентами для обнаружения несанкционированных компьютеров.
Чтобы предотвратить подготовку компьютеров, основанных на AMT, поддельными серверами, используйте специальный пароль для учетной записи MEBx в расширениях BIOS AMT; не используйте значение по умолчанию admin. Затем укажите этот пароль для учетной записи обеспечения AMT и обнаружения в Configuration Manager. Дополнительные сведения см. в разделах Об учетной записи MEBx и How to Add an AMT Provisioning and Discovery Account.
Если использование внутренней подготовки невозможно (новый компьютер без установленной операционной системы), рассмотрите возможность развертывания операционной системы для установки операционной системы и установки клиента для Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздней версии, чтобы иметь возможность внутренней подготовки этого компьютера. В отличие от внешней подготовки, при развертывании операционной системы не создается учетная запись с проверкой подлинности в доменных службах Active Directory и не запрашивается сертификат проверки подлинности сервера в центре сертификации предприятия. Дополнительные сведения развертывании операционной системы см. в разделе Развертывание операционной системы в Configuration Manager. Если использование внутренней подготовки невозможно из-за того, что на компьютере не установлен клиент для Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздней версии, так как версия AMT компьютера изначально не поддерживается Configuration Manager, установите клиент для Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздней версии и обновите микропрограмму до поддерживаемой версии. Дополнительные сведения о версиях AMT, поддерживаемых Configuration Manager, см. в разделе Обзор внешнего управления.
Вручную отзывайте сертификаты и удаляйте учетные записи Active Directory для компьютеров, основанных на AMT, заблокированных сайтом Configuration Manager 2007 с пакетом обновления 1 (SP1). Компьютеры, заблокированные сайтом Configuration Manager 2007 с пакетом обновления 1 (SP1), продолжают принимать данные внешнего управления. Если компьютер, основанный на AMT, заблокирован в связи с потерей доверия, выполните следующее действие вручную.
На выпускающем центре сертификации отзовите сертификат, выданный серверу сайта с полным доменным именем компьютера, основанного на AMT, в субъекте сертификата.
В доменных службах Active Directory отключите или удалите учетную запись AMT, которая была создана для компьютера, основанного на AMT.
Управляйте запросом и установкой сертификата обеспечения. Запросите сертификат обеспечения непосредственно у сервера контроля использования, воспользовавшись контекстом безопасности компьютера, чтобы этот сертификат был установлен непосредственно в хранилище локального компьютера. В случае необходимости запросить сертификат у другого компьютера нужно экспортировать закрытый ключ, а затем воспользоваться дополнительными средствами управления безопасностью при передаче и импорте сертификата в хранилище сертификатов с ограниченным доступом.
Не забывайте запрашивать новый сертификат обеспечения до истечения срока действия существующего сертификата. Сертификат обеспечения AMT с истекшим сроком действия приведет к ошибке обеспечения. При использовании внешнего центра сертификации (ЦС) для сертификата обеспечения следует выделять дополнительное время на выполнение процесса продления и повторной настройки внешней точки управления.
Примечание
Чтобы проинформировать об истечении срока действия сертификата обеспечения AMT, программа Configuration Manager создает письменное сообщение об изменении состояния с идентификатором 7210, когда до истечения срока действия используемого сертификата обеспечения остается 40 или менее дней. Это сообщение об изменении состояния присылается ежедневно до тех пор, пока сертификат не будет заменен сертификатом со сроком действия, превышающим 40 дней, или пока до истечения срока действия не останется менее 15 дней. Если срок действия составляет менее 15 дней, создается сообщение об изменении состояния ошибки с идентификатором 7211, которое создается до тех пор, пока сертификат не будет заменен сертификатом со сроком действия, превышающим 15 дней.
Если сертификат обеспечения отозван, удалите его из хранилища сертификатов на сервере системы сайта внешней точки обслуживания, а также из свойств конфигурации компонентов внешнего управления. Если известно, что сертификат обеспечения AMT отозван, нужно вручную предотвратить его использование с целью обеспечения компьютеров, основанных на AMT, программой Configuration Manager, поскольку компьютеры, основанные на AMT, не проверяют наличие сертификата обеспечения в списке отзыва сертификатов. Удалите сертификат из хранилища сертификатов на сервере системы сайта внешних точек обслуживания. Затем выполните развертывание нового сертификата обеспечения и настройте его в диалоговом окне Свойства внешнего управления. При отсутствии возможности незамедлительного развертывания действительного сертификата обеспечения AMT удалите роль внешних точек обслуживания, пока не появится сертификат для замены.
При необходимости отозвать сертификат обеспечения, предоставленный внутренним ЦС, отзовите сертификат в консоли центра сертификации. В программе Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версиях не предусмотрены средства для отзыва сертификата обеспечения.
