• Статья

Безопасность и конфиденциальность развертываний операционных систем в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteПримечание

Этот раздел отображается в следующей документации: в руководстве Развертывание программного обеспечения и операционных систем в System Center 2012 Configuration Manager и в руководстве Безопасность и конфиденциальность System Center 2012 Configuration Manager.

Эта статья содержит сведения о безопасности и конфиденциальности функции развертывания операционных систем в System Center 2012 Configuration Manager.

Рекомендации по безопасности для функции развертывания операционных систем

Ниже приведены рекомендации по обеспечению безопасности во время развертывания операционных систем с помощью Configuration Manager.

Рекомендация по безопасности

Дополнительные сведения

Внедрите элементы управления доступом для защиты загрузочного носителя.

При создании загрузочного носителя необходимо всегда назначать пароль, который обеспечивает защиту содержимого носителя. Тем не менее, даже при наличии пароля шифруются только файлы, содержащие конфиденциальные данные. Кроме того, все файлы могут быть перезаписаны.

Контроль физического доступа к носителю позволяет предотвратить криптографические атаки, направленные на получение сертификатов проверки подлинности клиентов.

System_CAPS_noteПримечание

В Configuration Manager SP1, чтобы помочь клиенту предотвратить установку измененного злоумышленником содержимого или клиентской политики, содержимое хэшируется и должно использоваться с исходной политикой. Если хэш содержимого не удается подтвердить или после проверки выясняется, что содержание не соответствует политике, клиент не будет использовать загрузочный носитель. Хэшируется только содержимое; политика не хэшируется, но будет зашифрована и защищена, если указать пароль, что делает более сложным ее изменение для злоумышленников.

При создании носителя для образов операционных систем используйте защищенное расположение.

Если несанкционированные пользователи получат доступ к расположению, они смогут изменить созданные файлы, а также использовать все доступное место на диске, что приведет к сбою создания носителя.

Используйте для защиты файлов сертификатов (PFX) надежный пароль. Если они хранятся в сети, обеспечьте защиту сетевого канала при импорте сертификатов в Configuration Manager.

Требование указания пароля для импорта сертификата подлинности клиента, который используется для загрузочного носителя, позволяет защитить сертификат от атак злоумышленников.

Используйте подписывание SMB или протокол IPsec при обмене данными между сетевым расположением и сервером сайта, чтобы предотвратить незаконное изменение файла сертификата.

В случае компрометации сертификата клиента заблокируйте сертификат из среды Configuration Manager и отзовите его (если это PKI-сертификат).

Для развертывания операционной системы с помощью загрузочного носителя и PXE-загрузки необходим сертификат проверки подлинности клиента с закрытым ключом. В случае компрометации сертификата заблокируйте его в узле Сертификаты рабочей области Администрирование (узел Безопасность).

Дополнительные сведения о том, чем отличаются блокирование и отзыв сертификата, см. в статье Сравнение блокировки клиентов и отзыва сертификатов клиентов.

Если поставщик SMS размещается на компьютере, не являющемся сервером сайта, обеспечьте безопасность канала связи, чтобы защитить загрузочные образы.

В случае изменения загрузочных образов при выполнении поставщика SMS на сервере, который не является сервером сайта, высока вероятность атак, направленных на загрузочные образы. Обеспечьте безопасность сетевого канала между такими компьютерами, используя подписывание SMB или протокол IPsec.

Включать поддержку обмена данными с клиентами по протоколу PXE для точек распространения можно только в защищенных сегментах сети.

При отправке клиентом запроса загрузки PXE невозможно подтвердить, что запрос обслуживается допустимой точкой распространения, поддерживающей PXE. Этот сценарий подразумевает следующие угрозы безопасности.

  • Незаконная точка распространения, отвечающая на PXE-запросы, может передавать на клиенты измененные образы.

  • Злоумышленник может запустить атаку "злоумышленник в середине", направленную на протокол TFTP, используемый протоколом PXE, и отправить вредоносный код вместе с файлами операционной системы. Кроме того, он может создать незаконный клиент, чтобы отправлять запросы TFTP непосредственно на точку распространения.

  • Злоумышленник может использовать вредоносный клиент для запуска атаки типа "отказ в обслуживании", направленной на точку распространения.

Используйте многоуровневый подход к обеспечению безопасности сегментов сети, в которых клиенты получают доступ к точкам распространения, используя PXE-запросы.

