Sdílet prostřednictvím

Zabezpečení a ochrana soukromí pro nasazení operačních systémů v nástroji Configuration Manager

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Poznámka

Toto téma se zobrazuje v příručka Nasazení softwaru a operačních systémů v nástroji System Center 2012 Configuration Manager a v příručce Zabezpečení a ochrana soukromí pro aplikaci System Center 2012 Configuration Manager.

Toto téma obsahuje informace související se zabezpečením a ochranou osobních údajů při nasazení operačního systému v nástroji System Center 2012 Configuration Manager.

Osvědčené postupy zabezpečení při nasazení operačního systému

Při nasazení operačních systémů pomocí nástroje Configuration Manager použijte následující osvědčené postupy zabezpečení:

Doporučené zabezpečení

Další informace

Implementujte řízení přístupu, čímž ochráníte spouštěcí média.

Pokud vytvoříte spouštěcí média, vždy přiřaďte heslo, které vám pomůže média zabezpečit. I když použijete heslo, jsou šifrovány pouze soubory obsahující citlivé informace a všechny soubory je možné přepsat.

Řiďte fyzický přístup k médiím, čímž zabráníte útočníkovi v použití kryptografického útoku za účelem získání certifikátu ověřování klienta.

Poznámka

Aby nástroj Configuration Manager SP1 zabránil klientovi v instalaci obsahu nebo zásad klienta, se kterými bylo manipulováno, je u obsahu použita hodnota hash a obsah musí být použit s původní zásadou. Pokud není hodnota hash obsahu platná nebo se nezdaří kontrola shodnosti obsahu a zásady, klient spouštěcí média nepoužije. Hodnota hash je použita pouze u obsahu. U zásady se nepoužije, avšak při zadání hesla je zásada šifrována a zabezpečena, takže pro útočníka je obtížnější zásadu úspěšně změnit.

Při vytvoření médií pro bitové kopie operačních systémů použijte zabezpečené umístění.

Pokud mají k umístění přístup neoprávnění uživatelé, mohou manipulovat se soubory, které jste vytvořili, a také mohou použít všechno dostupné místo na disku, takže vytvoření médií se nezdaří.

Chraňte soubory certifikátu (.pfx) silným heslem, a pokud je uchováváte v síti, při importu souborů do nástroje Configuration Manager zabezpečte síťový kanál.

Když při importu certifikátu ověřování klienta používaného pro spouštěcí média vyžadujete heslo, pomůžete tím certifikát ochránit před případným útočníkem.

Pro komunikaci mezi umístěním v síti a serverem lokality použijte podepisování SMB nebo protokol IPsec. Zabráníte tak případnému útočníkovi v manipulaci se souborem certifikátu.

Pokud dojde k ohrožení bezpečnosti certifikátu klienta, zablokujte certifikát z nástroje Configuration Manager, a pokud se jedná o certifikát PKI, odvolejte jej.

Chcete-li nasadit operační systém pomocí spouštěcích médií a spouštění PXE, je nutné mít certifikát ověřování klienta se soukromým klíčem. Pokud dojde k ohrožení bezpečnosti tohoto certifikátu, zablokujte certifikát v uzlu Certifikáty v pracovním prostoru Správa, uzel Zabezpečení.

Další informace o rozdílu mezi zablokováním certifikátu a jeho odvoláním naleznete v části Porovnání blokování klientů a odvolání certifikátů klientů.

Pokud je v počítači nebo v počítačích, které nejsou serverem lokality, poskytovatel služby SMS, zabezpečte komunikační kanál, čímž ochráníte spouštěcí bitové kopie.

Pokud jsou spouštěcí bitové kopie změněny a na serveru, který není serverem lokality, je spuštěn poskytovatel služby SMS, jsou spouštěcí bitové kopie ohroženy útokem. Pomocí podepisování SMS nebo protokolu IPsec ochraňte síťový kanál mezi těmito počítači.

Povolte komunikaci klientů pomocí PXE v distribučních bodech pouze v zabezpečených segmentech sítě.

Pokud klient odešle požadavek na spouštění pomocí PXE, nemůžete nijak zajistit, aby byla žádost obsloužena distribuční bodem s povoleným PXE. Tento scénář nese následující rizika zabezpečení:

  • Podvodný distribuční bod, který odpoví na požadavek PXE, by mohl klientům poskytnout zmanipulovanou bitovou kopii.

  • Útočník by mohl zahájit útok prostředníkem proti protokolu TFTP, který je používán technologií PXE, a společně se soubory operačního systému odeslat škodlivý kód nebo by mohl vytvořit podvodného klienta, který vytvoří požadavky služby TFTP přímo na distribuční bod.

  • Útočník by mohl použít škodlivého klienta ke spuštění útoku proti distribučnímu bodu s cílem odepření služeb.

