Säkerhet och sekretess för distribution av operativsystem i Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Den här artikeln innehåller säkerhets- och sekretessinformation för distributionsfunktionen för operativsystem i Configuration Manager.
Rekommenderade säkerhetsmetoder för os-distribution
Använd följande rekommenderade säkerhetsmetoder för när du distribuerar operativsystem med Configuration Manager:
Implementera åtkomstkontroller för att skydda startbara medier
När du skapar startbara medier tilldelar du alltid ett lösenord för att skydda mediet. Även med ett lösenord krypteras endast filer som innehåller känslig information och alla filer kan skrivas över.
Kontrollera fysisk åtkomst till media för att förhindra att en angripare använder kryptografiska attacker för att hämta certifikatet för klientautentisering.
För att förhindra att en klient installerar innehåll eller klientprincip som har manipulerats hashas innehållet och måste användas med den ursprungliga principen. Om innehållshashen misslyckas eller om kontrollen av att innehållet matchar principen kommer klienten inte att använda det startbara mediet. Endast innehållet hashas. Principen hashas inte, men den krypteras och skyddas när du anger ett lösenord. Det här beteendet gör det svårare för en angripare att ändra principen.
Använd en säker plats när du skapar media för OS-avbildningar
Om obehöriga användare har åtkomst till platsen kan de manipulera de filer som du skapar. De kan också använda allt tillgängligt diskutrymme så att medieskapandet misslyckas.
Skydda certifikatfiler
Skydda certifikatfiler (.pfx) med ett starkt lösenord. Om du lagrar dem i nätverket skyddar du nätverkskanalen när du importerar dem till Configuration Manager
När du behöver ett lösenord för att importera klientautentiseringscertifikatet som du använder för startbara medier hjälper den här konfigurationen till att skydda certifikatet från en angripare.
Använd SMB-signering eller IPsec mellan nätverksplatsen och platsservern för att förhindra att en angripare manipulerar certifikatfilen.
Blockera eller återkalla eventuella komprometterade certifikat
Om klientcertifikatet komprometteras blockerar du certifikatet från Configuration Manager. Om det är ett PKI-certifikat återkallar du det.
Om du vill distribuera ett operativsystem med startbara medier och PXE-start måste du ha ett certifikat för klientautentisering med en privat nyckel. Om certifikatet komprometteras blockerar du certifikatet i noden Certifikat på arbetsytan Administration , noden Säkerhet .
Skydda kommunikationskanalen mellan platsservern och SMS-providern
När SMS-providern är fjärransluten från platsservern skyddar du kommunikationskanalen för att skydda startavbildningar.
När du ändrar startavbildningar och SMS-providern körs på en server som inte är platsservern är startavbildningarna sårbara för angrepp. Skydda nätverkskanalen mellan dessa datorer med hjälp av SMB-signering eller IPsec.
Aktivera distributionsplatser för PXE-klientkommunikation endast i säkra nätverkssegment
När en klient skickar en PXE-startbegäran kan du inte se till att begäran hanteras av en giltig PXE-aktiverad distributionsplats. Det här scenariot medför följande säkerhetsrisker:
En falsk distributionsplats som svarar på PXE-begäranden kan ge en manipulerad avbildning till klienter.
En angripare kan starta en man-in-the-middle-attack mot TFTP-protokollet som används av PXE. Den här attacken kan skicka skadlig kod med OS-filerna. Angriparen kan också skapa en falsk klient för att göra TFTP-begäranden direkt till distributionsplatsen.
En angripare kan använda en skadlig klient för att starta en överbelastningsattack mot distributionsplatsen.
Använd skydd på djupet för att skydda nätverkssegmenten där klienter får åtkomst till PXE-aktiverade distributionsplatser.
Varning
På grund av dessa säkerhetsrisker ska du inte aktivera en distributionsplats för PXE-kommunikation när den är i ett ej betrott nätverk, till exempel ett perimeternätverk.
