Configuration Manager işletim sistemi dağıtımı için güvenlik ve gizlilik
Uygulama hedefi: Configuration Manager (güncel dalı)
Bu makale, Configuration Manager işletim sistemi dağıtım özelliği için güvenlik ve gizlilik bilgilerini içerir.
İşletim sistemi dağıtımı için en iyi güvenlik uygulamaları
Configuration Manager ile işletim sistemlerini dağıtırken aşağıdaki en iyi güvenlik uygulamalarını kullanın:
Önyüklenebilir medyayı korumak için erişim denetimleri uygulama
Önyüklenebilir medya oluşturduğunuzda, medyanın güvenliğini sağlamaya yardımcı olmak için her zaman bir parola atayın. Parolayla bile yalnızca hassas bilgiler içeren dosyaları şifreler ve tüm dosyaların üzerine yazılabilir.
Bir saldırganın istemci kimlik doğrulama sertifikasını almak için şifreleme saldırıları kullanmasını önlemek için medyaya fiziksel erişimi denetleyin.
bir istemcinin üzerinde oynanmış içeriği veya istemci ilkesini yüklemesini önlemeye yardımcı olmak için içerik karma olarak kullanılır ve özgün ilkeyle birlikte kullanılmalıdır. İçerik karması başarısız olursa veya içeriğin ilkeyle eşleşip eşleşmediğini denetlerse, istemci önyüklenebilir medyayı kullanmaz. Yalnızca içerik karmadır. İlke karma değildir, ancak parola belirttiğinizde şifrelenir ve güvenli hale gelir. Bu davranış, bir saldırganın ilkeyi başarıyla değiştirmesini zorlaştırır.
İşletim sistemi görüntüleri için medya oluştururken güvenli bir konum kullanma
Yetkisiz kullanıcıların konuma erişimi varsa, oluşturduğunuz dosyalarla oynanabilir. Medya oluşturma işleminin başarısız olması için kullanılabilir tüm disk alanını da kullanabilirler.
Sertifika dosyalarını koruma
Sertifika dosyalarını (.pfx) güçlü bir parolayla koruyun. Bunları ağda depolarsanız, ağ kanalını Configuration Manager
Önyüklenebilir medya için kullandığınız istemci kimlik doğrulama sertifikasını içeri aktarmak için parolaya ihtiyacınız olduğunda, bu yapılandırma sertifikayı bir saldırgandan korumaya yardımcı olur.
Bir saldırganın sertifika dosyasıyla oynamasını önlemek için ağ konumu ile site sunucusu arasında SMB imzalama veya IPsec kullanın.
Güvenliği aşılmış sertifikaları engelleme veya iptal etme
İstemci sertifikasının güvenliği aşılırsa sertifikanın Configuration Manager engelleyin. Bu bir PKI sertifikasıysa, sertifikayı iptal edin.
Önyüklenebilir medya ve PXE önyüklemesi kullanarak işletim sistemi dağıtmak için özel anahtara sahip bir istemci kimlik doğrulama sertifikanız olmalıdır. Bu sertifikanın güvenliği aşılırsa, Sertifikayı Yönetim çalışma alanı olan Güvenlik düğümündeki Sertifikalar düğümünde engelleyin.
Site sunucusu ile SMS Sağlayıcısı arasındaki iletişim kanalının güvenliğini sağlama
SMS Sağlayıcısı site sunucusundan uzak olduğunda önyükleme görüntülerini korumak için iletişim kanalının güvenliğini sağlayın.
Önyükleme görüntülerini değiştirdiğinizde ve SMS Sağlayıcısı site sunucusu olmayan bir sunucuda çalıştığında, önyükleme görüntüleri saldırılara karşı savunmasızdır. SMB imzalama veya IPsec kullanarak bu bilgisayarlar arasındaki ağ kanalını koruyun.
Yalnızca güvenli ağ kesimlerinde PXE istemci iletişimi için dağıtım noktalarını etkinleştirme
İstemci bir PXE önyükleme isteği gönderdiğinde, isteğe geçerli bir PXE özellikli dağıtım noktası tarafından hizmet edildiğinden emin olmak için bir yolunuz yoktur. Bu senaryoda aşağıdaki güvenlik riskleri vardır:
PXE isteklerine yanıt veren bir sahte dağıtım noktası, istemcilere değiştirilmiş bir görüntü sağlayabilir.
