Güvenlik ve gizlilik için bant dışı yönetim Yapılandırma Yöneticisi'nde dışında
Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Not
Bu konu şunları içerir:Varlıklar ve uyum System Center 2012 Configuration Manager'da kılavuzu ve System Center 2012 Configuration Manager için Güvenlik ve Gizlilik kılavuzunda.
Bu konu için güvenlik ve gizlilik bilgileri bant Yönetimi'nde dışında içeren System Center 2012 Configuration Manager.
Güvenlik dışında bant dışı yönetim için en iyi uygulamalar
Intel AMT tabanlı bilgisayarı bant dışı yönetme, aşağıdaki güvenlik en iyi uygulamaları kullanın.
En iyi güvenlik yöntemi |
Daha fazla bilgi |
---|---|
Intel AMT tabanlı bilgisayarlarda satın almadan önce özelleştirilmiş bellenim istek. |
Bant dışı yönetilen bilgisayarlar bu bilgisayarlar ağınızdaki olduğunda güvenlik büyük ölçüde artırmak için özelleştirilmiş değerleri ayarlayabilirsiniz BIOS uzantıları vardır.Hangi BIOS uzantı ayarları, bilgisayar üreticisinden kullanılabilir olup olmadığını kontrol edin ve, değerleri belirtin.Daha fazla bilgi için, bkz. Bir özelleştirilmiş Bellenim görüntüsü bilgisayarınızın üreticisinden kullanmayı belirler. AMT tabanlı bilgisayarlarınızı kullanmak istediğiniz bellenim değerleri yoksa, el ile belirt olabilir.El ile BIOS uzantıları yapılandırma hakkında daha fazla bilgi için Intel belgelerine veya bilgisayarınızın üreticisinden belgelerine bakın.Ek bilgi için bkz: Intel vPro uzman merkezine: Microsoft vPro ilgili.Güvenlik artırmak için aşağıdaki seçeneklerden özelleştirin:
|
İstek ve yükleme sağlama sertifikanın denetler. |
Sağlama sertifika, böylece doğrudan yerel bilgisayar deposuna sertifika yüklendikten bilgisayar güvenlik bağlamı kullanarak doğrudan sağlama sunucusundan isteyin.Başka bir bilgisayardan sertifika isteği özel anahtarı vermek ve aktarım ve sertifikayı sertifika deposuna içeri ek güvenlik denetimleri kullanmak üzere varsa. |
Var olan sertifikanın süresi dolmadan önce sağlama yeni bir sertifika isteği olduğundan emin olun. |
Süresi dolmuş bir AMT sağlama sertifikası bir sağlama hatasına neden olur.Bir dış CA sağlama sertifikanız için kullanıyorsanız, yenileme işlemi tamamlayın ve bant dışı yönetim noktasını yapılandırmak ek zaman izin verir. |
Ayrılmış sertifika şablonu AMT tabanlı bilgisayarların sağlanması için kullanın. |
Bir Windows Server Enterprise sürümü, enterprise CA, oluşturmak için varsayılan Web sunucusu sertifika şablonu çoğaltma tarafından yeni bir sertifika şablonu, bant dışı yönetim bileşeni özellikleri dışı belirttiğiniz güvenlik grubu okuma ve Kaydolma izinlerine sahip olduğundan emin olun kullanmak ise ve varsayılan sunucu kimlik doğrulama ek beceriler eklemeyin. Ayrılmış sertifika şablonu daha iyi yönetmek ve ayrıcalık önlenmesine yardımcı olmak için erişimi denetlemek sağlar.Kuruluşunuz için Windows Server'ın standart sürümünü varsa, yinelenen sertifika şablonu oluşturulamıyor.Bu senaryoda okuma ekleyin ve bant dışı yönetim bileşeni özellikleri dışı belirttiğiniz güvenlik grubu izinleri kaydetmek ve ihtiyacınız olmayan herhangi bir izni kaldırmanız gerekir. |
Power AMT komutları Uyanma paketlerinin yerine kullanın. |
Her iki çözümleri bilgisayarları yazılım yükleme Uyandırma destek olsa da, AMT komutları açma kimlik doğrulama ve şifreleme standart endüstri güvenlik protokolleri kullanılarak sağlarlar olduğundan Uyanma paketlerinin aktarmak değerinden daha güvenli.Bant dışı yönetim dışı komutları ile AMT güç kullanarak, bu çözüm Ayrıca varolan bir ortak anahtar altyapısı (PKI) dağıtımı ile tümleştirebilir ve güvenlik denetimleri ürün bağımsız olarak yönetilebilir.Daha fazla bilgi için bkz: "Planlama nasıl Uyanma yukarı istemcilerin" Configuration Manager'da İstemci İletişimi İçin Plan Yapma. |
