• Artikel

Säkerhet och sekretess för att distribuera operativsystem i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteInformation

Det här avsnittet visas i handboken Distributionsprogramvara och operativsystem i System Center 2012 Configuration Manager och i handboken Säkerhet och sekretess för System Center 2012 Configuration Manager.

Den här artikeln innehåller information om säkerhet och sekretess för operativsystemsdistribution i System Center 2012 Configuration Manager.

Rekommenderade säkerhetsmetoder för operativsystemsdistribution

Följ dessa rekommenderade säkerhetsmetoder när du distribuerar operativsystem med Configuration Manager:

Regelverk för säkerhet

Mer information

Implementera åtkomstkontroller för att skydda startbara medier

När du skapar startbara medier ska du alltid tilldela ett lösenord för att skydda mediet. Men även om ett lösenord används, är det bara filer som innehåller känslig information som krypteras, och alla filer kan ersättas.

Skydda mediet fysiskt för att hindra en angripare från att använda kryptografiska angreppsmedel för att skaffa sig tillgång till certifikatet för klientautentisering.

System_CAPS_noteInformation

För att hindra en klient från att installera innehåll eller en klientprincip som har ändrats hashas innehållet i Configuration Manager SP1 och måste användas med den ursprungliga principen. Om innehållets hashvärde ändras eller om kontrollen att innehållet matchar principen misslyckas, använder klienten inte det startbara mediet. Det är bara innehållet som hashas. Principen hashas inte, men den krypteras och skyddas om du anger ett lösenord, vilket gör det svårare för en angripare att lyckas ändra principen.

Skapa medier för operativsystemsavbildningar på en skyddad plats

Om obehöriga användare har tillgång till platsen, kan de ändra filerna som du skapar och även använda allt tillgängligt diskutrymme så att mediet inte går att skapa.

Skydda certifikatfiler (.pfx) med ett bra lösenord. Om du lagrar dem i ett nätverk måste du säkra nätverkskanalen när du importerar dem till Configuration Manager

Om du kräver ett lösenord för att importera certifikatet för klientautentisering som du använder för startbara medier, skyddar det certifikatet mot angripare.

Använd SMB-signering eller IPsec mellan platsen i nätverket och platsservern för att hindra en angripare från att ändra i certifikatfilen.

Om klientcertifikatet kan ha hamnat i orätta händer ska du blockera det från Configuration Manager och återkalla det om det är ett PKI-certifikat

Om du vill distribuera ett operativsystem genom att använda startbara medier och PXE-start, måste du ha ett certifikat för klientautentisering med en privat nyckel. Om certifikatet har hamnat i orätta händer ska du blockera det i noden Certifikat på arbetsytan Administration, noden Säkerhet.

Mer information om skillnaden mellan att blockera och att återkalla ett certifikat finns i artikeln Jämförelse mellan blockering av klienter och återkallande av klientcertifikat.

Om SMS-providern finns på en dator eller på flera datorer som inte råkar vara platsservern, ska du skydda kommunikationskanalen för att skydda startavbildningarna

Om startavbildningarna har ändrats och SMS-providern körs på en annan server än platsservern, är startavbildningarna sårbara för angrepp. Skydda nätverkskanalen mellan dessa datorer genom att använda SMB-signering eller IPsec.

Aktivera distributionsplatser för PXE-klientkommunikation endast i säkra nätverkssegment

När en klient skickar en PXE-startbegäran, finns det inget sätt att garantera att begäran besvaras av en giltig, PXE-aktiverad distributionsplats. Detta scenario förknippas med följande säkerhetsrisker:

  • En falsk distributionsplats som svarar på PXE-begäranden skulle kunna skicka en ändrad avbildning till klienterna.

  • Angriparen skulle kunna försöka med ett man-in-the-middle-angrepp mot TFTP-protokollet som PXE använder och skicka skadlig kod med operativsystemsfilerna, eller så skulle angriparen kunna skapa en falsk klient som skickar TFTP-begäranden direkt till distributionsplatsen.

  • Angriparen skulle kunna använda en falsk klient för att göra ett DoS-angrepp mot distributionsplatsen.

Använd ett elastiskt försvar för att skydda nätverkssegmenten där klienterna försöker ansluta till distributionsplatser för PXE-begäranden.

