Configuration Manager のオペレーティング システムの展開のセキュリティとプライバシー
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
[!メモ]
このトピックは次の場所に表示されます:「System Center 2012 Configuration Manager でのソフトウェアとオペレーティング システムの展開」ガイドおよび「System Center 2012 Configuration Manager のセキュリティとプライバシー」ガイド
このトピックでは、System Center 2012 Configuration Manager のオペレーティング システムの展開のセキュリティとプライバシーについて説明します。
オペレーティング システムの展開におけるセキュリティのベスト プラクティス
Configuration Manager でオペレーティング システムを展開する際、次のセキュリティのベストプラクティスを参考にします。
セキュリティのベスト プラクティス |
説明 |
||
|---|---|---|---|
アクセス制御を実装して起動可能なメディアを保護する |
起動可能なメディアを作成するときは、メディアを保護するためにパスワードを常に割り当てます。 しかし、パスワードを割り当てたとしても、機密情報を含むファイルのみが暗号化され、すべてのファイルは上書きすることができます。 メディアに対する物理的アクセスを制御して、攻撃者が暗号化攻撃を使用してクライアント認証証明書を取得することを防ぐことができます。
|
||
オペレーティング システム イメージのメディア作成にセキュリティで保護された場所を使用する |
承認されていないユーザーがその場所にアクセスできると、作成するファイルを改ざんすることもでき、利用可能なディスクスペースを使い果たしてメディアの作成を失敗させることもできます。 |
||
強度の高いパスワードで証明書ファイル (.pfx) を保護し、ネットワークに証明書を保存する場合は Configuration Manager にインポートする際のネットワーク チャネルをセキュリティで保護する |
起動可能なメディアで使用するクライアント認証証明書のインポートにパスワードが必要であれば、攻撃者から証明書を保護するのに役立ちます。 ネットワークの場所とサイト サーバーの間で SMB 署名または IPsec を使用して、攻撃者が証明書ファイルを改ざんするのを防ぎます。 |
||
クライアント証明書が侵害された場合は、Configuration Manager から証明書をブロックします。PKI 証明書である場合は失効させます。 |
起動可能なメディアと PXE ブートを使用してオペレーティング システムを展開するには、プライベート キーの付いたクライアント認証証明書が必要です。 証明書が侵害された場合は、[管理] ワークスペースの [証明書] ノードおよび [セキュリティ] ノード内の証明書をブロックします。 証明書のブロックと失効の違いの詳細については、「クライアントのブロックとクライアント証明書の失効を比較する」を参照してください。 |
||
SMS プロバイダーがコンピューター、またはサイト サーバー以外の複数のコンピューターにある場合は、通信チャネルをセキュリティで保護して、ブート イメージを保護します。 |
ブート イメージが変更され、SMS プロバイダーがサイト サーバーではないサーバーで実行されていると、ブート イメージが攻撃を受けやすくなります。 SMB 署名または IPsec を使用して、これらのコンピューター間のネットワーク チャネルを保護します。 |
||
セキュリティで保護されたネットワーク セグメントでのみ配布ポイントの PXE クライアント通信を有効にする |
クライアントが PXE ブートの要求を送信すると、その要求が有効な PXE 対応の配布ポイントでサービスされたものかどうかを確認することはできません。 このシナリオには次のセキュリティ リスクがあります。
徹底的に防御し、クライアントが PXE 要求で配布ポイントにアクセスするネットワーク セグメントを保護します。
|
||
指定されたネットワーク インターフェイスの PXE 要求のみに応答するように PXE 対応の配布ポイントを構成する |
配布ポイントがすべてのネットワーク インターフェースの PXE 要求に応答するように構成すると、PXE サービスが信頼されないネットワークにさらされる可能性があります。 |
||
PXE ブートでパスワードを要求する |
