다음을 통해 공유


보안 및 Configuration Manager에서 대역외 관리에 대 한 개인정보 보호

 

적용 대상: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

이 항목에서는에서 대역외 관리에 대 한 보안 및 개인정보 보호 정보 System Center 2012 Configuration Manager합니다.

대역외 관리에 대 한 보안 모범 사례

다음 보안 모범 사례를 사용 하 여 대역외 Intel AMT 기반 컴퓨터를 관리 하는 경우.

보안 모범 사례

추가 정보

Intel AMT 기반 컴퓨터를 구입 하기 전에 사용자 지정 된 펌웨어를 요청 합니다.

대역외에서 관리할 수 있는 컴퓨터를 이러한 컴퓨터가 네트워크에 있을 때 보안을 크게 증가 하는 사용자 지정 된 값을 설정할 수 있는 BIOS 확장에 있습니다.어떤 BIOS 확장 프로그램 설정을 컴퓨터 제조업체에서 사용할 수 있는지 확인 하 고 해당 값을 지정 합니다.자세한 내용은 컴퓨터 제조업체에서 사용자 지정 된 펌웨어 이미지를 사용할 것인지 결정 항목을 참조하세요.

AMT 기반 컴퓨터는 펌웨어 원하는 값을 사용 하 여이 없는 경우 수동으로 지정할 수 있습니다.수동으로 BIOS 확장을 구성 하는 방법에 대 한 자세한 내용은 Intel 설명서 또는 컴퓨터 제조업체의 설명서를 참조 하십시오.추가 정보에 대 한 참조 Intel vPro Expert Center: Microsoft vPro 관리 효율성.보안 기능을 향상 하려면 다음 옵션을 사용자 지정:

  • 외부 Ca (인증 기관)의 모든 인증서 지문이 내부 CA의 인증서 지문을 바꿉니다.그래야 rogue 프로 비전 서버가 AMT 기반 컴퓨터를 프로 비전 하려고 시도 하 고 외부 Ca에서 프로 비전 인증서를 구입할 필요가 없습니다.

  • MEBx 계정에 대 한 사용자 지정 암호를 사용 하 여 있도록 기본값인 admin 사용 되지 않습니다.그런 다음 AMT 프로 비전 및 검색 계정을 사용 하 여이 암호를 지정 Configuration Manager합니다.이렇게 하면 rogue 프로비저닝 서버를에서 알려진된 기본 암호를 사용 하 여 AMT 기반 컴퓨터를 프로 비전 하려고지 않습니다.

요청 및 프로 비전 인증서의 설치를 제어 합니다.

인증서가 로컬 컴퓨터 저장소에 직접 설치 되도록 컴퓨터 보안 컨텍스트를 사용 하 여 프로 비전 하는 서버에서 직접 프로 비전 인증서를 요청 합니다.다른 컴퓨터에서 인증서를 요청 해야 경우 개인 키를 내보내고 전송 하 고 인증서 저장소에 인증서를 가져올 때 다음 추가 보안 컨트롤을 사용 해야 합니다.

기존 인증서가 만료 되기 전에 새 프로 비전 인증서를 요청을 확인 합니다.

만료 된 AMT 프로 비전 인증서를 프로 비전 오류가 발생합니다.외부 CA에 대 한 사용자 프로 비전 인증서를 사용 하는 경우 갱신 과정을 완료 하 고 대역외 관리 지점을 다시 구성 하려면 추가 시간이 허용 합니다.

AMT 기반 컴퓨터를 프로 비전을 위한 전용된 인증서 템플릿을 사용 합니다.

Windows Server의 Enterprise 버전 엔터프라이즈 CA를 기본 웹 서버 인증서 템플릿을 복제 하 여 새 인증서 템플릿 만들기에 대 한 권한이 있는지 확인 대역외 관리 구성 요소 속성에서 지정 하는 보안 그룹에만 읽기 및 등록을 사용 중일 경우 및 서버 인증의 기본값으로 추가 기능을 추가 하지 마십시오.

전용된 인증서 템플릿을 효과적으로 관리 하 고 권한 상승을 방지에 대 한 액세스를 제어할 수 있습니다.엔터프라이즈 CA에 대 한 표준 버전의 Windows Server 있다면 중복 인증서 템플릿을 만들 수 없습니다.이 시나리오에서는 추가 읽기 및 등록 권한을 대역외 관리 구성 요소 속성에서 지정 하는 보안 그룹을 하며 필요 하지 않은 모든 사용 권한을 제거 합니다.

