在 Configuration Manager 中部署作業系統的安全性和隱私權

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

本主題包含 System Center 2012 Configuration Manager 中作業系統部署的安全性與隱私權資訊。

當您用 Configuration Manager 部署作業系統時,可使用下列安全性最佳作法:

安全性最佳作法

詳細資訊

實作存取控制以保護可開機媒體

建立可開機媒體時,永遠指派密碼以保護媒體。 然而,即使使用密碼,只會將包含機密資訊的檔案加密,而且會覆寫所有檔案。

控制對媒體的實體存取,以防止攻擊者利用密碼編譯攻擊來取得用戶端驗證憑證。

System_CAPS_note注意事項

在 Configuration Manager SP1 中,為協助防止用戶端安裝已遭竄改的內容或用戶端原則,內容須進行雜湊,並與原始原則搭配使用。 如果內容雜湊失敗,或確認內容符合原則時,用戶端就不會使用可開機媒體。 只有內容雜湊,原則未雜湊,不過當指定密碼時,就會進行加密及保全,讓攻擊者更難成功修改原則。

建立用於作業系統映像的媒體時可使用安全的位置

如果未被授權的使用者具有該位置的存取權,他們就能竄改您建立的檔案,也可使用所有可用磁碟空間,因而造成建立操作失敗。

使用強式密碼保護憑證檔案 (.pfx)。如果您將這些檔案儲存在網路上,請在將檔案匯入到 Configuration Manager 時,先確保網路通道的安全。

使用密碼來匯入用於可開機媒體的用戶端驗證憑證時,有助於保護憑證,使其免受攻擊者的攻擊。

在網路位置和站台伺服器之間使用 SMB 簽署或 IPsec,以防止攻擊者竄改憑證檔案。

如果用戶端憑證遭到洩露,此時可封鎖 Configuration Manager 的憑證,如果是 PKI 憑證,則可將它撤銷。

若要使用可開機媒體和 PXE 開機部署作業系統,您必須擁有含私密金鑰的用戶端憑證。 如果該憑證遭到入侵,請在 [系統管理] 工作區的 [憑證] 節點、[安全性] 節點封鎖憑證。

如需封鎖憑證及撤銷憑證之間差異的詳細資訊,請參閱封鎖用戶端與撤銷用戶端憑證的比較

當 SMS 提供者在電腦而不是在站台伺服器時,請保護通訊通道以保護開機映像

當開機映像遭到修改,且 SMS 提供者正在非站台伺服器的伺服器上執行時,開機映像很容易遭到攻擊。 使用 SMB 簽署或 IPsec,可保護這些電腦之間的網路通道。

啟用只在安全網路區段之 PXE 用戶端通訊的發佈點

當用戶端傳送 PXE 開機要求時,您無法確保有效支援 PXE 的發佈點會回應該要求。 此案例具有以下安全性風險:

  • 回應 PXE 要求的 rogue 發佈點,可提供遭竄改的映像給用戶端。

  • 攻擊者可能針對 PXE 使用的 TFTP 通訊協定啟動攔截式攻擊,並隨作業系統檔案傳送惡意程式碼,或可能建立 rogue 用戶端,直接對發佈點做出 TFTP 要求。

  • 攻擊者可能利用惡意用戶端來啟動一項針對發佈點的服務攻擊回絕行動。

利用全面性防禦保護網路區段,而用戶端將會在該區段存取 PXE 要求的發佈點。

System_CAPS_warning警告

基於這些安全性風險,若 PXE 通訊的發佈點是不受任信的網路 (如周邊網路) 時,請勿啟用該發佈點。

設定支援 PXE 的發佈點只在指定的網路介面回應 PXE 要求

如果您允許發佈點在所有網路介面上回應 PXE 要求,此設定可能會對不受信任網域公開 PXE 服務

要求輸入密碼以將 PXE 開機

如果您要求輸入密碼以將 PXE 開機,此設定可為 PXE 開機程序增加一道額外的安全性等級,以防止 rogue 用戶端加入 Configuration Manager 階層。

請勿將包含機密資料的商務營運應用程式或軟體納入將會用於 PXE 開機或多點傳送的映像中

由於固有的安全性風險與 PXE 開機及多點傳送息息相關,如果 rogue 電腦下載了作業系統映像時,即需降低風險。

請勿將包含機密資料的商務營運應用程式或軟體納入使用工作順序變數安裝的軟體套件中

當您使用工作順序變數部署軟體套件時,軟體可能會安裝在電腦上,並安裝到未被授權接收該軟體的使用者。

當您移轉使用者狀態時,請使用 SMB 簽署或 IPsec 保護用戶端和狀態移轉點之間的網路通道

透過 HTTP 初始連線後,會使用 SMB 傳送使用者狀態移轉資料。 如果您未保護網路通道,攻擊者就可以讀取及修改此資料。

使用 Configuration Manager 所支援的最新版使用者狀態移轉工具 (USMT)

