• [アーティクル]

Configuration Manager のコンテンツ管理のセキュリティとプライバシー

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

[!メモ]

このトピックは次の場所に表示されます:「System Center 2012 Configuration Manager でのソフトウェアとオペレーティング システムの展開」ガイドおよび「System Center 2012 Configuration Manager のセキュリティとプライバシー」ガイド

このトピックでは、System Center 2012 Configuration Manager のコンテンツ管理に関するセキュリティとプライバシー情報について説明します。 次のトピックを参照しながら読むことをお勧めします。

コンテンツ管理について推奨する運用方法

ここでは、コンテンツ管理に関するセキュリティのベスト プラクティスについて説明します。

セキュリティのベスト プラクティス

説明

イントラネット上の配布ポイントについて、HTTPS と HTTP の長所と短所を検討する

配布ポイントに関する HTTP と HTTP の違い

  • HTTPS を配布ポイントに使用すると、Configuration Manager はコンテンツへのアクセスを承認するためにパッケージ アクセス アカウントを使用しませんが、コンテンツがネットワーク上を転送されるときに暗号化されます。

  • HTTP を配布ポイントに使用すると、パッケージ アクセス アカウントを使用して承認できますが、コンテンツがネットワーク上を転送されるときに暗号化はされません。

ほとんどのシナリオでは、HTTP とパッケージ アクセス アカウントを承認に使用するほうが、暗号化はするが承認はしない HTTP を使用するよりもセキュリティが高くなります。 ただし、転送中に暗号化する機密データがコンテンツにあれば、HTTPS を使用します。

配送ポイントに、自己署名入り証明書ではなく PKI クライアント認証証明書を使用する場合は、強力なパスワードで証明書ファイル (.pfx) を保護する。 ファイルをネットワーク上に保存する場合は、そのファイルを Configuration Manager にインポートするときにネットワーク チャネルをセキュリティで保護します。

管理ポイントと通信する配布ポイントに使用するクライアント認証証明書をインポートするためにパスワードが必要であれば、攻撃者から証明書を保護することになります。

ネットワークの場所とサイト サーバーの間で SMB 署名または IPsec を使用して、攻撃者が証明書ファイルを改ざんするのを防ぎます。

サイト サーバーから配布ポイントの役割を削除する。

規定では、配布ポイントはサイト サーバーと同じサーバーにインストールされます。 クライアントはサイト サーバーと直接通信する必要はないため、攻撃対象を縮小するために、配布ポイントの役割を他のサイト システムに割り当て、サイト サーバーからは削除します。

パッケージ アクセス レベルでコンテンツを保護する。

[!メモ]

Configuration Manager SP1 のクラウドベースの配布ポイントでは、パッケージ アクセス アカウントがサポートされないため、この保護は適用されません。

配布ポイントを共有すると、すべてのユーザーに読み取りアクセス権が許可されます。 ユーザーがアクセス可能なコンテンツを制限するために、配布ポイントが HTTP に構成される場合はパッケージ アクセス アカウントを使用します。

パッケージ アクセス アカウントの詳細については、「Configuration Manager のコンテンツ管理の操作とメンテナンス」トピックの「パッケージ コンテンツにアクセスするためのアカウントの管理」セクションを参照してください。

配布ポイント サイト システムの役割を追加するときに Configuration Manager が IIS をインストールする場合は、配布ポイントのインストールが完了するときに、HTTP リダイレクトと IIS 管理スクリプトおよびツールを削除する。

配布ポイントに HTTP リダイレクトと IIS 管理スクリプトおよびツールは必要ありません。 攻撃対象を減らすために、Web サーバー (IIS) の役割についてこれらの役割サービスを削除します。

配布ポイントの Web サーバー (IIS) 役割に関する役割サービスの詳細については、 トピックの「」セクションを参照してください。c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReqNo text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.

パッケージを作成するときにパッケージ アクセス許可を設定します。

パッケージ ファイルのアクセス アカウントの変更は、パッケージを再配布したときのみ有効になるため、最初にパッケージを作成するときに、パッケージ アクセス許可を設定します。 これは、特に次のシナリオで重要です。

  • パッケージが大きい。

  • パッケージを多くの配布ポイントに配布している。

  • コンテンツ配布用のネットワーク帯域幅容量が限られている。

事前設定されたコンテンツを含むメディアを保護するためにアクセス制御を実装する

事前設定されたコンテンツは圧縮されていますが暗号化されていません。 攻撃者がファイルを読み取って変更し、デバイスにダウンロードする可能性があります。Configuration Manager クライアントが改ざんされているコンテンツを拒否しても、それでもダウンロードされます。