AMT 전원 켜기 명령 대신 절전 모드 해제 패킷 사용 합니다.

두 솔루션 모두를 지원 하지만 소프트웨어 설치에 대 한 컴퓨터 절전, AMT 전원 켜기 명령은 표준 산업 보안 프로토콜을 사용 하 여 인증 및 암호화를 제공 하기 때문에 절전 모드 해제 패킷을 전송 하는 보다 더 안전 합니다.AMT 전원 켜기 대역외 관리와 명령을 사용 하 여이 솔루션 기존 공용 키 인프라 (PKI) 배포와 통합할 수도 및 제품에서 보안 제어를 독립적으로 관리할 수 있습니다.자세한 내용은 "계획 방법에 절전 모드 해제 클라이언트를"의 참조 Configuration Manager의 클라이언트 통신에 대한 계획합니다.

대역외 관리 컴퓨터에 대 한 지원 되지 않으면 AMT 펌웨어에 비활성화 합니다.

AMT 기반 하는 경우에 컴퓨터는 지원 되는 AMT 버전, 대역외 관리에서 지원 하지 않는 경우도 있습니다.이러한 시나리오에는 작업 그룹 컴퓨터, 다른 네임 스페이스에 있는 컴퓨터 및 컴퓨터 비연속 네임 스페이스가 포함 됩니다.

AMT 기반 컴퓨터에 이러한 Active Directory 도메인 서비스에 게시 되지않는 및 PKI 인증서에 대 한 요청 없는 되도록 AMT 펌웨어에 사용 하지 않도록 합니다.AMT 프로 비전 Configuration Manager 컴퓨터가 Active Directory 포리스트의 일부가 아닌 경우 권한 상승을 위험이 있는 Active Directory 도메인 서비스에 게시 하는 계정에 대 한 도메인 자격 증명을 만듭니다.

전용된 OU를 사용 하 여 AMT 기반 컴퓨터 계정에 게시 합니다.

AMT 프로 비전 하는 동안 생성 된 Active Directory 계정에 게시 하려면 기존 컨테이너 또는 조직 구성 단위 (OU)를 사용 하지 마십시오.별도 OU 있습니다 관리 하 고 이러한 계정을 보다 잘 제어 하 고 하면 사이트 서버 및 이러한 계정은 필요한 것 보다 많은 권한을 부여 되지 않습니다.

사이트 서버 컴퓨터 계정을 OU, 도메인 컴퓨터 그룹 및 AMT 기반 컴퓨터를 포함 하는 각 도메인의 Domain Guests 그룹에 쓰기 권한이 허용 합니다.

사이트 서버 컴퓨터 계정을 허용 하는 것 외에도 모든 자식 개체 만들기모든 자식 개체 삭제 OU에 대 한 권한을에 적용 하 고 이 개체만, 사이트 서버에 대 한 다음 사용 권한을 컴퓨터 계정을 허용:

  • Ou: 모든 속성 쓰기 권한을 적용 하 고 이 개체 및 모든 하위 개체.

  • 도메인 컴퓨터 그룹: 모든 속성 쓰기 권한을 적용 하 고 이 개체만.

  • 도메인 게스트 그룹: 모든 속성 쓰기 사용 권한을 적용 하 고 이 개체만.

AMT 프로 비전에 대 한 전용된 컬렉션을 사용 합니다.

및 리소스에 대 한 프로 비전 하려면 보다 많은 컴퓨터를 포함 하는 기존 컬렉션을 사용 하지 마십시오AMT 상태를 사용 하 여 쿼리 기반 컬렉션을 만드는 대신 프로 비전 되지.

AMT 상태 및에 대 한 쿼리를 생성 하는 방법에 대 한 자세한 내용은 프로 비전 되지, 참조 AMT 상태 및 Out of Configuration Manager에서 대역외 관리에 대 한합니다.

검색 및 IDE 리디렉션 함수를 사용 하 여 대체 미디어에서 부팅 이미지 파일을 안전 하 게 저장 합니다.

가능 하면 IDE 리디렉션 함수를 사용 하 여 대체 미디어에서 부팅 하면 대역외 관리 콘솔을 실행 하는 컴퓨터에서 로컬로 이미지 파일을 저장 합니다.를 저장 해야 하는 네트워크에서 네트워크를 통해 파일을 검색에 대 한 연결에 SMB 파일 네트워크 전송 하는 동안 변조를 방지 하려면 서명을 사용 하는 확인 합니다.두 시나리오 모두에서 암호화 된 파일 시스템 및 NTFS 권한을 사용 하 여 무단된 액세스 등을 방지 하려면 저장 된 파일을 보호 합니다.