System_CAPS_warningПредупреждение

Учитывая перечисленные угрозы безопасности, не включайте для точки распространения поддержку обмена данными по протоколу PXE, если она находится в ненадежной сети, например в сети периметра.

Настройте точки распространения, поддерживающие PXE, так, чтобы они отвечали на PXE-запросы только указанных сетевых интерфейсов.

Если разрешить точке распространения отвечать на PXE-запросы всех сетевых интерфейсов, такая конфигурация может привести к тому, что доступ к службе PXE будет предоставлен ненадежным сетям.

Настройте требование пароля для PXE-загрузки

Конфигурация, предусматривающая требование ввода пароля для PXE-загрузки, обеспечивает дополнительную безопасности для процесса PXE-загрузки, позволяя предотвратить присоединение незаконных клиентов к иерархии Configuration Manager.

Не включайте в образ, который будет использоваться для загрузки по сети (PXE) или многоадресной рассылки, бизнес-приложения или программное обеспечение, содержащие конфиденциальные данные.

Учитывая специфические угрозы безопасности, связанные с PXE-загрузкой и многоадресной рассылкой, это позволит снизить риски в случае загрузки образа операционной системы на незаконный компьютер.

Не включайте бизнес-приложения и программное обеспечение, содержащие конфиденциальные данные, в пакеты программного обеспечения, которые устанавливаются с помощью переменных последовательности задач.

При развертывании пакетов программного обеспечения с помощью переменных последовательности задач программное обеспечение может быть установлено на компьютеры и для пользователей, неавторизованных для его получения.

При переносе пользовательской среды обеспечьте безопасность сетевого канала между клиентом и точкой миграции состояния, используя подписывание SMB или протокол IPsec.

После того как будет установлено исходное подключение по HTTP, данные миграции пользовательской среды передаются по протоколу SMB. Если не обеспечить защиту сетевого канала, злоумышленник может считать и изменить эти данные.

Используйте последнюю версию средства миграции пользовательской среды, поддерживаемую Configuration Manager.

Последняя версия средства миграции пользовательской среды (USMT) обеспечивает значительные улучшения безопасности и дополнительный контроль над временем миграции данных пользовательской среды.

Вручную удаляйте папки на точке миграции состояния после их списания.

При удалении папки точки миграции состояния в разделе свойств этой точки консоли Configuration Manager физическая папка не удаляется. Чтобы предотвратить раскрытие данных миграции пользовательской среды, необходимо вручную удалить сетевую или локальную папку.

Не настраивайте в политике удаления немедленное удаление пользовательской среды.

Если настройки политики удаления на точке миграции состояния предполагают немедленное удаление данных, помеченных для удаления, и если злоумышленнику удастся получить доступ к данным пользовательской среды прежде, чем это сделает законный компьютер, данные пользовательской среды будут удалены. Задайте для интервала Удалить после значение, которое позволит проверить успешность восстановления данных пользовательской среды.

Вручную удаляйте ассоциации компьютеров после завершения и проверки восстановления данных миграции пользовательской среды.

Configuration Manager не удаляет ассоциации компьютеров автоматически. Удаление ненужных ассоциаций компьютеров вручную позволит защитить данные пользовательской среды.

Вручную выполняйте резервное копирование данных миграции пользовательской среды на точке миграции состояния.

Configuration Manager не выполняет резервное копирование данных миграции пользовательской среды.

Не забудьте включить шифрование BitLocker после установки операционной системы.

Если компьютер поддерживает шифрование BitLocker, для автоматической установки операционной системы эту функцию необходимо отключить с помощью шага последовательности задач.Configuration Manager не включает BitLocker после установки операционной системы, поэтому необходимо сделать это вручную.

Внедрите элементы управления доступом для защиты предварительно подготовленных носителей.

Контроль физического доступа к носителю позволяет предотвратить криптографические атаки, направленные на получение сертификатов проверки подлинности клиентов и конфиденциальных данных.

Внедрите элементы управления доступом для защиты для защиты в процессе создания образа эталонного компьютера.

Убедитесь в том, что эталонный компьютер, который используется для снятия образов операционных систем, находится в защищенной среде, в которой имеются соответствующие элементы управления доступом. Это позволит предотвратить установку непредвиденного или вредоносного программного обеспечения и его случайное включение в записываемый образ. При снятии образа убедитесь в том, что конечная сетевая общая папка защищена, чтобы предотвратить незаконное изменение образа после его снятия.

