• Artykuł

Zabezpieczenia i prywatność dla zarządzania poza pasmem w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Uwaga

Ten temat występuje w — przewodniki Zasoby i zgodność w programie System Center 2012 Configuration Manager oraz Bezpieczeństwo i ochrona prywatności w programie System Center 2012 Configuration Manager.

Ten temat zawiera zabezpieczeń i zasady zachowania poufności informacji dla zarządzania poza pasmem w System Center 2012 Configuration Manager.

Zabezpieczenia najlepsze rozwiązania w zakresie zarządzania poza pasmem

Użyj następujących najlepszych rozwiązań zabezpieczeń podczas zarządzania komputerach opartych na technologii Intel AMT poza pasmem.

Najlepsze rozwiązanie w zakresie zabezpieczeń

Więcej informacji

Żądania niestandardowego oprogramowania układowego przed zakupu komputerach opartych na technologii Intel AMT.

Komputery, którymi można zarządzać poza pasmem ma BIOS rozszerzeń, które można ustawić wartości dostosowane do znacznie zwiększyć zabezpieczeń w przypadku tych komputerów w sieci.Należy sprawdzić, które ustawienia rozszerzenia BIOS są dostępne od producenta komputera, a następnie określ własnymi wartościami.Aby uzyskać więcej informacji, zobacz Określa, czy należy użyć obrazu niestandardowego oprogramowania układowego od producenta komputera.

Jeśli na komputerach opartych na technologii AMT nie ma wartości oprogramowania układowego, których chcesz użyć, może być określać ręcznie.Aby uzyskać więcej informacji na temat ręcznego konfigurowania rozszerzeń BIOS zobacz dokumentację Intel lub dokumentacji od producenta komputera.Aby uzyskać dodatkowe informacje, zobacz Intel vPro Centrum ekspertów: Microsoft vPro zarządzania.Dostosuj następujące opcje w celu zwiększenia bezpieczeństwa:

  • Zastąp wszystkie odciski palców certyfikatu urzędów zewnętrznego certyfikacji (CA) odcisk palca własnego wewnętrznego urzędu certyfikacji.Zapobiega to rozpoczęcie obsługi administracyjnej serwerów próby obsługi administracyjnej komputerów opartym na technologii AMT, a nie masz zakupu obsługi administracyjnej certyfikatów CA zewnętrznych.

  • Używaj niestandardowych hasła dla konta MEBx, aby wartość domyślną admin nie jest używany.Następnie określ hasło z udostępniania AMT i odnajdywania konta w Menedżer konfiguracji.Rozpoczęcie obsługi administracyjnej serwerów zapobiega próby obsługi administracyjnej komputerach opartych na technologii AMT przy użyciu znanych domyślne hasło.

Kontroluje żądania i instalacji obsługi administracyjnej certyfikatu.

Żądania obsługi administracyjnej certyfikatu bezpośrednio z serwera obsługi administracyjnej przy użyciu kontekstu zabezpieczeń komputera, aby certyfikat jest zainstalowany bezpośrednio w magazynie komputera lokalnego.Może żądać certyfikatu z innego komputera, należy eksportować klucz prywatny, a następnie użyć dodatkowe zabezpieczenia formanty, gdy transfer i zaimportuj certyfikat do magazynu certyfikatów.

Upewnij się, żądania obsługi administracyjnej nowy certyfikat, przed wygaśnięciem istniejącego certyfikatu.

Wygaśnięcie certyfikatu obsługi administracyjnej technologii AMT powoduje błąd obsługi administracyjnej.Jeśli używasz zewnętrznego urzędu certyfikacji dla obsługi administracyjnej certyfikatu, umożliwiają więcej czasu, aby ukończyć proces odnawiania i skonfiguruj ponownie poza pasmem punktu zarządzania.

Szablon certyfikatu dedykowanego w celu udostępniania na komputerach opartych na technologii AMT.

Jeśli jesteś użytkowania systemu Windows Server w wersji Enterprise dla przedsiębiorstwa urzędu certyfikacji, Utwórz nowy szablon certyfikatu przez duplikowanie domyślny szablon certyfikatu serwera sieci Web, upewnij się, że grupa zabezpieczeń, określonym w poza pasmem zarządzania składnik właściwości ma uprawnienia Odczyt i rejestrowanie, i nie należy dodawać dodatkowe możliwości domyślne uwierzytelniania serwera.

