Compartir a través de


Seguridad y privacidad para administración fuera de banda en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Este tema contiene información de seguridad y privacidad para administración fuera de banda en System Center 2012 Configuration Manager.

Prácticas recomendadas de seguridad para administración fuera de banda

Utilice las siguientes prácticas recomendadas de seguridad para administrar equipos basados en Intel AMT fuera de banda.

Práctica recomendada de seguridad

Más información

Solicitar firmware personalizado antes de adquirir equipos basados en Intel AMT.

Los equipos que pueden administrarse fuera de banda tienen extensiones de BIOS que pueden establecer valores personalizados para aumentar significativamente la seguridad cuando estos equipos se encuentran en la red.Compruebe qué configuraciones de extensión de BIOS están disponibles al fabricante del equipo y especificar sus valores.Para obtener más información, vea Determine si desea utilizar una imagen personalizada de Firmware al fabricante del equipo.

Si los equipos basados en AMT no tiene los valores de firmware que desea utilizar, puede especificarlos manualmente.Para obtener más información acerca de cómo configurar manualmente las extensiones de BIOS, consulte la documentación de Intel o el fabricante del equipo.Para obtener más información, consulte Intel vPro Expert Center: VPro facilidad de uso de Microsoft.Personalizar las siguientes opciones para mejorar la seguridad:

  • Reemplazar todos huellas digitales de certificados de entidades de certificación externa (CA) con la huella digital del certificado de su propia CA interna.Esto impide que se intente aprovisionar los equipos basados en AMT rogue aprovisionar servidores y no es necesario adquirir certificados de aprovisionamiento de entidades emisoras de certificados externos.

  • Utilice una contraseña personalizada para la cuenta MEBx para que el valor predeterminado de admin no se utiliza.A continuación, especifique esta contraseña con una cuenta de detección y aprovisionamiento de AMT Configuration Manager.Esto evita rogue aprovisionar servidores aprovisionar los equipos basados en AMT con la contraseña predeterminada conocidos.

Controlar la solicitud y la instalación del certificado de aprovisionamiento.

Solicitar el certificado de aprovisionamiento directamente desde el servidor de aprovisionamiento mediante el contexto de seguridad del equipo para que el certificado se instala directamente en el almacén del equipo local.Si se debe solicitar el certificado desde otro equipo, debe exportar la clave privada y, a continuación, utilice controles adicionales de seguridad al transferir e importar el certificado en un almacén de certificados.

Asegúrese de que solicitar un nuevo certificado de aprovisionamiento antes de que expire el certificado existente.

Un certificado expirado de aprovisionamiento de AMT provocará un error de aprovisionamiento.Si usa una CA externa para el certificado de aprovisionamiento, dedicar más tiempo completar el proceso de renovación y volver a configurar el punto fuera de banda administración.

Usar una plantilla de certificado dedicado para el aprovisionamiento de equipos basados en AMT.

Si utiliza una versión de empresa de Windows Server para la CA de empresa, cree una plantilla de certificado nueva duplicando la plantilla de certificado de servidor Web predeterminado, asegúrese de que el grupo de seguridad que se especifica en las propiedades de componente de administración de banda fuera de tiene permisos de lectura e inscripción, y no se agregan capacidades adicionales para el valor predeterminado de autenticación del servidor.

Una plantilla de certificado dedicado permite administrar mejor y controlar el acceso para ayudar a evitar la elevación de privilegios.Si tiene una versión estándar de Windows Server para la CA de empresa, no se puede crear una plantilla de certificado duplicado.En este escenario, debe agregar lectura y permisos al grupo de seguridad que se especifica en las propiedades de componente de administración de banda fuera de inscripción y quitar cualquier permiso que no necesite.

Usar comandos en lugar de paquetes de reactivación de encendido AMT.

Aunque ambas soluciones compatibles los equipos para la instalación de software, los comandos de encendido AMT son más seguras que transmitir paquetes de reactivación, ya que proporcionan autenticación y cifrado mediante el uso de protocolos de seguridad estándar del sector.Mediante el uso de encendido AMT en comandos con administración fuera de banda, esta solución también se puede integrar con una implementación de la infraestructura de clave pública (PKI) existente y los controles de seguridad se pueden administrar independientemente del producto.Para obtener más información, vea "Planear cómo para reactivación de clientes" en Planeación de las comunicaciones de cliente en Configuration Manager.

Si el equipo no se admite para administración fuera de banda, deshabilite AMT en el firmware.

Incluso cuando basados en AMT equipos tienen una versión compatible de AMT, hay algunos escenarios que no admite de administración fuera de banda.Estos escenarios incluyen equipos de grupo de trabajo, los equipos que tienen un espacio de nombres diferente y los equipos que tienen un espacio de nombres discontinuo.

