安全性與隱私權的頻外管理 Configuration Manager 中
適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") 注意事項 |
|---|
本主題顯示於System Center 2012 Configuration Manager 中的資產與相容性指南和 System Center 2012 Configuration Manager 的安全性和隱私權指南中。 |
本主題包含安全性與隱私權的資訊以頻外管理 System Center 2012 Configuration Manager。
安全性最佳作法頻外管理
當您管理 Intel AMT 電腦超出範圍時使用下列安全性最佳作法。
安全性最佳作法 |
詳細資訊 |
|---|---|
之前購買 Intel 金額為基礎的電腦要求自訂的韌體。 |
可以頻外管理的電腦有 BIOS 設定來大幅提高安全性時這些電腦是在網路上的自訂的值的延伸模組。選取哪些 BIOS 延伸模組的設定都是從您的電腦製造商,並指定您自己的值。如需詳細資訊,請參閱判斷是否要使用您的電腦製造商韌體自訂映像。 如果您以金額為基礎的電腦沒有您想要使用的韌體值,您可以手動加以指定。如需手動設定 BIOS 延伸模組的詳細資訊,請參閱 Intel 文件或向電腦製造商的文件。如需詳細資訊,請參閱 Intel vPro Expert Center:Microsoft vPro 管理能力。自訂下列選項來增加您的安全性:
|
控制要求和佈建的憑證安裝。 |
要求直接從佈建伺服器佈建憑證以便直接在本機電腦存放區安裝憑證使用電腦的安全性內容。如果您必須從另一部電腦要求憑證,您必須匯出私密金鑰],然後使用其他的安全性控制當您傳送並將憑證匯入憑證存放區。 |
請確定您有現有的憑證到期之前要求新的佈建憑證。 |
過期的金額佈建憑證會導致佈建失敗。如果您使用外部 CA 佈建的憑證,允許更多時間才能完成更新程序並重新設定不足的頻外管理點。 |
佈建 AMT 型電腦使用專用的憑證範本。 |
如果您是的使用 Windows Server 的 Enterprise 版本您的企業 CA,建立新的憑證範本所複製預設網頁伺服器憑證範本,確保只有您在外的頻外管理組件屬性中指定的安全性群組已讀取 」 和 「 註冊權限並不會加入為預設的伺服器驗證的其他功能。 專用的憑證範本可讓您更妥善管理和控制來協助防止提升權限的存取。如果您有標準的 Windows Server 版本為企業 CA,您無法建立重複的憑證範本。在此案例中,您必須加入讀取和註冊到您在外的頻外管理組件屬性中指定的安全性群組的權限和移除您不需要任何權限。 |
在命令中,而不是喚醒封包會使用 AMT 電源。 |
雖然這兩種解決方案支援喚醒電腦以進行軟體安裝,AMT 電源命令是比傳輸喚醒封包因為它們會使用標準的業界安全性通訊協定提供驗證和加密更安全。藉由使用命令以頻外管理 AMT 電源,這個解決方案也可以利用現有的公開金鑰基礎結構 (PKI) 部署、 整合和安全性控制項可以分開管理從產品。如需詳細資訊請參閱 「 規劃如何以喚醒向上用戶端 」 中 規劃 Configuration Manager 的用戶端通訊。 |
停用 AMT 韌體如果電腦不支援頻外管理。 |
即使金額為基礎的電腦具有支援的 AMT 版本、 有一些不支援的頻外管理案例。這些案例包括工作群組電腦、 電腦具有不同的命名空間,以及在脫離的命名空間的電腦。 若要確保這些金額為基礎的電腦不會發佈到 Active Directory 網域服務並沒有要求的這些 PKI 憑證,停用在韌體中的金額。AMT 佈建在 Configuration Manager 建立發佈到 Active Directory 網域服務,當電腦不屬於 Active Directory 樹系風險提高權限的帳戶的網域認證。 |
若要發行以金額為基礎的電腦帳戶使用專用的 OU。 |
請勿使用現有的容器或組織單位 (OU) 來發佈 AMT 佈建期間建立的 Active Directory 帳戶。另一個 OU 可讓您管理及進一步控制這些帳戶和有助於確保的站台伺服器以及這些帳戶不會授與比所需的權限。 |
OU、 網域電腦群組與 Domain Guests 群組包含金額為基礎的電腦每個網域中的寫入權限可讓站台伺服器電腦帳戶。 |
除了允許站台伺服器電腦帳戶 建立所有子物件 和 刪除所有子物件 ou 的權限與套用至 只有這個物件, ,允許站台伺服器的下列權限的電腦帳戶:
|
AMT 佈建使用專用的集合。 |
不使用現有的集合包含更多的電腦比您想要為 AMT.佈建反而是建立以查詢為基礎的集合所使用的 AMT 狀態 不會佈建。 如需有關 AMT 狀態以及如何建構查詢 不會佈建, ,請參閱 關於 AMT 狀態和頻外管理 Configuration Manager 中的向外。 |
擷取和當您從使用 IDE 重新導向函式替代媒體開機時安全地儲存影像檔。 |
當您從 IDE 重新導向函式,請盡可能使用替代媒體開機時,將映像檔案儲存在本機上執行的頻外管理主控台的電腦。如果您必須將它們儲存在網路上,請確定連接擷取的檔案在網路上使用 SMB 簽章來協助防止遭人竄改網路傳輸期間的檔案。在這兩種情況下,安全來協助防止未經授權的存取、 使用 NTFS 權限和加密的檔案系統儲存的檔案。 |
