Configuration Manager のサイト管理のセキュリティとプライバシー
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
[!メモ]
このトピックは次の場所に表示されます:「System Center 2012 Configuration Manager のサイト管理」ガイドおよび「System Center 2012 Configuration Manager のセキュリティとプライバシー」ガイド
このセクションでは、System Center 2012 Configuration Manager のサイトと階層のセキュリティとプライバシー情報について説明します。
サイトを管理するときのセキュリティのベスト プラクティス
サイト サーバーのセキュリティのベスト プラクティス
SQL Server のセキュリティのベスト プラクティス
IIS を実行するサイト システムのセキュリティのベスト プラクティス
管理ポイントのセキュリティのベスト プラクティス
フォールバック ステータス ポイントのセキュリティのベスト プラクティス
サイト管理に関するセキュリティの問題
探索のプライバシー情報
サイトを管理するときのセキュリティのベスト プラクティス
ここでは、System Center 2012 Configuration Manager のサイトと階層をセキュリティで保護するときのベスト プラクティスをついて説明します。
セキュリティのベスト プラクティス |
説明 |
||
|---|---|---|---|
信頼されるソースからのみセットアップを実行し、セットアップ メディアとサイト サーバー間の通信チャネルをセキュリティで保護する |
ソース ファイルの改ざんを防ぐため、信頼されるソースからセットアップを実行します。 ファイルをネットワーク上に保存している場合は、ネットワークの場所をセキュリティで保護します。 ネットワークの場所からセットアップを実行する場合、ファイルがネットワーク経由で転送されるときに攻撃者によって改ざんされるのを防ぐため、セットアップ ファイルのソースの場所とサイト サーバー間で IPsec または SMB 署名を使用します。 また、セットアップ ダウンローダーを使用してセットアップに必要なファイルをダウンロードする場合、これらのファイルが保存されている場所がセキュリティで保護されており、セットアップの実行時にこの場所の通信チャネルがセキュリティで保護されることを確認します。 |
||
System Center 2012 Configuration Manager 向けに Active Directory スキーマを拡張し、Active Directory ドメイン サービスにサイトを発行する |
スキーマ拡張は、Microsoft System Center 2012 Configuration Manager の実行に必須ではありませんが、信頼されるソースから Configuration Manager のクライアントとサイト サーバーが情報を取得できるため、より安全な環境が構築されます。 クライアントが信頼されていないドメインに属している場合、クライアントのドメインに次のサイト システムの役割を展開します。
|
||
IPsec を使用して、サイト システム サーバーとサイト間の通信をセキュリティで保護する |
Configuration Manager はサイト サーバーと SQL Server を実行するコンピューター間の通信をセキュリティで保護しますが、Configuration Manager はサイト システムの役割と SQL Server 間の通信をセキュリティで保護しません。 一部のサイト システム (登録ポイントおよびアプリケーション カタログ Web サービス ポイント) のみ、サイト間の通信を行うように HTTPS 用に構成できます。 追加の制御を使用してこれらのサーバー間チャネルを保護しない場合は、攻撃者がサイト システムに対してさまざまなスプーフィング攻撃や中間者攻撃を仕掛けることができてしまいます。 IPsec を使用できない場合は、SMB 署名を使用します。
|
||
サイト システムの通信用に Configuration Manager で作成および管理しているセキュリティ グループを変更しない
|
Configuration Manager は、これらのセキュリティ グループを自動的に作成して管理します。 これには、サイト システムの役割が削除された場合の、コンピューター アカウントの削除も含まれます。 サービスの継続性を確保し、最小限の権限を付与するため、これらのグループを手動で編集しないでください。 |
||
クライアントがグローバル カタログ サーバーで Configuration Manager の情報を照会できない場合、信頼されたルート キーのプロビジョニング プロセスを管理する |
クライアントがグローバル カタログ サーバーで Configuration Manager の情報を照会できない場合、クライアントは、信頼されたルート キーを使用して有効な管理ポイントを認証する必要があります。 信頼されたルート キーは、クライアントのレジストリに保存されており、グローバル ポリシーまたは手動の構成を使用して設定できます。 クライアントは、初めて管理ポイントと通信する前に信頼されたルート キーのコピーがない場合、最初に通信した管理ポイントを信頼します。 攻撃者がクライアントを承認されていない管理ポイントに誘導するリスクを軽減するため、信頼されたルート キーをクライアントに事前に準備することができます。 詳細については、「信頼されたルート キーの計画」をご覧ください。 |