Configuration Manager で提供される ExtractContent コマンドライン ツール (ExtractContent.exe) のみを使用して事前設定されたコンテンツをインポートし、Microsoft によって署名されているか確認してください。

改ざんと権限の昇格を避けるために、 Configuration Manager で提供される承認済みコマンドライン ツールのみを使用してください。

サイト サーバーとパッケージ ソースの場所との間の通信チャネルをセキュリティで保護する

アプリケーションおよびパッケージを作成するときには、サイト サーバーとパッケージ ソースの場所との間で IPsec または SMB 署名を使用します。 これにより、攻撃者からソース ファイルの改ざんを防ぎます。

配布ポイントの役割のインストール後に、既定の Web サイトではなくカスタム Web サイトを使うためにサイトの構成オプションを変更する場合は、既定の仮想ディレクトリを削除する

既定の Web サイトからカスタム Web サイトの使用に変更した場合、Configuration Manager により、古い仮想ディレクトリが削除されることはありません。 規定の Web サイトの下に Configuration Manager によって作成された、仮想ディレクトリを削除します。

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Configuration Manager SP1 以降で使用できるクラウドベースの配布ポイントの場合: サブスクリプションの詳細と証明書を保護する

クラウドベースの配布ポイントを使用する場合、次の重要度が高い項目を保護します。

  • Windows Azure サブスクリプションのユーザー名とパスワード。

  • Windows Azure の管理証明書。

  • クラウドベースの配布ポイント サービス証明書。

証明書を安全に保存します。また、クラウドベースの配布ポイントを構成するときにネットワーク上の証明書を参照する場合、サイト システム サーバーとソースの場所の間で IPsec または SMB 署名を使用します。

Configuration Manager SP1 以降で使用できるクラウドベースの配布ポイントの場合: サービスの継続性のために、証明書の有効期限を監視する

Configuration Manager は、クラウドベースの配布ポイント サービスの管理のためにインポートした証明書の期限切れが近づくと、警告します。Configuration Manager とは別に有効期限を監視し、有効期限前に新しい証明書に更新してインポートするようにします。 このような監視は、Configuration Manager クラウドベースの配布ポイント サービス証明書を外部証明機関 (CA) から購入している場合に特に重要です。更新された証明書を取得するために時間がかかる可能性があるためです。

[!メモ]

いずれかの証明書の有効期限が切れると、Cloud Services Manager によってステータス メッセージ ID 9425 が生成され、CloudMgr.log ファイルにはログ記録された有効期限日 (UTC) とともに証明書の is in expired state を示すエントリが含まれます。

コンテンツ管理についてのセキュリティの問題

コンテンツ管理には以下のようなセキュリティの問題が伴います。

  • クライアントはダウンロードが終わるまでコンテンツを検証しない

    Configuration Manager クライアントは、コンテンツがクライアント キャッシュにダウロードされた後のみ、コンテンツのハッシュを検証します。 攻撃者によって、ダウンロードされるファイルのリスト、あるいはコンテンツ自体が改ざんされると、ダウンロード プロセスにおいて、クライアントのかなり広いネットワーク帯域幅が消費されてから、無効なハッシュが発生してコンテンツが破棄される可能性があります。

  • クラウドベースの配布ポイントでホストされているコンテンツに対するアクセス権をユーザーまたはグループに制限することはできない

    Configuration Manager SP1 以降、クラウドベースの配布ポイントを使用する場合、コンテンツへのアクセスは社内に自動的に制限されるため、さらに選択したユーザーまたはグループに制限することはできません。

  • ブロック済みクライアントは、最大 8 時間までクラウドベースの配布ポイントからコンテンツを継続してダウンロードできる

    Configuration Manager SP1 以降、クラウドベースの配布ポイントを使用する場合、クライアントは管理ポイントから認証され、Configuration Manager トークンを使用して、クラウドベースの配布ポイントにアクセスします。 トークンは 8 時間有効なので、信頼しなくなったクライアントをブロックしても、そのトークンの有効期間が切れるまで、クラウドベースの配布ポイントからコンテンツを継続してダウンロードできます。 この時点で、クライアントはブロックされているため、管理ポイントはクライアント用に追加のトークンを発行しません。

    ブロックされたクライアントがこの 8 時間の間にコンテンツをダウンロードできないようにするため、Configuration Manager コンソールの [管理] ワークスペースにある [階層の構成][クラウド] ノードからクラウド サービスを停止することができます。 詳細については、「Configuration Manager のクラウド サービスの管理」をご覧ください。

コンテンツ管理のプライバシー情報

管理ユーザーが選択することがありますが、Configuration Manager はコンテンツ ファイルのユーザー データを含みません。

コンテンツ管理を構成する前に、プライバシー要件について検討してください。