ConfigMgr SP1 Out-of-Band的最佳安全实践

最近,我们更新了ConfigMgr 2007 SP2文档中的Out-of-Band部分,着重对最佳安全实践部分进行了修订。这其中的一些修订对SP1也适用,但必须等到SP2发行用户才能看到。为了让用户及时获取信息,这里列举了那些SP1用户同样适用的部分。

在修订最佳安全实践的同时,也更新了推荐使用的带内设置集查询。过去的查询包括了未进行设置的AMT计算机以及由于AMT远程管理账户或MEBx账户改变而不能被带外服务点 (OOBSP) 设置的AMT计算机。后面一种情况通常也表示我们需要对AMT设置和发现账户进行配置。

更新后的查询排除了不受信任的ConfigMgr客户机,这当中包括被阻塞和未被认可的计算机。这正是最佳的安全实践:只对信任的机器进行设置。在sp2中,这一安全实践被强制实施,但sp1中并无此要求,因此修订后的查询自动排除了这些机器。在带内设置时,修订后的查询如下:

Select SMS_R_System.*

from SMS_R_System inner join SMS_CM_RES_COLL_SMS00001 on SMS_CM_RES_COLL_SMS00001.ResourceId = SMS_R_System.ResourceId

where (AMTStatus = 1 or AMTStatus = 2) and SMS_CM_RES_COLL_SMS00001.IsApproved = 1 and SMS_CM_RES_COLL_SMS00001.IsBlocked = 0

ConfigMgr 2007 sp1 Out-of-Band的最佳安全实践

购置 AMT计算机之前,请对固件进行自定义。如果一台 支持Out-of-Band管理的计算机在网络上,就能够通过BIOS扩展来自定义其固件参数,以大大提高安全性。您可以向您的计算机制造商询问能对哪些BIOS扩展进行设置,然后确定参数。详细步骤请参考决定是否需要从计算机制造商获取自定义固件映像。如果您的AMT计算机没有您需要使用的固件参数,可能可以手动指定。关于如何手动配置BIOS扩展,请参考因特尔的说明书、您的计算机制造商的说明书或者Intel vPro(博锐)专家中心:微软vPro管理技术网站(https://go.microsoft.com/fwlink/?LinkId=132001)。您可以通过自定义以下选项来提高安全性:

· 将所有外部 CA的指纹更换成内部CA的指纹。 这将可以防止恶意服务器对您的AMT计算机进行设置,而且您也不用再向外部的CA购买证书。关于如何定位内部根CA的证书指纹,请参考如何查找用于 AMT 设置的内部根证书的证书指纹

· 不要使用默认的 MEBx密码。 您可以设置自己的密码,并在ConfigMgr中为其指定设置、发现账户。这将可以防止恶意服务器利用默认密码对您的AMT计算机进行设置。详细信息可参考关于 MEBx 帐户如何添加 AMT 设置和发现帐户

· 更改默认的设置服务器的参数。 恶意计算机可以将自己的名称设置为默认的服务器名,以此冒充设置服务器。对于攻击者来说,计算机名往往容易获知,因此使用IP地址来指定设置服务器要比使用其计算机名来的安全的多。然而在用不同的站点对多个AMT计算机进行设置的时候,无法使用一个IP地址来标识服务器,这时,如果您使用名字解决方案,就必须对DNS进行配置。另外,请注意保护好您的DNS记录,如果记录被篡改,带外服务点将无法正常工作。

· 为设置另设一个端口。 设置时,使用自定义的端口要比默认端口更安全。如果您使用带外设置,可以在Out-of-Band属性的常规选项卡下配置您的端口。

用带内设置代替带外设置。 在使用带内设置时,尤其是本机模式下,用户可以方便的使用已经建立好的客户机与配置管理系统之间的信任关系。而在导入带外设置计算机时,如果不受信的计算机支持指定SMBIOS GUID(又称UUID),则也有可能被成功设置。在这之后,计算机会在活动目录域服务中自动生成账户,并且获得一张企业CA的服务器认证证书。因此,如果恶意计算机被成功设置,将导致其权限的提升,进而这个账户将能够通过认证,获取网络上的信息。另外,攻击者也可以利用获得了认证的证书冒充有效的DNS服务器或设置服务器,将AMT计算机诱至其下。如果您不是非要使用带外设置,可以通过以下方法减少此类安全风险:

· 在服务端,为防止恶意计算机在带外被设置,您可采取以下措施:不要使用带外计算机导入向导来向ConfigMgr数据库中添加新的计算机;设置Windows防火墙,阻止与带外服务器(OOBSP)默认端口(9971)的连接;不要在DNS中注册带外服务点的别名。另外,严格限制网络的物理连接,密切监视客户机也是十分必要的。

· 在客户端,为防止恶意计算机利用默认密码设置您的AMT计算机,您可以在AMT BIOS扩展中为MEBx账户自定义密码,并且在ConfigMgr中的AMT设置和发现账户中添加这个账户。详细信息请参考:关于 MEBx 帐户如何添加 AMT 设置和发现帐户

如果您的计算机没有安装操作系统,则不能进行带内设置。这时,可以使用操作系统部署(OSD)来安装操作系统和ConfigMgr 2007 SP1客户端,之后即可进行带内设置。带内设置与带外设置的不同之处在于,前者不会在活动目录域服务中添加账户,也不需要提供企业CA颁发的服务器认证证书。关于操作系统部署的详细信息,请参考Configuration Manager 中的操作系统部署。如果您由于未安装ConfigMgr 2007 SP1或AMT计算机的版本不在ConfigMgr支持的范围内而不能进行带内设置,请安装ConfigMgr 2007 SP1客户端并升级固件到其支持的版本。关于COnfigMgr所支持的AMT版本,请参考Out-of-Band概述