Bilgisayar için bant dışı yönetim desteklenmiyorsa yazılımlarını AMT devre dışı bırakın. |
Dahi AMT tabanlı bilgisayarlarda AMT desteklenen bir sürümü yüklü, bant dışı yönetim dışında desteklemediği bazı senaryo vardır.Bu senaryoları çalışma grubu, farklı bir ad alanı olan bilgisayarlarda ve ayrık ad alanı olan bilgisayarları içerir. Bu AMT tabanlı bilgisayarlar için Active Directory etki alanı Hizmetleri yayımlanmamış ve onlar için istenen bir PKI sertifika yok emin olmak için AMT yazılımlarını devre dışı bırakın.İçindeki AMT sağlama Configuration Manager Active Directory etki alanı bilgisayarları Active Directory ormanınızı parçası olmayan bağlandığınızda ayrıcalık risklerini Hizmetleri'ne, yayımlanan hesapları için etki alanı kimlik bilgilerini oluşturur. |
AMT tabanlı bilgisayarı hesapları yayımlamaya adanmış bir OU kullanın. |
Var olan bir kapsayıcı ya da kuruluş birimi (OU) AMT sağlama sırasında oluşturulan Active Directory hesapları yayımlamaya kullanmayın.Yönetmek ve bu hesapları daha iyi denetlemek ve site sunucuları ve bu hesapları bunlar gerektirir daha fazla izin verilmez emin olunmasını sağlayan bir ayrı OU olanak sağlar. |
Site sunucusu bilgisayar hesapları OU, etki alanı bilgisayarları grubu ve AMT tabanlı bilgisayarları içeren her etki alanındaki etki alanı konuklar grubunun yazma izni izin verir. |
Site sunucusunun bilgisayar hesabı izin verme yanı sıra tüm alt nesneleri oluştur ve tüm alt nesneleri Sil OU izinlerini ve geçerli yalnızca bu nesne, site sunucusu için şu izinlere bilgisayar hesapları izin ver:
|
Ayrılmış bir koleksiyon AMT sağlama için kullanın. |
Tut. için sağlanacağı istediğiniz verilenden daha fazla bilgisayar içeren varolan bir koleksiyon kullanmayın.Bunun yerine AMT durumunu kullanarak sorgu temelli bir toplama oluşturun değil sağlanan. AMT durumu ve oluşturmak için bir sorgu hakkında daha fazla bilgi için değil sağlanan, bakın AMT durum ve bant dışı yönetim Yapılandırma Yöneticisi'nde dışı hakkında. |
Almak ve IDE yeniden yönlendirme işlevi kullanmak için alternatif ortam önyükleme görüntü dosyaları güvenli bir şekilde depolar. |
Mümkün olduğunda IDE yeniden yönlendirme işlevi kullanmak için alternatif ortam önyükleme olduğunda, görüntü dosyaları Yönetim Konsolu bant dışı çalıştıran bilgisayarda yerel olarak depolar.Ağ üzerinde depolamak gerekir, ağ üzerinden dosyaları almak için bağlantıları SMB ağ aktarım sırasında değiştirilmiş dosyaları önlenmesine yardımcı olmak imzalama kullanmasını sağlayın.Her iki durumda da, yetkisiz erişim NTFS izinleri ve şifrelenmiş dosya sistemi kullanarak önlenmesine yardımcı olmak için depolanan dosyaların güvenli. |
Almak ve güvenli bir şekilde AMT denetim günlük dosyalarını depolar. |
AMT kaydettiğinizde denetim günlüğü dosyalarının, mümkün olduğunda, dosyaları yerel olarak dışı bant dışı yönetim konsolunu çalıştıran bilgisayarda depolar.Ağ üzerinde depolamak gerekir, ağ üzerinden dosyaları almak için bağlantıları SMB ağ aktarım sırasında değiştirilmiş dosyaları önlenmesine yardımcı olmak imzalama kullanmasını sağlayın.Her iki durumda da, yetkisiz erişim NTFS izinleri ve şifrelenmiş dosya sistemi kullanarak önlenmesine yardımcı olmak için depolanan dosyaların güvenli. |
AMT sağlama ve bulma hesapları sayısını en aza indirin. |
