• Artikel

Säkerhet och sekretess för out-of-Band-hantering i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteInformation

Det här avsnittet visas i handboken Tillgångar och efterlevnad i System Center 2012 Configuration Manager och i handboken Säkerhet och sekretess för System Center 2012 Configuration Manager.

Det här avsnittet innehåller information om säkerhet och sekretess för out-of-band-hantering i System Center 2012 Configuration Manager.

Metodtips för out-of-Band-hantering

Använd följande metodtips för säkerhet när du hanterar Intel AMT-baserade datorer out-of-band.

Regelverk för säkerhet

Mer information

Begäran anpassade inbyggd programvara innan du köper Intel AMT-baserade datorer.

Datorer som kan hanteras out-of-band har BIOS-tillägg som kan ange anpassade värden för att öka säkerheten avsevärt när de här datorerna i nätverket.Kontrollera vilka filnamnstillägg BIOS-inställningarna är tillgängliga från datortillverkaren och ange dina egna värden.Mer information finns i avsnittet Ta reda på om du vill använda en anpassad inbyggd programvara bild från datortillverkaren.

Om din AMT-baserade datorer inte har inbyggd programvara värden som du vill använda, kan du kanske kan du ange dem manuellt.Mer information om hur du konfigurerar BIOS-tillägg manuellt finns i Intel-dokumentation eller i dokumentationen från datortillverkaren av din.Mer information finns i Intel vPro Expert Center: Microsoft vPro hantering.Anpassa följande alternativ för att öka säkerheten:

  • Ersätt alla certifikat thumbprints av externa certifikatutfärdare (CA) med tumavtrycket för intern Certifikatutfärdaren.Detta förhindrar att falska allokering servrar försöker etablera AMT-baserade datorer och du behöver inte köpa allokering certifikat från externa certifikatutfärdare.

  • Använda anpassade lösenord för kontot MEBx så att standardvärdet för admin används inte.Ange lösenordet med en AMT-etablering och identifiering konto i Configuration Manager.Detta förhindrar att falska allokering servrar försöker etablera din AMT-baserade datorer med kända standardlösenord.

Kontrollera begäran och installation av allokering certifikatet.

Begära allokering certifikatet direkt från allokering servern via säkerhetskontext datorn så att certifikatet har installerats direkt till den lokala dator för.Om måste du begära certifikatet från en annan dator har att exportera den privata nyckeln och sedan använda ytterligare säkerhetsåtgärder när du överför och importera certifikatet till ett certifikatarkiv.

Kontrollera att du begär ett nytt certifikat för allokering innan det befintliga certifikatet upphör att gälla.

Ett utgånget AMT-etablering certifikat innebär att ett allokering fel.Om du använder en extern Certifikatutfärdare för allokering certifikatet möjliggör ytterligare tid att slutföra förnyelsen och konfigurera om out-of-band-hanteringsplats.

Använd en dedikerad certifikatmall för etablering AMT-baserade datorer.

Om du är en Enterprise-version av Windows Server för ditt företag Certifikatutfärdaren, skapa en ny certifikatmall genom att duplicera certifikatmallen standard webbserver Kontrollera att den säkerhetsgrupp som du anger i out-of-band-hanteringsegenskaper har behörighet att läsa och registrera, användning och inte lägga till ytterligare funktioner som standard för serverautentisering.

En särskild certifikatmall kan du lättare att hantera och kontrollera åtkomst för att förhindra utökade rättigheter.Du kan inte skapa en dubblett certifikatmall om du har en vanlig version av Windows Server för ditt företag Certifikatutfärdaren.I detta fall måste du lägga till och läsa och registrera behörighet till säkerhetsgruppen som du anger i out-of-band-hanteringsegenskaper och ta bort alla behörigheter som du inte behöver.

Använd AMT power på kommandon i stället för aktiveringspaket.

Även om båda lösningar stöd aktivering datorer för Programvaruinstallation, AMT power på kommandon är säkrare än skickar aktiveringspaket eftersom de ger autentisering och datakryptering med hjälp av standard branschen säkerhetsprotokoll.Denna lösning kan också integrera med en befintlig PKI (PKI)-distribution med hjälp av AMT power på kommandon med out-of-band-hantering och kan hanteras i säkerhetskontroller oberoende från produkt.Mer information finns i "Planera hur till Wake in klienter" i Planera för klientkommunikation i Configuration Manager.

Inaktivera AMT i den inbyggda programvaran om datorn inte stöds för out-of-band-hantering.

Även om AMT-baserade datorer som har en version av AMT stöds finns det några scenarier som inte stöder out-of-band-hantering.Dessa scenarion innehåller arbetsgruppsdatorer, datorer som har ett annat namnområde och datorer som har ett icke sammanhängande namnområde.

Inaktivera AMT för att säkerställa att dessa AMT-baserade datorer inte publiceras till Active Directory Domain Services och inte har en PKI-certifikat som begärdes för dem i den inbyggda programvaran.AMT-etablering i Configuration Manager skapar domänautentiseringsuppgifter för konton som publicerade i Active Directory Domain Services, vilka risker utökade rättigheter när datorerna som inte är en del av Active Directory-skogen.

Använda en särskild Organisationsenhet för att publicera AMT-baserad datorkonton.

Använd inte en befintlig behållare eller organisationsenhet (Organisationsenhet) för att publicera Active Directory-konton som skapas under AMT-etablering.En separat Organisationsenhet kan du hantera och kontrollera kontona bättre och säkerställer att Platsservrar och dessa konton inte har behörigheten mer än de behöver.

Tillåt webbplats server datorkontona behörighet att skriva till Organisationsenheten, datorgruppen för domänen och gruppen Domängäster i varje domän som innehåller AMT-baserade datorer.

Utöver att platsservern konton Skapa alla underordnade objekt och Ta bort alla underordnade objekt behörigheter för Organisationsenheten och gäller för endast det här objektet, Tillåt följande behörigheter för platsservern konton:

  • För Organisationsenhet: Skriva alla egenskaper behörighet och gäller för objektet och alla underordnade objekt.

  • För gruppen datorer i domänen: Skriva alla egenskaper behörighet och gäller för endast det här objektet.

  • För gruppen domän gäst: Skriva alla egenskaper behörigheter och gäller för endast det här objektet.

Använd en särskild samling för AMT-etablering.

Använd inte en befintlig samling som innehåller fler datorer än du vill etablera för beloppI stället skapar du en fråga-baserade samling med hjälp av AMT-status för inte etablerats.

Mer information om AMT-Status och hur du skapar en fråga för inte etablerats, se Om AMT-Status och Out-of-Band-hantering i Configuration Manager.

Hämta och lagra bildfiler säkert när du startar från alternativa media att använda funktionen IDE omdirigering.

När du startar från alternativa media att använda funktionen IDE-omdirigering, när det är möjligt lagra bildfiler lokalt på datorn som kör out-of-band-konsolen.Om måste du spara dem i nätverket, måste du kontrollera att anslutningar att hämta filer via nätverket använder SMB-signering för att förhindra att filer som ändrats under överföringen nätverk.I båda fallen säkra lagrade filer för att förhindra obehörig åtkomst, till exempel med hjälp av NTFS-behörigheter och krypterade filsystem.

Hämta och lagra loggfiler för AMT-audit säkert.

Om du sparar AMT granska loggfiler när det är möjligt lagra filer lokalt på datorn som kör out-of-band-konsolen.Om måste du spara dem i nätverket, måste du kontrollera att anslutningar att hämta filer via nätverket använder SMB-signering för att förhindra att filer som ändrats under överföringen nätverk.I båda fallen säkra lagrade filer för att förhindra obehörig åtkomst, till exempel med hjälp av NTFS-behörigheter och krypterade filsystem.

Minimera antalet AMT-etablering och identifiering konton.

Men du kan ange flera AMT-etablering och identifiering konton så att Configuration Manager kan identifiera datorer som har AMT styrenheter etablera dem för out-of-band-hantering, inte ange konton som inte krävs för närvarande och ta bort konton som krävs inte längre.Ange de konton som krävs för att säkerställa att dessa konton inte har behörigheten mer än de behöver och för att minska onödig nätverkstrafik och bearbetning.Mer information om AMT-etablering och identifiering av kontot finns Steg 5: Konfigurera Out-of-Band-hantering komponent.

Ange ett användarkonto som AMT-etablering borttagning av konto för tjänsten kontinuerlig och kontrollera att det här användarkontot också har angetts som en AMT-användarkonto.

AMT-etablering borttagning av konto garanterar kontinuerlig service om du måste återställa den Configuration Manager plats.När du har återställt webbplatsen begäran och konfigurera ett nytt AMT-etablering certifikat, använda AMT-etablering och borttagning av konto för att ta bort Etableringsinformation från AMT-baserade datorer och reprovision datorer.

Du kan också att kunna använda det här kontot om en AMT-baserad dator tilldelades om från en annan plats och Etableringsinformation togs inte bort.

Mer information om att ta bort AMT-etableringsinformation finns i Ta bort AMT-Information.

Använd en enskild certifikatmall för certifikat för klientautentisering när praktiska.

