サイト システムについて推奨するセキュリティ運用方法

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 には、特化した機能を持つ多様なサイト システムがあります。Configuration Manager 2007 クライアントは管理ポイントとやり取りします。管理ポイントは、サイト サーバーおよび Configuration Manager 2007 サイト データベース サーバーと情報をやり取りします。クライアントは、管理ポイントを見つけるためにサーバー ロケータ ポイントを必要とすることがあります。また、インターネット ベースのクライアント管理をサポートする境界ネットワークでのサイト システムの役割など、ユーザーが選択して実装した機能に追加のサイト システムの役割が必要な場合もあります。この種のサイト システムでは、企業全体の Configuration Manager 2007 で攻撃対象が増えるのは避けられません。サイト サーバー、管理ポイント、およびサイト データベース サーバーをセキュリティで保護できないと、攻撃者がサイト システムになりすまし、不正なソフトウェアをクライアントに配布することが可能になります。セキュリティの保護が不適切なサイト システムは、サイト サーバーが危険にさらされる可能性もあります。これらの脅威を軽減するには、各サイト システムをできるだけセキュリティで保護する必要があります。

すべてのサイト システムについて推奨する運用方法

サイト システムで役割の分離を使用する    サイト システムの役割をすべて 1 台のコンピュータにインストールすることは可能ですが、この方法は単一障害点を作ることになるため、通常はお勧めできません。ただし、役割の分離の概念にはいくつかの例外があります。通常は、サイト サーバーと同じコンピュータに SQL Server の専用バージョンをインストールし、サイト データベース サーバーとして使用するのが望ましい方法です。この構成では Configuration Manager 2007 はデータベース構成を最大限管理でき、SQL Server のセキュリティ構成を簡略化できます。

攻撃プロファイルを減らす    各サイト サーバーの役割を異なるサーバーに分離することにより、あるサイト システムの脆弱性に対する攻撃を別のサイト システムに対して使用できる機会が減ります。多くのサイト システムの役割で、サイト システムにインターネット インフォメーション サービス (IIS) をインストールすることが必要です。詳細については、「Configuration Manager のインストールの前提条件」を参照してください。IIS をインストールすると攻撃対象が増えます。ハードウェア経費を削減するためにサイト システムの役割を結合する必要がある場合は、IIS のみを必要とする役割を IIS を必要とする他の役割と結合します。

重要

IIS が必要なサイト システムの役割を結合する提案の例外は、フォールバック ステータス ポイントです。ネイティブ モードでもクライアントから認証されていないデータを受け入れるため、フォールバック ステータス ポイントの役割を他の Configuration Manager 2007 サイト システムの役割に割り当てることはできません。

すべてのサイト システムでセキュリティ構成ウィザードを実行する    セキュリティ構成ウィザード (SCW) を使用して、ネットワーク上の任意のサーバーに適用できるセキュリティ ポリシーを作成できます。Configuration Manager 2007 テンプレートをインストールすると、SCW は Configuration Manager 2007 サーバーの役割、サービス、ポート、およびアプリケーションと許可の必要なトラフィックを認識し、不要と判断された通信をブロックします。SCW の Configuration Manager 2007 テンプレートは、出荷予定のConfiguration Manager 2007 Toolkit (https://go.microsoft.com/fwlink/?LinkId=93071) に含まれています。

すべてのサイト システムで NTFS を使用する    一部のサイト システムでは FAT32 パーティションの使用が許可されますが、ファイル レベルのアクセス制御を許可するには、常に NTFS を使用する必要があります。

サイト システムの admin$ 共有を削除しない サイト システムの admin$ 共有は、Configuration Manager 2007 で必要であるため、無効にしたり削除したりしないでください。Configuration Manager 2007 サイト サーバーでは、サイト システムのサービスへの接続とサービスの実行に Admin$ 共有を使用します。

