Configuration Managerでの OS 展開のセキュリティとプライバシー
Configuration Manager (現在のブランチ) に適用
この記事には、Configuration Managerの OS 展開機能のセキュリティとプライバシーに関する情報が含まれています。
OS 展開のセキュリティのベスト プラクティス
Configuration Managerを使用してオペレーティング システムを展開する場合は、次のセキュリティのベスト プラクティスを使用します。
起動可能なメディアを保護するためのアクセス制御を実装する
起動可能なメディアを作成するときは、メディアのセキュリティ保護に役立つパスワードを常に割り当てます。 パスワードを使用しても、機密情報を含むファイルのみが暗号化され、すべてのファイルを上書きできます。
攻撃者が暗号化攻撃を使用してクライアント認証証明書を取得できないように、メディアへの物理的なアクセスを制御します。
改ざんされたコンテンツまたはクライアント ポリシーをクライアントがインストールできないようにするには、コンテンツがハッシュされ、元のポリシーで使用する必要があります。 コンテンツ ハッシュが失敗した場合、またはコンテンツがポリシーと一致することを確認した場合、クライアントは起動可能なメディアを使用しません。 コンテンツのみがハッシュされます。 ポリシーはハッシュされませんが、パスワードを指定すると暗号化され、セキュリティで保護されます。 この動作により、攻撃者がポリシーを正常に変更することが困難になります。
OS イメージ用のメディアを作成するときにセキュリティで保護された場所を使用する
承認されていないユーザーが場所にアクセスできる場合は、作成したファイルを改ざんできます。 また、メディアの作成が失敗するように、使用可能なすべてのディスク領域を使用することもできます。
証明書ファイルを保護する
強力なパスワードで証明書ファイル (.pfx) を保護します。 ネットワークに格納する場合は、ネットワーク チャネルをConfiguration Managerにインポートするときにネットワーク チャネルをセキュリティで保護します。
起動可能なメディアに使用するクライアント認証証明書をインポートするためのパスワードが必要な場合、この構成は証明書を攻撃者から保護するのに役立ちます。
ネットワークの場所とサイト サーバーの間で SMB 署名または IPsec を使用して、攻撃者が証明書ファイルを改ざんするのを防ぎます。
侵害された証明書をブロックまたは取り消す
クライアント証明書が侵害された場合は、証明書をConfiguration Managerからブロックします。 PKI 証明書の場合は、失効します。
起動可能なメディアと PXE ブートを使用して OS を展開するには、秘密キーを持つクライアント認証証明書が必要です。 その証明書が侵害された場合は、[管理] ワークスペースの [証明書] ノードの [セキュリティ] ノードで 証明書 をブロックします。
サイト サーバーと SMS プロバイダー間の通信チャネルをセキュリティで保護する
SMS プロバイダーがサイト サーバーからリモートである場合は、ブート イメージを保護するために通信チャネルをセキュリティで保護します。
ブート イメージを変更し、サイト サーバーではないサーバーで SMS プロバイダーが実行されている場合、ブート イメージは攻撃を受けやすくなります。 SMB 署名または IPsec を使用して、これらのコンピューター間のネットワーク チャネルを保護します。
セキュリティで保護されたネットワーク セグメントでのみ PXE クライアント通信の配布ポイントを有効にする
クライアントが PXE ブート要求を送信するときに、要求が有効な PXE 対応配布ポイントによって処理されていることを確認する方法はありません。 このシナリオには、次のセキュリティ リスクがあります。
PXE 要求に応答する不正配布ポイントは、改ざんされたイメージをクライアントに提供する可能性があります。
攻撃者は、PXE で使用される TFTP プロトコルに対して中間者攻撃を開始する可能性があります。 この攻撃により、OS ファイルを使用して悪意のあるコードが送信される可能性があります。 攻撃者は、配布ポイントに直接 TFTP 要求を行う不正なクライアントを作成する可能性もあります。
攻撃者は、悪意のあるクライアントを使用して、配布ポイントに対するサービス拒否攻撃を開始する可能性があります。
多層防御を使用して、クライアントが PXE 対応配布ポイントにアクセスするネットワーク セグメントを保護します。
