• Articolo

Sicurezza e Privacy per la gestione fuori banda in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

Questo argomento è presente in: guida Risorse e conformità a System Center 2012 Configuration Manager e guida Protezione e privacy per System Center 2012 Configuration Manager.

In questo argomento contiene informazioni sulla privacy e sicurezza per la gestione fuori banda in System Center 2012 Configuration Manager.

Le procedure consigliate per la gestione fuori banda

Utilizzare le seguenti procedure ottimali di protezione quando si gestiscono computer basati su Intel AMT fuori banda.

Procedura di sicurezza consigliata

Altre informazioni

Richiesta firmware personalizzato prima di acquistare computer basati su Intel AMT.

Computer che può essere gestito fuori banda con estensioni BIOS che è possono impostare valori personalizzati per aumentare la protezione in modo significativo quando questi computer si trovano sulla rete.Verificare le impostazioni di estensione BIOS sono disponibili dal produttore del computer e specificare i valori.Per altre informazioni, vedere Determinare se utilizzare un'immagine personalizzata del Firmware dal produttore del Computer.

Se i computer basati su AMT non dispone di valori di firmware che si desidera utilizzare, è possibile specificare manualmente.Per ulteriori informazioni sulla configurazione manuale delle estensioni BIOS, vedere la documentazione di Intel o la documentazione fornita dal produttore del computer.Per ulteriori informazioni, vedere Intel vPro Expert Center: Microsoft vPro Manageability.Personalizzare le opzioni seguenti per aumentare la protezione:

  • Sostituire tutte le identificazioni personali del certificato di autorità di certificazione esterna (CA) con l'identificazione personale del certificato della CA interna.Ciò impedisce che il tentativo di eseguire il provisioning di computer basati su AMT malintenzionati provisioning di server e non è necessario acquistare provisioning certificati dalla CA esterne.

  • Utilizzare una password personalizzata per il MEBx Account in modo che il valore predefinito di admin non viene utilizzato.Quindi specificare la password con un Account di individuazione in e Provisioning AMT Configuration Manager.Ciò impedisce che malintenzionati provisioning di server tenta di eseguire il provisioning dei computer basati su AMT con la password predefiniti.

Controllare la richiesta e l'installazione del certificato di provisioning.

Richiedere il certificato di provisioning direttamente dal server di provisioning utilizzando il contesto di sicurezza del computer in modo che il certificato è installato direttamente nell'archivio del computer locale.Se è necessario richiedere il certificato da un altro computer, è necessario esportare la chiave privata e quindi utilizzare i controlli di sicurezza aggiuntive quando si trasferire e importare il certificato nell'archivio certificati.

Assicurarsi di richiedere un nuovo certificato di provisioning prima della scadenza del certificato esistente.

Un certificato di provisioning AMT scaduto provoca un errore di provisioning.Se si utilizza una CA esterna per il certificato di provisioning, consentono ulteriore tempo completare il processo di rinnovo e riconfigurare il fuori banda del punto di gestione.

Utilizzare un modello di certificato dedicato per il provisioning di computer basati su AMT.

Se non si utilizza una versione Enterprise di Windows Server per la CA globale, creare un nuovo modello di certificato duplicando il modello di certificato Server Web predefinito, assicurarsi che solo il gruppo di sicurezza specificato nella proprietà del componente Gestione banda fuori disponga delle autorizzazioni di lettura e registrazione, e non aggiunge funzionalità aggiuntive per il valore predefinito di autenticazione server.

Un modello di certificato dedicato consente di gestire e controllare l'accesso per impedire l'elevazione dei privilegi meglio.Se si dispone di una versione Standard di Windows Server per la CA dell'organizzazione, è possibile creare un modello di certificato duplicato.In questo scenario, è necessario aggiungere in lettura e delle autorizzazioni per il gruppo di sicurezza specificato nelle fuori banda Gestione proprietà del componente di registrazione e rimuovere qualsiasi autorizzazione che non sono necessarie.

Utilizzare l'accensione AMT sui comandi anziché pacchetti di riattivazione.

Anche se entrambe le soluzioni di supporto riattivazione dei computer per l'installazione di software, accensione AMT sui comandi sono più sicura la trasmissione di pacchetti di riattivazione in quanto forniscono l'autenticazione e crittografia utilizzando protocolli di protezione standard di settore.Utilizzando l'accensione AMT sui comandi con gestione fuori banda, questa soluzione può essere integrato con una distribuzione esistente di infrastruttura a chiave pubblica (PKI) e i controlli di protezione possono essere gestiti in modo indipendente dal prodotto.Per ulteriori informazioni, vedere "Pianificazione della modalità di riattivazione dei client" in Pianificazione delle comunicazioni client in Configuration Manager.

Disabilitare nel firmware AMT se il computer non è supportato per la gestione fuori banda.

Anche se basati su AMT computer dispongono di una versione supportata di AMT, esistono alcuni scenari di gestione fuori banda non supportati.Questi scenari includono i computer del gruppo di lavoro, computer che dispongono di uno spazio dei nomi diverso e computer che dispongono di uno spazio dei nomi non contiguo.