Pomocí důsledné ochrany ochráníte segmenty sítě v místech, kde klienti získávají přístup k distribučním bodům za účelem požadavků PXE.

System_CAPS_warningUpozornění

Z důvodu těchto rizik zabezpečení nepovolujte komunikaci pomocí PXE v distribučním bodě v případě nedůvěryhodné sítě, například hraniční sítě.

Nakonfigurujte distribuční body s povoleným PXE, aby odpovídaly na požadavky PXE pouze v určených síťových rozhraních.

Pokud ve všech síťových rozhraních povolíte distribučnímu bodu, aby odpovídal na požadavky PXE, může tato konfigurace odhalit službu PXE nedůvěryhodným sítím.

Požadujte heslo při spouštění PXE.

Pokud požadujete heslo při spouštění PXE, přidá tato konfigurace další úroveň zabezpečení do procesu spouštění PXE, což zajistí ochranu proti podvodným klientům, kteří se připojují k hierarchii nástroje Configuration Manager.

Do bitové kopie, která bude použita při spouštění PXE nebo při vícesměrovém vysílání, nezahrnujte obchodní aplikace nebo software obsahující citlivá data.

Z důvodu základních rizik zabezpečení při spouštění PXE a při vícesměrovém vysílání omezte rizika v případě stažení bitové kopie operačního systému podvodným počítačem.

Do balíčků softwaru, které se instalují pomocí proměnných pořadí úloh, nezahrnujte obchodní aplikace nebo software obsahující citlivá data.

Pokud nasadíte balíčky softwaru pomocí proměnných pořadí úloh, je možné, že se software nainstaluje do počítačů a uživatelům, kteří nemají oprávnění pro přijetí softwaru.

Pokud migrujete stav uživatele, zabezpečte pomocí podepisování SMB nebo protokolu IPsec síťový kanál mezi klientem a bodem migrace stavu.

Po úvodním připojení prostřednictvím protokolu HTTP se migrovaná data o stavu uživatele přenesou pomocí protokolu SMB. Pokud nezabezpečíte síťový kanál, může útočník tato data přečíst a změnit.

Použijte nejnovější verzi nástroje pro migraci stavu uživatele (USMT), která je podporována nástrojem Configuration Manager.

Nejnovější verze nástroje USMT zajistí vylepšení zabezpečení a větší kontrolu v případě migrování dat o stavu uživatele.

Odstraňte ručně složky v bodě migrace stavu, pokud jsou vyřazeny z provozu.

Pokud ve vlastnostech bodu migrace stavu v konzole nástroje Configuration Manager odeberete složku bodu migrace stavu, neodstraní se fyzická složka. Chcete-li ochránit migrovaná data o stavu uživatele před zpřístupněním, je nutné ručně odebrat sdílenou síťovou složku a odstranit ji.

Nekonfigurujte zásadu mazání, aby okamžitě odstranila stav uživatele.

Pokud byste nakonfigurovali zásadu mazání v bodě migrace stavu, aby odstranila data, která jsou označena pro okamžité odstranění, a pokud by útočník dokázal načíst data o uživateli dříve než platný počítač, data o stavu uživatele by byla okamžitě odstraněna. Nastavte dostatečnou délku intervalu Odstranit po, čímž ověříte úspěšné obnovení dat o stavu uživatele.

Po dokončení a ověření obnovení migrovaných dat o stavu uživatele odstraňte ručně přidružení počítačů.

Nástroj Configuration Manager neodebere přidružení počítačů automaticky. Ochraňte identitu dat o stavu uživatele ručním odstraněním přidružení počítačů, která již nejsou vyžadována.

Zálohujte ručně migrovaná data o stavu uživatele v bodě migrace stavu.

Zálohování nástroje Configuration Manager nezahrnuje migrovaná data o stavu uživatele.

Po nainstalování operačního systému nezapomeňte povolit nástroj BitLocker.

Pokud počítač podporuje nástroj BitLocker, je nutné jej vypnout pomocí kroku pořadí úloh, pokud chcete nainstalovat operační systém v bezobslužném režimu. Po nainstalování operačního systému nástroj Configuration Manager nepovolí nástroj BitLocker, takže je nutné jej opětovně ručně povolit.

Implementujte řízení přístupu, čímž ochráníte předzpracovaná média.

Řiďte fyzický přístup k médiím, čímž zabráníte útočníkovi v použití kryptografického útoku za účelem získání certifikátu ověřování klienta a citlivých dat.

Implementujte řízení přístupu, čímž ochráníte proces vytváření bitové kopie v referenčním počítači.

Zajistěte, aby byl referenční počítač, který používáte k zaznamenání bitových kopií operačního systému, v zabezpečeném prostředí s vhodným řízením přístupu, aby do zaznamenané bitové kopie nemohl být nainstalován a nedopatřením zahrnut neočekávaný nebo škodlivý software. Pokud zaznamenáte bitovou kopii, zajistěte zabezpečení umístění sdílené složky souborů cílové sítě, aby nemohlo být manipulováno s bitovou kopií po jejím zaznamenání.

