Partilhar via


Segurança e privacidade para gestão fora de banda no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Este tópico contém informações de segurança e privacidade para gestão fora de banda no System Center 2012 Configuration Manager.

Segurança práticas recomendadas para gestão fora de banda

Utilize as seguintes práticas recomendadas de segurança quando faz a gestão de computadores baseados em Intel AMT fora de banda.

Procedimento recomendado de segurança

Mais informações

Pedido firmware personalizada antes de comprar computadores baseados em Intel AMT.

Computadores que podem ser geridas fora de banda tem extensões da BIOS que podem definir valores personalizados para aumentar significativamente segurança quando estes computadores estão na sua rede.Verifique as definições de extensão da BIOS estão disponíveis a partir do fabricante do computador e especifique os valores.Para mais informações, consulte Determinar se deve utilizar uma imagem de Firmware personalizada a partir do fabricante do computador.

Se os computadores baseado em AMT não tem os valores de firmware que pretende utilizar, poderá ser capaz de especificar manualmente.Para mais informações sobre como configurar manualmente as extensões da BIOS, consulte a documentação de Intel ou a documentação do fabricante do computador.Para obter mais informações, consulte o artigo Intel vPro Centro especialista: Microsoft vPro gestão.Personalize as opções seguintes para aumentar a segurança:

  • Substitua todos os thumbprints de certificados de autoridades de certificação externos (CAs) com o thumbprint de certificado do seu próprio AC interno.Isto impede rogue servidores aprovisionamento de tentar aprovisionar computadores baseado em AMT e não tiver que comprar o aprovisionamento de certificados de CAs externos.

  • Utilizar uma palavra-passe personalizada para a conta de MEBx para que o valor predefinido de admin não é utilizado.Em seguida, especifique esta palavra-passe com um aprovisionamento do AMT e a conta de deteção no Gestor de configuração.Isto impede rogue servidores aprovisionamento de tentar aprovisionar computadores baseado em AMT com a palavra-passe conhecidos predefinido.

Controla a pedido e a instalação do certificado aprovisionamento.

Pedir o certificado de aprovisionamento diretamente a partir do servidor de aprovisionamento utilizando o contexto de segurança do computador para que o certificado está instalado diretamente para o arquivo do computador local.Se terá de pedir o certificado de outro computador, terá de exportar a chave privada e, em seguida, utilize os controlos de segurança adicional ao transferir e importar o certificado para um arquivo de certificados.

Certifique-se de que pedir um novo certificado de aprovisionamento antes de expira certificado existente.

Um certificado de aprovisionamento do AMT expirado resultados uma falha de aprovisionamento.Se estiver a utilizar uma AC externo para o seu certificado aprovisionamento, permita tempo adicionais concluir o processo de renovação e configure novamente a fora do ponto de gestão de banda.

Utilize um modelo de certificado dedicado para aprovisionamento de computadores baseados em AMT.

Se tiver a utilizar uma versão de empresa do Windows Server para a sua empresa AC, criar um novo modelo de certificado por duplicar o modelo de certificado de servidor Web do predefinido, certifique-se de que apenas o grupo de segurança que especificar na saída de propriedades de componentes de gestão de banda tem permissões de leitura e de inscrição, e não adicione funcionalidades adicionais para a predefinição da autenticação do servidor.

Um modelo de certificado dedicado permite-lhe para melhor gerir e controlar o acesso para ajudar a evitar elevação de privilégios.Se tiver uma versão padrão do Windows Server para a sua empresa AC, não pode criar um modelo de certificado duplicados.Neste cenário, terá de adicionar a leitura e inscrever-se com permissões para o grupo de segurança que especificar na saída de propriedades de componentes de gestão de banda e remover qualquer permissão que não necessitar.

Utilize o power AMT no comandos em vez de pacotes de reativação.

Apesar de ambas as soluções suportarem waking o computadores para instalação de software, power AMT no comandos são mais seguro de transmitir pacotes de reativação porque que fornecem autenticação e encriptação utilizando os protocolos de segurança da indústria padrão.Ao utilizar o power AMT comandos com gestão fora de banda, esta solução também pode integrar uma implementação de infraestrutura de chave pública (PKI) existente e os controlos de segurança podem ser geridos independentemente do produto.Para mais informações, consulte "Planear como para reativação por cima clientes" no Planear a Comunicação do Cliente no Configuration Manager.

Desative AMT no firmware se o computador não é suportado para gestão fora de banda.

Mesmo quando baseado em AMT computadores tem uma versão suportada do AMT, existem alguns cenários que gestão fora de banda não suporta.Estes cenários incluem computadores do grupo de trabalho, computadores que tenham um espaço de nomes diferente e computadores que tenham um espaço de nomes disjoint.

Para garantir que estes computadores baseado em AMT não são publicadas Active Directory Domain Services e não têm um certificado PKI pedido para as mesmas, desative AMT no firmware.O aprovisionamento do AMT Gestor de configuração cria credenciais do domínio para as contas publicadas no Active Directory Domain Services, que risks a elevação de privilégios quando os computadores não fazem parte da sua floresta do Active Directory.

Utilize um UO dedicado para publicar contas de computador baseado em AMT.

Não utilize um contentor existente ou unidade organizacional (UO) para publicar as contas do Active Directory que são criadas durante o aprovisionamento de AMT.Um separado UO permite-lhe gerir e controla melhor estas contas e ajuda a assegurar a servidores do site e estas contas não são concedidas permissões mais do que necessitam.

Permitir que as contas de computador de servidor do site permissão de escrita para o UO, o grupo de computadores de domínio e o grupo de domínio convidados em cada domínio que contém computadores baseados em AMT.

Para além de permitir que o servidor do site contas de computador Criar todos os objetos subordinados e Eliminar todos os objetos subordinados permissões para o UO e aplicar a este objeto apenas, permitir que as seguintes permissões para o servidor do site contas de computador:

  • Para o UO: Todas as propriedades de escrita permissão e aplicar a este objeto e todos os objetos descendentes.

  • Para o grupo de computadores de domínio: Todas as propriedades de escrita permissão e aplicar a este objeto apenas.

  • Para o grupo de domínio convidado: Todas as propriedades de escrita permissões e aplicar a este objeto apenas.

Utilize uma coleção de dedicado para aprovisionamento de AMT.

Não utilize uma coleção existente que contém computadores mais do que pretende aprovisionar para AMT.Em vez disso, criar uma coleção de baseados na consulta utilizando o estado AMT de não aprovisionado.

Para mais informações sobre o estado de AMT e como construir uma consulta para não aprovisionado, consulte o artigo Sobre o estado AMT e de fora do banda gestão no Configuration Manager.

Obter e armazenar ficheiros de imagem de forma segura quando que arrancar a partir alternativa multimédia para utilizar a função de redirecionamento de IDE.

Quando lhe arrancar a partir alternativa multimédia para utilizar a função de redirecionamento IDE, sempre que possível, armazene os ficheiros de imagem localmente no computador com a fora da consola de gestão de banda.Se tem armazená-los na rede, certifique-se de que as ligações para obter os ficheiros através da rede utilizem SMB assinatura para o ajudar a impedir que os ficheiros que está a ser adulterados durante a transferência de rede.Em ambos os cenários, proteger os ficheiros armazenados para ajudar a impedir o acesso não autorizado, por exemplo, utilizando NTFS permissões e o sistema de ficheiros encriptados.

Obter e armazenar ficheiros de registo de auditoria AMT de forma segura.

Se guarda AMT auditoria ficheiros de registo, sempre que possível, armazene os ficheiros localmente no computador que está a executar a fora da consola de gestão de banda.Se tem armazená-los na rede, certifique-se de que as ligações para obter os ficheiros através da rede utilizem SMB assinatura para o ajudar a impedir que os ficheiros que está a ser adulterados durante a transferência de rede.Em ambos os cenários, proteger os ficheiros armazenados para ajudar a impedir o acesso não autorizado, por exemplo, utilizando NTFS permissões e o sistema de ficheiros encriptados.

Minimizar o número de aprovisionamento do AMT e contas de deteção.

Embora pode especificar várias Aprovisionamento do AMT e contas de deteção para que Gestor de configuração pode detetar computadores que tenham controladores de gestão de AMT e aprovisioná-los para gestão fora de banda, não especifique contas que não são atualmente necessárias e eliminar contas que já não são necessárias.Especifica apenas as contas que necessita, para ajudar a garantir que estas contas não são concedidas permissões mais do que necessitam de e para reduzir desnecessárias tráfego de rede e o processamento.Para mais informações sobre o aprovisionamento do AMT e a conta de deteção, consulte o artigo Passo 5: Configurar a fora de banda do componente de gestão.

Para a continuidade do serviço, especifique uma conta de utilizador como a conta de remoção de aprovisionamento do AMT e certifique-se de que esta conta de utilizador também é especificada como uma conta de utilizador de AMT.

A conta de remoção de aprovisionamento do AMT ajuda a assegurar a continuidade do serviço se deve restaurar a Gestor de configuração site.Depois de a restaurar o site, pedido e configurar um novo certificado de aprovisionamento do AMT, utilize o aprovisionamento do AMT e remoção conta para remover informações de aprovisionamento de computadores baseados em AMT e, em seguida, reprovision os computadores.

Também poderá ser possível utilizar esta conta se um computador baseado em AMT foi reatribuído a partir de outro site e as informações de aprovisionamento não foi removidas.

Para mais informações sobre como remover informações de aprovisionamento AMT, consulte Como remover informações de AMT.

Utilize um modelo de certificado única para certificados de autenticação de cliente sempre prático.

Embora pode especificar modelos de certificado diferentes para cada um dos perfis sem fios, utilize um único modelo de certificado, exceto se tiver um requisito de negócio para diferentes definições ser utilizado para diferentes redes sem fios, especifique apenas capacidade de autenticação de cliente e dedicar este modelo de certificado para utilização com Gestor de configuração Gestão fora de banda.Por exemplo, se uma rede sem fios necessário um tamanho de chave superior ou mais curto período de validade que outro, terá de criar um modelo de certificado separado.Um modelo de certificado único permite-lhe controlar a sua utilização mais facilmente e guards contra elevação de privilégios.

Certifique-se de que apenas os utilizadores administrativos autorizados realizar ações de auditoria de AMT e gerir os registos de auditoria AMT conforme necessário.

Consoante a versão AMT, Gestor de configuração poderá deixar de escrever novas entradas para o registo de auditoria AMT quando está quase cheia ou pode substituir entradas antigas.Para garantir que são registadas novas entradas e entradas antigas não serão substituídas, periodicamente limpar o registo de auditoria, se necessário e guardar as entradas de auditoria.Para mais informações sobre como gerir o registo de auditoria e o monitor de auditoria de atividades, consulte o artigo Como gerir o registo de auditoria para computadores baseado em AMT no Configuration Manager.

Utilize o princípio do menor privilégios e baseado em funções administração para atribuir permissões de utilizadores administrativos para gerir computadores baseado em AMT fora de banda.

Utilize o remoto ferramentas operador função de segurança para conceder a permissão de AMT de controlo, o que permite-lhes ver e gerir computadores utilizando a fora da consola de gestão de banda, a utilizadores administrativos e iniciar ações de controlo power a partir do Gestor de configuração consola.

Para mais informações sobre as permissões de segurança que possam requerer para gerir computadores baseados em AMT, consulte "Dependências do Configuration Manager" no Pré-requisitos para gestão fora de banda no Configuration Manager.

Problemas de segurança para gestão fora de banda

Gerir computadores baseado em AMT fora de banda tem os seguintes problemas de segurança:

  • Um atacante poderá fake um pedido de aprovisionamento, o que resulta na criação de uma conta Active Directory.Monitor de UO onde são criadas as contas AMT para se certificar de que apenas esperadas contas são criadas.

  • Não é possível configurar o acesso de proxy web para o limite de ponto de serviço de banda para verificar a lista de revogação de certificados (CRL) que se encontra publicada na Internet.Se ativar a verificação de CRL para o certificado de aprovisionamento do AMT e não é possível aceder a CRL, a saída de ponto de serviço de banda não não aprovisionar baseado em AMT computadores.

  • A opção para desativar o aprovisionamento de AMT automática está armazenada o Gestor de configuração cliente e não em AMT.Isto significa que o computador baseado em AMT ainda pode ser aprovisionado.Por exemplo, o Gestor de configuração cliente poderá ser desinstalado, ou o computador poderá aprovisionado por outro produto de gestão.

  • Apesar de selecionar a opção para desativar o aprovisionamento automática para um computador baseado em AMT, a saída de ponto de serviço de banda aceita um pedido de aprovisionamento do que computador.

Informações de privacidade para gestão fora de banda

A saída da consola de gestão de banda gere computadores que tenham o chip vPro Intel definir e Intel Active gestão tecnologia (Intel AMT) com uma versão de firmware que é suportada pelo Gestor de configuração.Gestor de configuração temporariamente recolhe informações sobre a configuração do computador e definições, tais como o nome do computador, o endereço IP e endereço MAC.Informações são transferidas entre o computador gerido e de fora da consola de gestão de banda utilizando um canal encriptado.Por predefinição, esta funcionalidade não está ativada e, normalmente informações não são guardadas após a sessão de gestão é terminada.Se ativar a auditoria de AMT, pode guardar informações de auditoria para um ficheiro que inclui o endereço IP do computador baseado em AMT que é gerido e a conta de domínio e o utilizador que efetuar a ação de gestão a gravadas data e hora.Estas informações não são enviadas à Microsoft.

Tem a opção para ativar Gestor de configuração para detetar computadores com controladores de gestão que podem ser geridas pela fora da consola de gestão de banda.Deteção cria registos para os computadores fácil e armazena-os na base de dados.Registos de deteção de dados contêm informações do computador, como o endereço IP, o sistema operativo e o nome do computador.Por predefinição, a deteção dos controladores de gestão não está ativada.As informações de deteção não são enviadas à Microsoft.Deteção informações são armazenadas na base de dados do site.Informações são guardadas na base de dados até a tarefa de manutenção do site Eliminar dados de deteção Aged elimina-lo em intervalos de cada 90 dias.Pode configurar o intervalo de eliminação.

Antes de configurar a gestão fora de banda, considere os requisitos de privacidade.