Para asegurarse de que estos equipos basados en AMT no se publican en servicios de dominio de Active Directory y no tiene un certificado PKI solicitó para ellos, deshabilite AMT en el firmware.Aprovisionamiento de AMT en Configuration Manager crea las credenciales de dominio para las cuentas que se publican en Active Directory Domain Services, que puede sufrir la elevación de privilegios cuando los equipos no forman parte de su bosque de Active Directory.

Utilice una unidad organizativa dedicada para publicar las cuentas de equipo basados en AMT.

No utilice un contenedor existente o una unidad organizativa (OU) para publicar las cuentas de Active Directory que se crean durante el aprovisionamiento de AMT.Una independiente OU le permite administrar y controlar mejor estas cuentas y ayuda a garantizar que los servidores de sitio y estas cuentas no se conceden más permisos que necesitan.

Conceder permiso de escritura para la unidad organizativa, el grupo de equipos del dominio y el grupo Invitados del dominio en cada dominio que contenga equipos basados en AMT de las cuentas de equipo del servidor de sitio.

Además de permitir que el servidor de sitio de las cuentas de equipo crear todos los objetos secundarios y Eliminar todos los objetos secundarios permisos para la unidad organizativa y se aplican a solo este objeto, permitir los siguientes permisos para el servidor de sitio de las cuentas de equipo:

  • Para la unidad organizativa: Escribir todas las propiedades permiso y se aplican a este objeto y todos los objetos descendientes.

  • Para el grupo de equipos del dominio: Escribir todas las propiedades permiso y se aplican a solo este objeto.

  • Para el grupo Invitados del dominio: Escribir todas las propiedades permisos y se aplican a solo este objeto.

Utilizar una colección dedicada para el aprovisionamiento de AMT.

No utilice una colección existente que contiene más equipos de los que desee aprovisionar para AMT.En su lugar, crear una colección basada en consultas mediante el estado de AMT de no aprovisionado.

Para obtener más información sobre el estado de AMT y cómo crear una consulta para no aprovisionado, consulte Acerca del estado AMT y la administración fuera de banda en Configuration Manager.

Recuperar y almacenar de forma segura los archivos de imagen al arrancar desde un medio alternativo para utilizar la función de redirección de IDE.

Cuando se arranca desde un medio alternativo para utilizar la función de redirección de IDE, siempre que sea posible, almacene los archivos de imagen localmente en el equipo que ejecuta la consola fuera de banda administración.Si debe almacenarlos en la red, asegúrese de que las conexiones para recuperar los archivos a través de la red utilizan la firma SMB para ayudar a evitar que los archivos que se manipulen durante la transferencia de red.En ambos escenarios, proteger los archivos almacenados para ayudar a evitar el acceso no autorizado, por ejemplo, mediante permisos NTFS y el sistema de archivos cifrados.

Recuperar y almacenar de forma segura los archivos de registro de auditoría AMT.

Si ha guardado AMT la auditoría de archivos de registro, siempre que sea posible, almacene los archivos localmente en el equipo que ejecuta la consola fuera de banda administración.Si debe almacenarlos en la red, asegúrese de que las conexiones para recuperar los archivos a través de la red utilizan la firma SMB para ayudar a evitar que los archivos que se manipulen durante la transferencia de red.En ambos escenarios, proteger los archivos almacenados para ayudar a evitar el acceso no autorizado, por ejemplo, mediante permisos NTFS y el sistema de archivos cifrados.

Minimizar el número de cuentas de detección y aprovisionamiento de AMT.

Aunque puede especificar múltiples cuentas de detección y de aprovisionamiento de AMT para que Configuration Manager puede detectar equipos que tienen controladores de administración de AMT y aprovisionar para administración fuera de banda, no especifique las cuentas que no son necesarias actualmente y eliminar cuentas que ya no son necesarias.Especifique únicamente las cuentas que necesita para ayudar a garantizar que estas cuentas no se conceden más permisos que necesitan y para reducir el procesamiento y el tráfico de red innecesario.Para obtener más información acerca de la cuenta de detección y aprovisionamiento de AMT, consulte Paso 5: Configuración de componente de administración de banda.

Continuidad del servicio, especifique una cuenta de usuario como la cuenta de eliminación de aprovisionamiento de AMT y asegúrese de que esta cuenta de usuario también se especifica como una cuenta de usuario de AMT.

La cuenta de eliminación de aprovisionamiento de AMT ayuda a garantizar la continuidad del servicio si debe restaurar el Configuration Manager sitio.Después de restaurar el sitio, solicitar y configurar un nuevo certificado de aprovisionamiento de AMT, utilice la cuenta de eliminación y aprovisionamiento de AMT para quitar información de aprovisionamiento de equipos basados en AMT y, a continuación, vuelva a aprovisionar los equipos.

También puede utilizar esta cuenta si se vuelve a asignar un equipo basado en AMT desde otro sitio y no se ha quitado la información de aprovisionamiento.

Para obtener más información sobre cómo eliminar información de aprovisionamiento de AMT, consulte Cómo quitar información de AMT.

Usar una única plantilla de certificado para los certificados de autenticación de cliente siempre que sea práctico.

Aunque puede especificar distintas plantillas de certificado para cada uno de los perfiles inalámbricos, especifique la capacidad de autenticación de cliente sólo utilice una única plantilla de certificado a menos que tenga un requisito empresarial para distintas configuraciones que se usará para distintas redes inalámbricas, y dedicar esta plantilla de certificado para su uso con Configuration Manager administración fuera de banda.Por ejemplo, si una red inalámbrica requiere un mayor tamaño de la clave o el periodo de validez más corto que el otro, tendría que crear una plantilla de certificado independiente.Una única plantilla de certificado le permite controlar más fácilmente su uso y protege contra la elevación de privilegios.

Asegúrese de que sólo los usuarios administrativos autorizados realizan acciones de auditoría de AMT y administrar los registros de auditoría AMT según sea necesario.

Según la versión AMT, Configuration Manager podría dejar de escribir nuevas entradas en el registro de auditoría AMT cuando está casi lleno o podría sobrescribir las entradas más antiguas.Periódicamente para asegurarse de que se registran las entradas nuevas y no se sobrescriben las entradas más antiguas, borrar el registro de auditoría si es necesario y guardar las entradas de auditoría.Para obtener más información acerca de cómo administrar el registro de auditoría y el monitor de auditoría de actividades, vea Cómo administrar el registro de auditoría para equipos basados en AMT en Configuration Manager.

Utilice el principio de privilegios y la administración basada en roles para conceder permisos de los usuarios administrativos para administrar equipos basados en AMT fuera de banda.

Utilice la operador de herramientas remotas rol de seguridad para conceder a los usuarios administrativos el permiso Control AMT, que les permite ver y administrar equipos mediante la consola fuera de banda administración, e iniciar las acciones de control de energía desde el Configuration Manager consola.

Para obtener más información acerca de los permisos de seguridad que pueda necesitar para administrar equipos basados en AMT, consulte "Dependencias de Configuration Manager" en Requisitos previos para la administración fuera de banda en Configuration Manager.

Problemas de seguridad de administración fuera de banda

Administración de equipos basados en AMT fuera de banda tiene los siguientes problemas de seguridad:

  • Un atacante puede imitar una solicitud de aprovisionamiento, lo que resulta en la creación de una cuenta de Active Directory.Supervisar la unidad organizativa donde se crean las cuentas de AMT para asegurarse de que se crean solo cuentas esperadas.

  • No puede configurar el acceso web de proxy para el punto fuera de banda servicio para comprobar la lista de revocación de certificados (CRL) que se publica en Internet.Si habilita la comprobación de CRL para el certificado de aprovisionamiento de AMT y no se puede tener acceso a la CRL, el punto fuera de banda servicio no no aprovisionar equipos basados en AMT.

  • La opción para deshabilitar el aprovisionamiento automático de AMT se almacena en el Configuration Manager cliente y no en AMT.Esto significa que se pueden aprovisionar el equipo basado en AMT.Por ejemplo, el Configuration Manager puede desinstalar el cliente o el equipo podría se aprovisione por otro producto de administración.

  • Aunque haya seleccionado la opción de deshabilitar aprovisionamiento automático para un equipo basado en AMT, el punto fuera de banda servicio acepta una solicitud de aprovisionamiento de ese equipo.

Información de privacidad de administración fuera de banda

La consola fuera de banda administración administra equipos que tienen los chips de Intel vPro establecido y tecnología de administración activa Intel (Intel AMT) con una versión de firmware es compatible con Configuration Manager.Configuration Manager temporalmente recopila información sobre la configuración del equipo y la configuración, como el nombre del equipo, la dirección IP y la dirección MAC.Información se transfiere entre el equipo administrado y la consola fuera de banda administración mediante el uso de un canal cifrado.De forma predeterminada, esta característica no está habilitada, y normalmente no se retiene información una vez finalizada la sesión de administración.Si habilita la auditoría de AMT, puede guardar información de auditoría en un archivo que incluye la dirección IP del equipo basado en AMT administrada y la cuenta de dominio y el usuario que realizó la acción de administración en la fecha de registro y la hora.Esta información no se envía a Microsoft.

Tiene la opción de habilitar Configuration Manager para detectar equipos con controladores de administración que pueden administrarse mediante la consola fuera de banda administración.Detección crea registros de los equipos administrables y los almacena en la base de datos.Registros de detección de datos contienen información del equipo, como la dirección IP, el sistema operativo y el nombre del equipo.De forma predeterminada, no está habilitada la detección de controladores de administración.La información de detección no se envía a Microsoft.Información de detección se almacena en la base de datos del sitio.La información se guarda en la base de datos hasta que la tarea de mantenimiento de sitio Eliminar datos de detección antiguos elimina en intervalos de cada 90 días.Puede configurar el intervalo de eliminación.

Antes de configurar la administración fuera de banda, tenga en cuenta los requisitos de privacidad.