PXE ブートでパスワードを要求すると、PXE ブート プロセスのセキュリティが一段高まり、偽のクライアントが Configuration Manager 階層に参加するのを防ぐのに役立ちます。 |
||
基幹業務アプリケーションや機密データの含まれたソフトウェアを、PXE ブートまたはマルチキャストで使用するイメージに含めないでください。 |
PXE ブートやマルチキャストには特有のセキュリティ リスクがあるため、偽のコンピューターがオペレーティング システム イメージをダウンロードしたときのリスクを軽減します。 |
||
基幹業務アプリケーションや機密データの含まれたソフトウェアを、タスク シーケンス変数を使用してインストールするソフトウェア パッケージに含めない |
タスク シーケンス変数を使用してソフトウェア パッケージを展開すると、ソフトウェアが、そのソフトウェアを受信する承認のないコンピューターおよびユーザーにインストールされる可能性があります。 |
||
ユーザー状態を移行するときは、SMB 署名または IPsec を使用して、クライアントと状態移行ポイントの間のネットワーク チャネルをセキュリティで保護します。 |
最初に HTTP で接続された後、ユーザー状態管理データが SMB を使用して送信されます。 ネットワーク チャネルをセキュリティで保護しないと、攻撃者がこのデータを読み込み変更する可能性があります。 |
||
Configuration Manager がサポートする最新バージョンのユーザー状態移行ツール (USMT) を使用する |
USMT の最新バージョンは、セキュリティ上の改善とユーザー状態データを移行する際のよりすぐれた制御を提供します。 |
||
使用されなくなった状態移行ポイントのフォルダーは手動で削除する |
Configuration Manager コンソールで状態移行ポイントのプロパティにある状態移行ポイント フォルダーを削除しても、物理フォルダーは削除されません。 情報の漏洩からユーザー状態移行データを守るため、手動でネットワーク共有を削除し、フォルダーを削除する必要があります。 |
||
削除ポリシーでユーザー状態をすぐに削除するよう構成しない |
状態移行ポイントの削除ポリシーで、削除するようマークされたデータをすぐに削除するように構成した場合、有効なコンピューターが取得する前に攻撃者がユーザー状態データを取得してしまうと、ユーザー状態のデータは即座に削除されてしまいます。[次の時期以降に削除する] 間隔を、ユーザー状態のデータの修復が成功したことを確認するのに十分な長さに設定します。 |
||
ユーザー状態移行データの復元が完了し確認されたときにコンピューターの関連付けを手動で削除する |
Configuration Manager は、コンピューターの関連付けを自動的に削除しません。 必要なくなったコンピューターの関連付けを手動で削除することで、ユーザー状態データが特定されるのを防ぎます。 |
||
状態移行ポイントのユーザー状態移行データを手動でバックアップする |
Configuration Manager バックアップには、ユーザー状態移行データは含まれません。 |
||
オペレーティング システムのインストール後 BitLocker を有効にする |
コンピューターが BitLocker をサポートする場合、無人でオペレーティング システムをインストールするには、タスク シーケンス ステップを使用してそれを無効にする必要があります。Configuration Manager は、オペレーティング システムがインストールされた後 BitLocker を有効にしないため、手動で再度有効にする必要があります。 |
||
アクセス制御を実装して事前設定されたメディアを保護する |
メディアに対する物理的アクセスを制御して、攻撃者が暗号化攻撃を使用してクライアント認証証明書と機密データを取得することを防ぐことができます。 |
||
アクセス制御を実装して参照コンピューターのイメージ プロセスを保護する |
オペレーティング システム イメージをキャプチャする参照コンピューターが適切なアクセス制御のあるセキュリティで保護された環境にあることを確認し、予期しないソフトウェアまたは悪意のあるソフトウェアがインストールされ、キャプチャされたイメージに知らぬ間に含まれることのないようにします。 イメージをキャプチャする際、展開先ネットワークのファイル共有場所が、キャプチャされた後で改ざんされないよう、セキュリティで保護された場所であることを確認してください。 |
||
参照コンピューターに最新のセキュリティの更新を常にインストールする |
参照コンピューターのセキュリティが最新に更新されていれば、新しいコンピューターが初めて起動したときに攻撃されるリスクを軽減することができます。 |