Всегда устанавливайте на эталонный компьютер последние обновления безопасности.

Наличие на эталонном компьютере текущих обновлений безопасности позволяет сократить "окно беззащитности" новых компьютеров при первом запуске.

Если развертывание операционной системы требуется выполнить на неизвестном компьютере, внедрите элементы управления доступом, чтобы предотвратить подключение к сети неавторизованных компьютеров.

Хотя инициализация неизвестных компьютеров обеспечивает удобный способ развертывания ОС на новых компьютерах по требованию, она также позволяет злоумышленнику с легкостью выдать незаконный компьютер за доверенный клиент в сети. Ограничьте физический доступ к сети и включите мониторинг клиентов, который позволит обнаруживать неавторизованные компьютеры. Кроме того, на компьютерах, отвечающих на запросы развертывания операционной системы, запускаемого по сети (PXE), во время развертывания ОС могут быть уничтожены все данные, что может привести к потере доступности случайно переформатированных систем.

Включите шифрование для пакетов многоадресной рассылки.

Для каждого пакета развертывания операционной системы можно включить шифрование для того периода, когда Configuration Manager передает пакеты с помощью многоадресной рассылки. Эта конфигурация помогает предотвратить подключение незаконных компьютеров к сеансу многоадресной рассылки, а также незаконное изменение данных во время передачи.

Обеспечьте мониторинг незаконных точек распространения с поддержкой многоадресной рассылки.

Если злоумышленник сможет получить доступ к сети, он сможет настроить незаконные серверы многоадресной рассылки, чтобы подделать пакеты развертывания операционных систем.

Обеспечьте безопасность сетевого расположения и канала при экспорте последовательностей задач в сетевую папку.

Ограничьте доступ пользователей к сетевой папке.

Используйте подписывание SMB или протокол IPsec при обмене данными между сетевым расположением и сервером сайта, чтобы предотвратить незаконное изменение экспортируемой последовательности задач.

Для System Center 2012 R2 Configuration Manager и более поздних версий:

Обеспечьте безопасность коммуникационного канала при выгрузке виртуального жесткого диска в Virtual Machine Manager.

Чтобы предотвратить незаконное изменение данных, передаваемых по сети, используйте протокол IPsec или SMB для взаимодействия между компьютером с запущенной консолью Configuration Manager и компьютером с Virtual Machine Manager.

Если требуется использовать учетную запись запуска от имени последовательности задач, примите дополнительные меры обеспечения безопасности.

Если используется учетная запись запуска от имени последовательности задач, примите следующие меры безопасности.

  • Используйте учетную запись с минимальным набором разрешений.

  • Не используйте учетную запись доступа к сети для этой учетной записи.

  • Никогда не предоставляйте учетной записи права администратора домена.

Дополнительно

  • Никогда не настраивайте профили роуминга для этой учетной записи. Профиль роуминга учетной записи будет загружен при выполнении последовательности задач, и это сделает профиль доступным на локальном компьютере и уязвимым.

  • Ограничьте область действия учетной записи. Например, можно создать различные учетные записи запуска от имени последовательности задач для каждой последовательности задач, чтобы в случае компрометации одной учетной записи были затронуты только те компьютеры, к которым есть доступ у этой учетной записи. Если командной строке требуется административный доступ к компьютеру, рассмотрите возможность создания локальной учетной записи администратора исключительно для учетной записи запуска от имени последовательности задач на всех компьютерах, которые будут выполнять последовательность задач. Удалите эту учетную запись, как только необходимость в ней отпадет.

Ограничьте число администраторов, которым назначается роль безопасности "Менеджер по развертыванию ОС", и отслеживайте их действия.

Администраторы, которым предоставляются права роли безопасности "Менеджер по развертыванию ОС", могут создавать самозаверяющие сертификаты, которые затем можно использовать для олицетворения клиента и получения политики клиента из Configuration Manager.

Проблемы безопасности при развертывании операционных систем

Хотя функция развертывания операционных систем представляет собой удобный способ развертывания самых надежных операционных систем и конфигураций для компьютеров в сети, с ней связаны следующие риски безопасности.

  • Раскрытие информации и отказ в обслуживании

    Если злоумышленнику удастся получить контроль над инфраструктурой Configuration Manager, он сможет выполнить любые последовательности задач, включая форматирование жестких дисков на всех клиентских компьютерах. Последовательности задач могут содержать конфиденциальные данные, такие как учетные записи, имеющие разрешения на присоединение к домену, или ключи корпоративного лицензирования.

