Обеспечение безопасности и конфиденциальности при использовании аппаратного контроллера управления в Configuration Manager
Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Примечание |
|---|
Этот раздел отображается в следующей документации: в руководстве Активы и соответствие в System Center 2012 Configuration Manager и в руководстве Безопасность и конфиденциальность System Center 2012 Configuration Manager. |
В этой статье содержатся сведения о безопасности и конфиденциальности при использовании аппаратного контроллера управления в System Center 2012 Configuration Manager.
Рекомендации по безопасности при использовании аппаратного контроллера управления
При использовании аппаратного контроллера управления на компьютерах с поддержкой технологии Intel AMT придерживайтесь следующих рекомендаций по безопасности.
Рекомендация по безопасности |
Дополнительные сведения |
|---|---|
Заказывайте специализированное встроенное программное обеспечение перед приобретением компьютеров с поддержкой технологии Intel AMT. |
Компьютеры, которые поддерживают использование аппаратного контроллера управления, имеют расширения BIOS, позволяющие задавать настраиваемые значения для значительного повышения уровня безопасности во время работы в сети.Проверьте, какие параметры расширений BIOS предоставил изготовитель компьютера, и укажите требуемые значения.Дополнительные сведения см. в статье Определить, следует ли использовать специальный образ микропрограммы изготовителя компьютера. Если на компьютерах с поддержкой AMT отсутствуют значения встроенного программного обеспечения, которые требуется использовать, можно указать их вручную.Дополнительные сведения о настройке расширений BIOS вручную см. в документации, предоставленной Intel или изготовителем вашего компьютера.Дополнительные сведения см. в разделе Intel vPro Expert Center: Microsoft vPro управляемости.Настройте следующие параметры для повышения уровня безопасности.
|
Контролируйте запрос и установку сертификата инициализации. |
Запрашивайте сертификат инициализации непосредственно с сервера инициализации, используя для этого контекст безопасности компьютера, чтобы сертификат непосредственно устанавливался в хранилище локального компьютера.Если необходимо запросить сертификат с другого компьютера, потребуется экспортировать закрытый ключ, а затем использовать дополнительные меры безопасности при передаче и импорте сертификата в хранилище сертификатов. |
Запрашивайте новый сертификат инициализации до истечения срока действия существующего сертификата. |
Сертификат инициализации AMT с истекшим сроком действия приводит к сбою инициализации.При использовании внешнего ЦС для сертификата инициализации запланируйте дополнительное время на выполнение процесса обновления и повторную настройку точки аппаратного контроллера управления. |
Используйте отдельный шаблон сертификата для подготовки компьютеров, основанных на AMT. |
Если для корпоративного ЦС используется версия Enterprise ОС Windows Server, создайте новый шаблон сертификата путем дублирования шаблона сертификата веб-сервера, используемого по умолчанию. Затем убедитесь, что только группе безопасности, указанной в свойствах компонента аппаратного контроллера управления, предоставлены разрешения на чтение и регистрацию, и не добавляйте дополнительных возможностей к проверке подлинности сервера, используемой по умолчанию. Выделенный шаблон сертификата позволяет более эффективно управлять и контролировать доступ, чтобы предотвратить повышение привилегий.При использовании версии Standard ОС Windows Server для корпоративного ЦС невозможно создать копию шаблона сертификата.В таком случае необходимо добавить разрешения на чтение и регистрацию в группу безопасности, указанную в свойствах компонента аппаратного контроллера управления и удалить все разрешения, которые не требуются. |
Используйте команды включения питания AMT вместо wake-up пакетов. |
Несмотря на то что оба решения поддерживают перевод компьютеров в рабочий режим для установки программного обеспечения, команды включения питания AMT являются более безопасными по сравнению с передачей wake-up пакетов, так как они обеспечивают проверку подлинности и шифрование по стандартным отраслевым протоколам безопасности.С помощью команд включения питания AMT в режиме использования аппаратного контроллера управления это решение может также интегрироваться с существующим развертыванием инфраструктуры открытых ключей (PKI), а мерами безопасности можно управлять независимо от продукта.Дополнительные сведения см. в подразделе “Планирование процедуры перевода клиентов в рабочий режим” статьи Планирование обмена данными с клиентами в Configuration Manager. |
Отключите AMT во встроенном программном обеспечении, если компьютер не подходит для использования аппаратного контроллера управления. |
Даже если компьютеры имеют поддерживаемую версию AMT, в некоторых случаях использование аппаратного контроллера управления будет недоступно.Эти сценарии включают компьютеры рабочей группы, компьютеры, имеющие разные пространства имен и компьютерах, имеющих несвязанного пространства имен. Чтобы обеспечить, что указанные компьютеры с поддержкой AMT не будут публиковаться в доменных службах Active Directory и для них не будет запрошен сертификат PKI, отключите AMT во встроенном программном обеспечении.Инициализация AMT в Configuration Manager обеспечивает создание учетных данных домена для учетных записей, опубликованных в доменных службах Active Directory, что создает риски повышения привилегий, когда компьютеры не входят в лес Active Directory. |
Используйте выделенное подразделение для публикации учетных записей компьютеров с поддержкой AMT. |
Не используйте существующий контейнер или подразделение для публикации учетных записей Active Directory, созданных во время инициализации AMT.Отдельное подразделение позволяет более эффективно управлять и контролировать указанные учетные записи, а также помогает обеспечить предоставление им и серверам сайта только необходимого объема разрешений. |
Предоставьте учетным записям компьютеров на сервере сайта разрешение на запись для подразделения, а также групп "Компьютеры домена" и "Гости домена" в каждом домене, содержащем компьютеры с технологией AMT. |
Помимо выдачи разрешений Создание всех дочерних объектов и Удаление всех дочерних объектов для подразделения и их применения на уровне Только этот объект, предоставьте учетным записям компьютеров на сервере сайта следующие разрешения.