Szablon certyfikatu dedykowanych pozwala na lepsze zarządzanie i kontrolę dostępu, aby pomóc zapobiegać podniesienie uprawnień.Jeśli masz systemu Windows Server w wersji Standard dla urząd certyfikacji przedsiębiorstwa, nie można utworzyć szablon duplikat certyfikatu.W tym scenariuszu należy dodać odczytu i zarejestrować uprawnień do grupy zabezpieczeń, określonym w poza pasmem zarządzania składnik właściwości i usuń wszelkie uprawnienia, które nie jest wymagana.

AMT power w systemie polecenia zamiast pakietów.

Chociaż obu rozwiązań obsługują wychodzenie komputerów Instalacja oprogramowania, AMT Włącz polecenia są lepiej zabezpieczone niż przesyłania pakietów, ponieważ stanowią uwierzytelniania i szyfrowania przy użyciu standardowego protokołów zabezpieczeń.Przy użyciu technologii AMT power na poleceń z zarządzania poza pasmem, to rozwiązanie może również integrację z istniejącego wdrożenia infrastruktury kluczy publicznych (PKI) i kontroli bezpieczeństwa można zarządzać niezależnie od produktu.Aby uzyskać więcej informacji, zobacz "Planowanie jak do Wake się klienci" w Planowanie komunikacji z klientem w programie Configuration Manager.

Wyłącz w oprogramowanie układowe AMT, jeśli komputer nie jest obsługiwany dla zarządzania poza pasmem.

Nawet wtedy, gdy opartym na technologii AMT komputery mają obsługiwana wersja AMT, istnieją pewne scenariusze, które nie obsługuje zarządzania poza pasmem.Scenariusze te obejmują komputery grupy roboczej, komputerów, które mają różne nazw i komputerach zawierających odłączony obszar nazw.

Aby upewnić się, że tych komputerach opartych na technologii AMT nie zostaną opublikowane w usług domenowych w usłudze Active Directory i nie ma certyfikatu PKI, wymagane do nich, wyłącz AMT w oprogramowanie układowe.Udostępniania AMT w Menedżer konfiguracji tworzy poświadczenia domeny dla konta opublikowane do usługi Active Directory, która zagrożenia podniesienie uprawnień, gdy komputery nie są częścią las usługi Active Directory.

Umożliwia publikowanie kontami komputerowymi opartym na technologii AMT dedykowane OU.

Publikowanie konta usługi Active Directory, które zostały utworzone podczas udostępniania AMT nie należy używać istniejącego kontenera lub jednostkę organizacyjną (OU).Oddzielne jednostki Organizacyjnej umożliwia zarządzanie i lepiej kontrolować te konta i pomaga upewnić się, że te kont i serwerów lokacji nie udzielono uprawnienia więcej niż wymagają.

Zezwalaj na konta komputera serwera lokacji jednostkę Organizacyjną, grupy komputerów domeny i grupy Goście domeny w każdej domeny, która zawiera komputerach opartych na technologii AMT uprawnień do zapisu.

Oprócz stosowanie serwera lokacji z kontami komputerowymi Tworzenie wszystkich obiektów podrzędnych i Usuń wszystkie obiekty podrzędne uprawnienia jednostki organizacyjnej i stosuje się do tylko ten obiekt, Zezwalaj na następujące uprawnienia dla serwera lokacji konta komputera:

  • Jednostki organizacyjnej: Zapis wszystkich właściwości uprawnień i stosuje się do ten obiekt i wszystkie obiekty zależne.

  • Dla grupy komputerów domeny: Zapis wszystkich właściwości uprawnień i stosuje się do tylko ten obiekt.

  • Dla grupy gościa domeny: Zapis wszystkich właściwości uprawnień i stosuje się do tylko ten obiekt.

Użyj dedykowanego kolekcję w celu udostępniania AMT.

Nie używaj istniejącą kolekcję zawierającą większej liczbie komputerów niż chcesz obsługi administracyjnej dla kwota.Zamiast tego utworzyć kolekcję na podstawie zapytania przy użyciu technologii AMT stan nie jest obsługiwane.

Aby uzyskać więcej informacji o stanie AMT i sposób tworzenia zapytania dla nie jest obsługiwane, zobacz O stanie AMT i poza pasmem zarządzania w programie Configuration Manager.

Pobieranie i bezpiecznie przechowywać pliki obrazów po uruchomieniu z alternatywnych nośnika korzystać z funkcji przekierowania IDE.

Po uruchomieniu z alternatywnych nośnika używanie funkcji przekierowania IDE, o ile to możliwe, należy przechowywać pliki obrazów lokalnie na komputerze z uruchomionym poza pasmem management Console.Należy je przechowywać w sieci, upewnij się, że połączenia można pobrać pliki przez sieć używać SMB podpisywania pozwala uniknąć plików zostanie zmieniona podczas transferu sieci.W obu przypadkach bezpieczny przechowywane pliki pozwala uniknąć nieautoryzowany dostęp, na przykład za pomocą uprawnień systemu plików NTFS i systemu plików szyfrowania.

Pobieranie i bezpiecznie przechowywać AMT dziennik inspekcji.

Jeśli zostanie zapisana AMT inspekcji pliki dziennika, gdy jest to możliwe, przechowywania plików lokalnie na komputerze, na którym działa poza pasmem management Console.Należy je przechowywać w sieci, upewnij się, że połączenia można pobrać pliki przez sieć używać SMB podpisywania pozwala uniknąć plików zostanie zmieniona podczas transferu sieci.W obu przypadkach bezpieczny przechowywane pliki pozwala uniknąć nieautoryzowany dostęp, na przykład za pomocą uprawnień systemu plików NTFS i systemu plików szyfrowania.

Ogranicz liczbę kont odnajdywania i udostępniania AMT.

Mimo że można określić wiele udostępniania AMT i odnajdywania kont, aby Menedżer konfiguracji może odnaleźć komputerów, na których AMT kontrolerów zarządzania i obsługi administracyjnej je do zarządzania poza pasmem, nie Określ konta, które nie są obecnie wymagane i usuwania kont, które nie są wymagane.Określ tylko konta, które są potrzebne do zapewnienia, że te konta nie udzielono uprawnienia więcej niż wymagają i zmniejszyć niepotrzebny ruch sieciowy i przetwarzania.Aby uzyskać więcej informacji na temat udostępniania AMT i odnajdywania konta zobacz Krok 5: Konfigurowanie poza pasmem składnika zarządzania.

Ciągłość usługi Określ konto użytkownika za pomocą konta usunięcie obsługi administracyjnej technologii AMT i upewnij się, że to konto użytkownika jest również określony jako AMT konta użytkownika.

Konta usunięcie udostępniania AMT zapewnia ciągłość usługi musi przywrócenie Menedżer konfiguracji witryny.Po przywróceniu witryny żądania i skonfigurować nowy certyfikat obsługi administracyjnej technologii AMT, Usuń informacje obsługi administracyjnej technologii AMT na komputerach z za pomocą udostępniania AMT i usuwania kont i następnie reprovision komputerów.

Można również korzystać z tego konta, jeśli komputerem opartym na technologii AMT została ponownie przypisana z innej witryny i informacji obsługi administracyjnej nie został usunięty.

Więcej informacji o usuwaniu informacji dotyczących udostępniania AMT zawiera temat Jak usunąć informacje AMT.

Szablon jeden certyfikat klienta uwierzytelniania certyfikatów zawsze, gdy jest to praktyczne.

Mimo że można określić różne szablony certyfikatów dla poszczególnych profilów sieci bezprzewodowej, użyj jeden szablon certyfikatu, o ile istnieje potrzeba biznesowa dla różnych ustawień do zastosowania w przypadku różnych sieci bezprzewodowej, określ tylko możliwości uwierzytelniania klienta, a przypisać ten szablon certyfikatu do użycia z Menedżer konfiguracji Zarządzanie poza pasmem.Na przykład w razie potrzeby jednej sieci bezprzewodowej większy rozmiar klucza lub krótszy okres ważności niż innego trzeba Tworzenie szablonu certyfikatu oddzielne.Szablon certyfikatu pojedynczy umożliwia sterowanie jego użyciu łatwiejsze i chroni przed podniesienie uprawnień.

Upewnij się, że tylko autoryzowani użytkownicy z uprawnieniami administracyjnymi wykonać AMT inspekcji akcje i zarządzanie dziennikami inspekcji AMT, zgodnie z potrzebami.

W zależności od wersji AMT Menedżer konfiguracji może zatrzymać zapisywania nowych wpisów w dzienniku inspekcji AMT, gdy prawie pełny lub może zastąpić stare wpisy.Aby upewnić się, że zalogowano się nowych wpisów i stare wpisy nie są zastępowane, okresowo wyczyścić dziennik inspekcji w razie potrzeby i Zapisz wpisy inspekcji.Aby uzyskać więcej informacji na temat zarządzania dziennik inspekcji i monitor inspekcji działania, zobacz Jak zarządzać dziennik inspekcji dla komputerów z systemem AMT w programie Configuration Manager.