||
既定以外のポート番号を使用する |
既定以外のポート番号を使用すると、攻撃者が攻撃準備として環境内を探ることが難しくなるため、セキュリティを強化できます。 既定以外のポートを使用する場合は、Configuration Manager をインストールして階層内のすべてのサイトで一貫して使用する前に、これらのポートについて計画します。 クライアント要求ポートと Wake on LAN は、既定以外のポート番号を使用できる場合の例です。 |
||
サイト システムで役割の分離を使用する |
サイト システムの役割をすべて 1 台のコンピューターにインストールすることは可能ですが、この方法では単一障害点が発生するため、この方法が実稼働ネットワークで使用されることはあまりありません。 |
||
攻撃プロファイルを減らす |
各サイト サーバーの役割を複数のサーバーに分離すると、あるサイト システムの脆弱性に対する攻撃が別のサイト システムで利用される可能性が少なくなります。 多くのサイト システムの役割で、サイト システムにインターネット インフォメーション サービス (IIS) をインストールすることが必要ですが、これにより、攻撃対象が増えることになります。 ハードウェア経費を削減するためにサイト システムの役割を結合する必要がある場合は、IIS のサイト システムの役割を、IIS を必要とする他のサイト システムの役割とのみ結合します。
|
||
Windows Server のセキュリティのベスト プラクティスに従って、すべてのサイト システムでセキュリティ構成ウィザードを実行する |
セキュリティ構成ウィザード (SCW) を使用して、ネットワーク上の任意のサーバーに適用できるセキュリティ ポリシーを作成できます。System Center 2012 Configuration Manager テンプレートをインストールすると、SCW が Configuration Manager サイト システムの役割、サービス、ポート、およびアプリケーションを認識します。 SCW は、Configuration Manager に必要な通信を許可し、不要な通信をブロックします。 セキュリティ構成ウィザードは、System Center 2012 Configuration Manager のツールキットに含まれます。ツールキットは Microsoft ダウンロード センターからダウンロードできます。System Center 2012 – Configuration Manager のコンポーネント アドオンと拡張機能。 |
||
サイト システムに静的 IP アドレスを構成する |
静的 IP アドレスの方が、名前解決攻撃から保護するのが簡単です。 また、IP アドレスを使用する (Configuration Manager でサイト システム間の通信設定のベスト プラクティス) と、IPsec の構成も簡単になります。 |
||
サイト システム サーバーに他のアプリケーションをインストールしない |
サイト システム サーバーに他のアプリケーションをインストールすると、Configuration Manager で攻撃対象が増え、互換性に関する問題が危険にさらされます。 |
||
サイト オプションとして署名を要求して暗号化を有効にする |
サイトで署名オプションと暗号化オプションを有効にします。 SHA-256 ハッシュ アルゴリズムをすべてのクライアントがサポートしていることを確認し、オプション [SHA-256 を必要とする] を有効にします。 |
||
Configuration Manager 管理ユーザーを制限および監視し、役割に基づいた管理権限を構成して、これらの管理ユーザーに最低限必要なアクセス権を付与する |
信頼できるユーザーにのみ Configuration Manager への管理アクセスを許可し、組み込みのセキュリティ ロールを使用するかセキュリティ ロールをカスタマイズして、これらのユーザーに最小限のアクセス許可を付与します。 アプリケーション、タスク シーケンス、ソフトウェア更新プログラム、構成項目、および構成基準を作成、変更、および展開できる管理ユーザーは、Configuration Manager 階層内のデバイスを制御する可能性があります。 管理ユーザーの割り当てと承認レベルを定期的に監査して、必要な変更を確認します。 役割に基づいた管理の構成の詳細については、「役割に基づいた管理の構成」を参照してください。 |
||
Configuration Manager のバックアップをセキュリティで保護し、バックアップ時と復元時に通信チャネルをセキュリティで保護する |
Configuration Manager のバックアップ時に、この情報には、攻撃者がなりすましに使用する可能性がある証明書や他の機密データが含まれています。 このデータをネットワーク経由で転送するときに SMB 署名または IPsec を使用し、バックアップの場所をセキュリティで保護します。 |
||
Configuration Manager コンソールからネットワークの場所にオブジェクトをエクスポートまたはインポートする場合は常に、ネットワークの場所とネットワーク チャネルをセキュリティで保護する |