擷取並安全地儲存 AMT 稽核記錄檔。 |
如果您儲存 AMT 稽核記錄檔、 盡可能,,儲存執行不足的頻外管理主控台的電腦本機上的檔案。如果您必須將它們儲存在網路上,請確定連接擷取的檔案在網路上使用 SMB 簽章來協助防止遭人竄改網路傳輸期間的檔案。在這兩種情況下,安全來協助防止未經授權的存取、 使用 NTFS 權限和加密的檔案系統儲存的檔案。 |
AMT 佈建和探索帳戶數目降到最低。 |
雖然您可以指定多個 AMT 佈建和探索帳戶以便 Configuration Manager 可以探索有 AMT 管理控制站和佈建這些電腦進行頻外管理、 執行未指定不需要目前的帳戶和刪除不再需要的帳戶的電腦。指定您需要以協助確保這些帳戶不會授與比所需的權限並減少不必要的網路流量和處理帳戶。如需有關 AMT 佈建和探索帳戶的詳細資訊,請參閱 步驟 5:設定向外的頻外管理元件。 |
服務持續性指定的使用者帳戶做為 AMT 佈建移除帳戶並確定此使用者帳戶也會指定成 AMT 使用者帳戶。 |
AMT 佈建移除帳戶可協助確保服務不中斷如果您必須還原 Configuration Manager 站台。將網站還原之後,要求新的金額佈建憑證、 使用 AMT 佈建和移除帳戶移除金額為基礎的電腦中佈建資訊並設定然後重新佈建的電腦。 您也可以使用此帳戶如果金額為基礎的電腦已重新指派從另一個站台和未移除佈建資訊。 如需如何移除 AMT 佈建資訊的詳細資訊,請參閱如何移除 AMT 資訊。 |
只要可行時用戶端驗證憑證使用單一憑證範本。 |
雖然您可以針對每個無線設定檔指定不同的憑證範本,使用單一憑證範本,除非您有不同的設定來使用不同的無線網路的商務需求指定只有用戶端驗證功能,並專用於此憑證範本 Configuration Manager 頻外管理。例如,如果一個無線網路所需的更高的索引鍵大小或較短的有效期間比另一個,您必須建立個別的憑證範本。單一憑證範本可讓您更輕鬆地控制其用途和防範提升權限。 |
請確定只有授權的系統管理使用者執行稽核動作的金額和管理所需的金額稽核記錄。 |
根據金額版本, Configuration Manager AMT 稽核記錄檔寫入新的項目幾乎已滿或可能會覆寫舊的項目時可能會停止。若要確保新的項目會記錄並不會覆寫舊的項目,定期清除稽核記錄檔有必要,並儲存的稽核項目。如需有關如何管理稽核記錄檔和稽核活動監視器的詳細資訊,請參閱 如何以金額為基礎的電腦在 Configuration Manager 中管理稽核記錄檔。 |
您可以使用最低權限和以角色為基礎的管理的原則來授與管理超出範圍的 AMT 電腦的系統管理使用者權限。 |
使用 遠端工具運算子 安全性角色來授與系統管理員的使用者控制項 AMT 權限,使其能夠檢視及使用不足的頻外管理主控台來管理電腦,並起始從電源控制動作 Configuration Manager 主控台。 如需有關您可能需要的安全性權限來管理以金額為基礎的電腦,請參閱 「 組態管理員相依性 」 中 頻外管理 Configuration Manager 中的必要條件。 |
頻外管理的安全性問題
管理超出金額為基礎的電腦具有下列的安全性問題:
攻擊者可能會偽造佈建要求將會導致建立 Active Directory 帳戶。監視以確保只有預期的帳戶會建立 AMT 帳戶建立所在的 OU。
您無法設定要檢查在網際網路發行的憑證撤銷清單 (CRL) 的寬線服務點外的 web proxy 存取。如果您啟用 CRL 檢查 AMT 佈建憑證和 CRL 無法存取,不足的寬線服務點會不佈建 AMT 型電腦。
若要停用自動 AMT 佈建選項儲存在 Configuration Manager 用戶端並不能在 AMT.這表示仍然可以提供以金額為基礎的電腦。例如, Configuration Manager 用戶端可能會解除安裝,或電腦可能被另一個管理產品佈建。
即使您選取選項以停用自動佈建以金額為基礎的電腦,不足的寬線服務點會接受來自該電腦的佈建要求。
隱私權資訊頻外管理
不足的頻外管理主控台管理電腦所設定的 Intel vPro 晶片和 Intel 主動式管理技術 (Intel AMT) 所支援的韌體版本 Configuration Manager。Configuration Manager 暫時會收集關於電腦組態和設定,例如電腦名稱、 IP 位址與 MAC 位址的資訊。資訊會透過加密的通道傳送受管理的電腦之間的頻外管理主控台。預設不啟用此功能,並管理工作階段結束後通常保留任何資訊。如果您啟用 AMT 稽核,您可以將稽核資訊儲存檔,其中包含以金額為基礎的電腦管理和執行管理動作記錄的日期和時間的網域和使用者帳戶的 IP 位址。這項資訊不會傳送給 Microsoft。
您可以選擇啟用 Configuration Manager 來探索與管理控制器的頻外管理主控台可管理的電腦。探索建立可管理電腦的記錄並將其儲存在資料庫中。資料探索記錄包含電腦資訊,例如 IP 位址、 作業系統及電腦名稱。預設不啟用管理控制器的探索。探索資訊不會傳送給 Microsoft。探索資訊儲存在站台資料庫。在資料庫中保留資訊站台的維護工作直到 刪除過時的探索資料 刪除以每隔 90 天的間隔。您可以設定刪除間隔。
您設定頻外管理之前,請考慮您隱私權的需求。