Konfigurera PXE-aktiverade distributionsplatser för att endast svara på PXE-begäranden i angivna nätverksgränssnitt
Om du tillåter att distributionsplatsen svarar på PXE-begäranden i alla nätverksgränssnitt kan den här konfigurationen exponera PXE-tjänsten för ej betrodda nätverk
Kräv lösenord för PXE-start
När du behöver ett lösenord för PXE-start lägger den här konfigurationen till en extra säkerhetsnivå i PXE-startprocessen. Den här konfigurationen skyddar mot att obehöriga klienter ansluter till Configuration Manager-hierarkin.
Begränsa innehåll i OS-avbildningar som används för PXE-start eller multicast
Ta inte med verksamhetsspecifika program eller programvara som innehåller känsliga data i en avbildning som du använder för PXE-start eller multicast.
På grund av de inneboende säkerhetsriskerna med PXE-start och multicast minskar du riskerna om en falsk dator laddar ned OS-avbildningen.
Begränsa innehåll som installeras av aktivitetssekvensvariabler
Ta inte med verksamhetsspecifika program eller programvara som innehåller känsliga data i paket med program som du installerar med hjälp av aktivitetssekvensvariabler.
När du distribuerar programvara med hjälp av aktivitetssekvensvariabler kan den installeras på datorer och till användare som inte har behörighet att ta emot programvaran.
Skydda nätverkskanalen vid migrering av användartillstånd
När du migrerar användartillståndet skyddar du nätverkskanalen mellan klienten och tillståndsmigreringsplatsen med hjälp av SMB-signering eller IPsec.
Efter den första anslutningen via HTTP överförs migreringsdata för användartillstånd med hjälp av SMB. Om du inte skyddar nätverkskanalen kan en angripare läsa och ändra dessa data.
Använd den senaste versionen av USMT
Använd den senaste versionen av USMT (User State Migration Tool) som Configuration Manager stöder.
Den senaste versionen av USMT ger säkerhetsförbättringar och större kontroll för när du migrerar användartillståndsdata.
Ta bort mappar på tillståndsmigreringsplatser manuellt när du inaktiverar dem
När du tar bort en tillståndsmigreringsplatsmapp i Configuration Manager-konsolen på tillståndsmigreringsplatsens egenskaper tar webbplatsen inte bort den fysiska mappen. Om du vill skydda migreringsdata för användartillstånd från avslöjande av information tar du bort nätverksresursen manuellt och tar bort mappen.
Konfigurera inte borttagningsprincipen för att omedelbart ta bort användartillståndet
Om du konfigurerar borttagningsprincipen på tillståndsmigreringsplatsen för att omedelbart ta bort data som har markerats för borttagning, och om en angripare lyckas hämta användartillståndsdata innan den giltiga datorn gör det, tar webbplatsen omedelbart bort användartillståndsdata. Ange att intervallet Ta bort efter ska vara tillräckligt långt för att verifiera att användartillståndsdata har återställts.
Ta bort datorassociationer manuellt
Ta bort datorassociationer manuellt när återställningen av användartillståndsmigreringsdata har slutförts och verifierats.
Configuration Manager tar inte bort datorassociationer automatiskt. Hjälp med att skydda identiteten för användartillståndsdata genom att manuellt ta bort datorassociationer som inte längre krävs.
Säkerhetskopiera migreringsdata för användartillstånd manuellt på tillståndsmigreringsplatsen
Configuration Manager Säkerhetskopiering innehåller inte migreringsdata för användartillstånd i platssäkerhetskopian.
Implementera åtkomstkontroller för att skydda förinstallerade medier
Kontrollera fysisk åtkomst till media för att förhindra att en angripare använder kryptografiska attacker för att hämta certifikatet för klientautentisering och känsliga data.
Implementera åtkomstkontroller för att skydda referensprocessen för datoravbildning
Kontrollera att referensdatorn som du använder för att avbilda OS-avbildningar finns i en säker miljö. Använd lämpliga åtkomstkontroller så att oväntad eller skadlig programvara inte kan installeras och oavsiktligt inkluderas i den avbildade avbildningen. När du avbildar avbildningen kontrollerar du att målnätverksplatsen är säker. Den här processen hjälper dig att se till att avbildningen inte kan manipuleras när du har avbildat den.