Per assicurarsi che questi computer basati su AMT non vengono pubblicati in servizi di dominio Active Directory e non è un certificato PKI richiesto per loro, disabilitare AMT nel firmware.Provisioning AMT in Configuration Manager Crea le credenziali di dominio per gli account pubblicati in servizi di dominio, che implica il rischio di elevazione dei privilegi quando i computer non fanno parte della foresta di Active Directory.

Utilizzare un'unità Organizzativa dedicata per pubblicare gli account dei computer basati su AMT.

Non utilizzare un contenitore esistente o unità organizzativa (OU) per pubblicare gli account di Active Directory creati durante il provisioning AMT.Consente unità Organizzativa separata gestire e controllare meglio questi account e consente di garantire che i server del sito e questi account non vengono concessi ulteriori autorizzazioni del necessario.

Consentire l'autorizzazione di scrittura per l'unità Organizzativa, il gruppo computer del dominio e il gruppo Domain Guests in ogni dominio che contiene i computer basati su AMT gli account computer del server del sito.

Oltre a consentire gli account computer server del sito Crea tutti gli oggetti figlio e eliminare tutti gli oggetti figlio le autorizzazioni per l'unità Organizzativa e applicare a solo questo oggetto, agli account di computer le seguenti autorizzazioni per il server del sito:

  • Per l'unità Organizzativa: Scrivi tutte le proprietà autorizzazione e si applicano a questo oggetto e tutti i discendenti.

  • Per il gruppo computer del dominio: Scrivi tutte le proprietà autorizzazione e si applicano a solo questo oggetto.

  • Per il gruppo di dominio Guest: Scrivi tutte le proprietà le autorizzazioni e applicare a solo questo oggetto.

Utilizzare un insieme dedicato per il provisioning AMT.

Non utilizzare un insieme esistente che contiene più computer che si desidera eseguire il provisioning per AMT.Creare invece una raccolta basata su query utilizzando lo stato AMT di senza provisioning.

Per ulteriori informazioni sullo stato AMT e su come creare una query per senza provisioning, vedere Sullo stato AMT e gestione fuori banda in Configuration Manager.

Recuperare e archiviare i file di immagine in modo sicuro per l'avvio dal supporto alternativo da utilizzare la funzione di reindirizzamento IDE.

Quando si avvia dal supporto alternativo per utilizzare la funzione di reindirizzamento IDE, laddove possibile, archiviare i file di immagine localmente nel computer che esegue la console fuori banda management.Se è necessario archiviarli in rete, assicurarsi che le connessioni per recuperare i file in rete utilizzino la firma SMB per evitare che i file venga alterati durante il trasferimento di rete.In entrambi gli scenari, proteggere i file archiviati per impedire accessi non autorizzati, ad esempio, utilizzando le autorizzazioni NTFS e il file system crittografato.

Recuperare e archiviare i file di log di controllo AMT in modo sicuro.

Se si salva AMT controllano file di log, quando possibile, archiviare i file in locale nel computer in cui è in esecuzione la console fuori banda management.Se è necessario archiviarli in rete, assicurarsi che le connessioni per recuperare i file in rete utilizzino la firma SMB per evitare che i file venga alterati durante il trasferimento di rete.In entrambi gli scenari, proteggere i file archiviati per impedire accessi non autorizzati, ad esempio, utilizzando le autorizzazioni NTFS e il file system crittografato.

Ridurre al minimo il numero di account di individuazione e Provisioning AMT.

Sebbene sia possibile specificare più di Provisioning AMT e gli account di individuazione in modo che Configuration Manager può individuare i computer che dispone di controller di gestione AMT ed eseguirne il provisioning per la gestione fuori banda, non specificare gli account che non sono attualmente richiesti ed eliminare gli account che non sono più necessari.Specificare solo gli account necessari per garantire che questi account non siano concesse autorizzazioni più del necessario e per ridurre l'elaborazione e il traffico di rete non necessarie.Per ulteriori informazioni sull'Account di individuazione e Provisioning AMT, vedere Passaggio 5: Configurazione fuori banda componente di gestione.

La continuità del servizio, specificare un account utente come Account di rimozione Provisioning AMT e assicurarsi che l'account utente viene anche specificato come Account utente AMT.

L'Account di rimozione Provisioning AMT consente di garantire la continuità del servizio, se è necessario ripristinare il Configuration Manager sito.Dopo aver ripristinato il sito, richiedere e configurare un nuovo certificato di provisioning AMT, utilizzare il Provisioning AMT e l'Account di rimozione per rimuovere informazioni di provisioning dai computer basati su AMT e quindi effettuare nuovamente il provisioning dei computer.

È inoltre possibile utilizzare questo account, se un computer basato su AMT è stato riassegnato da un altro sito e le informazioni di provisioning non sono stato rimosso.

Per altre informazioni sulla rimozione di informazioni sul provisioning AMT, vedere Come rimuovere le informazioni AMT.

Utilizzare un modello di certificato solo per i certificati di autenticazione client quando possibile.