サイト システムでインターネット ベースのサイト設定を厳密に監視する    Configuration Manager 2007 コンソールでは、インターネット ベースのサイトの役割としてサポートされていない場合でも、サイトの役割を構成して、インターネット ベースのクライアントをサポートすることは禁止されていません。たとえば、ブランチ配布ポイントがインターネット ベースのクライアントをサポートすることが許可されていない場合でも、ブランチ配布ポイントを作成した後に、インターネット FQDN を使用したり、インターネット接続を許可したりする役割のサイト システム プロパティを構成できます。定期的にサイト システムのインターネット構成を監視してください。

サイト システムに静的 IP アドレスを構成する    静的 IP アドレスは、推奨される運用方法である IPSec のサイト システム間での構成を補助します。静的 IP アドレスの方が、名前解決攻撃から保護するのが簡単です。

FQDN サーバー名を使用する    FQDN サーバー名はインターネット ベースのクライアント管理をサポートする場合や IPv6 を使用する場合など特定のシナリオのみで必要ですが、FQDN サーバー名では、すべてのサイト システムに FQDN サーバー名を構成する必要があります。これは、FQDN サーバー名では名前解決に WINS ではなく DNS が使用され、WINS より DNS を安全に管理できるためです。ブロックの詳細については、「FQDN サーバー名を使用するかどうかを判断する」を参照してください。

ローカル システム アカウントを使用するその他のサービスをインストールしない    ローカル システム アカウントを使用するその他のサービスをインストールせず、サイト サーバーとサイト システムにおけるローカル システム アカウントの使用を最小限に抑えます。これにより、他のプロセスが、システムのコンピュータ アカウントが持つ高度な特権を利用して、これら他のシステムを介して Configuration Manager 2007 ファイルおよびデータにアクセスするのを防ぐことができます。ローカル システムの代わりにドメイン ユーザー アカウントで実行するように SQL Server を構成してください。

注意

IIS ではローカル システムが必要ですが、サイト システムへの IIS のインストールを避けることはできません。多くのサイト システムの役割で IIS が必要になるためです。攻撃者が IIS を侵害し、ローカル システムを使用して Configuration Manager 2007 サーバーを侵害するリスクを軽減するには、このセクションの後半で説明するように、Configuration Manager 2007 以外の Web アプリケーションを実行せずに、IIS を必要とするサイト システムの役割に役割の分離を使用してください。

推奨するサイト サーバーの運用方法

Configuration Manager 2007 をドメイン コントローラではなく、メンバ サーバーにインストールする    Configuration Manager 2007 サイト サーバーおよびサイト システムの場合、ドメイン コントローラのインストールは必要ありません。ドメイン コントローラは、ドメイン データベース以外のローカルのセキュリティ アカウント マネージメント (SAM) データベースを持っていません。Configuration Manager 2007 をメンバ サーバーにインストールすることで、Configuration Manager 2007 アカウントをドメイン データベースではなくローカルの SAM データベース内で保守できます。これにより、ドメイン コントローラの攻撃対象も減らすことができます。

プッシュ インストールを使用せずに、セカンダリ サイト サーバーでセカンダリ サイトをインストールする    攻撃者がセカンダリ サイト インストール パッケージを乗っ取り、インストール前にファイルを改ざんすることは、理論的に可能ですが、この攻撃の時期を選ぶのは困難です。IPsec を使用してプライマリとセカンダリのサイト サーバーで相互に認証してから、ファイルを転送することで、攻撃を和らげることができます。プッシュ インストールを使用する場合は、プライマリ サイトのコンピュータ アカウントがセカンダリ サイト サーバーのローカル管理者グループのメンバーである必要があります (これは通常動作で必要な特権を超えています)。

推奨する SQL Server の運用方法

Configuration Manager 2007 では、SQL Server がバックエンド データベースとして使用されます。データベースに欠陥があると、攻撃者は Configuration Manager 2007 コンソールを経由せずに、SQL Server に直接アクセスして Configuration Manager 2007 を通じて攻撃を行うことができます。SQL Server に対する攻撃は、非常に高いリスクと見なし、適切に減らす必要があります。

各サイトで専用 SQL Server を使用する    複数のサイトが、データの格納先として SQL Server を実行する単一のコンピュータを共有することもできますが、この構成はお勧めしません。ある SQL Server で 1 つの Configuration Manager 2007 サイト データベースが侵害された場合、攻撃者は同じ SQL Server にある別の Configuration Manager 2007 サイト データベースに容易にアクセスできます。サイト間で SQL Server を共有するとサイトの回復が難しくなり、大事なときに Configuration Manager 2007 の機能が遅れる可能性があります。SQL Server を別のサイトと共有しているサイトで障害が発生した場合は、障害が発生したサイトの回復プロセスが他の正常なサイトに影響を及ぼさないようにする必要があります。この場合、障害が発生したサイトだけに回復手順を制限する必要があるため、回復プロセスがより複雑になります。

別の SQL Server アプリケーションを実行するのに、Configuration Manager サイト データベース サーバーを使用しない    Configuration Manager 2007 サイト データベース サーバーへのアクセスが増えると Configuration Manager 2007 データのリスクが増大します。また、Configuration Manager 2007 サイト データベースが侵害された場合、同じ SQL Server コンピュータ上のその他のアプリケーションも危険にさらされます。

Windows 認証を使用するように SQL Server を構成する    Configuration Manager 2007 は、常に Windows アカウントと Windows 認証を使用してサイト データベースにアクセスしますが、SQL Server 混在モードを使用するように SQL Server を構成することも可能です。SQL Server 混在モードでは、追加の SQL ログインを構成してデータベースにアクセスできますが、これは不要な操作であり、攻撃対象を増やすことになります。

Configuration Manager と SQL Server を同じコンピュータにインストールする    SQL Server と Configuration Manager 2007 を同じコンピュータにインストールすることは、可用性を増やすために役割を分離するという考えに反するようですが、これはセキュリティ上の重大な問題にはなりません。Configuration Manager 2007 サイト データベースとサイト サーバーの一方がオフラインになっている場合、他のサーバーも実質的に使用できません。Configuration Manager 2007 と SQL Server を同じコンピュータにインストールすることで、SQL Server の構成が簡略化されるため、セキュリティ関連のミスによるリスクが減ります。

推奨される SQL Server のセキュリティ運用方法に従う    推奨される SQL Server 2005 の運用方法 (https://go.microsoft.com/fwlink/?LinkId=95071) に従います。その他の考慮事項は次のとおりです。

  • サイト サーバー コンピュータ アカウントは、SQL Server を実行しているコンピュータの管理者グループのメンバである必要があります。"管理プリンシパルを明示的にプロビジョニングする" という推奨事項に従う場合、サイト サーバーでセットアップの実行に使用するアカウントは SQL ユーザー グループのメンバである必要があります。

  • ドメイン ユーザー アカウントを使用して SQL Server をインストールする場合は、サービス プリンシパル名 (SPN) が Active Directory ドメイン サービスに入力されていることを確認してください。入力されていない場合、Kerberos 認証および Configuration Manager 2007 セットアップは失敗します。詳細については、「SQL Server サイト データベース サーバーの SPN の構成方法」を参照してください。

IIS が必要な推奨されるサイト システムの運用方法

複数のサーバーの役割には IIS が必要です。IIS を正しくセキュリティ保護することで、Configuration Manager 2007 を機能させると同時に、リスクを減らすことができます。実用的な場所では、IIS が必要なサーバーの使用を最小限に抑えるようにしてください。たとえば、管理ポイントをできる限り少ない数に統合します。使用環境に対して単一のサーバー ロケータ ポイントのみを使用します。

不要な IIS 機能を無効にする    サポートしているサーバーの役割に最小限の IIS 機能のみをインストールします。詳細については、「Configuration Manager のインストールの前提条件」を参照してください。

IIS が搭載されたコンピュータにサイト サーバーを配置しない    役割を分離することで攻撃プロファイルを減らし、回復の可能性を向上します。また、サイト サーバーのコンピュータ アカウントは、通常すべてのサイト システムの役割で管理者特権を持っています (クライアント プッシュ インストールを使用している場合は、Configuration Manager 2007 クライアントも含まれます)。IIS と Configuration Manager 2007 はどちらもローカル システム アカウントを使用して動作するため、サイト サーバーで実行中の IIS を侵害できる攻撃者は、すべての Configuration Manager 2007 機能に対してローカル システム アクセスが可能になります。

Configuration Manager に専用の IIS サーバーを使用する Configuration Manager 2007 が使用する IIS サーバーで複数の Web ベース アプリケーションをホストすることは可能ですが、攻撃対象が大幅に増えます。アプリケーションが正しく構成されていないと、攻撃者によって同じ場所に配置されたサイト システムの制御が奪われてしまう可能性があります。これにより、サイト全体を制御の制御が奪われてしまう可能性があります。他の Web ベース アプリケーションを Configuration Manager 2007 サイト システムで実行する必要がある場合、Configuration Manager 2007 サイト システムに必ずカスタム Web サイトを作成する必要があります。詳細については、「Configuration Manager サイト用にカスタム Web サイトを構成する方法」を参照してください。

推奨する管理ポイントの運用方法

信頼されたルート キー認証が必要な単一サイト階層では、常に分離管理ポイントを使用する    Active Directory スキーマが拡張されておらず、Active Directory ドメイン サービスに発行する許可が Configuration Manager 2007 にない場合、Configuration Manager 2007 クライアントは、通信する前に、信頼されたルート キーを使用して管理ポイントを認証します。セントラル サイト サーバーの信頼されたルート キーは、管理ポイントの証明書に署名するために使用されます。セントラル サイトを回復する必要がある場合、再構築されたセントラル サイト サーバーで信頼されたルート キーを新しく生成するまで、クライアントは継続して管理ポイントを信頼します。また、管理ポイントの回復が必要な場合、信頼されたルート キーにより管理ポイントの証明書に署名されるとクライアントは直ちに新しい管理ポイントを信頼します。ただし、クライアントがサイトの管理ポイントとしても機能するセントラル サイト サーバーに報告しており、このコンピュータが回復した場合、クライアントにある現在の信頼されたルート キーを削除して新しい信頼されたルート キーを提供するまで、クライアントはこの管理ポイントを信頼しません。この状況を回避するため、Active Directory スキーマを拡張し、サイトへの発行を有効にしてください。セントラル サイトに報告するクライアントがある場合、この操作ができないときは、セントラル サイト サーバーに管理ポイントの役割を割り当てないでください。信頼されたルート キーの詳細については、「信頼されたルート キーについて」を参照してください。

このサイト システムの役割が境界ネットワークで構成されている場合、サイト システムからデータを取得するようにサイト サーバーを構成する    既定では、サイト システムはサイト サーバーにデータをプッシュして戻します。サイト システムの構成ではサイト サーバーが代わりにデータを引き出すようにすることが可能で、これによりデータ転送に必要なポートおよびアクセス許可を厳密に制御できます。[サイト サーバが開始した、このサイト システムからのデータ転送のみを許可する]設定は、サイト システム全体およびそれに対して構成されたすべてのサイト システムの役割に適用されます。

最小限の管理ポイントを使用する    すべてのプライマリ サイトに管理ポイントを配置しても、セキュリティ リスクが高くなることはありませんが、管理ポイントの数を減らすと、攻撃対象も減ります。管理ポイントには IIS が必要です。ネットワークの攻撃対象を減らすために IIS のサーバー数を減らすポリシーを設定している企業があります。このことが懸念される場合は、すべてのクライアントを単一サイトに割り当て、クライアントを常駐サイトでローミング クライアントとして扱うことで、可能な限り少ない管理ポイントをインストールできます。