Используйте отдельный шаблон сертификата для подготовки компьютеров, основанных на AMT. Если для центра сертификации предприятия используется выпуск Windows Server Enterprise, создайте новый шаблон сертификата путем копирования шаблона сертификата веб-сервера по умолчанию, обеспечьте предоставление разрешений на чтение и регистрацию только серверам сайта Configuration Manager и не добавляйте дополнительные возможности к проверке подлинности сервера, установленной по умолчанию. Наличие отдельного шаблона сертификата позволяет лучше управлять доступом и контролировать его, чтобы предотвратить повышение привилегий. Если для центра сертификации предприятия используется выпуск Windows Server Standard, создание копии шаблона сертификата будет невозможно. В такой ситуации не предоставляйте разрешения на чтение и регистрацию компьютерам, отличным от серверов сайта Configuration Manager, которые будут выполнять подготовку компьютеров, основанных на AMT.
Используйте внешнее управление вместо пробуждения ЛВС. Хотя оба решения поддерживают пробуждение компьютеров для обновления программного обеспечения и получения объявлений, внешнее управление является более безопасным решением по сравнению с пробуждением ЛВС, поскольку оно позволяет выполнять проверку подлинности и шифрование с использованием стандартных отраслевых протоколов безопасности. Кроме того, его можно интегрировать с существующим развертыванием PKI, а управление средствами безопасности можно осуществлять независимо от продукта. Дополнительные сведения см. в разделе Выбор использования команд включения питания с помощью внешнего управления или пакетов пробуждения по локальной сети.
Отключите технологию AMT в микропрограмме, если внешнее управление компьютером не поддерживается. Даже если компьютеры, основанные на AMT, имеют поддерживаемую версию технологии AMT, в некоторых ситуациях внешнее управление не поддерживается. К этим сценариям относятся следующие: компьютеры рабочих групп, компьютеры с различными пространствами имен и компьютеры с разъединенным пространством имен. Чтобы предотвратить публикацию компьютеров, основанных на AMT, в доменных службах Active Directory, а также запрос сертификатов PKI для этих компьютеров, отключите технологию AMT в микропрограмме. При подготовке для AMT в Configuration Manager создаются доменные учетные данные для учетных записей, опубликованных в доменных службах Active Directory, что представляет риск повышения привилегий, если компьютеры не входят в состав леса Active Directory.
Используйте отдельное подразделение (OU) для публикации компьютеров, основанных на AMT. Не используйте существующий контейнер или подразделение для публикации учетных записей Active Directory, созданных в ходе подготовки AMT. Отдельное подразделение (OU) позволяет лучше управлять этими учетными записями и контролировать их, не предоставляя им дополнительных привилегий по сравнению с необходимыми.
Используйте групповую политику для ограничения прав пользователей учетных записей AMT. Примените ограниченные права пользователей для учетных записей AMT, опубликованных в доменных службах Active Directory, чтобы обеспечить защиту от повышения привилегий и снижения вероятности реализации атак в случае получения злоумышленником доступа к одной из этих учетных записей. Создайте группу безопасности, которая содержит учетные записи AMT, автоматически созданные Configuration Manager в ходе процесса подготовки AMT, а затем добавьте эту группу к следующим включенным настройкам групповой политики в разделе \Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальная политика\Назначение прав пользователя:
Отказать в доступе к этому компьютеру из сети.
Отказать во входе в качестве пакетного задания.
Отказать во входе в качестве службы.
Запретить локальный вход.
Запретить вход в систему через службу терминалов.
Примените эти параметры групповой политики ко всем компьютерам леса. Периодически проверяйте и пересматривайте членство в группе, чтобы обеспечить наличие в группе всех учетных записей AMT, опубликованных на данный момент в доменных службах Active Directory.
Используйте отдельную коллекцию для внутренней подготовки. Не используйте существующую коллекцию, которая содержит не только те компьютеры, для которых выполняется внутренняя подготовка. Вместо этого создайте коллекцию на основе запроса, используя процедуру для внутренней подготовки, описанную в разделе Подготовка компьютеров для AMT.. Если сайт находится в смешанном режиме, убедитесь в том, что эти компьютеры утверждены. Дополнительные сведения об утверждении см. в разделах Об утверждении клиентов в Configuration Manager и Утверждение клиентов Configuration Manager.
Ограничьте предоставление прав переназначения носителя и администрирования PT (Configuration Manager 2007 с пакетом обновления 1 (SP1)) или права администрирования платформы (Configuration Manager 2007 с пакетом обновления 2 (SP2)). Предоставление права переназначения носителя почти эквивалентно предоставлению физического доступа к компьютеру. В то время, как злоумышленникам нужен физический доступ для вскрытия компьютера, лицо с правом переназначения носителя может загрузить альтернативную операционную систему и воспользоваться ею для удаленной атаки на данные, расположенные на жестком диске. Право администрирования PT (Configuration Manager 2007 с пакетом обновления 1 (SP1)) и право администрирования платформы (Configuration Manager 2007 с пакетом обновления 2 (SP2)) автоматически включает все права AMT, которые включают право переназначения носителя.