ネットワーク フォルダーにアクセスできるユーザーを制限します。 ネットワークの場所とサイト サーバー間、および Configuration Manager コンソールを実行するコンピューターとサイト サーバー間で SMB 署名または IPsec を使用して、エクスポートしたデータが攻撃者によって改ざんされるのを防ぎます。 情報開示を防ぐため、IPsec を使用してネットワーク上のデータを暗号化します。 |
||
サイト システムのアンインストールに失敗したり、サイトシステムの機能が停止して復元できない場合、このサーバーの Configuration Manager 証明書を他の Configuration Manager サーバーから手動で削除する |
元々サイト システムとサイト システムの役割で確立された PeerTrust を削除するには、他のサイト システム サーバーの信頼されたユーザー証明書ストアにある、障害が発生したサーバーの Configuration Manager 証明書を手動で削除します。 これは、サーバーを再フォーマットせずに再設定する場合に、特に重要です。 これらの証明書の詳細については、「Configuration Manager で使用される暗号化制御のテクニカル リファレンス」セクションを参照してください。 |
||
境界ネットワークとイントラネットをブリッジするインターネットベースのサイト システムを構成しない |
境界ネットワークとイントラネットに接続するように、サイト システム サーバーをマルチホームに構成しないでください。 この構成により、インターネットベースのサイト システムが、インターネットとイントラネットからクライアント接続を受け入れることができるようになりますが、境界ネットワークとイントラネット間のセキュリティ境界が排除されてしまいます。 |
||
サイト システム サーバーが信頼されていないネットワーク (境界ネットワークなど) 上にある場合、サイト システムへの接続を開始するようにサイト サーバーを構成する |
既定では、サイト システムは、データを転送するためにサイト サーバーへの接続を開始します。この接続は、信頼されていないネットワークから信頼されているネットワークに対して開始される場合に、セキュリティ上のリスクになる可能性があります。 サイト システムがインターネットから接続を受け入れる場合、または信頼されていないフォレストに配置されている場合、サイト システムおよびサイト システムの役割のインストール後にすべての接続が信頼されているネットワークから開始されるように、サイト システム オプション [サイト サーバーがこのサイト システムへの接続を開始する必要がある] を構成します。 |
||
インターネットベースのクライアント管理に Web プロキシ サーバーを使用する場合、認証終了を使用して SSL への SSL ブリッジングを使用する |
プロキシ Web サーバーで SSL ターミネーションを構成すると、インターネットからのパケットが内部ネットワークに転送される前に検査されます。 プロキシ Web サーバーはクライアントからの接続を認証してから終了します。次に、インターネット ベースのサイト システムに認証済みの新しい接続を開きます。 Configuration Manager クライアント コンピューターがプロキシ Web サーバーが使用してインターネットベースのサイト システムに接続する場合、クライアント ID (クライアント GUID) はパケット ペイロード内に安全に格納されるので、管理ポイントではプロキシ Web サーバーはクライアントとは見なされません。 プロキシ Web サーバーが SSL ブリッジングの要件をサポートできない場合は、SSL トンネリングもサポートされます。 このオプションはセキュリティが劣ります。これは、インターネットからの SSL パケットが終了せずにサイト システムに転送されるため、悪意のあるコンテンツがないかどうかを検査できないためです。 プロキシ Web サーバーが SSL ブリッジングの要件をサポートできない場合は、SSL トンネリングを使用できます。 ただし、このオプションはセキュリティが劣ります。これは、インターネットからの SSL パケットが終了せずにサイト システムに転送されるため、悪意のあるコンテンツがないかどうかを検査できないためです。
|
||
コンピューターをウェイク アップしてソフトウェアをインストールするように、サイトを構成する
|
さまざまな Wake On LAN テクノロジの詳細については、「Configuration Manager のクライアント接続の計画」を参照してください。 |
||
電子メールによる通知を使用している場合は、SMTP メール サーバーへの認証アクセスを構成するようお勧めします。 |
可能な限り、認証アクセスをサポートするメール サーバーを使用し、認証にサイト サーバーのコンピューター アカウントを使用することをお勧めします。 認証でユーザー アカウントを指定する必要がある場合は、少なくとも特権のあるアカウントを使用します。
|
.jpeg "System_CAPS_important")
重要.jpeg "System_CAPS_warning"){kind=icon}
警告
サイト サーバーのセキュリティのベスト プラクティス
