• Cikk

Az operációs rendszerek központi telepítésének biztonsága és adatvédelme a Configuration Managerben

 

Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteMegjegyzés

Ez a témakör itt jelenik meg: a Deploying Software and Operating Systems in System Center 2012 Configuration Manager (Szoftverek és operációs rendszerek telepítése a System Center 2012 Configuration Managerrel) útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban.

Ez a témakör az operációs rendszerek központi telepítésével kapcsolatos biztonsági és adatvédelmi tudnivalókat tartalmaz a System Center 2012 Configuration Manager használata esetén.

Ajánlott biztonsági eljárások az operációs rendszerek központi telepítéséhez

A következő ajánlott biztonsági megoldásokat alkalmazhatja, amikor a Configuration Manager használatával végzi az operációs rendszerek központi telepítését:

Bevált biztonsági gyakorlat

További információ

Alkalmazzon hozzáférés-vezérlést a rendszerindító adathordozók védelméhez.

Amikor rendszerindító adathordozót hoz létre, mindig használjon jelszót az adathordozó védelméhez. A rendszer azonban még jelszó használata esetén is csak a bizalmas adatokat tartalmazó fájlokat titkosítja, és minden fájl felülírható.

Korlátozza az adathordozó fizikai hozzáférését annak megakadályozásához, hogy a támadók kriptográfiai támadásokkal meg tudják szerezni az ügyfél-hitelesítési tanúsítványt.

System_CAPS_noteMegjegyzés

A Configuration Manager SP1 verzióban a tartalomból kivonat készül, és az eredeti házirenddel együtt kell használni, ezzel akadályozható meg, hogy az ügyfelek illetéktelenül módosított tartalmat vagy ügyfélházirendet telepítsenek. Ha a tartalomkivonat érvénytelen, vagy a tartalom nem felel meg a házirendnek, az ügyfél nem fogja tudni használni a rendszerindító adathordozót. Csak a tartalomhoz készül kivonat, a házirendhez nem, viszont jelszó használata esetén a rendszer titkosítja és védelemmel látja el a házirendet, ami megnehezíti a támadók számára a házirend módosítását.

Használjon biztonságos helyet az operációs rendszer lemezképeinek létrehozásakor.

Ha jogosulatlan felhasználók hozzáférhetnek a helyhez, illetéktelenül módosíthatják a létrehozott fájlokat, és lefoglalhatják az összes szabad lemezterületet, megakadályozva ezzel az adathordozó létrehozását.

A tanúsítványfájlokat (.pfx) védje erős jelszóval, és ha a hálózatban tárolja ezeket a fájlokat, lássa el védelemmel a hálózatot, amikor importálja a fájlokat a Configuration Manager alkalmazásba.

Ha jelszó kell a rendszerindító adathordozóhoz használt ügyfél-hitelesítési tanúsítvány importálásához, ez segít megvédeni a tanúsítványt a támadóktól.

A hálózati hely és a helykiszolgáló között használja az SMB-aláírást vagy az IPsec protokollt, hogy megakadályozza a tanúsítványfájl támadók általi illetéktelen módosítását.

Ha az ügyféltanúsítvány biztonsága sérül, blokkolja a tanúsítványt a Configuration Manager alkalmazásban, és vonja vissza, ha PKI-tanúsítványról van szó.

Ha rendszerindító adathordozó és PXE-rendszerindítás használatával telepít központilag operációs rendszert, rendelkeznie kell ügyfél-hitelesítési tanúsítvánnyal és titkos kulccsal. Ha a tanúsítvány biztonsága sérül, blokkolja a tanúsítványt a Felügyelet munkaterület Biztonság csomópontjában lévő Tanúsítványok csomópontban.

További információ a tanúsítványok blokkolása és visszavonása közötti különbségről: Az ügyfelek blokkolásának és az ügyféltanúsítványok visszavonásának összehasonlítása.

Amikor az SMS-szolgáltató a helykiszolgálótól különböző számítógépen vagy számítógépeken működik, a rendszerindító lemezképek védelméhez a kommunikációs csatornát kell védelemmel ellátnia.

Amikor módosítja a rendszerindító lemezképeket, és az SMS-szolgáltató a helykiszolgálótól különböző kiszolgálón fut, a rendszerindító lemezképek ki vannak téve a támadás veszélyének. SMB-aláírás vagy az IPsec protokoll használatával védheti az ilyen számítógépek közötti hálózati csatornát.

A terjesztési pontokon csak a biztonságos hálózati szegmensekben engedélyezze a PXE-ügyfélkommunikációt.

Amikor egy ügyfél PXE-rendszerindítási kérelmet küld, nincs mód annak ellenőrzésére, hogy a kérelmet a PXE-t támogató érvényes terjesztési pont szolgálja-e ki. Ez a helyzet a következő biztonsági kockázatokat vonja maga után:

  • A PXE-kérelmekre válaszoló támadó szándékú terjesztési pont illetéktelenül módosított lemezképet küldhet az ügyfeleknek.

  • A PXE által használt TFTP protokollt betolakodó illetéktelen személyek általi támadások érhetik, és a támadók rosszindulatú kódot küldhetnek az operációs rendszer fájljaiban, vagy létrehozhatnak támadó ügyfelet, amely közvetlenül a terjesztési pontnak küld TFTP-kérelmeket.

  • A támadók rosszindulatú ügyfél használatával szolgáltatásmegtagadási támadást indíthatnak a terjesztési pont ellen.

Használjon mélységi védelmet az olyan hálózati szegmensek védelméhez, ahol az ügyfelek PXE-kérelmek küldéséhez fognak hozzáférni a terjesztési pontokhoz.

System_CAPS_warningFigyelmeztetés

A felsorolt biztonsági kockázatok miatt ne engedélyezze a PXE-kommunikációt olyan terjesztési pont esetében, amely nem megbízható hálózatban, például szegélyhálózatban található.

A PXE használatára beállított terjesztési pontokat konfigurálja úgy, hogy csak a megadott hálózati felületeken válaszoljanak a PXE-kérelmekre.

Ha a terjesztési pontot úgy állítja be, hogy minden hálózati felületen válaszoljon a PXE-kérelmekre, ezzel veszélyeztetheti a PXE szolgáltatást a nem megbízható hálózatokban

Állítson be jelszót a PXE-rendszerindításhoz.

Amikor jelszó használatát írja elő a PXE-rendszerindításhoz, ezzel további védelmet biztosít a PXE-rendszerindítási folyamat számára, és megakadályozhatja, hogy támadó ügyfelek csatlakozzanak a Configuration Manager hierarchiájához.

Ne vegyen fel a PXE-rendszerindításhoz vagy a csoportos küldéshez használandó lemezképekbe bizalmas adatokat tartalmazó üzleti alkalmazásokat és szoftvereket.

A PXE-rendszerindításhoz és a csoportos küldéshez kapcsolódó biztonsági kockázatok miatt csökkentse annak veszélyét, hogy rosszindulatú számítógépek letölthetik az operációs rendszer lemezképét.

Ne vegyen fel a feladatütemezési változók használatával telepített szoftvercsomagokba bizalmas adatokat tartalmazó üzleti alkalmazásokat és szoftvereket.

Amikor feladatütemezési változók használatával hajtja végre a szoftvercsomagok központi telepítését, a telepített szoftverhez a használatára nem jogosult számítógépek és felhasználók is hozzáférhetnek.

A felhasználói állapot áttelepítésekor SMB-aláírás vagy IPsec protokoll használatával lássa el védelemmel az ügyfél és az állapotáttelepítési pont közötti hálózati csatornát.

A kezdeti HTTP-csatlakozás után a felhasználói állapot áttelepítéséhez szükséges adatok átvitele az SMB protokoll használatával történik. Ha nem védi a hálózati csatornát, a támadók olvashatják és módosíthatják ezeket az adatokat.

Használja a Felhasználóiállapot-áttelepítő eszköz (USMT) Configuration Manager által támogatott legújabb verzióját.

A Felhasználóiállapot-áttelepítő eszköz legújabb verziója biztonsági javításokat tartalmaz, és több beállítási lehetőséget kínál a felhasználói állapot adatainak áttelepítésekor.

Kézzel törölje a leszerelt mappákat az állapotáttelepítési ponton.

Amikor eltávolítja az állapotáttelepítési pont valamelyik mappáját a Configuration Manager konzolon az állapotáttelepítési pont tulajdonságainál, a fizikai mappa nem törlődik. A felhasználói állapot adatait úgy védheti az információ felfedése ellen, hogy kézzel szünteti meg a hálózati megosztást és kézzel törli a mappát.

A törlési házirendet ne állítsa be a felhasználói állapot azonnali törlésére.

Ha az állapotáttelepítési ponton úgy állítja be a törlési házirendet, hogy a törlésre jelölt adatok azonnal törlődjenek, és egy támadó hozzá tud férni a felhasználói állapot adataihoz, mielőtt egy hitelesített számítógép tenné meg ezt, a felhasználói állapot adatai azonnal törlődnének. A Törlés időtartamot állítsa olyan hosszúságúra, hogy az biztosítsa a felhasználói állapot adatainak sikeres helyreállítását.

Kézzel törölje a számítógép-hozzárendeléseket, miután megtörtént a felhasználói állapot adatainak helyreállítása és ellenőrzése.

A Configuration Manager nem távolítja el automatikusan a számítógép-hozzárendeléseket. A felhasználóiállapot-adatok azonosságának védelméhez kézzel törölje a feleslegessé vált számítógép-hozzárendeléseket.

Kézzel készítsen biztonsági mentést a felhasználói állapot áttelepítési adatairól az állapotáttelepítési ponton.

A Configuration Manager által végrehajtott biztonsági mentés nem tartalmazza a felhasználói állapot áttelepítési adatait.

Az operációs rendszer telepítése után engedélyezze a BitLockert.

Ha a számítógép támogatja a BitLockert, egy feladatütemezési lépés használatával le kell tiltania, amikor beavatkozás nélkül szeretné telepíteni az operációs rendszert. A Configuration Manager nem kapcsolja be a BitLockert az operációs rendszer telepítése után, ezért kézzel kell újból engedélyeznie a BitLockert.

Alkalmazzon hozzáférés-vezérlést az előkészített adathordozók védelméhez.

Korlátozza az adathordozó fizikai hozzáférését annak megakadályozásához, hogy a támadók kriptográfiai támadásokkal meg tudják szerezni az ügyfél-hitelesítési tanúsítványt és a bizalmas adatokat.

Alkalmazzon hozzáférés-vezérlést a referencia-számítógépek lemezkép-készítési folyamatának védelméhez.

Ügyeljen arra, hogy az operációs rendszer lemezképének elkészítéséhez használt referencia-számítógép biztonságos környezetben legyen, és alkalmazzon megfelelő hozzáférés-vezérlési beállításokat annak megakadályozásához, hogy nem várt vagy rosszindulatú szoftvereket lehessen telepíteni, és így azok bekerüljenek a rögzített lemezképbe. Amikor rögzíti a lemezképet, ügyeljen arra, hogy a célként használt hálózati fájlmegosztás helye biztonságos legyen, hogy a lemezképet ne lehessen illetéktelenül módosítani a rögzítése után.

Mindig telepítse a legújabb biztonsági frissítéseket a referencia-számítógépre.

Ha a referencia-számítógépen naprakészek a biztonsági frissítések, csökken az első alkalommal elindított új számítógépek sebezhetőségének mértéke.

Ha ismeretlen számítógépre kell operációs rendszert telepítenie központilag, alkalmazzon hozzáférés-vezérlést annak megakadályozásához, hogy jogosulatlan számítógépek csatlakozzanak a hálózathoz.

Bár az ismeretlen számítógépek kiépítése kényelmes megoldásként alkalmazható az új számítógépek igény szerinti központi telepítéséhez, azzal a kockázattal is jár, hogy a támadók megbízható ügyfélként jutnak be a hálózatba. Korlátozza a hálózat fizikai hozzáférését, és figyelje az ügyfeleket a jogosulatlan számítógépek felismeréséhez. Az operációs rendszer PXE környezetből kezdeményezett központi telepítésére válaszoló számítógépeken megsemmisülhet az összes adat az operációs rendszer telepítése után, ami a véletlenül formázott rendszerek elérhetőségének megszűnését eredményezheti.

Engedélyezze a csoportos küldésű csomagok titkosítását.

Az operációs rendszerek mindegyik központi telepítési csomagjánál engedélyezheti a titkosítást, amikor a Configuration Manager csoportos küldéssel hajtja végre a csomag átvitelét. Ezzel a konfigurációval megakadályozható, hogy a támadó számítógépek csatlakozzanak a csoportos küldési munkamenethez, és a támadók illetéktelenül módosítsák az átvitt adatokat.

Figyelje a csoportos küldésre beállított jogosulatlan terjesztési pontokat.

Ha a támadók hozzáférést szereznek a hálózathoz, támadó csoportos küldésű kiszolgálókat konfigurálhatnak az operációs rendszer központi telepítésének meghamisításához.

Amikor feladatütemezéseket exportál egy hálózati helyre, gondoskodjon a hely és a hálózati csatorna biztonságáról.

Korlátozza a hálózati mappához hozzáférő felhasználók körét.

A hálózati hely és a helykiszolgáló között használja az SMB-aláírást vagy az IPsec protokollt, hogy megakadályozza az exportált feladatütemezés támadók általi illetéktelen módosítását.

A System Center 2012 R2 Configuration Manager és újabb verziók esetén:

Lássa el védelemmel a kommunikációs csatornát, amikor virtuális merevlemezt tölt fel a Virtual Machine Managerbe.

A hálózaton keresztül továbbított adatok illetéktelen módosításának megakadályozásához használja az IPsec vagy az SMB protokollt a Configuration Manager konzolt futtató számítógép és a Virtual Machine Managert futtató számítógép között.

Ha a fiókként futó feladatütemezést kell használnia, további biztonsági óvintézkedéseket is végre kell hajtania.

Ha a fiókként futó feladatütemezést használja, hajtsa végre a következő óvintézkedéseket:

  • Használjon olyan fiókot, amelyhez csak a minimálisan szükséges engedélyek vannak megadva.

  • Ne használja a Hálózati hozzáférés fiókot ebben az esetben.

  • Ne tegye soha a fiókot tartományi rendszergazdává.

Továbbá:

  • Ehhez a fiókhoz ne konfiguráljon soha barangolási profilt. Amikor a feladatütemezés fut, le fogja tölteni a fiók barangolási profilját, ami a profilt a helyi számítógépen való hozzáféréshez sebezhetőnek hagyja.

  • Korlátozza a fiók hatókörét. Például különböző fiókként futó feladatütemezést hozzon létre az egyes feladatütemezésekhez, így ha az egyik fiók biztonsága sérül, csak az adott fiók által elérhető ügyfélszámítógépek kerülnek veszélybe. Ha a parancssornak a számítógépen rendszergazdai hozzáférésre van szüksége, fontolja meg olyan helyi rendszergazdai fiók létrehozását, amely minden számítógépen futtatja a feladatütemezést, és törölje ezt a fiókot rögtön, ha már nincs rá szükség.

Korlátozza és a figyelje azokat a rendszergazdákat, akik az operációs rendszer központi telepítője biztonsági szerepkörrel rendelkeznek.

Az operációs rendszer központi telepítője biztonsági szerepkörrel rendelkező rendszergazdák önaláírt tanúsítványokat hozhatnak létre, amelyeket az ügyfelek megszemélyesítésére használhatnak, és megszerezhetik az ügyfélházirendet a Configuration Manager alkalmazástól.

Az operációs rendszer központi telepítésével kapcsolatos biztonsági problémák

Bár az operációs rendszer központi telepítése kényelmes megoldás lehet a legbiztonságosabb operációs rendszerek és konfigurációk központi telepítésekor a hálózatban lévő számítógépekre, számolni kell a következő biztonsági kockázatokkal:

  • Információfelfedés és szolgáltatásmegtagadás

    Ha a támadó megszerzi a Configuration Manager-infrastruktúra feletti irányítást, tetszőleges feladatütemezést futtathat, beleértve például az összes ügyfélszámítógép merevlemezének formázását. A konfigurált feladatütemezések tartalmazhatnak bizalmas adatokat, például a tartományhoz valós csatlakozáshoz szükséges fiókokat és mennyiségi licenckulcsokat.

  • Megszemélyesítés és a jogosultsági szint megemelése

    A feladatütemezések tartományhoz csatlakoztathatják a számítógépet, ami hitelesített hálózati hozzáféréshez juttathatja a támadó számítógépeket. Az operációs rendszerek központi telepítésével kapcsolatos további fontos biztonsági teendő a rendszerindító adathordozóval és a PXE-rendszerindítással végzett központi telepítéshez használt ügyfél-hitelesítési tanúsítvány védelme. Ha rögzíti az ügyfél-hitelesítési tanúsítványt, a támadók hozzáférhetnek a nyilvános kulcshoz, majd ezzel érvényes ügyfelet személyesíthetnek meg a hálózatban.

    Ha egy támadó megszerzi a feladatütemezés, illetve PXE rendszerindítás során alkalmazott rendszerindító adathordozó ügyféltanúsítványát, azzal érvényes ügyfélként használhatja a Configuration Manager szolgáltatásait. Ez esetben a támadó gép bizalmas adatokat tartalmazó házirendeket is letölthet.

    Ha a kliensgépek Hálózati hozzáférés fiók használatával férnek hozzá az állapotáttelepítési ponton tárolt adatokhoz, ezek a kliensgépek a Hálózati hozzáférés fiókot használó valamely másik kliensgép azonosítóját használják, és hozzáférhetnek annak adataihoz az állapotáttelepítési pontra vonatkozóan. Az adatok titkosítása csak az eredeti kliensgép számára teszi lehetővé az olvasásukat, viszont illetéktelenek is hozzáférhetnek az adatokhoz, vagy törölhetik azokat.

  • Szervizcsomag nélküli Configuration Manager esetében az állapotáttelepítési pont nem használ hitelesítést

    Szervizcsomag nélküli Configuration Manager esetében az állapotáttelepítési pont nem hitelesíti a csatlakozásokat, aminek következtében bárki adatokat küldhet az állapotáttelepítési pontnak, vagy lekérheti az ott tárolt adatokat. Ne tekintse biztonságosnak ezt az adatkapcsolatot, annak ellenére, hogy csak az eredeti számítógép olvashatja a lekért felhasználói állapotadatokat.

    A Configuration Manager SP1 ügyfél-hitelesítést használ az állapotáttelepítési ponthoz a felügyeleti pont által kiadott Configuration Manager-token használatával.

    Ezenkívül a Configuration Manager nem korlátozza vagy kezeli az állapotáttelepítési ponton tárolt adatok mennyiségét, így szolgáltatásmegtagadásos támadás indítható, feltöltve a rendelkezésre álló lemezterületet.

  • Gyűjteményváltozók használata esetén a helyi rendszergazdák bizalmas adatokhoz férhetnek hozzá.

    Bár a gyűjteményváltozók rugalmas megoldást kínálnak az operációs rendszerek telepítésére, nemkívánatos információfelfedést okozhatnak.

Adatvédelmi információk operációs rendszerek telepítéséhez

Amellett, hogy operációs rendszerek telepítésére használható operációs rendszer nélküli számítógépeken, a Configuration Manager a felhasználók fájljainak két számítógép között történő áttelepítésére is használható. A rendszergazda adja meg az átvinni kívánt adatokat, köztük a személyes adatfájlokat, beállításokat és a böngésző által használt cookie-kat.

A rendszer az állapotáttelepítési pontokon tárolja az információkat, és átvitel, illetve tárolás közben titkosítja azokat. Az információkat az állapotadattal kapcsolatba hozott új számítógép is lekérheti. Ha az új számítógép elveszíti az információk lekéréséhez szükséges kulcsot, a Configuration Manager egy rendszergazdája hozzáférhet az adatokhoz és új számítógéphez társíthatja azokat, amennyiben a rendszergazda jogosult megtekinteni a helyreállítási adatokat a számítógép-társítási objektumpéldányokon. Miután az új számítógép helyreállította az állapotadatokat, egy nap után alapértelmezés szerint törli az adatokat. Tetszés szerint beállíthatja, hogy az állapotáttelepítési pont mikor távolítja el a törlésre megjelölt adatokat. Az állapotáttelepítési pontra vonatkozó adatokat a rendszer nem tárolja a helyadatbázisban és nem küldi el a Microsoftnak.

Ha rendszerindító adathordozókat használ az operációs rendszer képének telepítéséhez, alkalmazza mindig az alapértelmezett opciót, mely jelszavas védelemmel látja el a rendszerindító adathordozót. A jelszó titkosítja a feladatütemezésben található összes változót, viszont a változókon kívül tárolt adatok sebezhetőek maradhatnak.

Az operációs rendszer telepítése során feladatütemezéssel számos különböző feladat hajtható végre, mint például alkalmazások és szoftverfrissítések telepítése. A feladatütemezés konfigurálása során a szoftvertelepítés adatvédelmi vonatkozásaival is tisztában kell lennie.

Ha anélkül tölt fel egy virtuális merevlemezt a Virtual Machine Managerbe, hogy előbb a Sysprep használatával törölné a képet, a feltöltött virtuális merevlemez személyes adatokat tartalmazhat az eredeti képből.

Alapértelmezés szerint a Configuration Manager nem alkalmazza az oprációs rendszert, és több konfigurációs lépésre van szükség, mielőtt állapotadatokat gyűjthet a felhasználókról, illetve feladatütemezéseket vagy rendszerindító lemezképeket hozhat létre.

Az operációs rendszer telepítésének konfigurálása előtt gondolja át az adatvédelmi követelményeit.