对于被 ConfigMgr 2007 SP1站点阻止的AMT计算机,请手动撤销证书并在活动目录中删除其账户。 AMT计算机在被ConfigMgr 2007 SP1站点阻止之后,仍然能够接受其Out-of-Band管理,如果一台AMT计算机因不再受信而被阻止,请手动实行如下操作:

· 在CA上撤销为不受信AMT计算机所颁布的证书。

· 在活动目录域服务中,禁止或删除不受信AMT计算机的账户。

控制设置证书的请求和安装。 向设置服务器请求设置证书时,需要提供计算机的安全环境,以使证书直接安装到本地计算机中。如果您一定要从另一计算机获取证书,必须导出私钥,使用其他的安全控制,才能在严格的限制之下将证书导入本地证书库。

确保在已有证书过期之前申请新的设置证书。 证书过期将导致设置失败,如果您从外部CA获取设置证书,请为更新、配置Out-of-Band管理点预留时间。

*注意:ConfigMgr会在正在使用设置证书距离过期还有40天或40天以下时产生7210号状态报警信息。在您更换成新的证书之前,这一信息每天会产生一次。如果距证书过期时间仅有的不到15天,报警消息会变成7211号。当然,新证书的有效期必须足够大,否则仍然会根据其有效期产生报警信息。

如果设置证书被撤销,将其从带外服务点系统服务器的证书库和 Out-of-Band组件配置属性中删除。 因为AMT计算机在接受设置时不会去检查证书吊销列表,所以一旦AMT设置证书被撤销,您必须手动阻止ConfigMgr再次使用它来设置AMT计算机。您可以首先在带外服务点系统服务器中将该证书删除,然后安装新的设置证书,并在Out-of-Band属性中对其进行配置。如果暂时没有有效的AMT设置证书,那么在获得有效的证书之前,您应当删除服务器带外服务点的角色。

如果您需要撤销由内部 CA颁发的设置证书,请在证书授权控制台中撤销。 ConfigMgr 2007 SP1中不提供撤销设置证书的功能。

使用专门的证书模板来设置 AMT计算机。 如果您的企业CA使用的是Windows Server企业版,可以通过复制网络服务器证书模板的方法来新建一个证书模板。但必须保证只有CConfigMgr站点服务器具有读取、注册权限,也不要添加其他默认的服务器认证能力。使用专门的证书模板的好处是,您能更好的管理和控制用户的使用权限,不会有权限提升的情况发生。但如果您的Windows Server是标准版的,就不能创建专门的证书模板,这种情况下,您可以禁止除了ConfigMgr站点服务器之外的所有计算机的读取和注册权限。

使用 Out-of-Band代替LAN唤醒。 尽管这两种方案都能够启动计算机来进行更新、公告,但前者更加安全。Out-of-Band使用标准工业安全协议来提供认证、加密服务,并与现有的公钥基础设施(PKI)部署结合,能独立于产品来管理安全控制。详细信息请参考在带外管理开机命令和 LAN 唤醒的唤醒数据包之间选择

使用专门的组织单位来发布 AMT计算机。 其好处是,您可以更好的管理和控制设置时创建的活动目录账户,并保证他们不会被授予更多的权限。

使用组策略来限制 AMT账户的用户权限。 对活动目录中的AMT账户权限进行限制能阻止权限提升,在攻击者窃取这些账户后也能其减少可能的攻击面。具体方法是:为AMT账户建立一个在设置过程中能够自动创建的安全组,并将该组添加到\计算机设置\Windows 设置\安全设置\本地策略\用户权限分配下的组策略设置中,如下:

· 拒绝从网络接入本机

· 拒接 以批作业模式登录

· 拒绝以服务模式登录

· 拒绝从本地登录

· 拒绝从终端服务登录

请对所有计算机采用这些组策略设置,如果有必要,定期据检查、修改组成员,确保其包含了活动目录域服务中的所有AMT账户。

为带内设置建立专门的集合。 不要使用已有的集合进行带内设置。较好的做法是建立基于查询的集合,具体步骤请参考如何针对 AMT 设置计算机。当站点在混杂模式下时,必须确保这些计算机都已被批准,关于批准的详细信息,请参考关于 Configuration Manager 中的客户端批准如何批准 Configuration Manager 客户端

限制具有媒体重定向和 PT管理权限的用户。 获得媒体重定向的权利几乎相当于获得了到计算机的物理访问。一般的攻击者需要物理连接才能打开计算机,使用媒体重定向的人只需要加载一个备用的操作系统,就可以对计算机硬盘上的数据进行远程攻击。另外,PT管理权限自动包含了包括媒体重定向在内的所有AMT权限,因此也必须对其进行限制。

使用 IDE 重定向来从备用媒体启动时,安全地检索和存储图像文件。 用 IDE 重定向启动备用媒体时,尽量将图像文件存储在运行Out-of-Band控制台的计算机上。 如果必须将它们存储在网络上,请确保使用SMB签名连接来防止其在传输过程中被篡改。 在这两种情况下,保护存储的文件都是为了防止未经授权的访问(例如,使用 NTFS 权限和加密文件系统)。

AMT设置账户的数量减至最小。 您可以为AMT设置和发现指定多个账户,来发现具有管理控制器的计算机,并为其作Out-of-Band设置。但是不要指定多余的账户,不再需要的账户,应尽快将其删除。只指定需要的账户的好处是可以确保您的账户没有被授予过多的权限,同时也能减少不必要的网络流量和处理工作。关于AMT设置和发现账户,请参考确定是否配置用于带外管理的 AMT 设置和发现帐户关于 AMT 设置和发现帐户

——Carol Bailey

译:张婧