Sebbene sia possibile specificare i modelli di certificato diverso per ogni profilo wireless, utilizzare un singolo modello di certificato a meno che non si dispone di un requisito aziendale per le diverse impostazioni da utilizzare per le diverse reti wireless, specificare solo funzionalità di autenticazione client e dedicare questo modello di certificato per l'utilizzo con Configuration Manager gestione fuori banda.Ad esempio, se una rete senza fili è necessaria una dimensione di chiave superiore o più breve periodo di validità di un altro, è necessario creare un modello di certificato separato.Un modello di certificato singolo consente di controllare più facilmente l'utilizzo e protegge l'elevazione dei privilegi.

Assicurarsi che solo gli utenti amministratori autorizzati eseguano azioni di controllo AMT e gestire i registri di controllo AMT come richiesto.

A seconda della versione AMT, Configuration Manager potrebbe interrompere la scrittura di nuove voci nel Registro di controllo AMT quando è quasi esaurito o potrebbe sovrascrivere le voci precedenti.Per garantire che le nuove voci vengono registrate e le voci precedenti non vengono sovrascritti, periodicamente cancellare il log di controllo, se necessario e salvare le voci di controllo.Per ulteriori informazioni su come gestire il Registro di controllo e Monitoraggio attività di controllo, vedere Come gestire il Registro di controllo per computer basati su AMT in Configuration Manager.

Utilizzare il principio di amministrazione basata sui ruoli e i privilegi minimi per concedere autorizzazioni agli utenti amministratori per gestire i computer basati su AMT fuori banda.

Utilizzare il operatore strumenti remoti il ruolo di sicurezza per concedere agli utenti amministratori l'autorizzazione controllo AMT, che consente di visualizzare e gestire i computer utilizzando la console di gestione di banda fuori, e avviare azioni controllo alimentazione il Configuration Manager console.

Per ulteriori informazioni sulle autorizzazioni di sicurezza che potrebbero essere necessari per gestire i computer basati su AMT, vedere "Dipendenze di Configuration Manager" in Prerequisiti per la gestione fuori banda in Configuration Manager.

Problemi di sicurezza per la gestione fuori banda

La gestione dei computer basati su AMT fuori banda presenta i seguenti problemi di protezione:

  • Un utente malintenzionato potrebbe simulare una richiesta di provisioning, che comporta la creazione di un account di Active Directory.Monitorare l'unità Organizzativa in cui vengono creati gli account AMT per garantire che solo gli account previsti vengono creati.

  • È possibile configurare l'accesso proxy web per il punto fuori banda del servizio per controllare l'elenco di revoche di certificati (CRL) pubblicato su Internet.Se si abilita il controllo CRL per il certificato di provisioning AMT e il CRL non è possibile accedere, il punto fuori banda servizio non non provisioning basato su AMT dei computer.

  • La possibilità di disabilitare il provisioning AMT automatico è archiviata nel Configuration Manager client e non in AMT.Ciò significa che il computer basato su AMT può ancora essere eseguito il provisioning.Ad esempio, il Configuration Manager client potrebbe essere disinstallata o il computer potrebbe eseguire il provisioning da un altro prodotto di gestione.

  • Anche se si seleziona l'opzione per disattivare il provisioning automatico per un computer basato su AMT, il punto fuori banda servizio accetta una richiesta di provisioning dal computer.

Informazioni sulla privacy per la gestione fuori banda

La console fuori banda gestione gestisce computer dotati di impostare il chip di Intel vPro e Intel Active Management Technology (Intel AMT) con una versione di firmware supportate da Configuration Manager.Configuration Manager temporaneamente raccoglie informazioni sulla configurazione di computer e impostazioni, ad esempio il nome del computer, un indirizzo IP e un indirizzo MAC.Informazioni vengono trasferite tra il computer gestito e fuori banda console di gestione tramite un canale crittografato.Per impostazione predefinita, questa funzionalità non è abilitata e in genere non conserva alcuna informazione dopo la gestione della sessione.Se si abilita il controllo AMT, è possibile salvare le informazioni di controllo in un file che include l'indirizzo IP del computer basato su AMT gestito e il dominio e account utente che eseguire l'azione di gestione su registrato data e ora.Queste informazioni non vengono inviate a Microsoft.

È possibile attivare Configuration Manager per individuare i computer con controller di gestione che possono essere gestiti da fuori banda console di gestione.Individuazione consente di creare record per i computer gestibili e li archivia nel database.Record dei dati di individuazione contengono informazioni sul computer, l'indirizzo IP, sistema operativo e nome del computer.Per impostazione predefinita, non è abilitata l'individuazione dei controller di gestione.Le informazioni di individuazione non vengono inviate a Microsoft.Tali informazioni vengono memorizzate nel database del sito.Le informazioni vengono mantenute nel database fino a quando l'attività di manutenzione del sito Elimina dati di individuazione obsoleti Elimina a intervalli di ogni 90 giorni.È possibile configurare l'intervallo di eliminazione.

Prima di configurare Gestione fuori banda, considerare i requisiti sulla privacy.