검색 및 AMT 감사 로그 파일을 안전 하 게 저장 합니다.

가능 하면 로그 파일을 감사 AMT 저장 하는 경우 대역외 관리 콘솔을 실행 하는 컴퓨터에서 로컬로 파일을 저장 합니다.를 저장 해야 하는 네트워크에서 네트워크를 통해 파일을 검색에 대 한 연결에 SMB 파일 네트워크 전송 하는 동안 변조를 방지 하려면 서명을 사용 하는 확인 합니다.두 시나리오 모두에서 암호화 된 파일 시스템 및 NTFS 권한을 사용 하 여 무단된 액세스 등을 방지 하려면 저장 된 파일을 보호 합니다.

AMT 프로 비전 및 검색 계정 수를 최소화 합니다.

여러 AMT 프로 비전 및 검색 계정을 지정할 수는 있지만 있도록 Configuration Manager AMT 관리 컨트롤러를 보유 하 고 대역외 관리에 대 한 프로 비전 하지 현재 필요 하지 않은 계정을 지정을 수행한 더이상 필요 하지 않은 계정은 삭제 하는 컴퓨터를 검색할 수 없습니다.이러한 계정에 필요한 것 보다 많은 권한을 부여 되지 않습니다 보장 하 고 불필요 한 네트워크 트래픽 및 처리를 줄일 수 필요로 하는 계정에만 지정 합니다.AMT 프로 비전 및 검색 계정에 대 한 자세한 내용은 참조 5단계: 대역외 관리 구성 요소의 출력을 구성합니다.합니다.

서비스 연속성을 위해 사용자 계정을 AMT 프로 비전 제거 계정으로 지정 하 고 AMT 사용자 계정으로도이 사용자 계정을 지정 되어있는지 확인 합니다.

AMT 프로 비전 제거 계정을 사용 하면 서비스 연속성 복원 해야하는 경우는 Configuration Manager 사이트입니다.사이트를 복원한 후 요청 하 고 새 AMT 프로 비전 인증서를 구성 및 사용 하 여 AMT 프로 비전 제거 계정 AMT 기반 컴퓨터에서 프로 비전 정보를 제거 하 고, 다음 컴퓨터를 다시 구축 합니다.

다른 사이트에서 AMT 기반 컴퓨터를 할당 하 고 프로 비전 정보가 제거 되지 않은 경우이 계정을 사용할 수도 있습니다.

AMT 프로비전 정보를 제거하는 방법에 대한 자세한 내용은 AMT 정보를 제거 하는 방법 항목을 참조하세요.

실용적인 때마다 클라이언트 인증 인증서에 대 한 단일 인증서 템플릿을 사용 합니다.

다른 인증서 템플릿을 각 무선 프로필에 대 한를 지정할 수 있지만 다른 무선 네트워크에 사용할 다른 설정에 대 한 비즈니스 요구 사항이 없다면는 단일 인증서 템플릿을 사용 하 여만 클라이언트 인증 기능을 지정 하 고 사용 하도록이 인증서 템플릿에 사용 되는 전용 Configuration Manager 대역외 관리 합니다.예, 무선 네트워크를 하나 더 높은 키 크기 또는 다른 보다 짧은 유효 기간, 필요한 경우에 별도 인증서 템플릿 만들기 해야 합니다.단일 인증서 템플릿 사용을 보다 쉽게 제어할 수 있습니다 및 권한 상승을 방지 합니다.

관리 권한이 있는 사용자에만 AMT 감사 동작을 수행 함을 확인 하 고 필요에 따라 AMT 감사 로그 관리 키를 누릅니다.

AMT 버전에 따라 Configuration Manager 거의 가득 차거나 오래 된 항목을 덮어쓸 수 있습니다 때 새 엔트리를 AMT 감사 로그에 쓰기 중지 될 수 있습니다.새 항목이 기록 하 고 오래 된 항목을 덮어쓰지 않습니다을 보장 하려면 필요한 경우 감사 로그 지우기 주기적으로 고 감사 항목을 저장 합니다.감사 로그 및 작업을 감사 하는 모니터를 관리 하는 방법에 대 한 자세한 내용은 참조 Configuration Manager에서 AMT 기반 컴퓨터에 대 한 감사 로그를 관리 하는 방법합니다.

