• Artikel

Beveiliging en Privacy voor out-of Bandbeheer in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notitie

Dit onderwerp wordt behandeld in de gids Activa en naleving in System Center 2012 Configuration Manager en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).

Dit onderwerp bevat informatie voor out-of bandbeheer in beveiliging en privacy System Center 2012 Configuration Manager.

Security Best Practices voor out-of Bandbeheer

Gebruik de volgende beveiligingsprocedures bij het beheren van Intel AMT gebaseerde computers buiten het bereik.

Aanbevolen beveiligingsprocedure

Meer informatie

Aanvraag aangepaste firmware voordat u de Intel AMT gebaseerde computers aanschaft.

Computers die kunnen worden beheerd buiten-bandbeheer hebben BIOS-extensies die aangepaste waarden beveiliging aanzienlijk verhogen als deze computers met het netwerk zijn kunnen worden ingesteld.Controleer welke extensie de BIOS-instellingen zijn verkrijgbaar bij de fabrikant van uw computer en de waarden opgeven.Zie Bepalen of een aangepaste Firmware afbeelding van de fabrikant van uw Computer te gebruiken voor meer informatie.

Als uw computers AMT gebaseerde geen firmware waarden die u wilt gebruiken, kunt u mogelijk handmatig opgeven.Zie de documentatie van Intel of de fabrikant van uw computer voor meer informatie over het handmatig configureren van de BIOS-extensies.Zie voor meer informatie, Intel vPro Expert Center: Microsoft vPro beheersbaarheid.De volgende opties om de beveiliging te verbeteren aanpassen:

  • Alle certificaat vingerafdrukken van externe certificeringsinstanties vervangen door de vingerafdruk van het certificaat van uw eigen interne Certificeringsinstantie.Dit voorkomt dat rogue provisioning servers wilt opgeven van uw computers AMT gebaseerde en er geen aan te schaffen provisioning certificaten van externe CA's.

  • Gebruik een aangepast wachtwoord voor het MEBx Account zodat de standaardwaarde van admin wordt niet gebruikt.Geef vervolgens dit wachtwoord met een AMT-levering en detectie Account in Configuration Manager.Dit voorkomt dat rogue provisioning servers probeert AMT-computers met het standaardwachtwoord bekende inrichten.

De aanvraag en de installatie van de provisioning certificaat bepalen.

De provisioning certificaat rechtstreeks vanuit de provisioning-server aanvragen met behulp van de beveiligingscontext van de computer zo in dat het certificaat rechtstreeks in het archief van de lokale computer is geïnstalleerd.Als u het certificaat bij een andere computer aanvragen moet, hebt u de persoonlijke sleutel, en vervolgens met aanvullende beveiligingsinstellingen besturingselementen bij te dragen en importeer het certificaat in een certificaatarchief.

Zorg ervoor dat u een nieuw certificaat provisioning aanvragen voordat het bestaande certificaat is verlopen.

Een verlopen provisioning certificaat van AMT resulteert in een provisioning-fout.Als u een externe CA voor uw provisioning certificaat gebruikt, kunnen extra tijd voor de vernieuwing voltooien en pas de configuratie van de buiten-band-beheerpunt.

Gebruik een speciale certificaatsjabloon voor het inrichten van AMT gebaseerde computers.

Als u een Enterprise-versie van Windows Server voor uw onderneming CA, moet u een nieuwe certificaatsjabloon door de certificaatsjabloon standaard webserver dupliceren maken Zorg ervoor dat alleen de beveiligingsgroep die u in de buiten-band management onderdeeleigenschappen opgeeft heeft machtigingen voor lezen en inschrijven gebruik en voeg niet meer mogelijkheden om de standaardinstelling van de server-verificatie.

Een speciale certificaatsjabloon kunt u beter te beheren en toegang tot misbruik van bevoegdheden voorkomen.Als u een standaard-versie van Windows Server voor uw onderneming CA hebt, kunt u een dubbele certificaatsjabloon kan niet maken.In dit scenario moet u toevoegen en lezen en machtigingen aan de beveiligingsgroep die u in de buiten-band management onderdeeleigenschappen opgeeft registreren en machtigingen niet hoeft te verwijderen.

AMT power op opdrachten in plaats van wake-uppakketten gebruiken.

Hoewel beide oplossingen ondersteund in eerdere computers voor software-installatie, AMT power op opdrachten zijn veiliger dan wake-uppakketten verzenden omdat ze verificatie en codering met behulp van standaard industrie beveiligingsprotocollen opgeven.Deze oplossing kan ook worden geïntegreerd met een bestaande infrastructuur voor openbare sleutel (PKI)-implementatie via power AMT op opdrachten met out-of bandbeheer en besturingselementen voor de beveiliging kunnen worden onafhankelijk van het product.Voor meer informatie, Zie "Planning hoe naar Wake-Up Clients" in Clientcommunicatie plannen in Configuration Manager.

AMT uitschakelen in de firmware als de computer wordt niet ondersteund voor out-of bandbeheer.

Zelfs wanneer AMT gebaseerde computers hebben een ondersteunde versie van AMT, er zijn een aantal scenario's die buiten het band-beheer niet ondersteunt.Deze scenario's zijn computers in werkgroepen en computers waarop een andere naamruimte computers waarop een gescheiden naamruimte.

Om ervoor te zorgen dat deze AMT-computers niet worden gepubliceerd op een Active Directory Domain Services en beschikt niet over een PKI-certificaat voor deze aangevraagd, schakelt u AMT in de firmware.AMT-levering Configuration Manager domeinreferenties voor de accounts gepubliceerd op een Active Directory Domain Services, die de misbruik van bevoegdheden risico's wanneer de computers die geen deel van uw Active Directory-forest uitmaken maakt.

Gebruik een speciale OE AMT gebaseerde computeraccounts publiceren.

Gebruik een bestaande container of organisatie-eenheid (OE) niet publiceren van de Active Directory-accounts die zijn gemaakt tijdens de AMT-levering.Een afzonderlijke organisatie-eenheid kunt beheren en deze accounts beter te beheren en zorgt ervoor dat siteservers en deze accounts zijn niet meer machtigingen verleend dan zij nodig hebben.

De site server-computeraccounts schrijfmachtigingen voor de organisatie-eenheid, de computergroep voor domein en de groep Domeingasten in elk domein AMT gebaseerde computers met toestaan.

Naast de siteserver computeraccounts alle onderliggende objecten maken en alle onderliggende objecten verwijderen machtigingen voor de organisatie-eenheid en toegepast op Dit object alleen, de volgende machtigingen voor de site-server-computeraccounts toestaan:

  • Voor de organisatie-eenheid: Alle eigenschappen schrijven toestemming en toegepast op Dit object en alle onderliggende objecten.

  • Voor de groep Computers domein: Alle eigenschappen schrijven toestemming en toegepast op Dit object alleen.

  • Voor de groep Gast domein: Alle eigenschappen schrijven machtigingen en toegepast op Dit object alleen.

Gebruik een speciale collectie voor AMT-levering.

Gebruik een bestaande verzameling met meer computers dan u wilt opgeven voor tot.In plaats daarvan een collectie op basis van een query maken met behulp van de AMT-status van niet ingericht.

Voor meer informatie over de AMT-Status en het maken van een query voor niet ingericht, Zie Over de AMT-Status en de buiten-bandbeheer is in Configuration Manager.

Ophalen en image-bestanden veilig opslaan tijdens het opstarten van de alternatieve media met de functie IDE-omleiding.

Tijdens het opstarten van de alternatieve media IDE-omleiding functie, indien mogelijk, slaat u de image-bestanden lokaal op de computer met de buiten-band-beheerconsole.Als u moet deze opslaan op het netwerk, zorg ervoor dat verbindingen met de bestanden ophalen via het netwerk SMB-ondertekening om te voorkomen dat de bestanden worden gewijzigd tijdens de netwerkoverdracht gebruiken.In beide gevallen de opgeslagen bestanden om te voorkomen dat onbevoegde toegang, bijvoorbeeld via NTFS-machtigingen en het versleutelde bestandssysteem te beveiligen.

