• 아티클

보안 및 Configuration Manager에서 대역외 관리에 대 한 개인정보 보호

 

적용 대상: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

참고

이 항목은System Center 2012 Configuration Manager의 자산 및 호환성 가이드 및 System Center 2012 Configuration Manager의 보안 및 개인 정보 보호 가이드에 나와 있습니다.

이 항목에서는에서 대역외 관리에 대 한 보안 및 개인정보 보호 정보 System Center 2012 Configuration Manager합니다.

대역외 관리에 대 한 보안 모범 사례

다음 보안 모범 사례를 사용 하 여 대역외 Intel AMT 기반 컴퓨터를 관리 하는 경우.

보안 모범 사례

추가 정보

Intel AMT 기반 컴퓨터를 구입 하기 전에 사용자 지정 된 펌웨어를 요청 합니다.

대역외에서 관리할 수 있는 컴퓨터를 이러한 컴퓨터가 네트워크에 있을 때 보안을 크게 증가 하는 사용자 지정 된 값을 설정할 수 있는 BIOS 확장에 있습니다.어떤 BIOS 확장 프로그램 설정을 컴퓨터 제조업체에서 사용할 수 있는지 확인 하 고 해당 값을 지정 합니다.자세한 내용은 컴퓨터 제조업체에서 사용자 지정 된 펌웨어 이미지를 사용할 것인지 결정 항목을 참조하세요.

AMT 기반 컴퓨터는 펌웨어 원하는 값을 사용 하 여이 없는 경우 수동으로 지정할 수 있습니다.수동으로 BIOS 확장을 구성 하는 방법에 대 한 자세한 내용은 Intel 설명서 또는 컴퓨터 제조업체의 설명서를 참조 하십시오.추가 정보에 대 한 참조 Intel vPro Expert Center: Microsoft vPro 관리 효율성.보안 기능을 향상 하려면 다음 옵션을 사용자 지정:

  • 외부 Ca (인증 기관)의 모든 인증서 지문이 내부 CA의 인증서 지문을 바꿉니다.그래야 rogue 프로 비전 서버가 AMT 기반 컴퓨터를 프로 비전 하려고 시도 하 고 외부 Ca에서 프로 비전 인증서를 구입할 필요가 없습니다.

  • MEBx 계정에 대 한 사용자 지정 암호를 사용 하 여 있도록 기본값인 admin 사용 되지 않습니다.그런 다음 AMT 프로 비전 및 검색 계정을 사용 하 여이 암호를 지정 Configuration Manager합니다.이렇게 하면 rogue 프로비저닝 서버를에서 알려진된 기본 암호를 사용 하 여 AMT 기반 컴퓨터를 프로 비전 하려고지 않습니다.

요청 및 프로 비전 인증서의 설치를 제어 합니다.

인증서가 로컬 컴퓨터 저장소에 직접 설치 되도록 컴퓨터 보안 컨텍스트를 사용 하 여 프로 비전 하는 서버에서 직접 프로 비전 인증서를 요청 합니다.다른 컴퓨터에서 인증서를 요청 해야 경우 개인 키를 내보내고 전송 하 고 인증서 저장소에 인증서를 가져올 때 다음 추가 보안 컨트롤을 사용 해야 합니다.

기존 인증서가 만료 되기 전에 새 프로 비전 인증서를 요청을 확인 합니다.

만료 된 AMT 프로 비전 인증서를 프로 비전 오류가 발생합니다.외부 CA에 대 한 사용자 프로 비전 인증서를 사용 하는 경우 갱신 과정을 완료 하 고 대역외 관리 지점을 다시 구성 하려면 추가 시간이 허용 합니다.

AMT 기반 컴퓨터를 프로 비전을 위한 전용된 인증서 템플릿을 사용 합니다.

Windows Server의 Enterprise 버전 엔터프라이즈 CA를 기본 웹 서버 인증서 템플릿을 복제 하 여 새 인증서 템플릿 만들기에 대 한 권한이 있는지 확인 대역외 관리 구성 요소 속성에서 지정 하는 보안 그룹에만 읽기 및 등록을 사용 중일 경우 및 서버 인증의 기본값으로 추가 기능을 추가 하지 마십시오.

전용된 인증서 템플릿을 효과적으로 관리 하 고 권한 상승을 방지에 대 한 액세스를 제어할 수 있습니다.엔터프라이즈 CA에 대 한 표준 버전의 Windows Server 있다면 중복 인증서 템플릿을 만들 수 없습니다.이 시나리오에서는 추가 읽기 및 등록 권한을 대역외 관리 구성 요소 속성에서 지정 하는 보안 그룹을 하며 필요 하지 않은 모든 사용 권한을 제거 합니다.