ここでは、Configuration Manager サイト サーバーをセキュリティで保護するときのベスト プラクティスについて説明します。
セキュリティのベスト プラクティス |
説明 |
|---|---|
ドメイン コントローラーの代わりにメンバー サーバーに Configuration Manager をインストールする |
Configuration Manager のサイト サーバーとサイト システムは、ドメイン コントローラーにインストールする必要はありません。 ドメイン コントローラーは、ドメイン データベース以外のローカルのセキュリティ アカウント マネージメント (SAM) データベースを持っていません。Configuration Manager をメンバー サーバーにインストールすると、ドメイン データベース内ではなくローカルの SAM データベース内で Configuration Manager アカウントを保持できます。 これにより、ドメイン コントローラーの攻撃対象も減らすことができます。 |
ネットワーク経由でセカンダリ サイト サーバーにファイルをコピーせずに、セカンダリ サイトをインストールする |
セットアップを実行してセカンダリ サイトを作成する際、親サイトからセカンダリ サイトにファイルをコピーするオプションや、ネットワーク ソースの場所を使用するオプションを選択しないでください。 ネットワーク経由でファイルをコピーすると、攻撃のタイミングは難しいですが、技術を持った攻撃者がセカンダリ サイトのインストール パッケージを乗っ取り、インストール前にファイルを改ざんする可能性があります。 ファイルの転送時に IPsec または SMB を使用すると、この攻撃を軽減できます。 ネットワーク経由でファイルをコピーする代わりに、セカンダリ サイト サーバーで、メディアからローカル フォルダーにソース ファイルをコピーします。 次に、セカンダリ サイトを作成するセットアップの実行中に、[インストール ソース ファイル] ページで、[セカンダリ サイト コンピューターで、次の場所にあるソース ファイルを使用する (最もセキュリティが高い)] を選択し、このフォルダーを指定します。 詳細については、「セカンダリ サイトのインストール」トピックの「Configuration Manager のサイトのインストールと階層の作成」セクションを参照してください。 |
SQL Server のセキュリティのベスト プラクティス
Configuration Manager では、SQL Server がバックエンド データベースとして使用されます。 データベースが侵害された場合、攻撃者は Configuration Manager バイパスして SQL Server に直接アクセスし、Configuration Manager を通じて攻撃を行うことができます。 SQL Server に対する攻撃は、非常にリスクが高いと見なし、適切に減らす必要があります。
ここでは、Configuration Manager で使用する SQL Server をセキュリティのベスト プラクティスについて説明します。
セキュリティのベスト プラクティス |
説明 |
|---|---|
別の SQL Server アプリケーションを実行するのに、Configuration Manager サイト データベース サーバーを使用しない |
Configuration Manager サイト データベース サーバーへのアクセスが増えると、Configuration Manager データのリスクが増加します。Configuration Manager サイト データベースが侵害された場合、同じ SQL Server コンピューター上の他のアプリケーションも危険にさらされます。 |
Windows 認証を使用するように SQL Server を構成する |
Configuration Manager は Windows アカウントと Windows 認証を使用してサイト データベースにアクセスしますが、SQL Server 混在モードを使用するように SQL Server を構成することも可能です。 SQL Server 混在モードでは、追加の SQL ログインでデータベースにアクセスできますが、これは不要であり、攻撃対象を増やすことになります。 |
セカンダリ サイトで使用する SQL Server Express に最新のソフトウェア更新プログラムが適用されるように、追加の手順を実行する |
プライマリ サイトがインストールされると、Configuration Manager は、Microsoft ダウンロード センターから SQL Server Express をダウンロードし、プライマリ サイト サーバーにファイルをコピーします。 セカンダリ サイトをインストールし、SQL Server Express をインストールするオプションを選択している場合、Configuration Manager は以前にダウンロードしたバージョンをインストールします。新しいバージョンが利用可能であるかどうかは確認されません。 セカンダリ サイトに最新バージョンが適用されていることを確認するには、次のいずれかを実行します。
これらのサイトおよびインストールされているすべてのバージョンの SQL Server に対して Windows Update を定期的に実行し、最新のソフトウェア更新プログラムが適用されていることを確認します。 |