Men du kan ange olika mallar för var och en av de trådlösa profilerna, Använd en enda certifikatmall såvida du inte har en affärsmässiga skäl för olika inställningar som ska användas för olika trådlösa nätverk, ange endast client authentication kapacitet och tilldela certifikatmallen för användning med Configuration Manager out-of-band-hantering.Om en trådlösa nätverk krävs ett högre nyckelstorleken eller kortare giltighetstid än en annan, måste du skulle skapa en separat certifikatmall.En enda certifikatmall kan du styra sin användning enklare och skydd mot utökade rättigheter.

Se till att endast auktoriserade administratörer utför AMT granskning åtgärder och hantera granskningsloggar AMT som krävs.

Beroende på AMT-version Configuration Manager sluta att skriva nya poster till granskningslogg AMT när den är nästan full eller kan skriva över gamla poster.För att säkerställa att nya poster loggas och gamla transaktioner inte skrivs över regelbundet rensa granskningslogg om det behövs och spara granskningsposter.Mer information om hur du hanterar granskningslogg och övervaka granskning av aktiviteter, se Så här hanterar du händelseloggen för AMT-baserade datorer i Configuration Manager.

Använd principen om minsta behörighet och rollbaserad administration om du vill ge administrativa användare behörighet att hantera AMT-baserade datorer out-of-band.

Använd den Remote Tools Operator roll och ge administrativa användare behörigheten kontroll AMT, som kan användas för att visa och hantera datorer med hjälp av out-of-band-hanteringskonsol och initiera power kontroll åtgärder från den Configuration Manager konsolen.

Mer information om de behörigheter som du kan behöva hantera AMT-baserade datorer finns i "Configuration Manager beroenden" i Förutsättningar för out-of-Band-hantering i Configuration Manager.

Säkerhetsfrågor för out-of-Band-hantering

Hantera AMT-baserade datorer out-of-band har följande säkerhetsfrågor:

  • En angripare kan falska allokering begäran, vilket resulterar i ett Active Directory-konto har skapats.Övervaka Organisationsenhet där AMT-konton skapas så att endast förväntade konton har skapats.

  • Du kan inte konfigurera web proxy access för out-of-band-servicepunkten att kontrollera listan certifikat (CRL) som har publicerats på Internet.Om du aktiverar CRL-kontroll för certifikatet för AMT-etablering och går inte att komma åt listan över återkallade certifikat, fungerar out-of-band-servicepunkten inte tillhandahållandet AMT-baserade datorer.

  • Alternativet för att inaktivera automatiska AMT-etablering lagras på den Configuration Manager -klienten och inte i beloppDet innebär att det fortfarande kan etableras AMT-baserad dator.Exempel: den Configuration Manager -klienten kan avinstalleras eller datorn kan konfigureras av en annan produkt.

  • Även om du väljer alternativet för att inaktivera automatisk etablering för en AMT-baserad dator accepterar out-of-band-servicepunkten en allokering begäran från datorn.

Sekretessinformation för out-of-Band-hantering

Out-of-band-hanteringskonsol hanterar datorer med Intel vPro chip som angetts och Intel Active Management teknik (Intel AMT) med en version av inbyggd programvara som stöds av Configuration Manager.Configuration Manager tillfälligt samlar in information om Datorkonfiguration och inställningar, till exempel datornamn, IP-adress och MAC-adress.Informationen överförs mellan den hanterade datorn och out-of-band-hanteringskonsol med hjälp av en krypterad kanal.Den här funktionen är inte aktiverad som standard och normalt ingen information bevaras efter management sessionen avslutas.Om du aktiverar AMT granskning kan spara du granskning information till en fil som innehåller IP-adressen för AMT-baserad dator som hanteras och kontot domän och användaren som utförde management åtgärden på inspelade datum och tid.Den här informationen skickas inte till Microsoft.

Du kan välja att aktivera Configuration Manager att identifiera datorer med styrenheter som kan hanteras av out-of-band-konsolen.Identifiering av skapar poster för att hantera datorer och lagrar dem i databasen.Identifieringsdataposter innehåller datorinformation, till exempel IP-adress, operativsystem och datornamn.Identifiering av styrenheter är inte aktiverat som standard.Identifieringsinformation skickas inte till Microsoft.Identifiering av information lagras i platsdatabasen.Information som finns kvar i databasen till webbplatsen underhållsuppgift Ta bort äldre identifieringsdata tas bort i intervall om efter 90 dagar.Du kan konfigurera borttagningsintervallet.

Innan du konfigurerar out-of-band-hantering tänka din sekretesskrav som finns.