Birden çok AMT sağlama ve bulma hesabı belirtin olsa da böylece Configuration Manager AMT yönetim denetçilerine sahip ve onlar için bant dışı yönetim sağlayın, şu anda gerekli değildir hesaplarını belirtin ve artık gerekli olan hesapları silme bilgisayarları bulabilir.Bu hesapları bunlar gerektirir daha fazla izin verilmez sağlamak ve gereksiz ağ trafiği ve işleme azaltmak için ihtiyaç duyduğunuz hesapları belirtin.AMT sağlama ve bulma hesabı hakkında daha fazla bilgi için 5. Adım: Bant dışı yönetim bileşeni dışı yapılandırma. |
Hizmet devamlılığı için AMT sağlama kaldırma hesabı olarak bir kullanıcı hesabı belirtin ve bu kullanıcı hesabının bir AMT kullanıcı hesabı olarak da belirtildiğinden emin olun. |
AMT sağlama kaldırma hesabı, geri yüklemeniz gerekirse hizmet devamlılığı emin olunmasını sağlayan Configuration Manager site.Site geri yükledikten sonra istek yeni AMT sağlama sertifika yapılandırma, sağlama bilgilerinin AMT tabanlı bilgisayarlardan kaldırmak için AMT sağlama ve kaldırma hesabı kullanın ve ardından bilgisayar yeniden hazırlayın. Bu hesap bir AMT tabanlı bilgisayarı başka bir siteden atandı ve sağlama bilgilerini kaldırılmadıysa kullanabilmek için olabilir. AMT sağlama bilgilerini kaldırma hakkında daha fazla bilgi edinmek için AMT bilgilerini kaldırma konusuna bakın. |
Tek bir sertifika şablonu pratik her istemci kimlik doğrulama sertifikalarını için kullanın. |
Her kablosuz profilleri için farklı bir sertifika şablonları belirtebilirsiniz olsa da, tek bir sertifika şablonu farklı kablosuz ağlar için kullanılmak üzere farklı ayarları için bir iş gerekliliğiniz yoksa kullanın istemci kimlik doğrulama yeteneği belirtin ve bu sertifika şablonu ile kullanmak için ayırmayı Configuration Manager bant dışı yönetim dışında.Örneğin, bir kablosuz ağ daha yüksek bir anahtar boyutu veya daha kısa geçerlilik süresinden daha başka gerekiyorsa, ayrı sertifika şablonu oluşturma etmesi gerekir.Tek bir sertifika şablonu kullanımı daha kolay denetlemenizi sağlar ve ayrıcalık karşı korur. |
Yalnızca yetkilendirilmiş yönetici kullanıcılar AMT denetleme eylemleri gerçekleştirmek olduğundan emin olun ve gerekli olarak AMT denetim günlüklerini yönetmek. |
AMT sürümüne bağlı olarak Configuration Manager dolmak veya eski girişleri üzerine yazabilir yeni girişleri AMT Denetim günlüğüne yazma duruma gelebilir.Yeni girişler kaydedilir ve eski girişleri kaydedilmemesi emin olmak için düzenli aralıklarla gerekiyorsa Denetim Günlüğü Temizle ve denetim girdilerinin kaydedin.Denetim günlüğü ve etkinlikler denetimi İzleyici yönetme hakkında daha fazla bilgi için AMT tabanlı bilgisayarlarda Yapılandırma Yöneticisi'nde denetim günlüğü yönetilmesi. |
Yönetici kullanıcılar bant dışı AMT tabanlı bilgisayarı yönetme izni vermek için en az ayrıcalıkları ve rol tabanlı yönetim ilkesi kullanın. |
Kullanım Uzak Araçlar işleci yönetici kullanıcılar görüntüleme ve bant dışı Yönetim Konsolu dışı kullanarak bilgisayarları yönetme olanak veren, Denetim AMT izin vermek ve güç denetimi eylemlerden başlatmak için güvenlik rolü Configuration Manager Konsol. Gereksinim duyabileceğiniz güvenlik izinler hakkında daha fazla bilgi için AMT tabanlı bilgisayarlarda yönetmek için "Configuration Manager bağımlılıkları" bölümüne bakın Bant dışı yönetim Yapılandırma Yöneticisi'nde dışında önkoşulları. |
Bant dışı yönetim dışında için güvenlik sorunları
Bant dışı AMT tabanlı bilgisayarlarını yönetme, aşağıdaki güvenlik sorunları vardır:
Bir saldırganın bir Active Directory hesap oluşturma sonuçlar bir sağlama isteği sahte.Burada yalnızca beklenen hesapları oluşturulduğundan emin olmak için AMT hesabı oluşturulan OU izleyin.