||
オペレーティング システムを不明なコンピューターに展開する必要がある場合は、アクセス制御を実装して承認されていないコンピューターがネットワークに接続できないようにする |
不明なコンピューターのプロビジョニングは、新しいコンピューターをオンデマンドで展開する便利な方法ですが、攻撃者がネットワークで信頼されたクライアントとなる可能性があります。 ネットワークへの物理アクセスを制限し、クライアントを監視して不正なコンピューターを検出します。 また、PXE によるオペレーティング システムの展開に応答するコンピューターが、オペレーティング システムの展開中に破損したすべてのデータを持つ可能性もあります。この場合、不注意から再フォーマットされたシステムの可用性が失われることがあります。 |
||
マルチキャスト パッケージの暗号化を有効にする |
Configuration Manager がマルチキャストを使用してパッケージを送信する場合、各オペレーティング システムの展開パッケージに対して暗号化を有効にすることができます。 この構成は、偽のコンピューターがマルチキャスト セッションに参加したり、攻撃者が送信を改ざんしたりするのを防ぐことができます。 |
||
不正なマルチキャスト対応配布ポイントを監視する |
ネットワークへのアクセス権を取得すると、攻撃者は偽のマルチキャスト サーバーを構成してオペレーティング システムの展開を偽装することができます。 |
||
ネットワークの場所にタスク シーケンスをエクスポートする際、その場所とネットワーク チャネルをセキュリティで保護する |
ネットワーク フォルダーにアクセスできるユーザーを制限します。 ネットワークの場所とサイト サーバーの間でSMB 署名または IPsec を使用して、攻撃者がエクスポートしたタスク シーケンスを改ざんするのを防ぎます。 |
||
System Center 2012 R2 Configuration Manager 以降: バーチャル ハード ディスクを Virtual Machine Manager にアップロードする場合は、通信チャネルのセキュリティを保護します。 |
ネットワークを介してデータを転送するときは、データの改ざんを防ぐため、Configuration Manager コンソールを実行するコンピューターと Virtual Machine Manager を実行するコンピューター間で、インターネット セキュリティ プロトコル (IPsec) またはサーバー メッセージ ブロック (SMB) を使用してください。 |
||
タスクシーケンスの実行アカウントを使用する必要がある場合は、さらにセキュリティに留意する |
タスクシーケンスの実行アカウントを使用する場合は、次の事前措置を講じます。
さらに:
|
||
オペレーティング システム展開マネージャーのセキュリティの役割を付与された管理ユーザーを制限し監視する |
オペレーティング システム展開マネージャーのセキュリティの役割を付与された管理ユーザーは、自己署名の証明書を作成できるため、これを使用してクライアントを偽装し Configuration Manager からクライアント ポリシーを取得することができます。 |
.jpeg "System_CAPS_warning"){kind=icon}
警告オペレーティング システムの展開におけるセキュリティの問題
オペレーティング システム展開は、ネットワークのコンピューターに対してもっとも安全なオペレーティング システムおよび構成を展開する方法かもしれませんが、次のようなセキュリティ リスクもあります。
情報開示およびサービスの拒否
攻撃者が Configuration Manager インフラストラクチャの制御を獲得すると、攻撃者は、全クライアント コンピューターのハード ドライブのフォーマット化などを含む、すべてのタスク シーケンスを実行できるようになります。 タスク シーケンスは、ドメインおよびボリュームのライセンス キーに参加する許可が与えられたアカウントなど、機密情報を取得するように構成することができます。
偽装および権限の昇格
タスク シーケンスは、コンピューターをドメインに参加することができます。つまり偽のコンピューターに認証されたネットワーク アクセスを渡してしまう可能性があります。 オペレーティング システムの展開のセキュリティに関してもう 1 つの重要な点は、起動可能なタスク シーケンスのメディアおよび PXE ブートの展開で使用するクライアント認証証明書を保護することです。 クライアント認証証明書をキャプチャすると、攻撃者が証明書のプライベート キーを取得し、ネットワークの有効なクライアントを偽装する機会を与えることになります。
