オペレーティング システムの展開について推奨するセキュリティ運用方法とプライバシー情報
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
オペレーティング システムの展開は、最も安全なオペレーティング システムおよび構成を使用して環境を展開できる便利な方法です。ただし、攻撃者が Microsoft System Center Configuration Manager 2007 サイトのインフラストラクチャの制御を奪うことができた場合、攻撃者は全クライアント コンピュータのハード ドライブをフォーマット化するなど、選択したタスク シーケンスを実行できるようになります。タスク シーケンスは、ドメインおよびボリュームのライセンス キーに参加する許可が与えられたアカウントなど、重要な情報を含めて構成することができます。そのため、情報開示のリスクが存在します。
オペレーティング システムの展開のセキュリティに関するもう 1 つの重要な見解は、起動可能なタスク シーケンスのメディアおよび PXE ブートの展開で使用するクライアント認証向け証明書を保護することです。クライアント認証向け証明書を取得することで、攻撃者はネットワーク上の有効なクライアントになりすますことができる秘密キーを得られます。
推奨する運用方法
起動可能なメディアを保護するためアクセス制御を実装する 起動可能なメディアを作成するとき、メディアを保護するため、常にパスワードを割り当てるようにします。ただし、パスワードを使っても、保護されるのは重要な情報を含むファイルのみです。メディアに対する物理的アクセスも制御することで、クライアント認証向け証明書を取得する暗号化攻撃を使用する攻撃者を防ぐことができます。
クライアント証明書に欠陥がある場合、証明書をブロックする 起動可能なメディアおよび PXE サービス ポイントを使用してクライアントを展開するには、秘密キーを持つクライアント認証向け証明書が必要です。その証明書に欠陥がある場合、[サイト設定]の[証明書]に移動して、[起動メディア]ノードまたは[PXE]ノードで証明書をブロックします。
サイト サーバーおよび PXE サービス ポイント間の通信チャネルをセキュリティ保護する PXE サービス ポイントにサイト サーバーによるクライアント認証向け証明書が構成されている場合、証明書がネットワーク上でキャプチャされる脆弱性があります。サイト サーバーと PXE サービス ポイント間で、インターネット セキュリティ プロトコル (IPsec) またはその他の暗号化方式を使用します。
保護されたネットワーク セグメント上でのみ PXE サービス ポイントを使用する クライアントが PXE ブート要求を送信する場合、その要求が有効な PXE サービス ポイントによって実行されていることを保証することは不可能です。不正な PXE サービス ポイントが感染画像をクライアントに送付することもあります。攻撃者は PXE で使用される TFTP プロトコルに対して Man-in-the-middle 攻撃 (中間者攻撃) を仕掛けて、オペレーティング システム ファイルと共に悪意のあるコードを送信したり、不正なクライアントを作成して PXE サービス ポイントへ TFTP を直接要求したりできます。攻撃者は悪意のあるクライアントを使用して、PXE サービス ポイントにサービス拒否攻撃を仕掛けることもできます。PXE サービス ポイントにクライアントがアクセスするネットワーク セグメントを、きめ細かい防御で保護します。
重要
境界ネットワーク内の PXE サービス ポイントを構成するようサポートされていますが、推奨されません。
PXE サービス ポイントを構成して指定されたネットワーク インターフェイスの PXE 要求のみに応答する すべてのネットワーク インターフェイスに対して PXE サービス ポイントが応答できるよう許可していると、PXE サービス ポイントは保護されていないネットワークにも応答してしまいます。
PXE ブートでパスワードを要求する クライアントの識別情報はデータベースに入力する必要があり、これにより不明なコンピュータが PXE ブートを完全に実行できないようにします。パスワードを要求することで、本質的に安全性の低い PXE ブート処理のセキュリティ レベルを向上させます。
状態移行ポイント フォルダが使用停止のときに手動で削除する Configuration Manager 2007 コンソールで状態移行ポイントのプロパティにある状態移行ポイント フォルダを削除しても、物理フォルダは削除されません。ネットワーク共有を手動で削除してから、フォルダを削除する必要があります。
削除ポリシーでユーザー状態をすぐに削除するよう構成しない 状態移行ポイントの削除ポリシーに、印の付いたデータをすぐに削除するように設定した場合、攻撃者が有効なコンピュータが取得する前にユーザー状態を取得してしまうと、ユーザー状態のデータは即座に削除されてしまいます。[次の時期以降に削除する]間隔を、ユーザー状態のデータの修復が成功したことを確認するのに十分な間隔に設定します。
タスク シーケンスに USB フラッシュ ドライブを使用するコンピュータへの物理アクセスを制御する BitLocker を使用して USB フラッシュ ドライブに書き込む無人インストールでは、[BitLocker の無効化]アクションによるタスク シーケンスは BitLocker キー プロテクタをクリアテキストに保存するため、Microsoft Windows PE からボリュームへのアクセスが可能になり、TPM によるブートの整合性確認を無効化することができます。このアクションを実行すると、コンピュータへの物理アクセスが可能な攻撃者は暗号化されたボリュームにアクセスできます。また、タスク シーケンスで USB フラッシュ ドライブを使用している場合、攻撃者は USB ドライブを盗むだけでアクセスできるようになります。
