クライアントでの信頼されたルート キーの事前準備方法

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 の混在モード クライアントには、サイトの管理ポイントとの信頼関係を確立するときにわずかな脆弱性があります。クライアントが Configuration Manager 2007 の情報をグローバル カタログに照会できない場合、およびインストール中にクライアントで信頼されたルート キーを事前に準備しなかった場合、クライアントは最初に接続した管理ポイントを信頼し、信頼されたルート キーをその管理ポイントから受け入れます。攻撃者が最初の通信を乗っ取り、信頼されたルート キーの偽造コピーをクライアントに信頼させることは困難ですが、不可能ではありません。この脅威を軽減するには、クライアントのインストール時に、信頼されたルート キーのコピーをクライアントに与えます。

注意

ネイティブ モードでは、PKI 証明書を使用して信頼が確立されるため、この手順は必要ありません。クライアントが管理ポイントの情報をグローバル カタログに照会できる場合は、この手順は必要ありません。たとえば、Active Directory の発行を有効にすると、同じフォレストのクライアントはグローバル カタログに照会できますが、ワークグループ クライアントや別のフォレストのクライアントは、この手順を使用する必要があります。

クライアントを既にインストールした場合、この手順は遅すぎてセキュリティ問題の軽減としての価値がないと考えられます。これは、クライアントが管理ポイントとの信頼関係を既に確立していると考えられるためです。それでも、クライアント上の信頼されたルート キーが、正しい信頼されたルート キーであるかどうかを確認できます。詳細については、「信頼されたルート キーの検証方法」を参照してください。無効な信頼されたルート キーを検出した場合は、その信頼されたルート キーを削除し、この手順を使用して正しい信頼されたルート キーを準備してください。信頼されたルート キーの削除の詳細については、「信頼されたルート キーの削除方法」を参照してください。

同じ階層のすべてのサイトで使用される信頼されたルート キーは同じであるため、同じ階層のサイト間でクライアントを移動する場合、信頼されたルート キーを変更する必要はありません。新しい階層にクライアントを移行する場合は、このトピックで説明されているように、SMSROOTKEYPATH を使用し、新しいサイト階層の信頼されたルート キーをクライアントに事前に準備する必要があります。SMSROOTKEYPATH を使用すると、古い信頼されたルート キーが上書きされます。信頼されたルート キーを削除し、クライアントに新しいサイトで管理ポイントとの信頼を確立させることもできますが、事前に準備する方がより安全です。

信頼されたルート キーの詳細については、「信頼されたルート キーについて」を参照してください。

ファイルを使用して信頼されたルート キーを事前に準備するには

  1. テキスト エディタで、ファイル <Configuration Manager ディレクトリ>\bin\<プラットフォーム>mobileclient.tcf を編集します。

  2. エントリ SMSPublicRootKey= を検索し、その行からキーをテキスト ファイルにコピーします。

  3. 信頼されたルート キーを含むテキスト ファイルをファイルに保存し、すべてのコンピュータがアクセスできるが、ファイルが改ざんされない場所に配置します。

  4. 任意のクライアント インストール方法を使用してクライアントをインストールする場合は、Client.msi のプロパティ SMSROOTKEYPATH=<フル パスおよびファイル名> を使用します。

ファイルを使用せずに信頼されたルート キーを事前に準備するには

  1. テキスト エディタで、ファイル <Configuration Manager ディレクトリ>\bin\<プラットフォーム>mobileclient.tcf を編集します。

  2. エントリ SMSPublicRootKey= を検索し、キーを書き留めるかクリップボードにコピーします。

  3. 任意のクライアント インストール方法を使用してクライアントをインストールする場合は、Client.msi のプロパティ SMSPublicRootKey=<キー> を使用します。キーは、mobileclient.tcf からコピーした文字列です。

参照:

その他のリソース

Configuration Manager で信頼されたルート キーを管理する方法
Configuration Manager セキュリティのタスク

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.