SQL Server のベスト プラクティスに従う |
使用するバージョンの SQL Server のベスト プラクティスに従います。 ただし、Configuration Manager に関する次の要件を考慮します。
|
IIS を実行するサイト システムのセキュリティのベスト プラクティス
Configuration Manager の複数のサイト システムの役割に IIS が必要です。 IIS をセキュリティで保護すると、Configuration Manager が正しく動作するようになるため、セキュリティ攻撃のリスクが軽減されます。 これを実際に行うと、IIS が必要なサーバーの数が最小限に抑えられます。 たとえば、クライアント ベースをサポートするために必要な数の管理ポイントだけを実行し、インターネットベースのクライアント管理のために高可用性とネットワーク分離を考慮します。
ここでは、IIS を実行するサイト システムをセキュリティで保護するときのベスト プラクティスについて説明します。
セキュリティのベスト プラクティス |
説明 |
|---|---|
不要な IIS 機能を無効にする |
インストールするサイト システムの役割に最小限の IIS 機能をインストールします。 詳細については、「」の「」を参照してください。No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq |
HTTPS を要求するようにサイト システムの役割を構成する |
クライアントは、HTTPS ではなく HTTP を使用してサイト システムに接続する場合、Windows 認証を使用しますが、Kerberos 認証ではなく NTLM 認証を使用するように切り替わることがあります。 NTLM 認証を使用すると、クライアントが偽のサーバーに接続する可能性があります。 このセキュリティのベスト プラクティスの例外は、配布ポイントです。これは、配布ポイントが HTTPS 接続用に構成されていると、パッケージ アクセス アカウントが機能しないからです。 パッケージ アクセス アカウントはコンテンツに対する承認を提供します。これにより、コンテンツにアクセスできるユーザーを制限することができます。 詳細については、「コンテンツ管理について推奨する運用方法」をご覧ください。 |
次のサイト システムの役割に対して IIS で証明書信頼リスト (CTL) を構成する
|
証明書信頼リスト (CTL) は、信頼されるルート証明機関の定義済みリストです。 CTL を グループ ポリシーと PKI の展開と組み合わせて使用すると、ネットワーク上で構成されている既存の信頼されたルート証明機関を補うことができます。ネットワーク上の既存のルート証明機関には、Microsoft Windows と一緒に自動的にインストールされるものや、Windows エンタープライズ ルート証明機関によって追加されるものなどがあります。 一方、CTL が IIS で構成されている場合、CTL はこれらの信頼されたルート証明機関のサブセットを定義します。 このサブセットによりセキュリティ管理が強化されます。その理由は、CTL によって、受け付けられるクライアント証明書が CTL にリストされている証明機関から発行されたもののみに制限されるためです。 たとえば、Windows には、VeriSign や Thawte など、有名なサードパーティ証明機関が数多く付属しています。 既定では、IIS を実行するコンピューターは、これらの既知の証明機関へチェーンされている証明書を信頼します。 リストされているサイト システムの役割に対して CRL を使用して IIS を構成しない場合、これらの証明機関から発行されたクライアント証明書を持つデバイスはどれも、有効な Configuration Manager クライアントとして受け入れられます。 IIS をこれらの証明機関を含んでいない CTL を使用して構成すると、証明書がこれらの証明機関へチェーンされている場合にクライアント接続が拒否されます。 ただし、リストされているサイト システムの役割で Configuration Manager クライアントが受け入れられるようにするには、Configuration Manager クライアントによって使用される証明機関を指定した CTL を使用して IIS を構成する必要があります。
IIS で信頼された証明機関のリストを構成する方法の詳細については、IIS のドキュメントを参照してください。 |
IIS と共にサイト サーバーをコンピューター上に配置しない |
役割を分離すると、攻撃プロファイルを減らし、回復性を向上できます。 また、サイト サーバーのコンピューター アカウントは、通常、すべてのサイト システムの役割 (および、クライアント プッシュ インストールを使用している場合は、Configuration Manager クライアント) で管理者特権を持っています。 |
Configuration Manager に専用の IIS サーバーを使用する |
Configuration Manager でも使用される IIS サーバーに複数の Web ベース アプリケーションをホストできますが、これにより、攻撃対象が大幅に増える可能性があります。 アプリケーションが正しく構成されていないと、攻撃者によって Configuration Manager サイト システムの制御が奪われて、階層全体の制御が奪われてしまう可能性があります。 他の Web ベース アプリケーションを Configuration Manager サイト システムで実行する必要がある場合、Configuration Manager サイト システムにカスタム Web サイトを作成します。 |
カスタム Web サイトを使用する |
IIS を実行するサイト システムでは、IIS に既定の Web サイトではなくカスタム Web サイトを使用するように Configuration Manager を構成できます。 サイト システムで他の Web アプリケーションを実行する場合は、カスタム Web サイトを使用する必要があります。 この設定は、特定のサイト システムの設定ではなく、サイト全体の設定です。 サイト システムで他の Web アプリケーションを実行する場合は、セキュリティの強化に加えて、カスタム Web サイトを使用する必要があります。 |
配布ポイントの役割のインストール後に、既定の Web サイトをカスタム Web サイトに切り替える場合、既定の仮想ディレクトリを削除する |
既定の Web サイトからカスタム Web サイトの使用に変更した場合、Configuration Manager により、古い仮想ディレクトリが削除されることはありません。 既定の Web サイトの下に Configuration Manager によって作成された、仮想ディレクトリを削除します。 たとえば、配布ポイントで削除する仮想ディレクトリは、次のとおりです。
|
IIS Server のベスト プラクティスに従う |
使用するバージョンの IIS Server のベスト プラクティスに従います。 ただし、特定のサイト システムの役割に対して Configuration Manager が持つ要件を考慮に入れます。 詳細については、「」トピックの「」セクションを参照してください。No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq |
管理ポイントのセキュリティのベスト プラクティス
管理ポイントは、デバイスと Configuration Manager の間の基本インターフェイスです。 管理ポイントおよび管理ポイントを実行しているサーバーに対する攻撃は、非常にリスクが高いと見なし、適切に減らす必要があります。 管理ポイントの動作を注意深く監視し、ベスト プラクティスに従ってください。
次に、Configuration Manager で管理ポイントをセキュリティで保護するときのベスト プラクティスについて説明します。
セキュリティのベスト プラクティス |
説明 |
|---|---|
管理ポイントに Configuration Manager クライアントをインストールするときに、このクライアントをその管理ポイントのサイトに割り当てる |
管理ポイントのサイト システムにある Configuration Manager クライアントを管理ポイントのサイト以外のサイトには割り当てないでください。 Configuration Manager 2007 から System Center 2012 Configuration Manager に移行する場合、できるだけ早く Configuration Manager 2007 クライアントを System Center 2012 Configuration Manager に移行します。 |
フォールバック ステータス ポイントのセキュリティのベスト プラクティス
ここでは、Configuration Manager でフォールバック ステータス ポイントをインストールするときのセキュリティのベスト プラクティスについて説明します。
フォールバック ステータス ポイントをインストールするときのセキュリティの注意事項については、「フォールバック ステータス ポイントが必要かどうかを判断する」を参照してください。
セキュリティのベスト プラクティス |
説明 |
|---|---|
他のサイト システムの役割は、サイト システムで実行しない。また、ドメイン コントローラーにインストールしない |
フォールバック ステータス ポイントは、任意のコンピューターから認証されていない通信を受け入れるように設計されているため、このサイト システムの役割を他のサイト システムの役割と共に実行したり、ドメイン コントローラー上で実行すると、そのサーバーのリスクが大幅に増加します。 |
Configuration Manager でのクライアント通信に PKI 証明書を使用する場合、クライアントをインストールする前にフォールバック ステータス ポイントをインストールする |
Configuration Manager サイト システムが HTTP クライアント通信を受け入れない場合、PKI 関連の証明書の問題のために、クライアントが管理対象かどうかが分からないことがあります。 ただし、クライアントがフォールバック ステータス ポイントに割り当てられている場合、これらの証明書の問題はフォールバック ステータス ポイントによってレポートされます。 セキュリティ上の理由から、クライアントのインストール後に、フォールバック ステータス ポイントをクライアントに割り当てることはできません。この役割は、クライアントのインストール時にのみ割り当てることができます。 |
境界ネットワークでのフォールバック ステータス ポイントの使用を避ける |