Saldırgan, PXE tarafından kullanılan TFTP protokolüne karşı ortadaki adam saldırısı başlatabilir. Bu saldırı işletim sistemi dosyalarıyla kötü amaçlı kod gönderebilir. Saldırgan, doğrudan dağıtım noktasına TFTP istekleri göndermek için bir düzenbaz istemci de oluşturabilir.
Saldırgan, dağıtım noktasına yönelik bir hizmet reddi saldırısı başlatmak için kötü amaçlı bir istemci kullanabilir.
İstemcilerin PXE özellikli dağıtım noktalarına eriştiği ağ kesimlerini korumak için derinlemesine savunma kullanın.
Uyarı
Bu güvenlik riskleri nedeniyle, çevre ağı gibi güvenilmeyen bir ağdayken PXE iletişimi için bir dağıtım noktasını etkinleştirmeyin.
PXE özellikli dağıtım noktalarını yalnızca belirtilen ağ arabirimlerinde PXE isteklerine yanıt verecek şekilde yapılandırma
Dağıtım noktasının tüm ağ arabirimlerindeki PXE isteklerine yanıt vermesine izin verirseniz, bu yapılandırma PXE hizmetini güvenilmeyen ağlarda kullanıma verebilir
PXE önyüklemesi için parola gerektir
PXE önyüklemesi için parolaya ihtiyacınız olduğunda, bu yapılandırma PXE önyükleme işlemine ek bir güvenlik düzeyi ekler. Bu yapılandırma, Configuration Manager hiyerarşisine katılan düzenbaz istemcilere karşı korumaya yardımcı olur.
PXE önyüklemesi veya çok noktaya yayın için kullanılan işletim sistemi görüntülerindeki içeriği kısıtlama
PXE önyüklemesi veya çok noktaya yayın için kullandığınız bir görüntüye hassas veriler içeren iş kolu uygulamaları veya yazılımları eklemeyin.
PXE önyüklemesi ve çok noktaya yayın ile ilgili doğal güvenlik riskleri nedeniyle, sahte bir bilgisayar işletim sistemi görüntüsünü indirirse riskleri azaltın.
Görev dizisi değişkenleri tarafından yüklenen içeriği kısıtlama
Görev dizileri değişkenlerini kullanarak yüklediğiniz uygulama paketlerine hassas veriler içeren iş kolu uygulamaları veya yazılımlar eklemeyin.
Görev dizileri değişkenlerini kullanarak yazılım dağıttığınızda, bu yazılım bilgisayarlara ve bu yazılımı alma yetkisi olmayan kullanıcılara yüklenebilir.
Kullanıcı durumunu geçirirken ağ kanalının güvenliğini sağlama
Kullanıcı durumunu geçirirken, SMB imzalama veya IPsec kullanarak istemci ile durum geçiş noktası arasındaki ağ kanalının güvenliğini sağlayın.
HTTP üzerinden ilk bağlantıdan sonra, kullanıcı durumu geçiş verileri SMB kullanılarak aktarılır. Ağ kanalının güvenliğini sağlamazsanız, saldırgan bu verileri okuyabilir ve değiştirebilir.
USMT'nin en son sürümünü kullanma
Configuration Manager tarafından desteklenen Kullanıcı Durumu Geçiş Aracı'nın (USMT) en son sürümünü kullanın.
USMT'nin en son sürümü, kullanıcı durumu verilerini geçirirken güvenlik geliştirmeleri ve daha fazla denetim sağlar.
Kullanımdan kaldırdığınızda durum geçiş noktalarındaki klasörleri el ile silme
Durum geçiş noktası özelliklerindeki Configuration Manager konsolundaki bir durum geçiş noktası klasörünü kaldırdığınızda, site fiziksel klasörü silmez. Kullanıcı durumu geçiş verilerini bilgilerin açığa çıkmasına karşı korumak için ağ paylaşımını el ile kaldırın ve klasörü silin.