攻撃者が起動可能なタスク シーケンス メディアおよび PXE ブート展開で使用するクライアント証明書を取得すると、この証明書を使用して Configuration Manager の有効なクライアントを偽装することができます。 このシナリオでは、偽のコンピューターは、機密データを含む可能性があるポリシーをダウンロードできます。
クライアントがネットワーク アクセス アカウントを使用して、状態移行ポイントに保存されているデータにアクセスする場合、このようなクライアントは、効率的に同じ ID を共有します。また、ネットワーク アクセス アカウントを使用する別のクライアントから状態移行データにアクセスできます。 元のクライアントのみが読み取ることができるようにデータは暗号化されますが、データが改ざんされたり削除されたりする可能性があります。
状態移行ポイントは、サービス パックが適用されていない Configuration Manager で認証を使用しません。
サービス パックが適用されてない Configuration Manager では、状態移行ポイントは接続を認証しないため、誰でもデータを状態移行ポイントに送信でき、誰でもそこに保存されているデータを取得することができます。 取得したユーザー状態データを読み取ることができるのは元のコンピューターのみですが、このデータが安全と考えるのは誤りです。
Configuration Manager SP1 では、管理ポイントによって発行される Configuration Manager トークンを使用して、状態移行ポイントに対するクライアント認証を実行できます。
さらに、Configuration Manager は、状態移行ポイントに保存するデータ量の制限や管理をしないため、攻撃者が利用可能なディスク容量を使い果たし、サービス拒否をしかけることもできます。
コレクション変数を使用すると、ローカルの管理者が潜在的な機密情報を読み取れる
コレクション変数を使用すると、柔軟にオペレーティング システムを展開できますが、情報が開示される可能性があります。
オペレーティング システムの展開におけるプライバシー情報
オペレーティング システムのないコンピューターにオペレーティング システムを展開する以外にも、Configuration Manager を使用してユーザーのファイルをあるコンピューターから別のコンピューターへ移行できます。 管理者は、個人データ ファイル、構成設定、およびブラウザーのクッキーなど、どの情報を転送するか構成します。
情報は状態移行ポイントに格納され、転送および保存時に暗号化されます。 情報は、状態情報に関連する新規コンピューターで取得することができます。 新規コンピューターが情報を取得するためのキーをなくした場合、コンピューター関連インスタンス オブジェクトの回復情報の表示権限を持つ Configuration Manager 管理者は、情報にアクセスして新規コンピューターに関連付けることができます。 新規コンピューターが状態情報を復元すると、コンピューターは既定で 1 日後にデータを削除します。 状態移行ポイントで、削除の印が付いたデータをいつ削除するか構成できます。 状態移行情報はサイト データベースに格納されず、Microsoft にも送信されません。
ブート メディアを使用してオペレーティング システムのイメージを展開する場合は、ブート メディアをパスワード保護する既定のオプションを必ず使用します。 パスワードは、タスク シーケンス内に格納された変数すべてを暗号化します。しかし、変数内に格納されていない情報は開示される恐れがあります。
オペレーティング システムの展開は、タスク シーケンスを使用して展開プロセス時にさまざまな異なるタスクを実行できます。タスクには、アプリケーションおよびソフトウェア更新プログラムのインストールなどが含まれます。 タスク シーケンスを構成する場合、ソフトウェアのインストールに関するプライバシーについても留意する必要があります。
バーチャル ハード ディスクを Virtual Machine Manager にアップロードする前に、Sysprep ツールでイメージをクリーンアップしなかった場合は、そのバーチャル ハード ディスクに、元のイメージにあった個人情報が含まれる可能性があります。
Configuration Manager では、既定でオペレーティング システムの展開が実装されないため、ユーザー状態情報の収集や、タスク シーケンスまたはブート イメージの作成を実行する前に、いくつかの構成手順を実施する必要があります。
オペレーティング システムの展開を構成する前に、プライバシー要件を考慮します。