|
Используйте отдельную коллекцию для инициализации AMT. |
Не используйте существующую коллекцию, содержащую больше компьютеров, чем требуется инициализировать для AMT.Вместо этого создайте коллекцию на основе запросов, используя состояние AMT со значением Не инициализировано. Дополнительные сведения о состоянии AMT и способах создания запроса для значения Не инициализировано см. в разделе Состояние AMT и использование аппаратного контроллера управления в Configuration Manager. |
Извлекайте и храните файлы образов надежно при загрузке с альтернативного носителя для использования функции перенаправления IDE. |
При загрузке с альтернативного носителя для использования функции перенаправления IDE по возможности сохраняйте файлы образов на локальном компьютере, где запущена консоль аппаратного контроллера управления.Если необходимо сохранить их в сети, убедитесь, что в подключениях, установленных, чтобы получать файлы по сети, используется подписывание SMB для предотвращения незаконного изменения файлов во время их передачи.В обоих случаях следует обеспечить безопасность сохраненных файлов, чтобы исключить несанкционированный доступ, например путем использования разрешений NTFS и шифрования на уровне файловой системы. |
Получайте и храните файлы журнала аудита AMT в безопасном месте. |
Если вы сохраняете файлы журнала аудита AMT, при каждой возможности размещайте их на локальном компьютере, где запущена консоль аппаратного контроллера управления.Если необходимо сохранить их в сети, убедитесь, что в подключениях, установленных, чтобы получать файлы по сети, используется подписывание SMB для предотвращения незаконного изменения файлов во время их передачи.В обоих случаях следует обеспечить безопасность сохраненных файлов, чтобы исключить несанкционированный доступ, например путем использования разрешений NTFS и шифрования на уровне файловой системы. |
Сведите к минимуму число учетных записей обеспечения AMT и обнаружения. |
Несмотря на то что можно указать несколько учетных записей инициализации AMT и обнаружения, чтобы компонент Configuration Manager обнаруживал компьютеры с management-контроллерами AMT и инициализировал их для использования аппаратного контроллера управления, не указывайте учетные записи, которые не требуются в данный момент, и удаляйте все ненужные учетные записи.Укажите только те учетные записи, которые требуются для работы, чтобы гарантировать, что они не получат больше разрешений, чем им необходимо, и сократить нецелесообразный сетевой трафик и процессы обработки.Дополнительные сведения об инициализации AMT и обнаружения учетной записи см. в разделе Шаг 5. Настройка компонента использования аппаратного контроллера управления. |
Для обеспечения непрерывного обслуживания укажите учетную запись пользователя в качестве учетной записи удаления данных инициализации AMT и убедитесь в том, что данная учетная запись пользователя также указана в качестве учетной записи пользователя AMT. |
Учетная запись удаления данных инициализации AMT помогает обеспечить непрерывность обслуживания в случае, если необходимо восстановить сайт Configuration Manager.После восстановления сайта отправьте запрос и настройте новый сертификат инициализации AMT, используйте учетную запись инициализации AMT и удаления, чтобы удалить сведения об инициализации с компьютеров с поддержкой AMT, после чего инициализируйте компьютеры заново. Кроме того, вам может быть доступно использование этой учетной записи в случае, если компьютер с поддержкой AMT повторно назначен с другого сайта и сведения об инициализации не были удалены. Дополнительные сведения об удалении сведений о подготовке AMT см. в статье Удаление сведений AMT. |
По возможности используйте единый шаблон сертификата для создания сертификатов проверки подлинности клиентов. |
Несмотря на то что можно указать разные шаблоны сертификатов для каждого из профилей беспроводной связи, используйте единый шаблон сертификата за исключением случая, когда для компании требуется использовать разные параметры для разных беспроводных сетей, укажите только возможность проверки подлинности клиентов и выделите этот шаблон сертификата для работы с аппаратным контроллером управления Configuration Manager.Например, если в одной беспроводной сети требуются ключи увеличенного размера или сокращенный срок действия по сравнению с другой, потребуется создать отдельный шаблон сертификата.Единый шаблон сертификата упрощает контроль над его использованием и помогает защититься от повышения привилегий. |
Убедитесь, что только авторизованные пользователи выполняют действия по аудиту AMT и управляют журналами аудита AMT в соответствии с требованиями. |