  • Олицетворение и повышение прав

    Последовательность задач может присоединять компьютеры к домену. Таким образом, незаконный компьютер может получить доступ к сети как прошедший проверку подлинности. Еще одним важным аспектом обеспечения безопасности развертываний операционных систем является защита сертификата проверки подлинности клиента, который используется для загрузочных носителей последовательностей задач и PXE-развертываний. При записи сертификата проверки подлинности клиента злоумышленник может получить закрытый ключ сертификата и затем олицетворить допустимый клиент в сети.

    Получение клиентского сертификата, который используется для загрузочных носителей последовательностей задач и PXE-развертываний, позволит использовать его для олицетворения допустимого клиента в среде Configuration Manager. В этом случае незаконный компьютер может загрузить политику, например, содержащую конфиденциальные данные.

    Если учетная запись доступа к сети используется клиентами для доступа к данным, хранящимся на точка миграции состояний, эти клиенты фактически используют одно удостоверение и могут получать доступ к данным о миграции состояний от другого клиента, который использует учетную запись для доступа к сети. Шифрование данных гарантирует, что только оригинальный клиент может их читать, но данные могут быть перехвачены и изменены или удалены.

  • Точка миграции состояний не использует проверку подлинности в Configuration Manager без пакетов обновления.

    Поскольку в Configuration Manager без пакетов обновления точка миграции состояния не проверяет подлинность подключений, любой пользователь может отправить на нее данные или получить данные, хранящиеся на этой точке. Несмотря на то, что только исходный компьютер может прочитать полученные данные пользовательской среды, нельзя считать эти данные защищенными.

    В Configuration Manager SP1 проверка подлинности клиентов в точке миграции состояний достигается с помощью маркера Configuration Manager, выданного точкой управления.

    Кроме того, Configuration Manager не ограничивает и не контролирует объем сохраняемых на точке миграции состояний данных, и злоумышленник может заполнить данными все доступное место на диске, что приведет к отказу в обслуживании.

  • При использовании переменных коллекции локальным администраторам может стать доступной потенциально конфиденциальная информация

    Хотя переменные коллекции — это гибкий метод для развертывания операционных систем, они могут привести к раскрытию информации.

Обеспечение конфиденциальности при развертывании операционных систем

Помимо развертывания операционных систем на компьютеры без операционной системы Configuration Manager можно использовать для миграции файлов и параметров пользователя с одного компьютера на другой. Администратор задает набор переносимых данных, включая файлы личных данных, параметры конфигурации и файлы cookie браузера.

Данные хранятся на точке миграции состояния и шифруются во время передачи и хранения. Доступ к этим данным может получить новый компьютер, связанный с данными пользовательской среды. Если новый компьютер утрачивает ключ для получения данных, администратор Configuration Manager с правами "Просмотреть сведения о восстановлении" для объектов экземпляра ассоциации компьютеров может получить доступ к данным и связать их с новым компьютером. После того как новый компьютер восстановит данные пользовательской среды, он по умолчанию удаляет их на следующий день. Для точки миграции состояния можно настроить интервал удаления данных, помеченных для удаления. Данные миграции пользовательской среды не сохраняются в базе данных сайта и не отправляются в Майкрософт.

Если для развертывания образов операционных систем используется загрузочный носитель, используйте настройку защиты загрузочного носителя паролем, предусмотренную по умолчанию. Пароль позволяет шифровать любые переменные, хранимые в последовательности задач, однако данные, которые не хранятся в переменной, могут быть раскрыты.

В рамках процесса развертывания операционных систем могут использоваться последовательности задач, служащие для выполнения самых различных действий (например, установки приложений и обновления ПО). При настройке последовательностей задач необходимо принимать во внимание аспекты обеспечения конфиденциальности, связанные с установкой ПО.

Если виртуальный жесткий диск передать в Virtual Machine Manager без предварительной очистки образа с помощью Sysprep, переданный виртуальный жесткий диск может содержать персональные данные из исходного образа.

В Configuration Manager нет процесса развертывания ОС по умолчанию и перед сбором данных пользовательской среды, созданием последовательностей задач или загрузочных образов требуется выполнить несколько шагов настройки.

Перед настройкой развертывания ОС следует изучить и учесть требования к конфиденциальности вашей организации.