AMT 전원 켜기 명령 대신 절전 모드 해제 패킷 사용 합니다.

두 솔루션 모두를 지원 하지만 소프트웨어 설치에 대 한 컴퓨터 절전, AMT 전원 켜기 명령은 표준 산업 보안 프로토콜을 사용 하 여 인증 및 암호화를 제공 하기 때문에 절전 모드 해제 패킷을 전송 하는 보다 더 안전 합니다.AMT 전원 켜기 대역외 관리와 명령을 사용 하 여이 솔루션 기존 공용 키 인프라 (PKI) 배포와 통합할 수도 및 제품에서 보안 제어를 독립적으로 관리할 수 있습니다.자세한 내용은 "계획 방법에 절전 모드 해제 클라이언트를"의 참조 Configuration Manager의 클라이언트 통신에 대한 계획합니다.

대역외 관리 컴퓨터에 대 한 지원 되지 않으면 AMT 펌웨어에 비활성화 합니다.

AMT 기반 하는 경우에 컴퓨터는 지원 되는 AMT 버전, 대역외 관리에서 지원 하지 않는 경우도 있습니다.이러한 시나리오에는 작업 그룹 컴퓨터, 다른 네임 스페이스에 있는 컴퓨터 및 컴퓨터 비연속 네임 스페이스가 포함 됩니다.

AMT 기반 컴퓨터에 이러한 Active Directory 도메인 서비스에 게시 되지않는 및 PKI 인증서에 대 한 요청 없는 되도록 AMT 펌웨어에 사용 하지 않도록 합니다.AMT 프로 비전 Configuration Manager 컴퓨터가 Active Directory 포리스트의 일부가 아닌 경우 권한 상승을 위험이 있는 Active Directory 도메인 서비스에 게시 하는 계정에 대 한 도메인 자격 증명을 만듭니다.

전용된 OU를 사용 하 여 AMT 기반 컴퓨터 계정에 게시 합니다.

AMT 프로 비전 하는 동안 생성 된 Active Directory 계정에 게시 하려면 기존 컨테이너 또는 조직 구성 단위 (OU)를 사용 하지 마십시오.별도 OU 있습니다 관리 하 고 이러한 계정을 보다 잘 제어 하 고 하면 사이트 서버 및 이러한 계정은 필요한 것 보다 많은 권한을 부여 되지 않습니다.

사이트 서버 컴퓨터 계정을 OU, 도메인 컴퓨터 그룹 및 AMT 기반 컴퓨터를 포함 하는 각 도메인의 Domain Guests 그룹에 쓰기 권한이 허용 합니다.

사이트 서버 컴퓨터 계정을 허용 하는 것 외에도 모든 자식 개체 만들기모든 자식 개체 삭제 OU에 대 한 권한을에 적용 하 고 이 개체만, 사이트 서버에 대 한 다음 사용 권한을 컴퓨터 계정을 허용:

  • Ou: 모든 속성 쓰기 권한을 적용 하 고 이 개체 및 모든 하위 개체.

  • 도메인 컴퓨터 그룹: 모든 속성 쓰기 권한을 적용 하 고 이 개체만.

  • 도메인 게스트 그룹: 모든 속성 쓰기 사용 권한을 적용 하 고 이 개체만.

AMT 프로 비전에 대 한 전용된 컬렉션을 사용 합니다.

및 리소스에 대 한 프로 비전 하려면 보다 많은 컴퓨터를 포함 하는 기존 컬렉션을 사용 하지 마십시오AMT 상태를 사용 하 여 쿼리 기반 컬렉션을 만드는 대신 프로 비전 되지.

AMT 상태 및에 대 한 쿼리를 생성 하는 방법에 대 한 자세한 내용은 프로 비전 되지, 참조 AMT 상태 및 Out of Configuration Manager에서 대역외 관리에 대 한합니다.

검색 및 IDE 리디렉션 함수를 사용 하 여 대체 미디어에서 부팅 이미지 파일을 안전 하 게 저장 합니다.