Ophalen en AMT auditlogboekbestanden veilig opslaan.

Als u opslaat AMT logboekbestanden, indien mogelijk controleren, slaat u bestanden lokaal op de computer waarop de buiten-band-beheerconsole.Als u moet deze opslaan op het netwerk, zorg ervoor dat verbindingen met de bestanden ophalen via het netwerk SMB-ondertekening om te voorkomen dat de bestanden worden gewijzigd tijdens de netwerkoverdracht gebruiken.In beide gevallen de opgeslagen bestanden om te voorkomen dat onbevoegde toegang, bijvoorbeeld via NTFS-machtigingen en het versleutelde bestandssysteem te beveiligen.

Beperk het aantal AMT-levering en detectie van Accounts.

Hoewel u kunt meerdere AMT-levering en detectie Accounts opgeven zodat Configuration Manager computers die AMT management controllers hebben en inrichten voor out-of bandbeheer, geen accounts die niet op het moment zijn opgeven en verwijderen van accounts die niet langer vereist zijn kunt detecteren.Geef alleen de accounts die u nodig hebt om ervoor te zorgen dat deze accounts niet worden toegekend meer machtigingen dan zij nodig hebben en onnodig netwerkverkeer en verwerking te verminderen.Zie voor meer informatie over de AMT-levering en detectie Account Stap 5: Configureren van de buiten-Band-Management-onderdeel.

Geef een gebruikersaccount als het Account AMT inrichten verwijderen voor continuïteit van de service, en zorg ervoor dat deze gebruikersaccount ook is opgegeven als een gebruikersaccount AMT.

Het Account AMT inrichten verwijdering ervoor moet zorgen dat service continuïteit als u de Configuration Manager site.Nadat u de site terugzetten, aanvragen en configureren van een nieuw certificaat van de AMT-provisioning, gebruik van de AMT-levering en verwijdering van Account provisioning gegevens uit AMT gebaseerde computers verwijderen en vervolgens opnieuw de computers wilt inrichten.

U kunt mogelijk ook dit account wordt gebruikt als een AMT gebaseerde computer opnieuw van een andere website toegewezen is en de Inrichtingsgegevens is niet verwijderd.

Zie Het verwijderen van AMT-informatie voor meer informatie over het verwijderen van AMT-inrichtingsgegevens.

Een sjabloon één certificaat gebruiken voor certificaten voor clientverificatie wanneer praktische.

Maar u kunt verschillende certificaatsjablonen opgeven voor elk van de draadloze profielen, één certificaat sjabloon tenzij er een vereiste business voor verschillende instellingen moet worden gebruikt voor verschillende draadloze netwerken, geef alleen de mogelijkheid van client-verificatie en toe te wijzen aan deze sjabloon voor gebruik met Configuration Manager out-of bandbeheer.Als een draadloze netwerken een hogere sleutelgrootte of een kortere geldigheidsperiode dan een ander vereist, hebt u een afzonderlijke certificaatsjabloon maken.Een sjabloon één certificaat kunt u het gebruik ervan gemakkelijker en beschermt tegen misbruik van bevoegdheden.

Zorg ervoor dat alleen gemachtigde beheerders AMT controle acties uitvoeren en beheren van de AMT-controlelogboeken zoals voorgeschreven.

Afhankelijk van de versie AMT Configuration Manager mogelijk stoppen nieuwe gegevens schrijven naar het controlelogboek AMT wanneer deze bijna vol. is of oude posten kan worden overschreven.Om ervoor te zorgen dat de nieuwe gegevens worden vastgelegd en oude vermeldingen die niet worden overschreven, periodiek wissen van het controlelogboek indien nodig, en sla de controle posten.Zie voor meer informatie over het beheren van de controlelogboek en de monitor controle activiteiten Het controlelogboek beheren voor AMT-Computers in Configuration Manager.