Installera alltid de senaste säkerhetsuppdateringarna på referensdatorn
När referensdatorn har aktuella säkerhetsuppdateringar bidrar det till att minska sårbarhetsfönstret för nya datorer när de startar.
Implementera åtkomstkontroller när du distribuerar ett operativsystem till en okänd dator
Om du måste distribuera ett operativsystem till en okänd dator implementerar du åtkomstkontroller för att förhindra att obehöriga datorer ansluter till nätverket.
Etablering av okända datorer är en praktisk metod för att distribuera nya datorer på begäran. Men det kan också göra det möjligt för en angripare att effektivt bli en betrodd klient i nätverket. Begränsa fysisk åtkomst till nätverket och övervaka klienter för att identifiera obehöriga datorer.
Datorer som svarar på en PXE-initierad OS-distribution kan få alla data förstörda under processen. Det här beteendet kan leda till en förlust av tillgänglighet för system som oavsiktligt formateras om.
Aktivera kryptering för multicast-paket
För varje os-distributionspaket kan du aktivera kryptering när Configuration Manager överför paketet med hjälp av multicast. Den här konfigurationen hjälper till att förhindra att obehöriga datorer ansluter till multicast-sessionen. Det hjälper också till att förhindra angripare från att manipulera överföringen.
Övervaka obehöriga multicast-aktiverade distributionsplatser
Om angripare kan få åtkomst till ditt nätverk kan de konfigurera oseriösa multicast-servrar för förfalskning av OS-distribution.
När du exporterar aktivitetssekvenser till en nätverksplats ska du skydda platsen och nätverkskanalen
Begränsa vem som kan komma åt nätverksmappen.
Använd SMB-signering eller IPsec mellan nätverksplatsen och platsservern för att förhindra att en angripare manipulerar den exporterade aktivitetssekvensen.
Om du använder aktivitetssekvenskörningen som konto bör du vidta ytterligare säkerhetsåtgärder
Om du använder aktivitetssekvenskörningen som konto vidtar du följande försiktighetsåtgärder:
Använd ett konto med minsta möjliga behörighet.
Använd inte kontot för nätverksåtkomst för det här kontot.
Gör aldrig kontot till domänadministratör.
Konfigurera aldrig centrala profiler för det här kontot. När aktivitetssekvensen körs laddar den ned roamingprofilen för kontot, vilket gör profilen sårbar för åtkomst på den lokala datorn.
Begränsa kontots omfång. Skapa till exempel olika aktivitetssekvenskörningar som konton för varje aktivitetssekvens. Om ett konto komprometteras komprometteras endast de klientdatorer som kontot har åtkomst till. Om kommandoraden kräver administrativ åtkomst på datorn kan du skapa ett lokalt administratörskonto enbart för aktivitetssekvensen som körs som konto. Skapa det här lokala kontot på alla datorer som kör aktivitetssekvensen och ta bort kontot så snart det inte längre behövs.
Begränsa och övervaka de administrativa användare som beviljas säkerhetsrollen för operativsystemets distributionshanterare
Administrativa användare som beviljas säkerhetsrollen för operativsystemets distributionshanterare kan skapa självsignerade certifikat. Dessa certifikat kan sedan användas för att personifiera en klient och hämta klientprinciper från Configuration Manager.
Använd förbättrad HTTP för att minska behovet av ett nätverksåtkomstkonto
Från och med version 1806, när du aktiverar utökad HTTP, kräver flera scenarier för operativsystemdistribution inte något konto för nätverksåtkomst för att ladda ned innehåll från en distributionsplats. Mer information finns i Aktivitetssekvenser och nätverksåtkomstkontot.
Säkerhetsproblem vid distribution av operativsystem
Även om os-distribution kan vara ett bekvämt sätt att distribuera de säkraste operativsystemen och konfigurationerna för datorer i nätverket, har den följande säkerhetsrisker:
Avslöjande av information och denial of service
Om en angripare kan få kontroll över din Configuration Manager infrastruktur kan de köra alla aktivitetssekvenser. Den här processen kan omfatta formatering av hårddiskarna på alla klientdatorer. Aktivitetssekvenser kan konfigureras så att de innehåller känslig information, till exempel konton som har behörighet att ansluta till domänen och volymlicensnycklar.
Personifiering och utökade privilegier
Aktivitetssekvenser kan ansluta en dator till domänen, vilket kan ge en falsk dator med autentiserad nätverksåtkomst.
Skydda klientautentiseringscertifikatet som används för startbara aktivitetssekvensmedia och för PXE-startdistribution. När du registrerar ett certifikat för klientautentisering ger den här processen en angripare möjlighet att hämta den privata nyckeln i certifikatet. Med det här certifikatet kan de personifiera en giltig klient i nätverket. I det här scenariot kan den obehöriga datorn ladda ned en princip som kan innehålla känsliga data.
Om klienter använder kontot för nätverksåtkomst för att komma åt data som lagras på tillståndsmigreringsplatsen delar dessa klienter i praktiken samma identitet. De kan komma åt tillståndsmigreringsdata från en annan klient som använder nätverksåtkomstkontot. Data krypteras så att endast den ursprungliga klienten kan läsa dem, men data kan manipuleras eller tas bort.
Klientautentisering till tillståndsmigreringsplatsen uppnås med hjälp av en Configuration Manager token som utfärdas av hanteringsplatsen.
Configuration Manager begränsar eller hanterar inte mängden data som lagras på tillståndsmigreringsplatsen. En angripare kan fylla upp det tillgängliga diskutrymmet och orsaka en överbelastningsattack.
Om du använder samlingsvariabler kan lokala administratörer läsa potentiellt känslig information
Även om samlingsvariabler erbjuder en flexibel metod för att distribuera operativsystem, kan den här funktionen resultera i avslöjande av information.
Sekretessinformation för os-distribution
Förutom att distribuera ett operativsystem till datorer utan ett, kan Configuration Manager användas för att migrera användarnas filer och inställningar från en dator till en annan. Administratören konfigurerar vilken information som ska överföras, inklusive personliga datafiler, konfigurationsinställningar och webbläsarcookies.
Configuration Manager lagrar informationen på en tillståndsmigreringsplats och krypterar den under överföring och lagring. Endast den nya datorn som är associerad med tillståndsinformationen kan hämta den lagrade informationen. Om den nya datorn förlorar nyckeln för att hämta informationen kan en Configuration Manager administratör med behörigheten Visa återställningsinformation på objekt för datorassociationsinstans komma åt informationen och associera den med en ny dator. När den nya datorn återställer tillståndsinformationen tas data som standard bort efter en dag. Du kan konfigurera när tillståndsmigreringsplatsen tar bort data som markerats för borttagning. Configuration Manager lagrar inte tillståndsmigreringsinformationen i platsdatabasen och skickar den inte till Microsoft.
Om du använder startmedia för att distribuera OS-avbildningar använder du alltid standardalternativet för att lösenordsskydda startmediet. Lösenordet krypterar alla variabler som lagras i aktivitetssekvensen, men all information som inte lagras i en variabel kan vara sårbar för avslöjande.
Os-distribution kan använda aktivitetssekvenser för att utföra många olika uppgifter under distributionsprocessen, vilket inkluderar installation av program och programuppdateringar. När du konfigurerar aktivitetssekvenser bör du också vara medveten om sekretesskonsekvenserna av att installera programvara.
Configuration Manager implementerar inte os-distribution som standard. Det krävs flera konfigurationssteg innan du samlar in information om användartillstånd eller skapar aktivitetssekvenser eller startavbildningar.
Innan du konfigurerar os-distribution bör du tänka igenom dina sekretesskrav.
Se även
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för