가능 하면 IDE 리디렉션 함수를 사용 하 여 대체 미디어에서 부팅 하면 대역외 관리 콘솔을 실행 하는 컴퓨터에서 로컬로 이미지 파일을 저장 합니다.를 저장 해야 하는 네트워크에서 네트워크를 통해 파일을 검색에 대 한 연결에 SMB 파일 네트워크 전송 하는 동안 변조를 방지 하려면 서명을 사용 하는 확인 합니다.두 시나리오 모두에서 암호화 된 파일 시스템 및 NTFS 권한을 사용 하 여 무단된 액세스 등을 방지 하려면 저장 된 파일을 보호 합니다.

검색 및 AMT 감사 로그 파일을 안전 하 게 저장 합니다.

가능 하면 로그 파일을 감사 AMT 저장 하는 경우 대역외 관리 콘솔을 실행 하는 컴퓨터에서 로컬로 파일을 저장 합니다.를 저장 해야 하는 네트워크에서 네트워크를 통해 파일을 검색에 대 한 연결에 SMB 파일 네트워크 전송 하는 동안 변조를 방지 하려면 서명을 사용 하는 확인 합니다.두 시나리오 모두에서 암호화 된 파일 시스템 및 NTFS 권한을 사용 하 여 무단된 액세스 등을 방지 하려면 저장 된 파일을 보호 합니다.

AMT 프로 비전 및 검색 계정 수를 최소화 합니다.

여러 AMT 프로 비전 및 검색 계정을 지정할 수는 있지만 있도록 Configuration Manager AMT 관리 컨트롤러를 보유 하 고 대역외 관리에 대 한 프로 비전 하지 현재 필요 하지 않은 계정을 지정을 수행한 더이상 필요 하지 않은 계정은 삭제 하는 컴퓨터를 검색할 수 없습니다.이러한 계정에 필요한 것 보다 많은 권한을 부여 되지 않습니다 보장 하 고 불필요 한 네트워크 트래픽 및 처리를 줄일 수 필요로 하는 계정에만 지정 합니다.AMT 프로 비전 및 검색 계정에 대 한 자세한 내용은 참조 5단계: 대역외 관리 구성 요소의 출력을 구성합니다.합니다.

서비스 연속성을 위해 사용자 계정을 AMT 프로 비전 제거 계정으로 지정 하 고 AMT 사용자 계정으로도이 사용자 계정을 지정 되어있는지 확인 합니다.

AMT 프로 비전 제거 계정을 사용 하면 서비스 연속성 복원 해야하는 경우는 Configuration Manager 사이트입니다.사이트를 복원한 후 요청 하 고 새 AMT 프로 비전 인증서를 구성 및 사용 하 여 AMT 프로 비전 제거 계정 AMT 기반 컴퓨터에서 프로 비전 정보를 제거 하 고, 다음 컴퓨터를 다시 구축 합니다.

다른 사이트에서 AMT 기반 컴퓨터를 할당 하 고 프로 비전 정보가 제거 되지 않은 경우이 계정을 사용할 수도 있습니다.

AMT 프로비전 정보를 제거하는 방법에 대한 자세한 내용은 AMT 정보를 제거 하는 방법 항목을 참조하세요.

실용적인 때마다 클라이언트 인증 인증서에 대 한 단일 인증서 템플릿을 사용 합니다.

다른 인증서 템플릿을 각 무선 프로필에 대 한를 지정할 수 있지만 다른 무선 네트워크에 사용할 다른 설정에 대 한 비즈니스 요구 사항이 없다면는 단일 인증서 템플릿을 사용 하 여만 클라이언트 인증 기능을 지정 하 고 사용 하도록이 인증서 템플릿에 사용 되는 전용 Configuration Manager 대역외 관리 합니다.예, 무선 네트워크를 하나 더 높은 키 크기 또는 다른 보다 짧은 유효 기간, 필요한 경우에 별도 인증서 템플릿 만들기 해야 합니다.단일 인증서 템플릿 사용을 보다 쉽게 제어할 수 있습니다 및 권한 상승을 방지 합니다.

관리 권한이 있는 사용자에만 AMT 감사 동작을 수행 함을 확인 하 고 필요에 따라 AMT 감사 로그 관리 키를 누릅니다.

AMT 버전에 따라 Configuration Manager 거의 가득 차거나 오래 된 항목을 덮어쓸 수 있습니다 때 새 엔트리를 AMT 감사 로그에 쓰기 중지 될 수 있습니다.새 항목이 기록 하 고 오래 된 항목을 덮어쓰지 않습니다을 보장 하려면 필요한 경우 감사 로그 지우기 주기적으로 고 감사 항목을 저장 합니다.감사 로그 및 작업을 감사 하는 모니터를 관리 하는 방법에 대 한 자세한 내용은 참조 Configuration Manager에서 AMT 기반 컴퓨터에 대 한 감사 로그를 관리 하는 방법합니다.