仕様により、フォールバック ステータス ポイントは任意のクライアントからデータを受け入れます。 境界ネットワークにフォールバック ステータス ポイントを配置すると、インターネット ベース クライアントのトラブルシューティングに役立つ場合がありますが、トラブルシューティングの利点と、一般からアクセス可能なネットワークでサイト システムが認証されていないデータを受け入れるリスクとのバランスを取る必要があります。 境界ネットワークまたは信頼されていないネットワークにフォールバック ステータス ポイントをインストールする場合、フォールバック ステータス ポイントがサイト サーバーへの接続を開始する既定の設定ではなく、サイト サーバーがデータ転送を開始するように構成します。 |
サイト管理に関するセキュリティの問題
Configuration Manager に関する次のセキュリティの問題を確認します。
Configuration Manager には、ネットワークの攻撃に Configuration Manager を使用する承認された管理ユーザーに対する防御がありません。 承認されていない管理ユーザーは、セキュリティ上、高いリスクであり、次のようなさまざまな攻撃を仕掛ける可能性があります。
ソフトウェア開発を使用して、企業内のすべての Configuration Manager クライアント コンピューターに悪意のあるソフトウェアを自動的にインストールして実行する。
リモート コントロールを使用して、クライアントのアクセス許可なしに Configuration Manager クライアントをリモートで制御する。
ポーリング間隔を短縮してインベントリの量が膨大になるように構成し、クライアントとサーバーへのサービス拒否攻撃を行う。
階層内のいずれかのサイトを使用して、別のサイトの Active Directory データにデータを書き込む。
サイト階層がセキュリティの境界です。サイトは単なる管理の境界であると考えてください。
管理ユーザーのすべてのアクティビティを監査し、定期的に監査ログを調べます。 すべての Configuration Manager 管理ユーザーについて、採用前に経歴を確認し、定期的に勤務状況を再確認することが必要です。
登録ポイントが侵害された場合、攻撃者が認証用の証明書を取得して、モバイル デバイスを登録しているユーザーの資格情報を盗み出す可能性があります。
登録ポイントは証明機関と通信します。また、Active Directory オブジェクトを作成、変更、および削除することができます。 境界ネットワークに登録ポイントをインストールしないでください。また、異常なアクティビティを監視してください。
インターネットベースのクライアント管理にユーザー ポリシーを許可したり、インターネット上にあるユーザー用にアプリケーション カタログ Web サイト ポイントを構成したりすると、攻撃プロファイルが増加します。
クライアントとサーバー間の接続に PKI 証明書を使用するだけでなく、これらの構成では Windows 認証が必要ですが、Kerberos ではなく NTLM 認証を使用するように切り替わることがあります。 NTLM 認証は、なりすましや再生攻撃に対して脆弱です。 インターネット上のユーザーを正しく認証するためには、インターネットベースのサイト システム サーバーからドメイン コントローラーへの接続を許可する必要があります。
Admin$ 共有がサイト システム サーバーで必要です。
Configuration Manager サイト サーバーでは、サイト システムのサービスへの接続とサービスの実行に Admin$ 共有を使用します。 Admin$ 共有は無効化したり削除したりしないでください。
Configuration Manager は、名前解決サービスを使用して他のコンピューターに接続します。この名前解決サービスを、スプーフィング、改ざん、否認、情報開示、サービス拒否、権限の昇格などのセキュリティ攻撃から保護することは困難です。
名前解決に使用する DNS と WINS のバージョンのセキュリティのベストプラクティスに従います。
探索のプライバシー情報
探索によって、ネットワーク リソースのレコードが作成され、System Center 2012 Configuration Manager データベースに保存されます。 探索データ レコードには、IP アドレス、オペレーティング システム、コンピューター名などのコンピューター情報が含まれます。 Active Directory 探索方法を Active Directory ドメイン サービスに保存されている情報を探索するように構成することもできます。
既定で有効になっている探索方法は定期探索だけですが、この方法では System Center 2012 Configuration Manager クライアント ソフトウェアが既にインストールされているコンピューターのみ探索されます。
探索情報がマイクロソフトに送信されることはありません。 探索情報は、Configuration Manager データベースに保存されます。 情報は、90 日ごとに実行されるサイトの保守タスク [期限切れの探索データの削除] によって削除されるまでデータベースに保持されます。 削除間隔は構成できます。
追加の探索方法を構成したり、Active Directory 探索を拡張したりする前に、プライバシー要件を検討してください。