Użyj zasady co najmniej uprawnienia i administrowanie oparte na rolach można nadać uprawnienia administracyjne użytkowników do zarządzania komputerami opartym na technologii AMT poza pasmem.

Użyj zdalnego Operator narzędzia roli zabezpieczeń udzielić uprawnień kontroli AMT, które umożliwia wyświetlanie i zarządzanie komputerami przy użyciu poza pasmem management Console, użytkownicy z uprawnieniami administracyjnymi i rozpocząć power kontroli działania z Menedżer konfiguracji konsoli.

Aby uzyskać więcej informacji o uprawnieniach zabezpieczeń, które mogą wymagać do zarządzania na komputerach opartych na technologii AMT, zobacz "Zależności programu Configuration Manager" w Wymagania wstępne dotyczące zarządzania poza pasmem w programie Configuration Manager.

Problemy związane z zabezpieczeniami Zarządzanie poza pasmem

Zarządzanie komputerami opartym na technologii AMT poza pasmem zawiera następujące zagadnienia dotyczące zabezpieczeń:

  • Atakującej może być fałszywe żądanie obsługi administracyjnej, co powoduje utworzenie konta usługi Active Directory.Monitor jednostki Organizacyjnej, w której tworzone są konta AMT, aby upewnić się, czy tylko oczekiwany konta są tworzone.

  • Nie można skonfigurować dostępu do serwera proxy sieci web dla poza punkt obsługi poza pasmem, aby sprawdzić listę odwołania certyfikatów (CRL), które są publikowane w Internecie.Jeśli zostanie włączone, sprawdzanie listy CRL certyfikatu obsługi administracyjnej technologii AMT, i nie można uzyskać dostępu do listy odwołania certyfikatów, poza punkt obsługi poza pasmem nie nie komputerach opartych na technologii AMT zapis.

  • Wyłączyć automatyczne udostępniania AMT są przechowywane na Menedżer konfiguracji klienta, a nie w kwota.Oznacza to, komputer z systemem AMT nadal można Alokacja.Na przykład Menedżer konfiguracji może odinstalować klienta lub komputer może być obsługiwane przez innego produktu zarządzania.

  • Nawet jeśli zostanie wybrana opcja wyłączanie automatycznego udostępniania na komputerze opartym na technologii AMT, poza punkt obsługi poza pasmem akceptuje żądanie obsługi administracyjnej z tego komputera.

Zasady zachowania poufności informacji dla zarządzania poza pasmem

Poza pasmem management console zarządza komputerów, które mają ustawiony mikroukładu vPro Intel i zarządzania Active Intel technologii (Intel AMT) z wersja oprogramowania układowego, który jest obsługiwany przez Menedżer konfiguracji.Menedżer konfiguracji tymczasowo zbiera informacje o konfiguracji komputera i ustawienia, takie jak nazwa komputera, adres IP i adres MAC.Informacje są przesyłane między zarządzanym komputerze i poza pasmem management console przy użyciu zaszyfrowanego kanału.Domyślnie ta funkcja nie jest włączona, a zwykle nie osoby nie są przechowywane po zakończeniu sesji zarządzania.W przypadku włączenia inspekcji AMT, można zapisać informacje dotyczące inspekcji do pliku, który zawiera adres IP komputera z systemem AMT, który jest zarządzany i konta domeny i użytkownika, które przeprowadzone akcji zarządzania Data i godzina.Te informacje nie są wysyłane do firmy Microsoft.

Masz możliwość włączenia Menedżer konfiguracji do wykrywania komputerów z kontrolerami zarządzania, które mogą być zarządzane przez poza pasmem management Console.Odnajdywanie tworzy rekordy dla komputerów zarządzanych i przechowuje je w bazie danych.Rekordów odnajdowania danych zawiera informacje o komputerze, takie jak adres IP, systemu operacyjnego i nazwy komputera.Odnajdywanie kontrolerów zarządzania domyślnie nie jest włączone.Informacje odnajdywania nie są wysyłane do firmy Microsoft.Odnajdywanie informacje są przechowywane w bazie danych lokacji.Informacje są przechowywane w bazie danych do czasu zadania konserwacji witryny Usuwanie danych odnajdywania w wieku usuwa go z interwałem równym co 90 dni.Możesz skonfigurować interwał usuwania.

Przed skonfigurowaniem Zarządzanie poza pasmem, należy wziąć pod uwagę określone wymagania zasady zachowania poufności.