System_CAPS_warningVarning

På grund av dessa säkerhetsrisker ska du inte aktivera en distributionsplats för PXE-kommunikation om den finns i ett icke betrott nätverk, t.ex. ett randnätverk.

Konfigurera PXE-aktiverade distributionsplatser så att de bara svarar på PXE-begäranden på angivna nätverksgränssnitt

Om du tillåter distributionsplatsen att svara på PXE-begäranden på alla nätverksgränssnitt, kan denna konfiguration göra PXE-tjänsten tillgänglig i icke betrodda nätverk

Kräv lösenord för PXE-start

Om du kräver lösenord för PXE-start skyddar denna konfiguration PXE-startprocessen lite extra. Det är ett sätt att hindra falska klienter från att komma in i Configuration Manager-hierarkin.

Inkludera inte affärsprogram som innehåller känsliga data i någon avbildning som används för PXE-start eller multicast

På grund av de ofrånkomliga säkerhetsriskerna med PXE-start och multicast måste du minska risken om en falsk dator hämtar avbildningen av operativsystemet.

Inkludera inte affärsprogram som innehåller känsliga data i programpaket som installeras med hjälp av aktivitetssekvensvariabler

Om du distribuerar programpaket med hjälp av aktivitetssekvensvariabler, kan program installeras på datorer och till användare som inte är behöriga att ta emot programmet.

När du migrerar användartillståndet måste du skydda nätverkskanalen mellan klienten och tillståndsmigreringsplatsen genom att använda SMB-signering eller IPsec

Efter den inledande HTTP-anslutningen överförs migreringsdata om användartillståndet med SMB. Om du inte skyddar nätverkskanalen kan en angripare avläsa och ändra dessa data.

Använd den senaste versionen av Windows Filöverföring som Configuration Manager stöder

Den senaste versionen av Windows Filöverföring innehåller säkerhetsförbättringar och ger mer kontroll när du migrerar användartillståndsdata.

Ta bort mappar på tillståndsmigreringsplatsen manuellt när de tas ur drift

När du flyttar en tillståndsmigreringsplats mapp i Configuration Manager-konsolen i tillståndsmigreringsplatsen egenskaper tas den fysiska mappen inte bort. Du måste ta bort nätverksresursen och mappen manuellt för att skydda användartillståndets data från att röjas.

Konfigurera inte borttagningsprincipen så att användartillståndet tas bort omedelbart

Om du ställer in borttagningsprincipen på tillståndsmigreringsplatsen så att data som har märkts för borttagning tas bort omedelbart, och om en angripare lyckas få tag på dessa användartillståndsdata innan den riktiga datorn gör det, tas användartillståndsdata bort omedelbart. Låt intervallet Ta bort efter vara tillräckligt långt så att du hinner verifiera att användartillståndsdata har gått att återställa.

Ta bort datorassociationer manuellt när återställningen av användartillståndsdata är klar och har verifierats

Configuration Manager tar inte bort datorassociationer automatiskt. Skydda användartillståndsdatas identitet genom att ta bort datorassociationer som inte längre behövs manuellt.

Säkerhetskopiera alla data om användartillståndsmigrering på tillståndsmigreringsplatsen

Configuration Manager Data om användartillståndsmigreringar ingår inte i den vanliga säkerhetskopieringen.

Glöm inte att aktivera BitLocker efter att operativsystemet har installerats

Om en dator stöder BitLocker måste du inaktivera det under aktivitetssekvenssteget om du vill installera operativsystemet oövervakat. Configuration Manager aktiverar inte BitLocker efter det att operativsystemet har installerats, så du måste aktivera det manuellt.

Implementera åtkomstkontroller för att skydda det förinstallerade mediet

Skydda mediet fysiskt för att hindra en angripare från att använda kryptografiska angreppsmedel för att skaffa sig tillgång till certifikatet för klientautentisering och känsliga data.

Implementera åtkomstkontroller för att skydda processen för avbildning av referensdatorn

Se till att referensdatorn som du använder för att skapa operativsystemsavbildningar står säkert. Se till att ha lämpliga åtkomstkontroller så att oväntade eller skadliga program inte går att installera och oavsiktligt komma med på den avbildning som skapas. När du tillverkar avbildningen måste du se till att målresursen i nätverket är säker, så att det inte går att göra något otillbörligt med avbildningen när den är klar.