アクセス制御を実装して参照コンピュータのイメージ プロセスを保護する オペレーティング システムのイメージをキャプチャする参照コンピュータが、適切なアクセス制御による保護された環境にあることを保証します。これにより、予期しないソフトウェアまたは悪意のあるソフトウェアがインストールされて、キャプチャされたイメージに不用意に挿入されないようにします。イメージをキャプチャするとき、宛先ネットワークのファイル共有場所が保護されており、キャプチャされた後で改ざんされないことを確認してください。
参照コンピュータに最新のセキュリティの更新を常にインストールする 最新のアップデートがされた参照コンピュータを起動することで、新規にオンラインへ参加するコンピュータに対して無防備な時間帯を削減できます。
オペレーティング システムを不明なコンピュータに展開する必要がある場合は、アクセス制御を実装して、不正なコンピュータがネットワークに接続できないようにする 不明なコンピュータのプロビジョニングは複数のコンピュータをオン デマンドで起動するための便利な方法ですが、攻撃者がネットワーク上で信頼されたクライアントに効果的になりすますための方法にもなり得ます。ネットワークへの物理アクセスを制限し、クライアントを監視して不正なコンピュータを検出します。また、PXE によるオペレーティング システムの展開に応答するコンピュータが、オペレーティング システムの展開中に破損したすべてのデータを持つ可能性もあります。この場合、不注意から再フォーマットされたシステムの可用性が失われることがあります。
常に、コンテンツをダウンロードするようにタスク シーケンスの提供情報を構成する Configuration Manager 2007 はタスク シーケンスのダウンロード後にパッケージ ハッシュを検証し、ハッシュがポリシーのハッシュと一致しない場合はタスク シーケンスを破棄するので、[実行中のタスク シーケンスで必要になったときに、ローカルでコンテンツをダウンロードする]に構成した方が安全です。タスク シーケンスの提供情報を[実行中のタスク シーケンスで必要になったときに、配布ポイントからコンテンツに直接アクセスする]に構成すると、検証は行われず、攻撃者はコンテンツを改ざんできます。配布ポイントからプログラムを実行する必要がある場合は、配布ポイントのパッケージに対して NTFS の最低限のアクセス許可を使用し、インターネット セキュリティ プロトコル (IPsec) を使用してクライアントと配布ポイントの間および配布ポイントとサイト サーバーの間のチャネルをセキュリティで保護します。
マルチキャスト パッケージの暗号化を有効にする すべてのオペレーティング システムの展開パッケージに、マルチキャストを使用してパッケージを送信する際に暗号化を有効にするオプションがあります。暗号化を有効にすると、不正なコンピュータがマルチキャスト セッションに参加したり、攻撃者が送信を改ざんしたりするのを防ぐことができます。
不正なマルチキャスト対応配布ポイントを監視する 攻撃者がネットワークへのアクセス権を取得すると、不正なマルチキャスト サーバーを構成してオペレーティング システムの展開を偽装することができます。
プライバシー情報
オペレーティング システムのないコンピュータにオペレーティング システムを展開する以外にも、Configuration Manager 2007 を使用してユーザーのファイルをあるコンピュータから別のコンピュータへ移行できます。管理者は、個人データ ファイル、構成設定、およびブラウザのクッキーなど、どの情報を転送するか構成します。
情報は状態移行ポイントに格納され、転送および保存時に暗号化されます。情報は、状態情報に関連する新規コンピュータで取得することができます。新規コンピュータが情報を取得するためのキーをなくした場合、コンピュータ関連インスタンス オブジェクトの回復情報の表示権限を持つ Configuration Manager 管理者は、情報にアクセスして新規コンピュータに関連付けることができます。新規コンピュータが状態情報を復元すると、コンピュータは既定で 1 日後にデータを削除します。状態移行ポイントで、削除の印が付いたデータをいつ削除するか構成できます。状態移行情報はサイト データベースに格納されず、Microsoft にも送信されません。
ブート メディアを使用してオペレーティング システムのイメージを展開する場合、ブート メディアをパスワード保護する既定のオプションを必ず使用してください。パスワードは、タスク シーケンス内に格納された変数すべてを暗号化します。しかし、変数内に格納されていない情報は開示される恐れがあります。
オペレーティング システムの展開は、タスク シーケンスを使用して展開プロセス時にさまざまな異なるタスクを実行できます。タスクには、ソフトウェアの配布やソフトウェアの更新などが含まれます。タスク シーケンスを構成する場合、ソフトウェアの配布およびソフトウェアの更新に関するプライバシーについても留意する必要があります。
Configuration Manager 2007 は既定でオペレーティング システムの展開を実装しておらず、状態情報の収集や、タスク シーケンスまたはブート イメージの作成を行う前に、いくつかの構成手順を実施する必要があります。オペレーティング システムの展開を構成する前に、プライバシー要件を検討してください。
参照:
その他のリソース
Configuration Manager のオペレーティング システムの展開
Configuration Manager 機能について推奨するセキュリティ運用方法とプライバシー情報
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.