Configuration Manager中 OS 部署的安全性和隱私權

  • 發行項

適用於:Configuration Manager (目前的分支)

本文包含 Configuration Manager 中 OS 部署功能的安全性和隱私權資訊。

OS 部署的安全性最佳做法

當您使用 Configuration Manager 部署作業系統時,請使用下列安全性最佳做法:

實作存取控制以保護可開機媒體

當您建立可開機媒體時,請一律指派密碼來協助保護媒體。 即使使用密碼,它只會加密包含敏感性資訊的檔案,而且可以覆寫所有檔案。

控制媒體的實體存取,以防止攻擊者使用密碼編譯攻擊來取得用戶端驗證憑證。

為了協助防止用戶端安裝遭到竄改的內容或用戶端原則,內容會經過雜湊處理,且必須與原始原則搭配使用。 如果內容雜湊失敗或檢查內容是否符合原則,用戶端將不會使用可開機媒體。 只會雜湊內容。 此原則未經過雜湊處理,但會在您指定密碼時加密並受到保護。 此行為會讓攻擊者更難成功修改原則。

當您建立 OS 映射的媒體時,請使用安全的位置

如果未經授權的使用者可以存取該位置,他們可以竄改您建立的檔案。 它們也可以使用所有可用的磁碟空間,讓媒體建立失敗。

保護憑證檔案

使用強式密碼保護憑證檔案 (.pfx) 。 如果您將它們儲存在網路上,請在匯入網路通道時保護網路通道Configuration Manager

當您需要密碼來匯入用於可開機媒體的用戶端驗證憑證時,此設定有助於保護憑證不受攻擊者攻擊。

在網路位置與月臺伺服器之間使用 SMB 簽署或 IPsec,以防止攻擊者竄改憑證檔案。

封鎖或撤銷任何遭入侵的憑證

如果用戶端憑證遭到入侵,請封鎖憑證Configuration Manager。 如果是 PKI 憑證,請予以撤銷。

若要使用可開機媒體和 PXE 開機來部署 OS,您必須具有具有私密金鑰的用戶端驗證憑證。 如果該憑證遭到入侵,請封鎖 [系統管理] 工作區 [安全性] 節點中 [憑證] 節點中的憑證。

保護月臺伺服器與 SMS 提供者之間的通道

當 SMS 提供者從月臺伺服器遠端時,請保護通道的安全,以保護開機映射。

當您修改開機映射,且 SMS 提供者正在不是月臺伺服器的伺服器上執行時,開機映射很容易受到攻擊。 使用 SMB 簽署或 IPsec 保護這些電腦之間的網路通道。

只在安全的網路區段上啟用 PXE 用戶端通訊的發佈點

當用戶端傳送 PXE 開機要求時,您無法確定要求是由啟用 PXE 的有效發佈點提供服務。 此案例具有下列安全性風險:

  • 回應 PXE 要求的 Rogue 發佈點可能會提供遭竄改的映射給用戶端。

  • 攻擊者可能會對 PXE 所使用的 TFTP 通訊協定發動攔截式攻擊。 此攻擊可能會傳送含有 OS 檔案的惡意程式碼。 攻擊者也可以建立 Rogue 用戶端,直接對發佈點提出 TFTP 要求。

  • 攻擊者可能會使用惡意用戶端對發佈點發動阻斷服務攻擊。

使用深層防禦來保護用戶端存取支援 PXE 之發佈點的網路區段。

警告

由於這些安全性風險,當 PXE 通訊位於不受信任的網路時,請勿啟用發佈點,例如周邊網路。

設定啟用 PXE 的發佈點,只在指定的網路介面上回應 PXE 要求

如果您允許發佈點回應所有網路介面上的 PXE 要求,此設定可能會將 PXE 服務公開給不受信任的網路

需要密碼才能開機 PXE

當您需要 PXE 開機的密碼時,此設定會為 PXE 開機程式增加額外的安全性層級。 此設定有助於防止惡意用戶端加入Configuration Manager階層。

限制用於 PXE 開機或多播的 OS 映射中的內容

請勿在用於 PXE 開機或多播的映射中包含敏感性資料的企業營運應用程式或軟體。

由於 PXE 開機和多播所涉及的固有安全性風險,因此,如果 Rogue 電腦下載 OS 映射,請降低風險。

限制工作順序變數所安裝的內容

請勿在您使用工作順序變數安裝的應用程式套件中,包含敏感性資料的企業營運應用程式或軟體。

當您使用工作順序變數部署軟體時,它可能會安裝在電腦和未獲授權接收該軟體的使用者。

移轉使用者狀態時保護網路通道

當您移轉使用者狀態時,請使用 SMB 簽署或 IPsec 來保護用戶端與狀態移轉點之間的網路通道。

透過 HTTP 進行初始連線之後,會使用 SMB 傳輸使用者狀態移轉資料。 如果您未保護網路通道,攻擊者可以讀取和修改此資料。

使用最新版的 USMT

使用最新版的使用者狀態移轉工具 (Configuration Manager支援的 USMT) 。

最新版的 USMT 可為您移轉使用者狀態資料時提供安全性增強功能和更大的控制。

解除委任狀態移轉點時手動刪除資料夾

當您在狀態移轉點屬性的Configuration Manager主控台中移除狀態移轉點資料夾時,月臺不會刪除實體資料夾。 若要保護使用者狀態移轉資料免于資訊洩漏,請手動移除網路共用並刪除資料夾。

請勿將刪除原則設定為立即刪除使用者狀態

如果您在狀態移轉點上設定刪除原則,立即移除標示為要刪除的資料,而且如果攻擊者管理在有效的電腦之前擷取使用者狀態資料,月臺會立即刪除使用者狀態資料。 將 [間隔 後刪除 ] 設定為足以驗證使用者狀態資料是否成功還原。

手動刪除電腦關聯

當使用者狀態移轉資料還原完成並驗證時,手動刪除電腦關聯。

Configuration Manager不會自動移除電腦關聯。 手動刪除不再需要的電腦關聯,以協助保護使用者狀態資料的身分識別。

在狀態移轉點上手動備份使用者狀態移轉資料

Configuration Manager備份不會在月臺備份中包含使用者狀態移轉資料。

實作存取控制以保護預先設置的媒體

控制媒體的實體存取,以防止攻擊者使用密碼編譯攻擊來取得用戶端驗證憑證和敏感性資料。

實作存取控制以保護參照電腦映射處理常式

請確定您用來擷取 OS 映射的參照電腦位於安全的環境中。 使用適當的存取控制,讓未預期或惡意的軟體無法安裝,而且不慎包含在擷取的映射中。 當您擷取映射時,請確定目的地網路位置是安全的。 此程式有助於確保映射在擷取後不會遭到竄改。

一律在參照電腦上安裝最新的安全性更新

當參照電腦有目前的安全性更新時,有助於減少新電腦第一次啟動時的弱點視窗。

將 OS 部署至未知電腦時實作存取控制

如果您必須將 OS 部署到未知的電腦,請實作存取控制以防止未經授權的電腦連線到網路。

布建未知的電腦可讓您輕鬆地視需要部署新的電腦。 但這也可以讓攻擊者有效率地成為您網路上受信任的用戶端。 限制對網路的實體存取,並監視用戶端以偵測未經授權的電腦。

回應 PXE 起始 OS 部署的電腦,可能會在程式期間終結所有資料。 此行為可能會導致不小心重新格式化的系統遺失可用性。

啟用多播套件的加密

針對每個 OS 部署套件,您可以在Configuration Manager使用多播傳輸套件時啟用加密。 此設定有助於防止 Rogue 電腦加入多播會話。 它也有助於防止攻擊者竄改傳輸。

監視未經授權的多播發布點

如果攻擊者可以存取您的網路,他們可以設定 Rogue 多播伺服器來詐騙 OS 部署。

當您將工作順序匯出至網路位置時,請保護位置並保護網路通道

限制誰可以存取網路資料夾。

在網路位置與月臺伺服器之間使用 SMB 簽署或 IPsec,以防止攻擊者竄改匯出的工作順序。

如果您使用工作循序執行身分帳戶,請採取額外的安全性預防措施

如果您使用 工作循序執行身分帳戶,請採取下列預防措施:

  • 使用具有最小可能許可權的帳戶。

  • 請勿將網路存取帳戶用於此帳戶。

  • 永遠不要將帳戶設為網域系統管理員。

  • 永遠不要設定此帳戶的漫遊設定檔。 當工作循序執行時,它會下載帳戶的漫遊設定檔,讓設定檔容易在本機電腦上存取。

  • 限制帳戶的範圍。 例如,建立不同的工作循序執行作為每個工作順序的帳戶。 如果一個帳戶遭到入侵,只有該帳戶具有存取權的用戶端電腦會遭到入侵。 如果命令列需要電腦上的系統管理存取權,請考慮只針對以帳戶身分執行的工作順序建立本機系統管理員帳戶。 在執行工作順序的所有電腦上建立此本機帳戶,並在不再需要時立即刪除帳戶。