Installera alltid de senaste säkerhetsuppdateringarna på referensdatorn

Om referensdatorn har de senaste säkerhetsuppdateringarna blir de nya datorerna mindre sårbara första gången de startas.

Om du måste distribuera operativsystem till en okänd dator, ska du implementera åtkomstkontroller för att hindra obehöriga datorer från att ansluta till nätverket

Även om det är bekvämt att kunna etablera nya, okända datorer på begäran, kan det också vara ett effektivt sätt för en angripare att bli en betrodd klient i nätverket. Begränsa den fysiska tillgången till nätverket, och övervaka klienterna så att du upptäcker obehöriga datorer. Dessutom kan datorer som installerar operativsystem via PXE kunna få alla sina data borttagna då operativsystemet installeras, vilket skulle kunna leda till att system som formateras om oavsiktligt inte går att använda.

Aktivera kryptering av multicast-paket

För varje operativsystemsdistributionspaket kan du välja att aktivera kryptering när Configuration Manager överför paketet via multicast. Den här konfigurationen hindrar obehöriga datorer från att delta i multicast-sessionen, och det hindrar angripare från att mixtra med de data som överförs.

Håll ett vakande öga på obehöriga, multicast-aktiverade distributionsplatser

Om angripare kommer in i ditt nätverk, kan han konfigurera obehöriga multicast-servrar som distribuerar operativsystem.

När du exporterar aktivitetssekvenser till en nätverksplats måste platsen och nätverkskanalen skyddas

Begränsa vilka som har tillgång till nätverksmappen.

Använd SMB-signering eller IPsec mellan platsen i nätverket och platsservern för att hindra en angripare från att ändra den exporterade aktivitetssekvensen.

För System Center 2012 R2 Configuration Manager och senare:

Skydda kommunikationskanalen när du överför en virtuell hårddisk till Virtual Machine Manager.

Du kan hindra manipulation av data som överförs i nätverket genom att använda Internet Protocol security (IPsec) eller Server Message Block (SMB) mellan datorer där Configuration Manager-konsolen och datorn där Virtual Machine Manager körs.

Vidta ytterligare säkerhetsåtgärder om du måste använda ett Aktivitetssekvens kör som-konto

Vidta följande försiktighetsåtgärder om du använder ett Aktivitetssekvens kör som-konto:

  • Använd ett konto med minsta möjliga behörigheter.

  • Använd inte kontot för nätverksåtkomst för det här kontot.

  • Gör aldrig kontot till domänadministratör.

Dessutom:

  • Konfigurera aldrig centrala profiler för detta konto. När aktivitetssekvensen körs, hämtar den kontots centrala profil, vilket innebär att profilen går att komma åt och är sårbar på den lokala datorn.

  • Begränsa kontots omfattning. Du kan t.ex. skapa olika Aktivitetssekvens kör som-konton för varje aktivitetssekvens, så att bara klientdatorer som ett konto har tillgång till påverkas om ett konto råkar ut för intrång. Om det krävs administrativ behörighet för att använda kommandotolken på datorn, kan du skapa ett lokalt administratörskonto enbart för Aktivitetssekvens kör som-kontot på alla datorer där aktivitetssekvensen ska köras. Ta bort kontot så fort det inte längre behövs.

Begränsa och övervaka de administrativa användarna som tilldelas säkerhetsrollen Operativsystemdistributionshanteraren

Administrativa användare som tilldelas säkerhetsrollen Operativsystemdistributionshanteraren kan skapa egensignerade certifikat som sedermera kan användas för att personifiera en klient och hämta klientprinciper från Configuration Manager.

Säkerhetsproblem med operativsystemsdistribution

Även om distribution av operativsystem kan vara ett bekvämt sätt att distribuera de mest säkra operativsystemen och konfigurationerna till datorerna i nätverket, har metoden följande säkerhetsrisker:

  • Information som avslöjas och utelåsning från tjänster

    Om en angripare kan skaffa sig kontroll över Configuration Manager-infrastrukturen kan hon köra alla aktivitetssekvenser, vilket kan innebära formatering av hårddiskarna på alla klientdatorer. Det går att konfigurera aktivitetssekvenser med känslig information, t.ex. konton som har behörighet att ansluta till domänen och volymlicensnycklar.