Извлекайте и храните файлы образов надежно при загрузке с альтернативного носителя для использования функции перенаправления IDE. При загрузке с альтернативного носителя для использования функции перенаправления IDE, если это возможно, храните файлы образов локально на компьютере, на котором запущена консоль внешнего управления. Если необходимо хранить образы в сети, убедитесь в том, что подключения для извлечения этих файлов по сети используют подписи SMB для предотвращения изменения файлов при передаче по сети. В обеих ситуациях защитите хранимые файлы для предотвращения несанкционированного доступа (например, с использованием разрешений NTFS и шифрованной файловой системы).
Сведите к минимуму число учетных записей подготовки и обнаружения AMT. Несмотря на возможность указания нескольких учетных записей подготовки и обнаружения AMT для обнаружения компьютеров с контроллерами управления и их подготовки для внешнего управления в Configuration Manager, не следует указывать учетные записи, которые не требуются в настоящее время, и следует удалять учетные записи, которые больше не нужны. Указание только требуемых учетных записей позволяет обеспечить отсутствие предоставления им излишних привилегий по сравнению с необходимыми и помогает сократить ненужный сетевой трафик и затраты на обработку. Дополнительные сведения об учетной записи подготовки и обнаружения AMT см. в разделах Определение необходимости настройки учетной записи обеспечения AMT и обнаружения для внешнего управления и Учетная запись обеспечения и обнаружения AMT.
Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). Вручную добавляйте компьютеры, подготовленные для работы в сетях с проверкой подлинности 802.1X и беспроводных сетях в группу безопасности. В разделе Конфигурация компонента не добавляйте компьютеры в группу безопасности автоматически при помощи параметра Автоматически добавлять компьютеры с поддержкой AMT в группу безопасности на вкладке 802.1X и беспроводная сеть диалогового окна Свойства внешнего управления. Для защиты от повышения привилегий тщательно контролируйте членство в группе безопасности, которая используется для предоставления сетевого доступа к компьютерам. Выберите вариант Не добавлять компьютеры с поддержкой AMT в группу безопасности автоматически и вручную добавьте известны доверенные учетные записи компьютеров в группу безопасности.
Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). Используйте единый шаблон сертификата для сертификатов проверки подлинности клиента, если это удобно. Несмотря на то, что для каждого беспроводного профиля можно указать отдельный шаблон сертификата, используйте единый шаблон сертификата, если использование отдельных настроек для различных беспроводных сетей не диктуется бизнес-требованиями, указывайте только возможность проверки подлинности клиента и используйте этот шаблон сертификата только с функцией внешнего управления Configuration Manager. Например, если в одной из беспроводных сетей требуется использование ключа большей длины или с более коротким сроком действия, чем в другой, потребуется создать отдельный шаблон сертификата. Наличие одного шаблона сертификата позволяет легче контролировать его использование и обеспечивать защиту от повышения привилегий.
Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). Разрешите выполнение действий аудита и управление журналами аудита по мере необходимости только авторизованным администраторам. В зависимости от версии AMT Configuration Manager может прекратить добавление новых записей в журнал аудита AMT, если журнал почти заполнен, или может перезаписывать старые записи. Чтобы обеспечить добавление новых записей и отсутствие перезаписи старых, периодически очищайте журнал по мере необходимости, сохраняя записи аудита. Дополнительные сведения об управлении журналом аудита и наблюдении за действиями аудита см. в разделе Управление журналом аудита с компьютеров, основанных на AMT.
Сведения о конфиденциальности
Консоль внешнего управления в Microsoft System Center Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздней версии позволяет осуществлять управление компьютерами с набором микросхем Intel vPro и технологией Intel Active Management Technology (Intel AMT) с версией микропрограммы, поддерживаемой Configuration Manager. Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версий временно собирает сведения о конфигурации компьютера и параметрах, таких как имя компьютера, его IP-адрес и MAC-адрес. Сведения передаются между управляемым компьютером и консолью внешнего управления с использованием шифрованного канала. This feature is not enabled by default and typically no information is retained after the management session is ended. If you enable auditing in Configuration Manager 2007 SP2, you can save auditing information to a file that includes the IP address of the AMT-based computer that is managed, together with the domain and user account that performed the management action on the recorded date and time. This information is not sent to Microsoft.
В Configuration Manager можно включить обнаружение компьютеров с контроллерами управления, которыми можно управлять из консоли внешнего управления. При обнаружении создаются записи для управляемых компьютеров, которые сохраняются в базе данных. В записях данных обнаружения содержатся такие сведения о компьютере, как IP-адрес, операционная система и имя компьютера. Обнаружение контроллеров управления не включено по умолчанию. Дополнительные сведения см. в разделе Обнаружение компьютеров с контроллерами управления. Данные обнаружения не отправляются в корпорацию Майкрософт. Они хранятся в базе данных сайта. Информация хранится в базе данных до тех пор, пока не будет удалена задачей по обслуживанию сайта "Удалять устаревшие данные обнаружения", которая выполняется каждые 90 дней. Можно настроить интервал удаления.
См. также
Ссылки
Обзор задачи удаления устаревших данных обнаружения ресурсов
Другие ресурсы
Рекомендации по безопасности и сведения о конфиденциальности для функций Configuration Manager
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.