• [アーティクル]

Configuration Manager のソフトウェア更新プログラムのセキュリティとプライバシー

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

[!メモ]

このトピックは次の場所に表示されます:「System Center 2012 Configuration Manager でのソフトウェアとオペレーティング システムの展開」ガイドおよび「System Center 2012 Configuration Manager のセキュリティとプライバシー」ガイド

このトピックでは System Center 2012 Configuration Manager でのソフトウェアの更新に関するセキュリティおよびプライバシー情報について説明します。

ソフトウェアの更新に関するセキュリティ上のベスト プラクティス

クライアントにソフトウェア更新プログラムを展開するときは、次のようなセキュリティのベスト プラクティスに従ってください。

セキュリティのベスト プラクティス

説明

ソフトウェアの更新パッケージに対する既定のアクセス許可を変更しない。

既定では、ソフトウェアの更新パッケージは、管理者にフル コントロールを許可し、ユーザーに読み取りアクセスを付与するように設定されます。 これらのアクセス許可を変更すると、攻撃者によるソフトウェア更新プログラムの追加または削除が可能になる危険性があります。

ソフトウェア更新プログラムのダウンロード先へのアクセスを制御する。

ソフトウェア更新プログラムを実際にダウンロード先にダウンロードする管理者と SMS プロバイダー、サイトサーバーのコンピューター アカウントは、ダウンロード先への [書き込み] アクセス許可が必要です。 ダウンロード先へのアクセスを制限して、そこにあるソフトウェアの更新のソース ファイルを攻撃者が改ざんするリスクを低減します。

さらに、ダウンロード先で UNC 共有を使用する場合は、ネットワークを通じて転送するときにソフトウェア更新のソース ファイルが改ざんされることを防ぐため、IPsec または SMB 署名 を使用して、ネットワーク チャネルをセキュリティ保護してください。

展開時刻の評価に UTC を使用する。

UTC ではなくローカル時刻を使用する場合は、ユーザーがコンピューターのタイム ゾーンを変更していると、ソフトウェア更新プログラムのインストールが遅れる可能性があります。

Windows Server Update Services (WSUS). の SSL を有効にし、WSUS をセキュリティ保護するためのベスト プラクティスに従います。

Configuration Manager.で使用する WSUS のバージョン用のセキュリティのベストプラクティスを確認し、これに従います。

System_CAPS_important重要

WSUS サーバーで SSL コミュニケーションを有効にするようにソフトウェア更新ポイントを構成する場合は、WSUS サーバーの SSL の仮想ルートを構成する必要があります。

CRL チェックを有効にする

既定では、Configuration Manager は、ソフトウェア更新プログラムがコンピューターに展開される前に、更新の署名を検証するための証明書失効リスト (CRL) を確認しません。 証明書が使用されるたびに CRL をチェックすることで、失効済み証明書の使用に対するセキュリティを向上できますが、接続に遅れが発生し、CRL チェックを実行するコンピューターの処理の増加を招くことになります。

ソフトウェア更新の CRL チェックを有効化する方法の詳細については、「ソフトウェアの更新の CRL チェックを有効にする方法」を参照してください。

WSUS がカスタム Web サイトを使用するように構成する。

ソフトウェアの更新ポイントに WSUS をインストールする場合、既存の IIS 既定 Web サイトを使用するか、またはカスタム WSUS Web サイトを作成するかを選択できます。 WSUS の カスタム Web サイトを作成し、IIS が他の Configuration Manager サイト システムや他のアプリケーションと同じ Web サイトを共有するのではなく、専用の仮想 Web サイトで WSUS サービスをホストできるようにします。

詳細については、「WSUS がカスタム Web サイトを使用するように構成する」トピックの「Configuration Manager でのソフトウェア更新プログラムの計画」セクションを参照してください。

ネットワーク アクセス保護 (NAP):悪意のあるユーザーからネットワークをセキュリティ保護するのに、NAP に依存しない。

ネットワーク アクセス保護 (NAP) は、管理者がネットワーク上のコンピューターのヘルスを維持するのに役立つように設計され、ネットワークの全体的な整合性の維持にも役立ちます。 たとえば、コンピューターに Configuration Manager NAP ポリシーで必要なソフトウェア更新プログラムがすべてインストールされている場合、コンピューターはコンプライアンス対応していると見なされ、ネットワークに対する適切なアクセスが許可されます。 ネットワーク アクセス保護では、対応コンピューターの認証ユーザーがネットワークに悪意のあるプログラムをアップロードしたり、またはNAP エージェントを無効化することを防ぐことはできません。

ネットワーク アクセス保護 (NAP):実稼働環境で DHCP NAP 強制を使用しない。

DHCP NAP は、セキュリティ保護されたテスト環境または監視目的でのみ使用してください。 DHCP NAP を使用すると、攻撃者がクライアントと NAP 正常性ポリシー サーバーの間でヘルス ステートメント パケットを変更でき、ユーザーは NAP プロセスを回避できます。