  • Personifiering och ökade behörigheter

    Aktivitetssekvenser kan göra att en dator ansluts till en domän. Det kan ge en obehörig dator autentiserad tillgång till nätverket. En annan viktig säkerhetsaspekt i fråga om operativsystemsdistribution är att skydda certifikatet för klientautentisering som används för startbara aktivitetssekvensmedier och för PXE-startdistribution. Om du tar med ett certifikat för klientautentisering får angriparen möjlighet att skaffa sig tillgång till den privata nyckeln i certifikatet och kunna personifiera en giltig klient i nätverket.

    Om en angripare lyckas få tag i det klientcertifikat som används för startbara aktivitetssekvensmedier och för PXE-startdistribution, kan han eller hon använda certifikatet för att imitera en giltig klient för Configuration Manager. I så fall kan bedragarens dator ladda ned principer som kan innehålla känsliga data.

    Om ett antal klienter använder kontot för nätverksåtkomst för att komma åt data som har lagrats på tillståndsmigreringsplatsen, delar dessa klienter i själva verket på samma identitet och kan komma åt tillståndsmigreringsdata från en annan klient som använder kontot för nätverksåtkomst. Informationen är krypterad, så det är bara ursprungsklienten som kan läsa den, men den kan manipuleras eller raderas.

  • Tillståndsmigreringsplatsen använder inte autentisering i Configuration Manager utan service pack

    I Configuration Manager utan service pack autentiseras inte anslutningar av tillståndsmigreringsplatsen, så vem som helst kan skicka data till tillståndsmigreringsplatsen och vem som helst kan också hämta data som lagrats där. Även om bara ursprungsdatorn kan läsa hämtade användartillståndsdata bör inte dessa data betraktas som säkra.

    I Configuration Manager SP1 uppnås klientautentisering till tillståndsmigreringsplatsen genom en Configuration Manager-token som utfärdas av hanteringsplatsen.

    Configuration Manager begränsar och hanterar dessutom inte mängden data som lagras på tillståndsmigreringsplatsen, och en angripare skulle kunna fylla upp allt tillgängligt diskutrymme och orsaka en Denial of Service-situation.

  • Om du använder samlingsvariabler kan lokala administratörer läsa information som kan vara känslig

    Samlingsvariabler är visserligen ett flexibelt sätt att distribuera operativsystem, men om du använder dig av dem kan detta göra att känslig information röjs.

Sekretessinformation för operativsystemsdistribution

Förutom att distribuera operativsystem till datorer som saknar det kan du använda Configuration Manager till att migrera användarnas filer och inställningar från en dator till en annan. Administratören anger vilken information som ska överföras, till exempel personliga datafiler, konfigurationer och inställningar samt webbläsarcookies.

Informationen lagras på en tillståndsmigreringsplats och krypteras under överföringen och lagringen. Informationen kan hämtas av den nya dator som är associerad med tillståndsinformationen. Om den nya datorn förlorar nyckeln som behövs för hämtningen av informationen, kan informationen ändå nås och associeras med den nya datorn av en Configuration Manager-administratör med behörigheten Visa återställningsinformation för instansobjekt till datorkopplingar. När den nya datorn har återställt tillståndsinformationen tas data bort som standard efter en dag. Du kan ställa in när tillståndsmigreringsplatsen ska ta bort data som markerats för borttagning. Informationen om tillståndsmigreringen lagras inte i platsdatabasen och skickas inte till Microsoft.

Om du använder startmedier för att distribuera operativsystemsavbildningar, ska du alltid använda standardalternativet så att startmediet skrivskyddas. Lösenordet krypterar alla variabler som lagrats i aktivitetssekvensen, men information som inte lagrats i en variabel riskerar att röjas.

Operativsystemsdistributioner kan använda aktivitetssekvenser för att utföra många olika aktiviteter under distributionsprocessen, till exempel installera program och programuppdateringar. När du konfigurerar aktivitetssekvenser bör du också vara medveten om vilka följder för den personliga integriteten det kan ha när man installerar program.

Om du överför en virtuell hårddisk till Virtual Machine Manager utan att först ha rensat avbildningen med Sysprep, kan den överförda virtuella hårddisken innehålla personliga data från den ursprungliga avbildningen.

Configuration Manager implementerar inte operativsystemsdistributioner som standard, och det krävs flera konfigureringssteg innan du kan samla in användartillståndsinformation eller skapa aktivitetssekvenser eller startavbildningar.

Innan du konfigurerar operativsystemdistribution bör du tänka igenom dina sekretesskrav.