Gebruik het principe van minste bevoegdheden en beheer op basis van een rol beheerders machtigingen voor het beheren van AMT gebaseerde computers buiten het bereik.

Gebruik de externe hulpprogramma's voor Operator rol beheerders de machtiging AMT-besturingselement, waardoor ze bekijken en beheren van computers met behulp van de buiten-band-beheerconsole en starten power besturingselement acties uit de Configuration Manager console.

Zie voor meer informatie over de machtigingen die u mogelijk AMT gebaseerde om computers te beheren, "Configuration Manager-afhankelijkheden" in Vereisten voor out-of Bandbeheer in Configuration Manager.

Beveiligingsproblemen voor out-of Bandbeheer

Managing AMT gebaseerde computers buiten-bandbeheer heeft de volgende beveiligingsproblemen:

  • Een aanvaller mogelijk valse een provisioning aanvraag in het maken van een Active Directory-account resulteert.Bewaak de organisatie-eenheid waar de AMT-accounts worden gemaakt om ervoor te zorgen dat alleen verwachte accounts worden gemaakt.

  • U kunt web Proxytoegang voor de buiten-band-servicepunt controleren van de certificaatintrekkingslijst (CRL) die wordt gepubliceerd op het Internet niet configureren.Als u het CRL-controle voor het certificaat van AMT-provisioning inschakelen en de CRL kan niet worden geopend, heeft de buiten-band-servicepunt niet richten AMT-computers.

  • De optie voor het uitschakelen van automatische AMT-levering is opgeslagen op de Configuration Manager -client en niet in tot.Dit betekent dat de AMT gebaseerde computer nog steeds kan worden ingericht.Bijvoorbeeld, de Configuration Manager client mogelijk verwijderd of de computer kan worden ingericht door een ander management product.

  • Hoewel u de optie om uit te schakelen voor een AMT gebaseerde computer automatische ingericht accepteert de buiten-band-servicepunt een provisioning verzoek van die computer.

Privacy-informatie voor out-of Bandbeheer

De buiten-band-beheerconsole beheert computers waarop de Intel vPro-chipset en Intel Active Management-technologie (Intel AMT) met een firmwareversie die wordt ondersteund door Configuration Manager.Configuration Manager tijdelijk verzamelt informatie over de Computerconfiguratie en de instellingen, zoals de computernaam, de IP-adres en het MAC-adres.Met behulp van een versleutelde kanaal gegevens overgebracht tussen de beheerde computer en de buiten-band-beheerconsole.Standaard deze functie niet is ingeschakeld en meestal geen gegevens worden bewaard nadat de beheerderssessie is beëindigd.Als u de AMT-controle inschakelen, kunt u controlegegevens opslaan naar een bestand dat het IP-adres van de AMT gebaseerde computer die wordt beheerd en het domein en de gebruikersnaam account dat de management-actie uitgevoerd op de opgenomen datum en tijd bevat.Deze gegevens niet naar Microsoft verzonden.

U hebt de mogelijkheid om in te schakelen Configuration Manager voor de detectie van computers met management controllers die kunnen worden beheerd door de buiten-band-beheerconsole.Detectie records voor de computers die beheerbaar is gemaakt en opgeslagen in de database.Gegevensdetectierecords computergegevens bevatten, zoals het IP-adres, het besturingssysteem en de computernaam.Detectie van management controllers is standaard niet ingeschakeld.Er wordt geen detectie-informatie naar Microsoft verzonden.Detectie van informatie wordt opgeslagen in de sitedatabase.De gegevens worden bewaard in de database tot de site onderhoudstaak ouder zoekgegevens verwijderen met intervallen van 90 dagen wordt verwijderd.U kunt het verwijderingsinterval configureren.

Voordat u out-of bandbeheer configureert, overweeg dan de privacyvereisten van uw.