ネットワーク アクセス保護 (NAP):階層全体で一貫性のある NAP ポリシーを使用して混乱を最小限に抑える。

NAP ポリシーを正しく構成しないと、制限されているクライアントがネットワークにアクセスしたり、有効なクライアントが間違って制限を受けたりすることがあります。 NAP ポリシーの設計が複雑であればあるほど、構成を間違えるリスクは高まります。 Configuration Manager NAP クライアント エージェントおよび Configuration Manager システム正常性検証ツール ポイントを構成して、階層全体、または、クライアントが組織間をローミングする場合は、組織内の追加階層全体で同じ設定を使用できるようにします。

System_CAPS_important重要

ネットワーク アクセス保護クライアント エージェントが有効になった Configuration Manager クライアントが異なる Configuration Manager 階層へローミングして、階層外のシステム正常性検証ツール ポイントでクライアントのヘルス ステートメントが検証されている場合、検証プロセスによるサイトの確認は失敗します。 この場合、クライアントのヘルス状態が不明と判断され、既定で NAP 正常性ポリシー サーバーにコンプライアンス非対応として構成される結果となります。 NAP 正常性ポリシー サーバーに制限したネットワーク アクセスを構成するネットワーク ポリシーがある場合、これらのクライアントは修復できず、ネットワーク全体へのアクセスができなくなる危険性もあります。 NAP 正常性ポリシー サーバーの除外ポリシーは、Configuration Manager 階層外をローミングする Configuration Manager クライアントに対して無制限のネットワーク アクセスを与えます。

ネットワーク アクセス保護 (NAP):新規の Configuration Manager サイトですぐにネットワーク アクセス保護クライアント エージェントを有効化しないでください。

Configuration Manager NAP ポリシーが変更されたとき、サイト サーバーは Configuration Manager の稼動状態の基準をドメイン コントローラーに公開しますが、この新しいデータは Active Directory レプリケーションが完了するまで、システム正常性検証ツール ポイントがすぐには取得できない可能性があります。 レプリケーションが完了する前に Configuration Manager でネットワーク アクセス保護を有効化し、NAP 正常性ポリシー サーバーがコンプライアンス非対応クライアントには制限されたネットワーク アクセスしか与えない場合、自分自身に対してサービス拒否攻撃を実施する恐れがあります。

ネットワーク アクセス保護 (NAP):稼動状態の基準を指定したフォレストに格納する場合は、稼動状態の基準の公開用と取得用に 2 つの異なるアカウントを指定する。

Active Directory フォレストが稼動状態の基準を保存するように指定した場合は、別々の権限のセットが必要になるため、2 つの異なるアカウントを指定します。

  • 稼動状態の基準の公開アカウントには、稼動状態の基準を保存する Active Directory フォレストに対する [読み取り]、[書き込み]、および [作成] のアクセス許可が必要です。

  • 稼動状態の基準のクエリ アカウントには、稼動状態の基準を保存する Active Directory フォレストに対する [読み取り] のアクセス許可のみが必要です。 このアカウントに対話型ログオン権限を付与しないでください。

ネットワーク アクセス保護 (NAP):ネットワーク アクセス保護 を即時またはリアルタイムの実施メカニズムとして使用しない。

NAP 実施メカニズムには特有の遅延があります。 NAP は長期的にコンピューターの対応状態を維持しますが、さまざまな構成パラメーターの設定を含む多様な要素により、実装による遅延は一般に数時間またはそれ以上発生する可能性があります。

ソフトウェア更新プログラムに関するプライバシー情報

ソフトウェアの更新は、クライアント コンピューターをスキャンして、必要なソフトウェアの更新を判断し、情報をサイト データベースに返送します。 ソフトウェアの更新プロセスの間、Configuration Manager では、コンピューターとログオン アカウントを識別する情報がクライアントとサーバー間で送信されることがあります。

Configuration Manager では、ソフトウェアの展開プロセスに関する状態情報が維持されます。 状態情報は、送信時や保管時に暗号化されません。 状態情報は、Configuration Manager データベースに保管され、データベース メンテナンス タスクによって削除されます。 状態情報が Microsoft に送信されることはありません。

Configuration Manager のソフトウェアの更新を使用してクライアント コンピューターにソフトウェアの更新をインストールする場合は、その更新に関するソフトウェア ライセンス条項の対象となることがあります。これは、Microsoft System Center 2012 Configuration Manager のソフトウェア ライセンス条項とは別個のものです。Configuration Manager を使用してソフトウェア更新プログラムをインストールする前に、必ずソフトウェア ライセンス条項を確認して同意する必要があります。

Configuration Manager では、既定でソフトウェアの更新が実装されることはありません。また、複数の構成手順を実行しなければ、情報が収集されることはありません。

ソフトウェア更新プログラムを構成する前に、プライバシー要件について検討してください。