Share via

  • Artigo

Segurança e privacidade para gerenciamento fora de banda no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObservação

Este tópico é exibido na nos guias Ativos e conformidade no System Center 2012 Configuration Manager e Segurança e privacidade no System Center 2012 Configuration Manager.

Este tópico contém informações de segurança e privacidade para gerenciamento fora da banda em System Center 2012 Configuration Manager.

Práticas recomendadas de segurança para gerenciamento fora da banda

Use as seguintes práticas recomendadas de segurança ao gerenciar computadores Intel AMT fora da banda.

Prática recomendada de segurança

Mais informações

Solicite o firmware personalizado antes que você compre computadores baseados em Intel AMT.

Os computadores que podem ser gerenciados fora da banda têm extensões do BIOS que podem definir valores personalizados para aumentar significativamente a segurança quando esses computadores estão na rede.Verifique as configurações de extensão do BIOS estão disponíveis do fabricante do computador e especificar os valores.Para obter mais informações, consulte Determine se deseja usar uma imagem personalizada do Firmware do fabricante do computador.

Se seus computadores AMT não tiver os valores de firmware que você deseja usar, você poderá especificá-los manualmente.Para obter mais informações sobre como configurar manualmente as extensões do BIOS, consulte a documentação da Intel ou a documentação do fabricante do computador.Para obter informações adicionais, consulte Intel vPro Expert Center: Microsoft vPro gerenciabilidade.Personalize as opções a seguir para aumentar a segurança:

  • Substitua todas as impressões digitais de certificados de autoridades de certificação (CAs) com a impressão digital do certificado da autoridade de certificação interna.Isso impede que o invasor provisionar servidores tentar provisionar os computadores baseados em AMT, e você não precisa comprar provisionamento de certificados de autoridades de certificação externa.

  • Use uma senha personalizada para a conta MEBx para que o valor padrão de admin não é usado.Em seguida, especificar essa senha com provisionamento AMT e conta de descoberta em Gerenciador de Configurações.Isso impede que o invasor provisionar servidores tentar provisionar os computadores baseados em AMT com a senha padrão conhecido.

Controle a solicitação e a instalação do certificado de provisionamento.

Solicite o certificado de provisionamento diretamente do servidor de provisionamento usando o contexto de segurança do computador para que o certificado seja instalado diretamente no armazenamento do computador local.Se você deve solicitar o certificado de outro computador, você precisa exportar a chave privada e, em seguida, usar controles de segurança adicionais quando você transferir e importe o certificado para um repositório de certificados.

Certifique-se de que você solicite um novo certificado de provisionamento antes de expira o certificado existente.

Um certificado de provisionamento AMT expirado resulta em uma falha de provisionamento.Se você estiver usando uma CA externa para seu certificado de provisionamento, permitir mais tempo concluir o processo de renovação e reconfigurar o fora de banda do ponto de gerenciamento.

Use um modelo de certificado dedicado para provisionar computadores AMT.

Se você usar uma versão Enterprise do Windows Server para sua autoridade de certificação, crie um novo modelo de certificado duplicando o modelo de certificado de servidor Web padrão, certifique-se de que apenas o grupo de segurança que você especificar na saída das propriedades do componente de gerenciamento de banda tem permissões de leitura e registro, e não adiciona recursos adicionais para o padrão de autenticação do servidor.

Um modelo de certificado dedicado permite gerenciar e controlar o acesso para ajudar a impedir a elevação de privilégios.Se você tiver uma versão padrão do Windows Server para a autoridade de certificação corporativa, é possível criar um modelo de certificado duplicado.Nesse cenário, ler e registrar as permissões para o grupo de segurança que você especificar na saída das propriedades do componente de gerenciamento de banda e remover qualquer permissão que você não precisa.

Use ativação AMT em comandos em vez de pacotes de ativação.

Embora ambas as soluções oferecer suporte à ativação dos computadores para instalação de software, ativação AMT em comandos são mais segura do que a transmissão de pacotes de ativação porque fornecem autenticação e criptografia usando protocolos de segurança padrão do setor.Usando a ativação AMT em comandos com gerenciamento fora da banda, essa solução também pode integrar com uma implantação existente de infraestrutura de chave pública (PKI) e os controles de segurança podem ser gerenciados independentemente do produto.Para obter mais informações, consulte "Planejando como para ativar clientes" em Planejando comunicação do cliente no Configuration Manager.

Desabilite AMT no firmware, se o computador não tiver suporte para gerenciamento fora da banda.

Mesmo quando baseados em AMT computadores têm uma versão compatível do AMT, existem alguns cenários que não oferece suporte a gerenciamento fora da banda.Esses cenários incluem computadores do grupo de trabalho, computadores que têm um namespace diferente e computadores que têm um namespace separado.

Para garantir que esses computadores AMT não são publicadas nos serviços de domínio Active Directory e não tem um certificado PKI solicitado para eles, desabilite AMT no firmware.Provisionamento AMT em Gerenciador de Configurações cria as credenciais de domínio para as contas publicadas no Active Directory Domain Services, que corre o risco de elevação de privilégios quando os computadores não fazem parte da sua floresta do Active Directory.

Use uma UO dedicada para publicar as contas de computador AMT.

Não use um contêiner existente ou uma unidade organizacional (UO) para publicar as contas do Active Directory que são criadas durante o provisionamento AMT.Um separado OU permite que você gerenciar e controlar melhor a essas contas e ajuda a garantir que essas contas e servidores do site não são concedidas mais permissões do que eles exigem.

Permitir que as contas de computador do servidor de site permissão de gravação para a unidade Organizacional, o grupo computadores do domínio e o grupo de convidados do domínio em cada domínio que contenha computadores AMT.

Além de permitir que o servidor do site contas de computador criar todos os objetos filho e Excluir todos os objetos filho permissões para a UO e aplique a apenas este objeto, conceda as seguintes permissões para o servidor do site contas de computador:

  • Para a UO: Gravar todas as propriedades permissão e aplicar a esse objeto e todos os descendentes.

  • Para o grupo de computadores do domínio: Gravar todas as propriedades permissão e aplicar a apenas este objeto.

  • Para o grupo de convidados do domínio: Gravar todas as propriedades permissões e aplicar a apenas este objeto.

Use uma coleção dedicada para provisionamento AMT.

Não usar uma coleção existente que contém mais computadores que você deseja configurar para AMT.Em vez disso, crie uma coleção com base em consulta usando o status AMT de não provisionado.

Para obter mais informações sobre o Status AMT e como construir uma consulta para não provisionado, consulte Sobre o Status AMT e gerenciamento fora da banda no Configuration Manager.

Recuperar e armazenar arquivos de imagem com segurança ao inicializar a partir de mídia alternativos para usar a função de redirecionamento de IDE.

Quando você inicializar a partir de mídia alternativos para usar a função de redirecionamento de IDE, sempre que possível, armazene os arquivos de imagem localmente no computador que executa o fora de banda do console de gerenciamento.Se você precisar armazená-los na rede, certifique-se de que conexões para recuperar os arquivos pela rede usar assinatura SMB para ajudar a impedir que os arquivos sejam violados durante a transferência de rede.Em ambos os cenários, proteger os arquivos armazenados para ajudar a evitar acesso não autorizado, por exemplo, usando permissões NTFS e o sistema de arquivos criptografados.

Recuperar e armazenar arquivos de log de auditoria AMT com segurança.

Se você salvar AMT fazer auditoria em arquivos de log, sempre que possível, armazene os arquivos localmente no computador que está executando o fora de banda do console de gerenciamento.Se você precisar armazená-los na rede, certifique-se de que conexões para recuperar os arquivos pela rede usar assinatura SMB para ajudar a impedir que os arquivos sejam violados durante a transferência de rede.Em ambos os cenários, proteger os arquivos armazenados para ajudar a evitar acesso não autorizado, por exemplo, usando permissões NTFS e o sistema de arquivos criptografados.

Minimize o número de contas de descoberta e provisionamento AMT.

Embora você possa especificar vários provisionamento AMT e contas de descoberta para que Gerenciador de Configurações pode descobrir computadores que possuem controladores de gerenciamento AMT e provisioná-los para o gerenciamento fora da banda, não especificar contas que não são necessárias no momento e exclua as contas que não são mais necessárias.Especifique apenas as contas que você precisa para ajudar a garantir que essas contas não são concedidas mais permissões do que exigem e reduzir o processamento e o tráfego de rede desnecessário.Para obter mais informações sobre o provisionamento AMT e conta de descoberta, consulte Etapa 5: Configurando a saída do componente de gerenciamento de banda.

Continuidade do serviço, especifique uma conta de usuário como a conta de remoção de provisionamento AMT e assegure-se de que essa conta de usuário também é especificada como uma conta de usuário AMT.

A conta de remoção de provisionamento AMT ajuda a garantir a continuidade do serviço se você precisar restaurar o Gerenciador de Configurações site.Depois de restaurar o site, solicitar e configurar um novo certificado de provisionamento AMT, use o provisionamento AMT e conta de remoção para remover informações de provisionamento de computadores AMT e, em seguida, Reprovisionar computadores.

Você também poderá usar essa conta, se um computador baseado em AMT foi reatribuído de outro site e as informações de provisionamento não foi removidas.

Para obter mais informações sobre como remover as informações de provisionamento de AMT, consulte Como remover informações de AMT.

Use um modelo único certificado para certificados de autenticação de cliente sempre que for prático.