推奨されるフォールバック ステータス ポイントの運用方法

フォールバック ステータス ポイントと共に他のサイト システムの役割を同じ場所に配置しない    フォールバック ステータス ポイントは、どのコンピュータからでも認証されていない通信を受け入れるように設計されています。フォールバック ステータス ポイントを他のサイトの役割と同じ場所に配置すると、このサイトの役割に対するリスクが大幅に増加します。

フォールバック ステータス ポイントをドメイン コントローラにインストールしない

ネイティブ モードでクライアントを展開する前にフォールバック ステータス ポイントを展開する    ネイティブ モード サイトにフォールバック ステータス ポイントがないと、PKI 関連の証明書の問題により、多数のクライアントが管理されていない状態であることを認識できない場合があります。たとえば、ネイティブ モードのクライアント証明書に問題があると、ネイティブ モードの管理ポイントではクライアントとのすべての通信が拒否され、クライアントは管理の対象外になります。ただし、クライアントをフォールバック ステータス ポイントに割り当てると、フォールバック ステータス ポイントでは PKI 証明書を使用しないため、フォールバック ステータス ポイントでのネイティブ モードの通信エラーは正常にレポートされます。フォールバック ステータス ポイントは、ネイティブ モードと混在モードのどちらの場合も利点がありますが、混在モード クライアントの方が Configuration Manager の外部で管理される PKI 証明書に依存していないため、管理の対象外になる可能性が低くなります。

境界ネットワークでのフォールバック ステータス ポイントの使用を避ける    仕様により、フォールバック ステータス ポイントはどのクライアントからもデータを受け入れます。境界ネットワークにフォールバック ステータス ポイントを配置すると、インターネット ベース クライアントのトラブルシューティングに役立つ場合がありますが、トラブルシューティングの利点と公的にアクセス可能なネットワークでサイト システムが認証されていないデータを受け入れるリスクとのバランスを取る必要があります。境界ネットワークまたはいずれかの信頼されていないネットワークにフォールバック ステータス ポイントを配置する必要がある場合、フォールバック ステータス ポイントがサイト サーバーに接続してデータ転送を開始するのではなく、サイト サーバーがサイト システムからデータをプルするようにサイト サーバーを構成します。サイト サーバーがデータをプルするように構成するには、サイト システムのプロパティで[サイト サーバが開始した、このサイト システムからのデータ転送のみを許可する]を設定します。

推奨されるサーバー ロケータ ポイントの運用方法

境界ネットワークにサーバー ロケータ ポイントを配置しない    境界ネットワークにあるクライアント コンピュータに Configuration Manager 2007 リソースを配置させる必要がある場合、サーバー ロケータ ポイントの名前があるクライアントを手動で構成します。

推奨されるセキュリティ関連の運用方法に関するその他のリソース

Configuration Manager 2007コンソール コンピュータをセキュリティ保護する方法の詳細については、「Configuration Manager コンソールについて推奨するセキュリティ運用方法とプライバシー情報」を参照してください。

配布ポイントとブランチ配布ポイントをセキュリティ保護する方法の詳細については、「ソフトウェアの配布について推奨するセキュリティ運用方法とプライバシー情報」を参照してください。

オペレーティング システムの展開に使用される、PXE サービス ポイントおよび状態移行ポイントをセキュリティ保護する方法の詳細については、「オペレーティング システムの展開について推奨するセキュリティ運用方法とプライバシー情報」を参照してください。

セキュリティ ポイントをセキュリティ保護する方法の詳細については、「レポートについて推奨するセキュリティ運用方法」を参照してください。

参照:

その他のリソース

Configuration Manager について推奨するセキュリティ運用方法

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.