Silme ilkesini kullanıcı durumunu hemen silecek şekilde yapılandırma
Durum geçiş noktasında silme ilkesini, silinmek üzere işaretlenmiş verileri hemen kaldıracak şekilde yapılandırırsanız ve bir saldırgan kullanıcı durumu verilerini geçerli bilgisayardan önce almayı başarırsa, site kullanıcı durumu verilerini hemen siler. Kullanıcı durumu verilerinin başarılı bir şekilde geri yüklendiğini doğrulamak için Delete after interval değerini yeterince uzun olacak şekilde ayarlayın.
Bilgisayar ilişkilendirmelerini el ile silme
Kullanıcı durumu geçiş verilerini geri yükleme işlemi tamamlandığında ve doğrulandığında bilgisayar ilişkilendirmelerini el ile silin.
Configuration Manager bilgisayar ilişkilendirmelerini otomatik olarak kaldırmaz. Artık gerekli olmayan bilgisayar ilişkilendirmelerini el ile silerek kullanıcı durumu verilerinin kimliğini korumaya yardımcı olun.
Durum geçiş noktasında kullanıcı durumu geçiş verilerini el ile yedekleme
Configuration Manager Yedekleme, site yedeklemesine kullanıcı durumu geçiş verilerini içermez.
Önceden hazırlanan medyayı korumak için erişim denetimleri uygulama
Bir saldırganın istemci kimlik doğrulama sertifikasını ve hassas verileri almak için şifreleme saldırıları kullanmasını önlemek için medyaya fiziksel erişimi denetleyin.
Başvuru bilgisayarı görüntüleme işlemini korumak için erişim denetimleri uygulama
İşletim sistemi görüntülerini yakalamak için kullandığınız başvuru bilgisayarının güvenli bir ortamda olduğundan emin olun. Beklenmeyen veya kötü amaçlı yazılımların yüklenebilmesi ve yakalanan görüntüye yanlışlıkla eklenebilmesi için uygun erişim denetimlerini kullanın. Görüntüyü yakaladığınızda hedef ağ konumunun güvenli olduğundan emin olun. Bu işlem, görüntüyü kaydettikten sonra üzerinde oynanmamasını sağlar.
Başvuru bilgisayarına her zaman en son güvenlik güncelleştirmelerini yükleyin
Başvuru bilgisayarında geçerli güvenlik güncelleştirmeleri olduğunda, yeni bilgisayarlar ilk başlatıldığında güvenlik açığı penceresini azaltmaya yardımcı olur.
Bilinmeyen bir bilgisayara işletim sistemi dağıtırken erişim denetimleri uygulama
Bilinmeyen bir bilgisayara işletim sistemi dağıtmanız gerekiyorsa, yetkisiz bilgisayarların ağa bağlanmasını önlemek için erişim denetimleri uygulayın.
Bilinmeyen bilgisayarların sağlanması, yeni bilgisayarları isteğe bağlı olarak dağıtmak için kullanışlı bir yöntem sağlar. Ancak bir saldırganın ağınızda etkili bir şekilde güvenilir bir istemci olmasına da olanak sağlayabilir. Ağa fiziksel erişimi kısıtlayın ve yetkisiz bilgisayarları algılamak için istemcileri izleyin.
PXE tarafından başlatılan işletim sistemi dağıtımına yanıt veren bilgisayarlarda işlem sırasında tüm veriler yok edilmiş olabilir. Bu davranış, yanlışlıkla yeniden biçimlendirilmiş sistemlerin kullanılabilirlik kaybına neden olabilir.
Çok noktaya yayın paketleri için şifrelemeyi etkinleştirme
Her işletim sistemi dağıtım paketi için, Configuration Manager çok noktaya yayın kullanarak paketi aktardığında şifrelemeyi etkinleştirebilirsiniz. Bu yapılandırma, düzenbaz bilgisayarların çok noktaya yayın oturumuna katılmasını önlemeye yardımcı olur. Ayrıca saldırganların iletimle oynamasını önlemeye de yardımcı olur.
Yetkisiz çok noktaya yayın özellikli dağıtım noktalarını izleme
Saldırganlar ağınıza erişim elde edebilirse, kötü niyetli çok noktaya yayın sunucularını işletim sistemi dağıtımını yanıltacak şekilde yapılandırabilir.
Görev dizilerini bir ağ konumuna aktardığınızda, konumun güvenliğini sağlayın ve ağ kanalının güvenliğini sağlayın
Ağ klasörüne kimlerin erişebileceğini kısıtlayın.
Bir saldırganın dışarı aktarılan görev dizisiyle oynamasını önlemek için ağ konumu ile site sunucusu arasında SMB imzalama veya IPsec kullanın.
Görev dizisi farklı çalıştır hesabını kullanıyorsanız ek güvenlik önlemleri alın
Görev dizisi farklı çalıştır hesabını kullanıyorsanız aşağıdaki önlem adımlarını uygulayın:
Mümkün olan en düşük izinlere sahip bir hesap kullanın.
Bu hesap için ağ erişim hesabını kullanmayın.
Hesabı hiçbir zaman etki alanı yöneticisi yapma.
Bu hesap için hiçbir zaman dolaşım profillerini yapılandırma. Görev dizisi çalıştırıldığında, hesabın dolaşım profilini indirir ve bu da profilin yerel bilgisayarda erişime açık olmasını sağlar.
Hesabın kapsamını sınırlayın. Örneğin, her görev dizisi için farklı görev dizisi çalıştırma hesapları oluşturun. Bir hesabın güvenliği aşılırsa, yalnızca bu hesabın erişimi olan istemci bilgisayarlar tehlikeye girer. Komut satırı bilgisayarda yönetici erişimi gerektiriyorsa, yalnızca görev dizisi farklı çalıştır hesabı için bir yerel yönetici hesabı oluşturmayı göz önünde bulundurun. Bu yerel hesabı görev dizisini çalıştıran tüm bilgisayarlarda oluşturun ve artık gerekli olmadığı anda hesabı silin.
İşletim sistemi dağıtım yöneticisi güvenlik rolü verilen yönetici kullanıcıları kısıtlama ve izleme
İşletim sistemi dağıtım yöneticisi güvenlik rolü verilen yönetici kullanıcılar otomatik olarak imzalanan sertifikalar oluşturabilir. Bu sertifikalar daha sonra bir istemcinin kimliğine bürünmek ve Configuration Manager istemci ilkesi almak için kullanılabilir.
Ağ erişim hesabı gereksinimini azaltmak için Gelişmiş HTTP kullanma
1806 sürümünden başlayarak , Gelişmiş HTTP'yi etkinleştirdiğinizde, çeşitli işletim sistemi dağıtım senaryolarında dağıtım noktasından içerik indirmek için ağ erişim hesabı gerekmez. Daha fazla bilgi için bkz . Görev dizileri ve ağ erişim hesabı.
İşletim sistemi dağıtımı için güvenlik sorunları
İşletim sistemi dağıtımı ağınızdaki bilgisayarlar için en güvenli işletim sistemlerini ve yapılandırmaları dağıtmanın kullanışlı bir yolu olsa da, aşağıdaki güvenlik risklerine sahiptir:
Bilgilerin açığa çıkması ve hizmet reddi
Bir saldırgan Configuration Manager altyapınızın denetimini elde edebilirse herhangi bir görev dizisini çalıştırabilir. Bu işlem, tüm istemci bilgisayarların sabit sürücülerini biçimlendirmeyi içerebilir. Görev dizileri, etki alanına katılma izinleri olan hesaplar ve toplu lisanslama anahtarları gibi hassas bilgileri içerecek şekilde yapılandırılabilir.
Kimliğe bürünme ve ayrıcalıkların yükseltilmesi
Görev dizileri bir bilgisayarı etki alanına ekleyebilir ve bu da kimliği doğrulanmış ağ erişimine sahip bir sahte bilgisayar sağlayabilir.