警告
これらのセキュリティ リスクのため、境界ネットワークなどの信頼されていないネットワーク内にある場合は、PXE 通信の配布ポイントを有効にしないでください。
指定したネットワーク インターフェイスでのみ PXE 要求に応答するように PXE 対応配布ポイントを構成する
配布ポイントがすべてのネットワーク インターフェイスで PXE 要求に応答できるようにする場合、この構成によって PXE サービスが信頼されていないネットワークに公開される可能性があります
PXE ブートにパスワードを要求する
PXE ブートにパスワードが必要な場合、この構成により PXE ブート プロセスにセキュリティレベルが追加されます。 この構成は、Configuration Manager階層に参加している悪意のあるクライアントから保護するのに役立ちます。
PXE ブートまたはマルチキャストに使用される OS イメージ内のコンテンツを制限する
PXE ブートまたはマルチキャストに使用するイメージに機密データを含む基幹業務アプリケーションやソフトウェアを含めないでください。
PXE ブートとマルチキャストに伴う固有のセキュリティ リスクのため、不正なコンピューターが OS イメージをダウンロードした場合のリスクを軽減します。
タスク シーケンス変数によってインストールされるコンテンツを制限する
タスク シーケンス変数を使用してインストールするアプリケーションのパッケージに機密データを含む基幹業務アプリケーションやソフトウェアを含めないでください。
タスク シーケンス変数を使用してソフトウェアを展開すると、そのソフトウェアを受け取る権限を持たないコンピューターやユーザーにソフトウェアがインストールされる可能性があります。
ユーザー状態を移行するときにネットワーク チャネルをセキュリティで保護する
ユーザー状態を移行する場合は、SMB 署名または IPsec を使用して、クライアントと状態移行ポイントの間のネットワーク チャネルをセキュリティで保護します。
HTTP 経由の初期接続の後、SMB を使用してユーザー状態移行データが転送されます。 ネットワーク チャネルをセキュリティで保護しない場合、攻撃者はこのデータを読み取り、変更できます。
USMT の最新バージョンを使用する
Configuration Managerがサポートするユーザー状態移行ツール (USMT) の最新バージョンを使用します。
USMT の最新バージョンでは、ユーザー状態データを移行するときのセキュリティ強化とより大きな制御が提供されます。
状態移行ポイントを使用停止するときに、状態移行ポイントのフォルダーを手動で削除する
状態移行ポイントのプロパティのConfiguration Manager コンソールで状態移行ポイント フォルダーを削除しても、サイトは物理フォルダーを削除しません。 情報漏えいからユーザー状態移行データを保護するには、ネットワーク共有を手動で削除し、フォルダーを削除します。
ユーザー状態をすぐに削除するように削除ポリシーを構成しない
状態移行ポイントで削除ポリシーを構成して、削除のマークが付いたデータを直ちに削除し、攻撃者が有効なコンピューターが実行する前にユーザー状態データを取得した場合、サイトはユーザー状態データを直ちに削除します。 ユーザー状態データの正常な復元を確認するのに十分な長さに間隔 の後に削除 を設定します。
コンピューターの関連付けを手動で削除する
ユーザー状態移行データの復元が完了し、検証されたときに、コンピューターの関連付けを手動で削除します。
Configuration Managerは、コンピューターの関連付けを自動的に削除しません。 不要になったコンピューターの関連付けを手動で削除することで、ユーザー状態データの ID を保護するのに役立ちます。
状態移行ポイントでユーザー状態移行データを手動でバックアップする
Configuration Manager Backup には、サイト バックアップにユーザー状態移行データは含まれません。
事前設定されたメディアを保護するためのアクセス制御を実装する
攻撃者が暗号化攻撃を使用してクライアント認証証明書と機密データを取得できないように、メディアへの物理的なアクセスを制御します。
参照コンピューターイメージング プロセスを保護するためのアクセス制御を実装する
OS イメージのキャプチャに使用する参照コンピューターがセキュリティで保護された環境にあることを確認します。 予期しないソフトウェアや悪意のあるソフトウェアをインストールできず、キャプチャされたイメージに誤って含めることができるように、適切なアクセス制御を使用します。 イメージをキャプチャするときは、宛先ネットワークの場所がセキュリティで保護されていることを確認します。 このプロセスは、キャプチャ後にイメージを改ざんできないようにするのに役立ちます。