Do referenčního počítače vždy nainstalujte nejnovější aktualizace zabezpečení.

Pokud jsou v referenčním počítači nové aktualizace zabezpečení, je omezeno okno zranitelnosti nových počítačů při jejich prvním spuštění.

Pokud je nutné nasadit operační systém do neznámého počítače, implementujte řízení přístupu, čímž zabráníte neoprávněným počítačům v připojení k síti.

Přestože zajišťování neznámých počítačů představuje pohodlný způsob nasazení nových počítačů na vyžádání, může také umožnit útočníkovi, aby se efektivně stal důvěryhodným klientem v síti. Omezte fyzický přístup k síti a monitorujte klienty, čímž zjistíte neoprávněné počítače. Během nasazení operačního systému může také dojít ke zničení všech dat v počítačích odpovídajících na nasazení operačního systému inicializovaného technologií PXE, což může mít za následek ztrátu dostupnosti systémů, které jsou nedopatřením přeformátovány.

Povolte šifrování balíčků pro vícesměrové vysílání.

Při přenosu balíčku pomocí vícesměrového vysílání nástrojem Configuration Manager máte možnost povolit šifrování, a to v případě každého balíčku pro nasazení operačního systému. Tato konfigurace zabraňuje podvodným počítačům v připojení k relaci vícesměrového vysílání a útočníkům zabraňuje v manipulaci s přenosem.

Monitorujte neoprávněné distribuční body s povoleným vícesměrovým vysíláním.

Pokud útočníci získají přístup k síti, mohou nakonfigurovat podvodné servery vícesměrového vysílání za účelem falšování nasazení operačního systému.

Pokud exportujete pořadí úloh do umístění v síti, zabezpečte umístění a síťový kanál.

Omezte přístup k síťové složce neoprávněným uživatelům.

Pro komunikaci mezi umístěním v síti a serverem lokality použijte podepisování SMB nebo protokol IPsec. Zabráníte tak případnému útočníkovi v manipulaci s pořadím exportovaných úloh.

Pro System Center 2012 R2 Configuration Manager a novější:

Při odesílání virtuálního pevného disku do nástroje Virtual Machine Manager zabezpečte komunikační kanál.

Chcete-li zabránit manipulaci s daty při jejich přenosu sítí, použijte mezi počítačem používajícím konzolu nástroje Configuration Manager a počítačem používajícím nástroj Virtual Machine Manager protokol IPsec (Internet Protocol security) nebo protokol SMB (Server Message Block).

Pokud je nutné použít účet Spuštění pořadí úloh jako, proveďte další bezpečnostní opatření.

Pokud použijete účet Spuštění pořadí úloh jako, proveďte následující preventivní kroky:

  • Použijte účet s nejmenšími možnými oprávněními.

  • Pro tento účet nepoužívejte účet přístupu k síti.

  • Nikdy neudělujte účtu správcovství domény.

Kromě toho:

  • Nikdy nekonfigurujte profily roamingu pro tento účet. Pokud je spuštěno pořadí úloh, je stažen profil roamingu pro účet, takže profil může být zranitelný vůči přístupu v místním počítači.

  • Omezte rozsah účtu. Například vytvořte různé účty Spuštění pořadí úloh jako pro každé pořadí úloh, aby byly v případě ohrožení bezpečnosti jednoho účtu ohroženy pouze klientské počítače, ke kterým má tento účet přístup. Pokud příkazový řádek požaduje v počítači oprávnění správce, zvažte vytvoření místního účtu správce výhradně pro účet Spuštění pořadí úloh jako ve všech počítačích, který spustí pořadí úloh a odstraní účet, jakmile již nebude požadován.

Omezte a monitorujte správce, kterým je udělena role zabezpečení Manažer nasazení operačního systému.

Správci, kterým je udělena role zabezpečení Manažer nasazení operačního systému, mohou vytvořit certifikáty podepsané svým držitelem, které lze poté použít k zosobnění klienta a získání zásady klienta z nástroje Configuration Manager.

Problémy se zabezpečením při nasazení operačního systému

Přestože nasazení operačního systému může představovat pohodlný způsob nasazení nejzabezpečenějších operačních systémů a konfigurací pro počítače v síti, nese následující rizika zabezpečení:

  • Zpřístupnění informací a odepření služby

    Pokud získá útočník kontrolu nad infrastrukturou nástroje Configuration Manager, může spustit jakékoli pořadí úloh, což může zahrnovat formátování pevných disků všech klientských počítačů. Pořadí úloh lze nakonfigurovat, aby obsahovala citlivé informace, například účty s oprávněním pro připojení k doméně a multilicenční klíče.