В зависимости от версии AMT Configuration Manager может остановить внесение новых записей в журнал аудита AMT, если он практически заполнен, или может перезаписать старые записи.Чтобы обеспечить регистрацию новых записей и предотвратить перезапись старых данных, регулярно очищайте журнал аудита по мере необходимости и сохраняйте записи аудита.Дополнительные сведения об управлении журналом аудита и мониторинге действий аудита см. в разделе Управление журналом аудита для AMT-компьютеров в Configuration Manager. |
Используйте принцип наименьших привилегий и ролевое администрирование, чтобы предоставить пользователям разрешения на использование аппаратного контроллера управления на компьютерах с поддержкой технологии AMT. |
Используйте роль безопасности Оператор средств удаленного управления, чтобы предоставить пользователям разрешение уровня "Управление AMT", которое позволяет им просматривать и управлять компьютерами с помощью консоли аппаратного контроллера управления и выполнять с консоли Configuration Manager действия по управлению питанием. Дополнительные сведения о разрешениях системы безопасности, которые могут потребоваться для управления компьютерами с поддержкой технологии AMT, см. подраздел “Зависимости Configuration Manager” в подразделе Проверка готовности к использованию аппаратного контроллера управления в Configuration Manager. |
Вопросы безопасности при использовании аппаратного контроллера управления
Использование аппаратного контроллера управления на компьютерах с поддержкой технологии AMT предполагает рассмотрение следующих вопросов безопасности.
Злоумышленник может подделать запрос на инициализацию, что приводит к созданию учетной записи Active Directory.Отслеживайте подразделение, где создаются учетные записи AMT, чтобы обеспечить создание только требуемых учетных записей.
Чтобы проверить список отзыва сертификатов, опубликованный в Интернете, невозможно настроить доступ к веб-прокси для точки обслуживания аппаратного контроллера управления.Если такая проверка включена для сертификата инициализации AMT и список отзыва сертификатов недоступен, точка обслуживания аппаратного контроллера управления не инициализирует компьютеры с поддержкой технологии AMT.
Параметр для отключения автоматической инициализации AMT хранится на клиенте Configuration Manager, а не в AMT.Это означает, что компьютер с поддержкой технологии AMT по-прежнему можно инициализировать.Например, клиент Configuration Manager можно удалить или компьютер можно инициализировать с помощью другого продукта управления.
Даже если для компьютера с поддержкой технологии AMT выбран параметр отключения автоматической инициализации, точка обслуживания аппаратного контроллера управления принимает запрос на инициализацию с этого компьютера.
Сведения о соблюдении конфиденциальности при использовании аппаратного контроллера управления
Консоль аппаратного контроллера управления управляет компьютерах с набором микросхем Intel vPro и технологией Intel Active Management Technology (Intel AMT) версии встроенного по, который поддерживается модулем Configuration Manager.Configuration Manager временно собирает сведения о конфигурации компьютера и параметры, такие как имя компьютера, IP-адреса и MAC-адрес.Информация передается между управляемым компьютером и консолью аппаратного контроллера управления по зашифрованному каналу.По умолчанию эта возможность отключена и, как правило, после окончания сеанса управления никаких данных не сохраняется.Если аудит AMT включен, можно сохранить информацию аудита в файл, содержащий IP-адрес управляемого компьютера с поддержкой технологии AMT, а также домен и учетную запись пользователя, выполнившего операцию управления с зарегистрированной датой и временем.Указанные сведения не отправляются в корпорацию Майкрософт.
Доступна возможность включения Configuration Manager, чтобы обнаружить компьютеры с management-контроллерами, которыми можно управлять на консоли аппаратного контроллера управления.Функция обнаружения создает записи об управляемых компьютерах и сохраняет их в базе данных.Записи данных обнаружения содержат сведения о компьютерах, такие как IP-адрес, операционная система и имя компьютера.По умолчанию обнаружение management-контроллеров отключено.Сведения об обнаружении не отправляются в корпорацию Майкрософт.Они сохраняются в базе данных сайта.Информация хранится в базе данных до тех пор, пока не будет удалена при выполнении задачи обслуживания сайта Удаление устаревших данных обнаружения каждые 90 дней.Можно настроить интервал удаления.
Перед настройкой использования аппаратного контроллера управления рассмотрите требования к обеспечению конфиденциальности.