参照コンピューターに最新のセキュリティ更新プログラムを常にインストールする
参照コンピューターに現在のセキュリティ更新プログラムがある場合は、新しいコンピューターの初回起動時の脆弱性の期間を短縮するのに役立ちます。
OS を不明なコンピューターに展開するときにアクセス制御を実装する
不明なコンピューターに OS を展開する必要がある場合は、アクセス制御を実装して、承認されていないコンピューターがネットワークに接続できないようにします。
不明なコンピューターをプロビジョニングすると、新しいコンピューターをオンデマンドで展開するのに便利な方法が提供されます。 ただし、攻撃者がネットワーク上の信頼されたクライアントになるのを効率的に許可することもできます。 ネットワークへの物理的なアクセスを制限し、承認されていないコンピューターを検出するようにクライアントを監視します。
PXE によって開始された OS 展開に応答するコンピューターでは、プロセス中にすべてのデータが破棄される可能性があります。 この動作により、誤って再フォーマットされたシステムの可用性が失われる可能性があります。
マルチキャスト パッケージの暗号化を有効にする
すべての OS 展開パッケージについて、マルチキャストを使用してパッケージを転送Configuration Manager場合に暗号化を有効にすることができます。 この構成は、不正なコンピューターがマルチキャスト セッションに参加するのを防ぐのに役立ちます。 また、攻撃者が送信を改ざんするのを防ぐのにも役立ちます。
承認されていないマルチキャストが有効な配布ポイントを監視する
攻撃者がネットワークにアクセスできる場合は、OS のデプロイをスプーフィングするように不正なマルチキャスト サーバーを構成できます。
タスク シーケンスをネットワークの場所にエクスポートする場合は、場所をセキュリティで保護し、ネットワーク チャネルをセキュリティで保護する
ネットワーク フォルダーにアクセスできるユーザーを制限します。
ネットワークの場所とサイト サーバーの間で SMB 署名または IPsec を使用して、攻撃者がエクスポートされたタスク シーケンスを改ざんするのを防ぎます。
タスク シーケンス実行をアカウントとして使用する場合は、追加のセキュリティ上の注意を払ってください
タスク シーケンス実行をアカウントとして使用する場合は、次の予防的な手順を実行します。
可能な限り少ないアクセス許可を持つアカウントを使用します。
このアカウントにはネットワーク アクセス アカウントを使用しないでください。
アカウントをドメイン管理者にしないでください。
このアカウントのローミング プロファイルを構成しないでください。 タスク シーケンスを実行すると、アカウントのローミング プロファイルがダウンロードされます。これにより、プロファイルはローカル コンピューターでアクセスできなくなります。
アカウントのスコープを制限します。 たとえば、タスク シーケンスごとに異なるタスク シーケンス実行をアカウントとして作成します。 1 つのアカウントが侵害された場合、そのアカウントにアクセスできるクライアント コンピューターのみが侵害されます。 コマンド ラインでコンピューターに対する管理アクセスが必要な場合は、タスク シーケンスをアカウントとして実行するためだけにローカル管理者アカウントを作成することを検討してください。 タスク シーケンスを実行するすべてのコンピューターにこのローカル アカウントを作成し、不要になったらすぐにアカウントを削除します。
OS 展開マネージャーのセキュリティ ロールが付与されている管理ユーザーを制限し、監視する
OS 展開マネージャー のセキュリティ ロールが付与されている管理者ユーザーは、自己署名証明書を作成できます。 その後、これらの証明書を使用してクライアントを偽装し、Configuration Managerからクライアント ポリシーを取得できます。
拡張 HTTP を使用してネットワーク アクセス アカウントの必要性を減らす
バージョン 1806 以降では、 拡張 HTTP を有効にすると、いくつかの OS 展開シナリオでは、配布ポイントからコンテンツをダウンロードするためにネットワーク アクセス アカウントは必要ありません。 詳細については、「 タスク シーケンスとネットワーク アクセス アカウント」を参照してください。
OS の展開に関するセキュリティの問題