  • Zosobnění a zvýšení oprávnění

    Pořadí úloh mohou připojit počítač k doméně, což může zajistit podvodnému počítači ověřený přístup k síti. Další důležitou možností zabezpečení při nasazení operačního systému je ochrana certifikátu ověřování klienta, který se používá pro nasazení spouštěcích médií pořadí úloh a spouštění PXE. Pokud zaznamenáte certifikát ověřování klienta, poskytne to útočníkovi příležitost k získání soukromého klíče v certifikátu a poté k zosobnění platného klienta v síti.

    Pokud útočník obdrží klientský certifikát, který je použit pro spouštěcí médium pořadí úkolů a pro nasazení spuštění prostředí PXE, může být tento certifikát použit pro zosobnění platného klienta aplikace Configuration Manager. V takovém případě může podvodný počítač stáhnout zásadu, která obsahuje citlivá data.

    Pokud klient používá účet pro přístup k síti, jehož prostřednictvím přistupuje k datům uloženým v bodu migrace stavu, tak tito klienti efektivně sdílejí stejnou identitu a mohou přistupovat k datům migrace stavu z jiného klienta, který používá účet pro přístup k síti. Data jsou šifrovaná, takže je může číst pouze původní klient, avšak lze je úmyslně poškodit nebo je odstranit.

  • Bod migrace stavu nepoužívá ověřování v aplikaci Configuration Manager bez aktualizace Service Pack

    V aplikaci Configuration Manager bez aktualizace Service Pack bod migrace stavu neověřuje připojení, takže kdokoliv může do bodu migrace stavu odesílat data a kdokoliv může data zde uložená také načíst. I když číst data stavu uživatele může pouze původní počítač, nepovažujte tato data za zabezpečená.

    V aplikaci Configuration Manager s aktualizací SP1 je ověření klienta v bodu migrace stavu dosaženo pomocí tokenu aplikace Configuration Manager, který je vydán bodem správy.

    Kromě toho aplikace Configuration Manager neomezuje ani nespravuje objem dat, která jsou uložena v bodu migrace stavu a útočník proto může zaplnit dostupný diskový prostor a vyvolat odepření služby.

  • Používáte-li proměnné kolekce, mohou místní správci číst potenciálně citlivé informace.

    I když proměnné kolekce nabízejí flexibilní metodu pro nasazení operačních systémů, může to mít za následek zpřístupnění informací.

Informace o ochraně osobních údajů pro nasazení operačního systému

Kromě nasazení operačních systémů do počítačů bez operačního systému může být aplikace Configuration Manager použita pro migraci souborů a nastavení z jednoho počítače do druhého. Správce nakonfiguruje, které informace se mají přenášet, včetně souborů osobních dat, nastavení konfigurace a souborů cookie prohlížeče.

Informace jsou uloženy v bodu migrace stavu a jsou během přenosu a uložení zašifrované. Informace mohou být načteny novým počítačem, který je přidružen k informacím stavu. Pokud nový počítač ztratí klíč pro načtení informací, správce nástroje Správce konfigurace s oprávněním pro zobrazení informací o obnovení v objektech instance přidružení počítače může přistupovat k informací a přidružit je k novému počítači. Jakmile nový počítač obnoví informace o stavu, po jednom dni ve výchozím nastavení data odstraní. Můžete nakonfigurovat, kdy bod migrace stavu odebere data označená k odstranění. Informace o stavu migrace nejsou uloženy v databázi lokality a nejsou odesílány společnosti Microsoft.

Použijete-li spouštěcí média k nasazení bitových kopií operačního systému, používejte vždy výchozí možnost k ochraně spouštěcího média heslem. Heslo zašifruje všechny proměnné uložené v pořadí úkolů, ale všechny informace neuložené v této proměnné mohou být zranitelné v důsledku zpřístupnění.

Nasazení operačního systému může používat pořadí úkolů k provedení mnoha různých úkolů během procesu nasazení, který zahrnuje instalace aplikaci a aktualizace softwaru. Když nakonfigurujete pořadí úkolů, měli byste si být vědomi také dopadů instalace softwaru na ochranu osobních údajů.

Odešlete-li virtuální pevný disk do nástroje Virtual Machine Manager bez předchozího použití nástroje Sysprep k vyčištění bitové kopie, nahraný virtuální pevný disk může obsahovat osobní data z původní bitové kopie.

Aplikace Configuration Manager neimplementuje nasazení operačního systému ve výchozím nastavení a než můžete shromáždit informace o stavu uživatele, vytvořit pořadí úkolů nebo spouštěcí bitové kopie, vyžaduje několik kroků konfigurování.

Před konfigurací nasazení operačního systému zvažte své požadavky na ochranu osobních údajů.

Viz také

Nasazení operačního systému v produktu Configuration Manager