Internet üzerinde yayınlanan sertifika iptal listesi (CRL) denetlemek için bant dışı hizmet noktasını için web proxy erişim yapılandıramazsınız.AMT sağlama sertifikası CRL denetimini etkinleştir ve CRL erişilemiyor, bant dışı hizmet noktasını değil sağlama AMT tabanlı bilgisayarlarda yapar.
Otomatik AMT sağlama devre dışı bırakmayı depolanan Configuration Manager istemci ve içinde değil tut.Bu AMT tabanlı bilgisayarı yine de hazırlanmadan anlamına gelir.Örneğin, Configuration Manager istemci kaldırılmış veya bilgisayar başka bir yönetim ürün tarafından sağlanmış olmalıdır.
Bant dışı hizmet noktasını otomatik bir AMT tabanlı bilgisayarı için sağlama devre dışı bırakmak için seçeneğini olsa da, bu bilgisayardan sağlama bir isteği kabul eder.
Bant dışı yönetim dışında gizlilik bilgileri için
Bant dışı Yönetim Konsolu dışı tarafından desteklenen bir bellenim sürümü ile Intel vPro yonga ayarlanmış olan bilgisayarlarda ve Intel etkin yönetim teknoloji (Intel AMT) yönetir Configuration Manager.Configuration Manager geçici olarak bilgisayar yapılandırması ve bilgisayar adı, IP adresi ve MAC adresi gibi ayarları hakkında bilgi toplar.Bilgiler yönetilen bilgisayar ile Yönetim konsolunun bant dışı arasında şifreli kanal kullanarak aktarılır.Varsayılan olarak, bu özellik etkin değildir ve yönetim oturumu sona sonra genel olarak hiçbir bilgi tutulmaz.AMT denetimi devre dışı bırakırsanız, yönetilen AMT tabanlı bilgisayarı ve kayıtlı tarih ve saat üzerinde yönetim gerçekleştirilecek etki alanı ve kullanıcı hesabı IP adresini içeren bir dosya için denetim bilgileri kaydedebilirsiniz.Bu bilgileri Microsoft'a gönderilmez.
Etkinleştirmek için seçeneğiniz Configuration Manager management Console'un bant dışı tarafından yönetilen yönetim denetçilerine sahip bilgisayarları bulmak için.Bulma yönetilebilir bilgisayarlar için kayıt oluşturur ve bunları veritabanında depolar.Veri bulgu kayıtları IP adresi, işletim sistemi ve bilgisayar adı gibi bilgisayar bilgilerini içerir.Varsayılan olarak, yönetim denetleyicileri bulma etkin değil.Bulma bilgileri Microsoft'a gönderilmez.Bulma bilgiler site veritabanında depolanır.Bilgi kadar site bakım görevi veritabanında tutulduğunu Yaşlandırma bulma verilerini silmek her 90 gün işlevdeki siler.Silme aralığını yapılandırabilirsiniz.
Bant dışı yönetim yapılandırmadan önce gizlilik gereksinimlerini dikkate alın.