OS の展開は、ネットワーク上のコンピューターの最も安全なオペレーティング システムと構成を展開する便利な方法ですが、次のセキュリティ リスクがあります。
情報の開示とサービス拒否
攻撃者がConfiguration Managerインフラストラクチャの制御を取得できる場合、任意のタスク シーケンスを実行する可能性があります。 このプロセスには、すべてのクライアント コンピューターのハード ドライブの書式設定が含まれる場合があります。 タスク シーケンスは、ドメインやボリューム ライセンス キーに参加するアクセス許可を持つアカウントなどの機密情報を含むように構成できます。
権限借用と特権の昇格
タスク シーケンスはコンピューターをドメインに参加させることができます。これにより、認証されたネットワーク アクセスを持つ不正なコンピューターを提供できます。
起動可能なタスク シーケンス メディアと PXE ブート展開に使用されるクライアント認証証明書を保護します。 クライアント認証証明書をキャプチャすると、このプロセスにより、攻撃者は証明書内の秘密キーを取得できます。 この証明書を使用すると、ネットワーク上の有効なクライアントを偽装できます。 このシナリオでは、悪意のあるコンピューターはポリシーをダウンロードできます。このポリシーには機密データを含めることができます。
クライアントがネットワーク アクセス アカウントを使用して状態移行ポイントに格納されているデータにアクセスする場合、これらのクライアントは実質的に同じ ID を共有します。 ネットワーク アクセス アカウントを使用する別のクライアントから状態移行データにアクセスできます。 データは暗号化されるため、元のクライアントのみが読み取ることができますが、データが改ざんまたは削除される可能性があります。
状態移行ポイントへのクライアント認証は、管理ポイントによって発行されるConfiguration Manager トークンを使用して実現されます。
Configuration Managerは、状態移行ポイントに格納されるデータの量を制限または管理しません。 攻撃者は、使用可能なディスク領域を埋め、サービス拒否を引き起こす可能性があります。
コレクション変数を使用する場合、ローカル管理者は機密情報を読み取ることができます
コレクション変数は、オペレーティング システムを展開するための柔軟な方法を提供しますが、この機能により情報漏えいが発生する可能性があります。
OS 展開のプライバシー情報
OS をコンピューターなしで展開するだけでなく、Configuration Managerを使用して、ユーザーのファイルと設定を 1 つのコンピューターから別のコンピューターに移行することもできます。 管理者は、個人データ ファイル、構成設定、ブラウザー Cookie など、転送する情報を構成します。
Configuration Manager状態移行ポイントに関する情報を格納し、転送およびストレージ中に暗号化します。 保存された情報を取得できるのは、状態情報に関連付けられている新しいコンピューターだけです。 新しいコンピューターが情報を取得するためにキーを失った場合、コンピューター関連付けインスタンス オブジェクトの 回復情報の表示 権限を持つConfiguration Manager管理者は、情報にアクセスして新しいコンピューターに関連付けることができます。 新しいコンピューターは状態情報を復元した後、既定で 1 日後にデータを削除します。 状態移行ポイントが削除対象としてマークされたデータを削除するタイミングを構成できます。 Configuration Managerは、状態移行情報をサイト データベースに格納せず、Microsoft に送信しません。
ブート メディアを使用して OS イメージを展開する場合は、常に既定のオプションを使用してブート メディアをパスワードで保護します。 パスワードはタスク シーケンスに格納されているすべての変数を暗号化しますが、変数に格納されていない情報は漏えいの影響を受ける可能性があります。
OS 展開では、アプリケーションやソフトウェア更新プログラムのインストールなど、展開プロセス中にタスク シーケンスを使用してさまざまなタスクを実行できます。 タスク シーケンスを構成するときは、ソフトウェアのインストールによるプライバシーへの影響にも注意する必要があります。
Configuration Managerでは、既定では OS の展開は実装されません。 ユーザー状態情報を収集したり、タスク シーケンスやブート イメージを作成したりするには、いくつかの構成手順が必要です。
OS 展開を構成する前に、プライバシー要件を検討してください。