Önyüklenebilir görev dizisi medyası ve PXE önyükleme dağıtımı için kullanılan istemci kimlik doğrulama sertifikasını koruyun. bir istemci kimlik doğrulama sertifikası yakaladığınızda, bu işlem bir saldırgana sertifikadaki özel anahtarı alma fırsatı verir. Bu sertifika, ağdaki geçerli bir istemcinin kimliğine bürünmelerini sağlar. Bu senaryoda, düzenbaz bilgisayar hassas veriler içerebilen ilkeyi indirebilir.
İstemciler durum geçiş noktasında depolanan verilere erişmek için ağ erişim hesabını kullanırsa, bu istemciler aynı kimliği etkili bir şekilde paylaşır. Ağ erişim hesabını kullanan başka bir istemciden durum geçiş verilerine erişebilirler. Veriler şifrelenir, böylece yalnızca özgün istemci tarafından okunabilir, ancak veriler üzerinde oynanabilir veya silinebilir.
Durum geçiş noktasına istemci kimlik doğrulaması, yönetim noktası tarafından verilen bir Configuration Manager belirteci kullanılarak elde edilir.
Configuration Manager durum geçiş noktasında depolanan veri miktarını sınırlamaz veya yönetmez. Saldırgan kullanılabilir disk alanını doldurabilir ve hizmet reddine neden olabilir.
Koleksiyon değişkenlerini kullanıyorsanız, yerel yöneticiler hassas olabilecek bilgileri okuyabilir
Koleksiyon değişkenleri işletim sistemlerini dağıtmak için esnek bir yöntem sunsa da, bu özellik bilgilerin açığa çıkmasına neden olabilir.
İşletim sistemi dağıtımı için gizlilik bilgileri
Bir işletim sistemini bilgisayarlara tek bir işletim sistemi olmadan dağıtmaya ek olarak, kullanıcıların dosyalarını ve ayarlarını bir bilgisayardan diğerine geçirmek için Configuration Manager kullanılabilir. Yönetici, kişisel veri dosyaları, yapılandırma ayarları ve tarayıcı tanımlama bilgileri de dahil olmak üzere hangi bilgileri aktaracaklarını yapılandırıyor.
Configuration Manager bilgileri bir durum geçiş noktasında depolar ve iletim ve depolama sırasında şifreler. Depolanan bilgileri yalnızca durum bilgileriyle ilişkilendirilmiş yeni bilgisayar alabilir. Yeni bilgisayar bilgileri alma anahtarını kaybederse, doğrudan bilgisayar ilişkilendirme örneği nesnelerinde Kurtarma Bilgilerini Görüntüle'ye sahip bir Configuration Manager yöneticisi bilgilere erişebilir ve yeni bir bilgisayarla ilişkilendirebilir. Yeni bilgisayar durum bilgilerini geri yükledikten sonra, varsayılan olarak bir gün sonra verileri siler. Durum geçiş noktası silinmek üzere işaretlenmiş verileri kaldırdığında yapılandırabilirsiniz. Configuration Manager durum geçiş bilgilerini site veritabanında depolamaz ve Microsoft göndermez.
İşletim sistemi görüntülerini dağıtmak için önyükleme medyası kullanıyorsanız, önyükleme medyasını parolayla korumak için her zaman varsayılan seçeneği kullanın. Parola, görev dizisinde depolanan tüm değişkenleri şifreler, ancak bir değişkende depolanmayan tüm bilgiler açığa çıkabilir.
İşletim sistemi dağıtımı, uygulama ve yazılım güncelleştirmelerini yükleme dahil olmak üzere dağıtım işlemi sırasında birçok farklı görevi gerçekleştirmek için görev dizilerini kullanabilir. Görev dizilerini yapılandırırken, yazılım yüklemenin gizlilik üzerindeki etkilerini de bilmeniz gerekir.
Configuration Manager varsayılan olarak işletim sistemi dağıtımı uygulamaz. Kullanıcı durumu bilgilerini toplamadan veya görev dizileri ya da önyükleme görüntüleri oluşturmadan önce birkaç yapılandırma adımı gerekir.
İşletim sistemi dağıtımını yapılandırmadan önce gizlilik gereksinimlerinizi göz önünde bulundurun.
Ayrıca bkz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin