在 Configuration Manager 中部署操作系统的安全和隐私

 

适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

本主题包含 System Center 2012 Configuration Manager 中的操作系统部署的安全和隐私信息。

操作系统部署的最佳安全做法

在使用 配置管理器 部署操作系统时,请使用以下最佳安全方案:

最佳安全方案

更多信息

实现访问控制来保护可启动媒体

创建可启动媒体时,请始终分配密码来帮助保护该媒体。 但是,即使使用密码,也只是对包含敏感信息的文件进行加密,并且可以覆盖所有文件。

请控制对媒体的物理访问,以阻止攻击者使用密码攻击获取客户端身份验证证书。

System_CAPS_note注意

在 配置管理器 SP1 中,为了阻止客户端安装已被篡改的内容或内容策略,内容将进行哈希处理并与原始策略一起使用。 如果内容哈希失败,或者关于内容是否与策略匹配的检查失败,则客户端将不使用可启动的媒体。 系统只对内容进行哈希处理;不对策略进行,但如果你指定密码,则会加密和保护策略,这会使攻击者更难成功地修改策略。

创建操作系统映像媒体时使用安全的位置

如果未经授权的用户能够访问此位置,则他们可以篡改你创建的文件,并且也可以使用所有可用的磁盘空间,因此媒体创建会失败。

请使用强密码保护证书文件 (.pfx),如果将文件存储在网络上,请在将文件导入 配置管理器 中时保护网络通道的安全。

当你需要密码来导入用于可启动的媒体的客户端身份验证证书时,这可帮助保护证书免受攻击者的攻击。

在网络位置和站点服务器之间使用 SMB 签名或 IPsec 以防止攻击者篡改证书文件。

如果泄露了客户端证书,请从 配置管理器 中阻止该证书,如果此证书是 PKI 证书,请吊销该证书。

若要使用可启动的媒体和 PXE 启动来部署操作系统,必须指定一个具有私钥的客户端身份验证证书。 如果泄露了该证书,请在“管理”工作区“安全”节点内“证书”节点中阻止该证书。

有关阻止证书和吊销证书之间的差异的详细信息,请参阅比较阻止客户端和吊销客户端证书

当 SMS 提供程序在非站点服务器的一个或多个计算机上时,请保护通信通道的安全以保护启动映像

如果修改了启动映像,并且 SMS 提供程序在非站点服务器的服务器上运行,则启动映像易受到攻击。 使用 SMB 签名或 IPsec 保护这些计算机之间的网络通道。

只在安全的网络段上为 PXE 客户端通信启用分发点

当客户端发送 PXE 启动请求时,你无法确保启用 PXE 的有效分发点可满足请求。 此方案有下列安全风险:

  • 响应 PXE 请求的恶意分发点可能会向客户端提供篡改过的映像。

  • 攻击者可以对 PXE 使用的 TFTP 协议发起中间人攻击,并且可以随操作系统文件一起发送恶意代码,或者,她可以创建一个恶意客户端以直接向分发点提出 TFTP 请求。

  • 攻击者可以使用恶意客户端对分发点启动拒绝服务攻击。

使用深度防御来保护网络段,客户端将在这些网络段中访问 PXE 请求的分发点。

System_CAPS_warning警告

由于这些安全风险的缘故,当分发点在不受信任的网络(如外围网络)中时,请不要为 PXE 通信启用该分发点。

将启用 PXE 的分发点配置为仅在指定的网络接口上响应 PXE 请求

如果允许分发点在所有网络接口上响应 PXE 请求,则此配置可能会向不受信任的网络公开 PXE 服务

PXE 启动需要密码

如果你要求提供密码来进行 PXE 启动,则此配置会为 PXE 启动过程额外添加一层安全保护,以帮助预防恶意客户端加入 配置管理器 层次结构。

不要将包含敏感数据的业务线应用程序或软件纳入到将用于 PXE 启动或多播的映像。

由于与 PXE 启动或多播相关的固有安全风险的缘故,因此,如果恶意计算机下载操作系统映像,请减小风险。

不要将包含敏感数据的业务线应用程序或软件纳入到使用任务序列变量安装的软件包。

如果使用任务序列变量部署软件包,则可以在计算机上或者为无权接收该软件的用户安装该软件。

迁移用户状态时,请使用 SMB 签名或 IPsec 来保护客户端和状态迁移点之间的网络通道。

通过 HTTP 初次连接后,会使用 SMB 传输用户状态迁移数据。 如果未保护网络通道,则攻击者可以读取和修改此数据。

使用 配置管理器 支持的最新版本的用户状态迁移工具 (USMT)

最新版本的 USMT 提供了安全增强功能,并且加强了对用户状态数据的迁移时间的控制。

对状态迁移点上的文件夹解除授权后手动删除这些文件夹

在 配置管理器 控制台中的状态迁移点属性上删除状态迁移点文件夹时,未删除物理文件夹。 为了防止用户状态迁移数据信息泄露,你必须手动删除网络共享并删除文件夹。

不将删除策略配置为立即删除用户状态

如果将状态迁移点上的删除策略配置为立即删除标记为要删除的数据,并且如果攻击者在有效计算机检索用户状态数据之前设法执行了此操作,则将立即删除用户状态数据。 将“在下列时间之后删除”间隔设置得足够长,以验证是否成功还原了用户状态数据。

在完成并验证了用户状态迁移数据还原之后手动删除计算机关联

配置管理器 不自动删除计算机关联。 通过手动删除不再需要的计算机关联来帮助保护用户状态数据的标识。

在状态迁移点上手动备份用户状态迁移数据

配置管理器 备份未包括用户状态迁移数据。

请记住在安装操作系统之后启用 BitLocker

若计算机支持 BitLocker,要以无人参与的方式安装操作系统,就必须使用任务序列步骤来禁用它。配置管理器 不会在安装操作系统之后启用 BitLocker,因此你必须手动重新启用 BitLocker。

实现访问控制来保护预留的媒体

请控制对媒体的物理访问,以阻止攻击者使用密码攻击获取客户端身份验证证书和敏感数据。

实现访问控制来保护引用计算机映像过程

使用合适的访问控制来确保用于捕获操作系统映像的引用计算机在安全环境中,以便无法安装意外或恶意的软件,并且不会无意中将其包含在捕获的映像中。 捕获映像时,请确保目标网络文件共享位置是安全位置,以便无法在捕获映像后篡改映像。

始终在引用计算机上安装最新安全更新

如果引用计算机具有当前安全更新,则它有助于在首次启动新计算机时缩小新计算机的漏洞窗口。

如果必须将操作系统部署到未知计算机,请实现访问控制以防止未授权的计算机连接到网络。

虽然设置未知计算机可以提供一种方便的方法以根据需要部署新计算机,但此操作也允许攻击者有效地成为网络上的受信任的客户端。 限制对网络的物理访问,并监视客户端以检测未授权的计算机。 此外,响应 PXE 启动的操作系统部署的计算机在操作系统部署期间可能会毁坏所有数据,这可能导致无法使用无意中重新格式化的系统。

启用多播包加密

对于每个操作系统部署包,你可以选择在 配置管理器 使用多播传输包时启用加密。 此配置有助于防止恶意计算机加入多播会话,以及有助于防止攻击者篡改传输。

监视启用多播的未经授权分发点

如果攻击者可以访问你的网络,则他们可以将恶意多播服务器配置为欺骗操作系统部署。

当你将任务序列导出到网络位置时,请保护该位置和网络通道的安全。

限制可访问网络文件夹的人员。

在网络位置和站点服务器之间使用 SMB 签名或 IPsec 以防止攻击者篡改导出的任务序列。

适用于 System Center 2012 R2 Configuration Manager 和更高版本:

将虚拟硬盘上载到 Virtual Machine Manager 时,请保护信道的安全。

为了防止数据在通过网络传输时被篡改,请在运行 配置管理器 控制台的计算机和运行 Virtual Machine Manager 的计算机之间使用 Internet 协议安全性 (IPsec) 或服务器消息块 (SMB)。

如果你必须使用任务序列运行方式帐户,请采取额外的安全措施

如果你使用任务序列运行方式帐户,请采取以下预防措施:

  • 使用具有最低权限的帐户。

  • 请勿将网络访问帐户用于此帐户。

  • 切勿使此帐户成为域管理员。

此外:

  • 切勿为此帐户配置漫游配置文件。 在任务序列运行时,它将下载此帐户的漫游配置文件,从而导致很容易就能在本地计算机上访问该配置文件。

  • 要限制此帐户的作用域。 例如,为每个任务序列创建不同的任务序列运行方式帐户,以便在某个帐户受到侵害时,只会损害该帐户能够访问的客户端计算机。 如果命令行需要计算机上的管理权限,请考虑在所有将运行任务序列的计算机上为任务序列运行方式帐户单独创建一个本地管理员帐户,并且在不再需要该帐户时立即删除它。

限制和监视被授予操作系统部署管理员安全角色的管理用户:

被授予操作系统部署管理员安全角色的管理用户可以创建自签名证书,然后使用这些证书模拟客户端并从 配置管理器 中获取客户端策略。

操作系统部署的安全问题

虽然操作系统部署可能是为网络上的计算机部署最安全操作系统和配置的一种方便的方法,但它具有以下安全风险:

  • 信息泄露和拒绝服务

    如果攻击者可以获得 配置管理器 基础结构的控制权,则她可以运行任何任务序列,这可能包括格式化所有客户端计算机的硬件。 可以将任务序列配置为包含敏感信息,如有权加入域的帐户和批量许可密钥。

  • 特权的模拟和提升

    任务序列可以将计算机加入到域中,这可能会为恶意计算机提供经过身份验证的网络访问权限。 操作系统部署的另一个重要的安全注意事项是保护用于可启动任务序列媒体和 PXE 启动部署的客户端身份验证证书。 捕获客户端身份验证证书时,这会为攻击者提供获取证书中的私钥然后模拟网络上的有效客户端的机会。

    如果攻击者获取用于可启动任务序列媒体和 PXE 启动部署的客户端证书,则此证书可用于针对 配置管理器 模拟有效客户端。 在此情况下,恶意计算机可以下载策略,此策略可能包含敏感数据。

    如果客户端使用网络访问帐户来访问存储在状态迁移点上的数据,则这些客户端会有效地共享相同的标识,并且可以从使用网络访问帐户的另一个客户端中访问状态迁移数据。 系统会对此数据进行加密,以便只有原始客户端才能读取该数据,但此数据可能会被篡改或删除。

  • 状态迁移点在不带 Service Pack 的 配置管理器 中不使用身份验证

    在不带 Service Pack 的 配置管理器 中,状态迁移点不会对连接进行身份验证,因此,任何人都能向状态迁移点发送数据,而且任何人都能检索在状态迁移点上存储的数据。 虽然只有原始计算机才能读取所检索的用户状态数据,但请勿认为这些数据是安全的。

    在 配置管理器 SP1 中,通过使用管理点颁发的 配置管理器 令牌对连接到状态迁移点的客户端进行身份验证。

    此外,配置管理器 不会限制或管理在状态迁移点上存储的数据量,因此,攻击者可能会填满可用的磁盘空间,并造成拒绝服务问题。

  • 如果使用集合变量,本地管理员可以读取可能敏感的信息

    虽然集合变量提供了灵活地部署操作系统的方法,但这可能会导致信息泄露。

操作系统部署的隐私信息

配置管理器 除了可用于向没有操作系统的计算机部署操作系统之外,它还可用于在计算机之间迁移用户的文件和设置。 管理员配置要转移的信息,包括个人数据文件、配置的设置和浏览器 Cookie。

这些信息存储在状态迁移点上,而且在传输和存储期间被加密。 与状态信息关联的新计算机可以检索这些信息。 如果新计算机丢失了用于检索这些信息的密钥,则具有计算机关联实例对象的“查看恢复信息”权限的 Configuration Manager 管理员可以访问这些信息,并将它们与新计算机关联。 在新计算机还原状态信息后,默认情况下它会在一天后删除这些数据。 你可以配置状态迁移点何时删除标记为要删除的数据。 状态迁移信息并不存储在站点数据库中,而且不发送给 Microsoft。

如果使用启动媒体来部署操作系统映像,请始终使用默认的选项(要设置密码)来保护启动媒体。 密码对任务序列中存储的任何变量进行加密,但不存储在变量中的任何信息可能会容易泄露。

在部署过程中,操作系统部署可以使用任务序列来执行许多不同的任务,包括安装应用程序和软件更新等。 在配置任务序列时,还应注意到安装软件对隐私的影响。

如果未先使用 Sysprep 清理映像就将虚拟硬盘上载到 Virtual Machine Manager,则上载的虚拟硬盘可能包含原始映像中的个人数据。

默认情况下,配置管理器 并不实施操作系统部署,而且,在你收集用户状态信息或者创建任务序列或启动映像之前,它需要执行几个配置步骤。

在配置操作系统部署之前,请考虑隐私要求。