대역외 AMT 기반 컴퓨터를 관리 하려면 관리 권한이 있는 사용자 권한을 부여 하려면 최소 권한 및 역할 기반 관리의 원칙을 사용 합니다.

사용 하는 원격 도구 운영자 보안 역할의 관리자에 게 보고 대역외 관리 콘솔을 사용 하 여 컴퓨터를 관리할 수 있도록 해 주는 AMT 제어 권한 부여 및에서 전원 제어 작업을 시작할는 Configuration Manager 콘솔.

필요할 수 있는 보안 권한에 대 한 자세한 내용은 AMT 기반 컴퓨터를 관리 하려면 "Configuration Manager 종속성"의 참조 Configuration Manager에서 대역외 관리에 대 한 필수 구성 요소합니다.

대역외 관리에 대 한 보안 문제

대역외 AMT 기반 컴퓨터 관리에 다음과 같은 보안 문제가 있습니다.

  • 공격자는 Active Directory 계정이 생성 된 프로 비전 요청에 가짜 될 수 있습니다.예상된 계정만 만들어졌는지 확인 하려면 AMT 계정을 생성 되는 위치에 OU를 모니터링 합니다.

  • 인터넷에 게시 되는 인증서 해지 목록 (CRL)을 확인 하려면 대역외 서비스 지점에 대 한 웹 프록시 액세스를 구성할 수 없습니다.AMT 프로 비전 인증서에 대해 CRL 확인을 사용 하면 CRL을 액세스할 수 없는 경우 대역외 서비스 지점 AMT 기반 컴퓨터 아님 프로 비전을 수행 합니다.

  • 자동 AMT 프로 비전을 사용 하지 않도록 설정 하는 옵션에 저장 되는 Configuration Manager 클라이언트와에 없는 및 리소스즉, AMT 기반 컴퓨터 비전 여전히 수 있습니다.예는 Configuration Manager 클라이언트 제거 될 수 있습니다, 또는 다른 관리 제품에 의해 컴퓨터를 프로 비전 할 수 있습니다.

  • AMT 기반 컴퓨터의 자동 프로 비전을 사용 하지 않도록 설정 하는 옵션을 선택 하는 경우에 대역외 서비스 지점 컴퓨터에서 프로 비전 요청을 수락 합니다.

대역외 관리에 대 한 개인정보

지원 되는 펌웨어 버전으로 설정 하는 Intel vPro 칩이 있는 컴퓨터와 Intel Active Management Technology (Intel AMT)를 관리 하는 대역외 관리 콘솔 Configuration Manager합니다.Configuration Manager 일시적으로 컴퓨터 구성 및 컴퓨터 이름, IP 주소 및 MAC 주소 등의 설정에 대 한 정보를 수집합니다.정보는 암호화 된 채널을 사용 하 여 대역외 관리 콘솔 및 관리 되는 컴퓨터 간에 전송 됩니다.기본적으로이 기능을 해제 하 고 관리 세션이 종료 된 후 정보 없이 보존 되는 일반적으로 합니다.AMT 감사를 활성화 하는 경우에 기록 된 날짜 및 시간에 관리 작업을 수행 하는 도메인 및 사용자 계정 및 관리 되는 AMT 기반 컴퓨터의 IP 주소를 포함 하는 파일에 감사 정보를 저장할 수 있습니다.이 정보를 Microsoft로 보내지 않습니다.

사용 하도록 설정 하는 옵션이 있습니다 Configuration Manager 를 대역외 관리 콘솔에서 관리할 수 있는 관리 컨트롤러를 사용 하는 컴퓨터를 검색 합니다.검색 관리 가능한 컴퓨터에 대 한 레코드를 만들고 데이터베이스에 저장 합니다.데이터 검색 기록 IP 주소, 운영 체제 및 컴퓨터 이름 등의 컴퓨터 정보를 포함 합니다.기본적으로 관리 컨트롤러의 검색 사용 되지 않습니다.검색 정보는 Microsoft로 전송되지 않습니다.검색 정보는 사이트 데이터베이스에 저장 됩니다.정보는 사이트 유지 관리 작업까지 데이터베이스에 보관 오래 된 검색 데이터 삭제 모든 90 일 간격으로를 삭제 합니다.삭제 간격은 필요에 따라 구성할 수 있습니다.

대역외 관리를 구성 하기 전에 개인정보 요구 사항을 고려 합니다.