대역외 AMT 기반 컴퓨터를 관리 하려면 관리 권한이 있는 사용자 권한을 부여 하려면 최소 권한 및 역할 기반 관리의 원칙을 사용 합니다.

사용 하는 원격 도구 운영자 보안 역할의 관리자에 게 보고 대역외 관리 콘솔을 사용 하 여 컴퓨터를 관리할 수 있도록 해 주는 AMT 제어 권한 부여 및에서 전원 제어 작업을 시작할는 Configuration Manager 콘솔.

필요할 수 있는 보안 권한에 대 한 자세한 내용은 AMT 기반 컴퓨터를 관리 하려면 "Configuration Manager 종속성"의 참조 Configuration Manager에서 대역외 관리에 대 한 필수 구성 요소합니다.

대역외 관리에 대 한 보안 문제

대역외 AMT 기반 컴퓨터 관리에 다음과 같은 보안 문제가 있습니다.

  • 공격자는 Active Directory 계정이 생성 된 프로 비전 요청에 가짜 될 수 있습니다.예상된 계정만 만들어졌는지 확인 하려면 AMT 계정을 생성 되는 위치에 OU를 모니터링 합니다.

  • 인터넷에 게시 되는 인증서 해지 목록 (CRL)을 확인 하려면 대역외 서비스 지점에 대 한 웹 프록시 액세스를 구성할 수 없습니다.AMT 프로 비전 인증서에 대해 CRL 확인을 사용 하면 CRL을 액세스할 수 없는 경우 대역외 서비스 지점 AMT 기반 컴퓨터 아님 프로 비전을 수행 합니다.

  • 자동 AMT 프로 비전을 사용 하지 않도록 설정 하는 옵션에 저장 되는 Configuration Manager 클라이언트와에 없는 및 리소스즉, AMT 기반 컴퓨터 비전 여전히 수 있습니다.예는 Configuration Manager 클라이언트 제거 될 수 있습니다, 또는 다른 관리 제품에 의해 컴퓨터를 프로 비전 할 수 있습니다.

  • AMT 기반 컴퓨터의 자동 프로 비전을 사용 하지 않도록 설정 하는 옵션을 선택 하는 경우에 대역외 서비스 지점 컴퓨터에서 프로 비전 요청을 수락 합니다.

대역외 관리에 대 한 개인정보

지원 되는 펌웨어 버전으로 설정 하는 Intel vPro 칩이 있는 컴퓨터와 Intel Active Management Technology (Intel AMT)를 관리 하는 대역외 관리 콘솔 Configuration Manager합니다.Configuration Manager 일시적으로 컴퓨터 구성 및 컴퓨터 이름, IP 주소 및 MAC 주소 등의 설정에 대 한 정보를 수집합니다.정보는 암호화 된 채널을 사용 하 여 대역외 관리 콘솔 및 관리 되는 컴퓨터 간에 전송 됩니다.기본적으로이 기능을 해제 하 고 관리 세션이 종료 된 후 정보 없이 보존 되는 일반적으로 합니다.AMT 감사를 활성화 하는 경우에 기록 된 날짜 및 시간에 관리 작업을 수행 하는 도메인 및 사용자 계정 및 관리 되는 AMT 기반 컴퓨터의 IP 주소를 포함 하는 파일에 감사 정보를 저장할 수 있습니다.이 정보를 Microsoft로 보내지 않습니다.

사용 하도록 설정 하는 옵션이 있습니다 Configuration Manager 를 대역외 관리 콘솔에서 관리할 수 있는 관리 컨트롤러를 사용 하는 컴퓨터를 검색 합니다.검색 관리 가능한 컴퓨터에 대 한 레코드를 만들고 데이터베이스에 저장 합니다.데이터 검색 기록 IP 주소, 운영 체제 및 컴퓨터 이름 등의 컴퓨터 정보를 포함 합니다.기본적으로 관리 컨트롤러의 검색 사용 되지 않습니다.검색 정보는 Microsoft로 전송되지 않습니다.검색 정보는 사이트 데이터베이스에 저장 됩니다.정보는 사이트 유지 관리 작업까지 데이터베이스에 보관 오래 된 검색 데이터 삭제 모든 90 일 간격으로를 삭제 합니다.삭제 간격은 필요에 따라 구성할 수 있습니다.

대역외 관리를 구성 하기 전에 개인정보 요구 사항을 고려 합니다.