Embora você possa especificar modelos de certificado diferente para cada um dos perfis sem fio, use um único modelo de certificado a menos que você tenha um requisito comercial para diferentes configurações a serem usadas para diferentes redes sem fio, especifique apenas o recurso de autenticação de cliente e dedicar este modelo de certificado para uso com Gerenciador de Configurações gerenciamento fora da banda.Por exemplo, se uma rede sem fio necessário um maior tamanho de chave ou o período de validade menor que outro, você precisaria criar um modelo de certificado separado.Um modelo de certificado único permite que você controle o seu uso mais fácil e protege contra elevação de privilégios.

Garantir que somente usuários autorizados administrativos executem AMT ações de auditoria e gerenciar os logs de auditoria AMT conforme necessário.

Dependendo da versão do AMT, Gerenciador de Configurações pode parar de escrever novas entradas no log de auditoria AMT quando ele está quase cheio ou pode substituir as entradas antigas.Para garantir que as novas entradas são registradas e as entradas antigas não são substituídas, periodicamente limpar o log de auditoria, se necessário e salve as entradas de auditoria.Para obter mais informações sobre como gerenciar o log de auditoria e monitorar as atividades de auditoria, consulte Como gerenciar o Log de auditoria para computadores AMT no Configuration Manager.

Use o princípio de menos privilégios e administração baseada em funções para conceder permissões a usuários administrativos para gerenciar computadores AMT fora da banda.

Use o operador de ferramentas remoto a função de segurança para conceder aos usuários administrativos a permissão de controlar AMT, que permite exibir e gerenciar computadores usando o fora de banda do console de gerenciamento, e iniciar ações de controle de energia do Gerenciador de Configurações console.

Para obter mais informações sobre as permissões de segurança que você pode precisar para gerenciar computadores AMT, consulte "Dependências do Configuration Manager" em Pré-requisitos para gerenciamento fora de banda no Configuration Manager.

Problemas de segurança para gerenciamento fora da banda

Gerenciar computadores AMT fora da banda tem os seguintes problemas de segurança:

  • Um invasor pode forjar uma solicitação de provisionamento, que resulta na criação de uma conta do Active Directory.Monitore a UO em que as contas AMT são criadas para garantir que apenas as contas esperadas são criadas.

  • É possível configurar o acesso ao proxy web para o ponto fora da banda service para verificar a lista de certificados revogados (CRL) que é publicada na Internet.Se você habilitar a verificação de CRL para o certificado de provisionamento AMT e a CRL não pode ser acessada, a ponto fora da banda serviço faz não provisionar computadores AMT.

  • A opção de desabilitar o provisionamento automático de AMT é armazenada na Gerenciador de Configurações cliente e não no AMTIsso significa que o computador AMT ainda pode ser provisionado.Por exemplo, o Gerenciador de Configurações cliente poderá ser desinstalado ou o computador pode ser provisionado por outro produto de gerenciamento.

  • Mesmo que você selecione a opção para desativar o provisionamento automático para um computador baseado em AMT, a ponto fora da banda serviço aceita uma solicitação de provisionamento do computador.

Informações de privacidade para gerenciamento fora da banda

A saída do console de gerenciamento de banda gerencia computadores que tenham o chip do Intel vPro definida e Intel Active Management Technology (Intel AMT) com uma versão de firmware com suporte Gerenciador de Configurações.Gerenciador de Configurações temporariamente coleta informações sobre a configuração do computador e as configurações, como o nome do computador, o endereço IP e o endereço MAC.Informações são transferidas entre o computador gerenciado e fora do console de gerenciamento de banda usando um canal criptografado.Por padrão, esse recurso não está habilitado e normalmente nenhuma informação é mantida após o término da sessão de gerenciamento.Se você habilitar a auditoria AMT, você pode salvar as informações de auditoria para um arquivo que inclui o endereço IP do computador baseado em AMT que é gerenciado e a conta de domínio e de usuário que executou a ação de gerenciamento na data de gravação e hora.Essas informações não são enviadas à Microsoft.

Você tem a opção para habilitar Gerenciador de Configurações para descobrir computadores com controladores de gerenciamento que podem ser gerenciados por fora do console de gerenciamento de banda.Descoberta cria registros para os computadores gerenciáveis e os armazena no banco de dados.Registros de descoberta de dados contêm informações do computador, como o endereço IP, o sistema operacional e o nome do computador.Por padrão, a descoberta de controladores de gerenciamento não está habilitada.As informações de descoberta não são enviadas à Microsoft.Informações de descoberta são armazenadas no banco de dados do site.As informações são retidas no banco de dados até que a tarefa de manutenção do site Excluir dados antigos de descoberta exclui-lo em intervalos de cada 90 dias.Você pode configurar o intervalo de exclusão.

Antes de configurar o gerenciamento fora da banda, considere os requisitos de privacidade.