限制和監視獲授與 OS 部署管理員安全性角色的系統管理使用者

獲授與 OS 部署管理員 安全性角色的系統管理使用者可以建立自我簽署憑證。 這些憑證接著可用來模擬用戶端,並從Configuration Manager取得用戶端原則。

使用增強式 HTTP 來減少網路存取帳戶的需求

從 1806 版開始,當您啟用 增強式 HTTP時,數個 OS 部署案例不需要網路存取帳戶即可從發佈點下載內容。 如需詳細資訊,請 參閱工作順序和網路存取帳戶

OS 部署的安全性問題

雖然 OS 部署可以是為您網路上的電腦部署最安全作業系統和設定的便利方式,但它確實有下列安全性風險:

資訊洩漏和拒絕服務

如果攻擊者可以取得您Configuration Manager基礎結構的控制權,他們可以執行任何工作順序。 此程式可能包括格式化所有用戶端電腦的硬碟。 工作順序可以設定為包含敏感性資訊,例如有權加入網域和大量授權金鑰的帳戶。

模擬和提高許可權

工作順序可以將電腦加入網域,以提供具有已驗證網路存取權的 Rogue 電腦。

保護用於可開機工作順序媒體和 PXE 開機部署的用戶端驗證憑證。 當您擷取用戶端驗證憑證時,此程式可讓攻擊者有機會取得憑證中的私密金鑰。 此憑證可讓他們模擬網路上的有效用戶端。 在此案例中,惡意電腦可以下載可包含敏感性資料的原則。

如果用戶端使用網路存取帳戶來存取儲存在狀態移轉點上的資料,這些用戶端就會有效地共用相同的身分識別。 他們可以從使用網路存取帳戶的另一個用戶端存取狀態移轉資料。 資料會加密,因此只有原始用戶端可以讀取它,但資料可能會遭到竄改或刪除。

使用管理點發出的Configuration Manager權杖,即可對狀態移轉點進行用戶端驗證。

Configuration Manager不會限制或管理儲存在狀態移轉點上的資料量。 攻擊者可能會填滿可用的磁碟空間,並導致阻斷服務。

如果您使用集合變數,本機系統管理員可以讀取潛在的敏感性資訊

雖然集合變數提供彈性的方法來部署作業系統,但此功能可能會導致資訊洩漏。

OS 部署的隱私權資訊

除了將 OS 部署到沒有作業系統的電腦之外,Configuration Manager也可用來將使用者的檔案和設定從一部電腦移轉到另一部電腦。 系統管理員會設定要傳輸的資訊,包括個人資料檔案、組態設定和瀏覽器 Cookie。

Configuration Manager儲存狀態移轉點上的資訊,並在傳輸和儲存期間加密。 只有與狀態資訊相關聯的新電腦可以擷取儲存的資訊。 如果新電腦遺失擷取資訊的金鑰,在電腦關聯實例物件上具有檢視修復資訊許可權的Configuration Manager系統管理員可以存取訊號,並將其與新電腦產生關聯。 在新電腦還原狀態資訊之後,預設會在一天后刪除資料。 您可以設定狀態移轉點何時移除標示要刪除的資料。 Configuration Manager不會將狀態移轉資訊儲存在月臺資料庫中,也不會傳送至Microsoft。

如果您使用開機媒體來部署 OS 映射,請一律使用預設選項來密碼保護開機媒體。 密碼會加密儲存在工作順序中的任何變數,但未儲存在變數中的任何資訊可能會容易洩漏。

OS 部署可以在部署程式期間使用工作順序來執行許多不同的工作,包括安裝應用程式和軟體更新。 當您設定工作順序時,也應該留意安裝軟體的隱私權含意。

Configuration Manager預設不會實作 OS 部署。 在您收集使用者狀態資訊或建立工作順序或開機映射之前,需要執行數個設定步驟。

設定 OS 部署之前,請考慮您的隱私權需求。

另請參閱

診斷與使用狀況資料

Configuration Manager 的安全性與隱私權