最新版的 USMT 提供安全性增強功能,並且對於移轉使用者狀態資料時會有更好的控制。

在狀態移轉點上,當資料夾已解除委任時手動刪除資料夾

當您移除 Configuration Manager 主控台之狀態移轉點內容上的狀態移轉點資料夾時,並不會刪除實體資料夾。 若要防止使用者狀態移轉資料外洩,您必須手動移除網路共用,並刪除資料夾。

請勿將刪除原則設定為將使用者狀態立即刪除

如果您設定狀態移轉點上的刪除原則以移除標記為立即刪除的資料,以及如果攻擊者比有效的電腦先擷取到使用者狀態資料時,便會立即刪除使用者狀態資料。 設定足夠的 [保留時間] 間隔,以確認成功還原使用者狀態資料。

當完成並確認使用者狀態移轉資料還原時,手動刪除電腦關聯

Configuration Manager 不會自動移除電腦關聯。 手動刪除不再需要的電腦關聯,有助於保護使用者狀態資料的身分識別。

手動備份狀態移轉點上的使用者狀態移轉資料

Configuration Manager 備份不包含使用者狀態移轉資料。

請記得在安裝作業系統後啟用 BitLocker

如果電腦有支援 BitLocker 時,若要安裝無人看管的作業系統,您必須藉由使用工作順序步驟將它停用。 在安裝作業系統後,Configuration Manager 並未啟用 BitLocker,因此您必須手動重新啟用 BitLocker。

實作存取控制以保護預先設置的媒體

控制對媒體的實體存取,防止攻擊者利用密碼編譯攻擊來取得用戶端驗證憑證和機密資料。

實作存取控制以保護參照電腦影像處理

請確定用於擷取作業系統映像的參照電腦位於具備適當存取控制的安全環境中,如此一來,未預期的或惡意軟體就不會被安裝及不經意地包含在擷取的映像中。 擷取映像時,請務必確定目的地網路檔案共用位置是安全的,如此一來,映像在經擷取後便不會遭到竄改。

在參照電腦上一律安裝最新的安全性更新程式

當參照電腦有最新的安全性更新程式時,就能減少新電腦第一次啟動時的漏洞。

如果一定要將作業系統部署到未知電腦,請執行存取控制以防止未經授權的電腦與網路連線。

雖然佈建未知電腦能提供便利方法,以依需求部署新電腦,但其也讓攻擊者有效變成您網路上的受信任用戶端。 限制實體存取網路,以及監視用戶端以偵測未經授權的電腦。 同時,電腦若回應 PXE 起始的作業系統部署,可能會讓所有資料在作業系統部署期間損毀,造成不經意重新格式化的系統無法使用。

啟用多點傳送套件加密

對於每個作業系統部署套件,您都可以在 Configuration Manager 利用多點傳送功能傳送套件時,選擇啟用加密。 這項設定有助於防止 rogue 電腦加入多點傳送工作階段,且可防止攻擊者竄改傳輸。

監視未經授權之啟用多點傳送發佈點

如果攻擊者能夠取得您的網路存取權,就可以設定 rogue 多點傳送伺服器來詐騙作業系統部署。

將工作順序匯出到網路位置時,保護位置和網路通道的安全

限制誰可以存取網路資料夾。

在網路位置和站台伺服器之間使用 SMB 簽署或 IPsec,以防止攻擊者竄改匯出的工作順序。

對於 System Center 2012 R2 Configuration Manager 及更新版本:

當您將虛擬硬碟上傳到 Virtual Machine Manager 時,須確保通訊通道的安全。

在透過網路進行傳送資料時,若要避免資料遭到竄改,請在執行 Configuration Manager 主控台的電腦及執行 Virtual Machine Manager 的電腦之間,使用網際網路通訊協定安全性 (IPsec) 或伺服器訊息區 (SMB)。

如果必須使用工作順序執行身分帳戶,請採取其他安全預防措施

如果您使用工作順序執行身分帳戶,請採取以下預防性步驟:

  • 使用具最小權限的帳戶。

  • 勿對此帳戶使用網路存取帳戶。

  • 永不使帳戶成為網域系統管理員。

其他情況:

  • 永不設定此帳戶的漫遊設定檔。 工作順序在執行時,會下載帳戶的漫遊設定檔,讓設定檔在本機電腦上容易��取。

  • 限制帳戶的範圍。 例如,為每一個工作順序建立不同的工作順序執行身分帳戶,在此情況下,若一個帳戶遭到洩露,只有該帳戶能存取的用戶端電腦會遭到洩露。 如果命令列需要電腦的管理權限,請考慮在將執行該工作順序的所有電腦上,為工作順序執行身分帳戶單獨建立一個本機管理員帳戶,如果不再需要了,就可刪除該帳戶。

限制並監視被授與作業系統部署管理員安全性角色的系統管理使用者

被授與作業系統部署管理員安全性角色的系統管理使用者,可以建立自我簽署憑證,之後可用該憑證模擬用戶端,以及從 Configuration Manager 取得用戶端原則。

雖然作業系統部署是為您網路上的電腦部署最安全作業系統和設定的簡便方法,卻有下列安全性風險:

  • 洩漏資訊與阻斷服務

    如果攻擊者可取得您的 Configuration Manager 基礎結構控制權,就可以執行任何的工作順序,包括將所有用戶端電腦的硬碟格式化。 工作順序可以設定為包含機密資料,例如具備加入網域權限和磁碟區授權識別碼的帳戶。

  • 模擬和提高權限

    工作順序可將電腦加入網域,其可提供 rogue 電腦已驗證的網路存取權。 另一項對於作業系統部署的重要安全性考量是要保護用於可開機媒體及 PXE 開機部署的用戶端驗證憑證。 當您擷取用戶端驗證憑證時,便是給予攻擊者取得憑證私密金鑰,然後模擬網路上有效用戶端的機會。

    如果攻擊者取得用於可開機工作順序媒體及 PXE 開機部署的用戶端憑證,那麼此憑證便可用於對 Configuration Manager 模擬有效用戶端。 在此案例中,rogue 電腦可下載包含機密資料的原則。

    如果用戶端使用網路存取帳戶來存取儲存在狀態移轉點上的資料,這些用戶端便可有效地共用相同的身分識別,並可存取來自另一個使用網路存取帳戶之用戶端的狀態移轉資料。 資料會經過加密,因此只有原始用戶端可以讀取該資料,但資料有可能遭到竄改或刪除。

  • 在沒有 Service Pack 的 Configuration Manager 中,狀態移轉點不使用驗證。

    在沒有 Service Pack 的 Configuration Manager 中,狀態移轉點不驗證連線,所以任何人都可以傳送資料到狀態移轉點,也可以擷取儲存在其中的資料。 雖然只有原始電腦可以讀取已擷取的使用者狀態資料,也不能將其視為安全資料。

    在 Configuration Manager SP1 中,對狀態移轉點的用戶端驗證是使用由管理點核發的 Configuration Manager 權杖完成。

    此外,Configuration Manager 不會限制或管理儲存在狀態移轉點上的資料量,攻擊者可能會填滿可用的磁碟空間並造成阻絕服務。

  • 如果您使用集合變數,本機系統管理員可以讀取潛在的敏感資訊。

    雖然集合變數有彈性方法以部署作業系統,這可能會造成資訊洩漏。

除了將作業系統部署至沒有作業系統的電腦之外,還可以使用 Configuration Manager 將使用者檔案與設定從一台電腦移轉到另一台電腦。 系統管理員會設定要傳輸的資訊,包括個人資料檔案、組態設定以及瀏覽器 Cookie。

資訊會儲存在狀態移轉點上,並會在傳輸與儲存期間加密。 系統允許與狀態資訊相關的新電腦擷取資訊。 如果新電腦遺失用來擷取資訊的金鑰,在電腦關聯執行個體物件上具有「檢視復原資訊」權限的 Configuration Manager 系統管理員可存取該資訊,並將其與新電腦相關聯。 新電腦還原狀態資訊之後,就會根據預設值在一天之後刪除資料。 您可以設定狀態移轉點何時移除標示為可刪除的資料。 狀態移轉資訊不會儲存在站台資料庫中,且不會傳送到 Microsoft。

如果您使用開機映像部署作業系統映像,請一律使用預設選項以透過密碼來保護開機媒體。 密碼會加密儲存在工作順序內的任何變數,但未儲存在變數內的所有資訊則會有外洩的風險。

作業系統部署可以使用工作順序在部署程序期間執行許多不同的工作,包括安裝應用程式與軟體更新。 設定工作順序時,您還必須注意安裝軟體所產生的隱私權問題。

如果您將虛擬硬碟上傳到 Virtual Machine Manager,但未先使用 Sysprep 清理映像,上傳的虛擬硬碟可能會包含原始映像中的個人資料。

Configuration Manager 不會根據預設實作作業系統部署,而且在收集使用者狀態資訊或建立工作順序或開機映像之前,需要數個設定步驟。

設定作業系統部署之前,請考量您的隱私權需求。

顯示: