Развертывание Windows 7. Часть 20. Защита MDT (часть 1)

Совет:
Дополнительную информацию об автоматизации развертывания LTI можно найти в наборе ресурсов Windows 7 от Microsoft Press. Я являюсь ведущим автором этого комплекта ресурсов, а также поддерживаю неофициальный сайт поддержки комплекта ресурсов Windows 7 с ответами на вопросы читателей, а также ссылками на последние ресурсы по развертыванию, администрированию и устранению неполадок Windows 7.

Учетные данные в Bootstrap.ini

Я скоро вернусь к объяснению того, как настроить и использовать базу данных MDT, но сейчас я хотел бы поднять вопрос безопасности MDT. До сих пор в этой серии статей о развертывании Windows 7 мы не слишком беспокоились о безопасности. Например, файл Bootstrap.ini, который мы использовали для нашего общего ресурса развертывания в этих статьях, выглядит так:

[Настройки]
Приоритет = по умолчанию
[По умолчанию]
DeployRoot=\SEA-DC1DeploymentShare$
ID пользователя=Администратор
Пользовательский домен = CONTOSO
UserPassword=Pa$$w0rd
KeyboardLocale=en-US
SkipBDDWelcome=ДА

Учетная запись пользователя, указанная в свойствах UserID, UserPassword и UserDomain в Bootstrap.ini, используется мастером развертывания Windows, работающим на целевом компьютере, для подключения к общей папке развертывания на сервере MDT и доступа к содержимому этой общей папки. До сих пор для этой цели мы использовали учетную запись администратора по умолчанию в домене. Есть две причины, почему это не очень хорошая идея.

Во-первых, если вы инициируете развертывание Lite Touch (LTI) вручную, загружая целевые компьютеры с компакт-диска LiteTouchPE, вы должны знать, что ваш файл Bootstrap.ini фактически присутствует на этом компакт-диске. Чтобы убедиться в этом, начнем с изучения содержимого компакт-диска LiteTouchPE в проводнике Windows (рис. 1):

Рис. 1. Содержимое компакт-диска LiteTouchPE, отображаемое в Проводнике Windows

Обратите внимание, что большая часть компакт-диска состоит из файла образа Windows Boot.wim, который находится в папке sources на компакт-диске. (Папка oot содержит только некоторые файлы, используемые для загрузки и монтирования этого образа с компакт-диска.) Теперь предположим, что вы забыли свой компакт-диск LiteTouchPE, и кто-то его украл. Затем вор может установить Windows AIK 2.0 на компьютер и смонтировать файл Boot.wim с этого компакт-диска в пустую папку с помощью команды Imagex следующим образом (рис. 2):

Рисунок 2: Подключение файла Boot.wim с компакт-диска LiteTouchPE

После того, как файл Boot.wim был смонтирован в пустую папку (здесь она называется C:PEbootfiles), злоумышленник может просмотреть содержимое смонтированного образа с помощью проводника Windows (рис. 3):

Рисунок 3. Ваш файл Bootstrap.ini находится в файле Boot.wim на компакт-диске LiteTouchPE.

Затем вор может открыть Bootstrap.ini в Блокноте (рис. 4):

Рисунок 4: Этот файл Bootstrap.ini содержит учетные данные администратора для вашего домена!

На данный момент вся ваша инфраструктура Windows скомпрометирована, поскольку вор получил учетные данные администратора домена. Таким образом, если вы собираетесь использовать учетные данные администратора домена в файле Bootstrap.ini, вам, очевидно, необходимо защитить компакт-диск LiteTouchPE (или DVD-диск, или флэш-накопитель USB, в зависимости от загрузочного носителя, который вы используете для запуска развертывания LTI). Другими словами, не позволяйте посторонним лицам иметь доступ к таким носителям.

Другая проблема безопасности касается передачи учетных данных по сети. Когда вы загружаете целевой компьютер в среду предустановки Windows с помощью загрузочного носителя LiteTouchPE, компьютер обычно получает IP-адрес от DHCP-сервера, а затем пытается установить соединение с общим ресурсом развертывания на вашем сервере MDT. Теперь, если вы используете MDT в сценарии «Новый компьютер» (то есть для развертывания «голого железа» на целевом компьютере, на котором в настоящее время нет операционной системы), то для безопасной передачи учетных данных, указанных в Bootstrap, используется проверка подлинности Kerberos или NTLM. ini с целевого компьютера на сервер MDT, и кто-то, прослушивающий сеть, не сможет украсть эти учетные данные. Но если вы используете MDT в сценарии обновления компьютера (то есть для повторного создания образа существующего компьютера и сохранения/восстановления информации о состоянии пользователя), то Bootstrap.ini обрабатывается из общего ресурса развертывания, а учетные данные передаются по сети в виде открытого текста.. Это означает, что кто-то, прослушивающий сеть в этом сценарии, может украсть учетные данные, указанные в Bootstrap.ini, и если это учетные данные администраторов домена, ваша сеть скомпрометирована.

Конечно, если вы используете MDT в тестовой среде или в защищенной лаборатории, отражающей вашу производственную сеть, но имеющей другой домен, можно оставить учетную запись администратора по умолчанию для домена в Bootstrap.ini, как показано на рис. 4. выше. Однако если вы используете MDT в производственной среде, вы, вероятно, не захотите этого делать. Через мгновение мы увидим одно из возможных решений этой проблемы.

Учетные данные в CustomSettings.ini

Учетные данные другого места, указанные в MDT, находятся в файле CustomSettings.ini для вашего общего ресурса развертывания. В частности, следующая часть файла CustomSettings.ini используется для автоматизации процесса присоединения целевых компьютеров к домену на заключительном этапе развертывания:

Джоиндомаин=КОНТОСО
DomainAdmin=Администратор
ДоменАдминДомен=CONTOSO
DomainAdminPassword=Pa$$w0rd

Обратите внимание, что в этих статьях мы использовали одну и ту же учетную запись (CONTOSOAdministrator) как для Bootstrap.ini (чтобы разрешить целевому компьютеру доступ к общему ресурсу развертывания), так и для CustomSettings.ini (чтобы присоединить целевой компьютер к домену после установки). завершил). Теперь ваш файл CustomSettings.ini отсутствует на загрузочном носителе LiteTouchPE, файле Boostrap.ini, так что это не проблема. Но во всех сценариях развертывания, где выполняется автоматическое присоединение к домену, приведенная выше информация, содержащаяся в CustomSettings.ini, передается по сети с сервера MDT на целевую машину в виде открытого текста. Это означает, что если вы используете учетную запись администратора домена для автоматического присоединения развернутых компьютеров к вашему домену, кто-то, прослушивающий вашу сеть, может легко поставить под угрозу безопасность всей вашей сети. Однако проблема заключается в том, что, вообще говоря, требуются учетные данные уровня администратора, если вы хотите присоединить компьютер к домену. Однако есть некоторые обходные пути для решения этой проблемы, как мы вскоре увидим. Однако еще раз, если вы используете MDT в тестовой среде или в безопасной лаборатории, вы можете оставить учетную запись администратора по умолчанию для домена в CustomSettings.ini, как показано выше.

Использование отдельных учетных записей сборки и присоединения

Если мы собираемся использовать наш сервер MDT для развертывания Windows в производственной среде, первое, что мы можем сделать, чтобы сделать MDT более безопасным, — это использовать отдельные учетные записи пользователей для подключения к общему ресурсу развертывания и для присоединения компьютеров к домену. В этом примере мы создадим две новые учетные записи пользователей:

• mdt_build Эта учетная запись «сборки» будет использоваться для того, чтобы целевые компьютеры могли подключаться к нашему общему ресурсу развертывания.
• mdt_join Эта учетная запись «присоединения» будет использоваться для автоматического присоединения целевых компьютеров к домену по завершении процесса развертывания на компьютерах.

При создании этих учетных записей в разделе «Пользователи и компьютеры Active Directory» им автоматически назначается членство в группе «Пользователи домена». Пока остановимся на этом — не добавляйте эти учетные записи в группу «Администраторы домена».

Теперь давайте рассмотрим списки управления доступом в нашем общем ресурсе развертывания. На рисунке 5 показано, что группа «Пользователи» на сервере MDT, в состав которой входит группа «Пользователи домена», имеет разрешение «Чтение и выполнение» для общего ресурса:

Рисунок 5: ACL группы пользователей для общей папки развертывания

Теперь, если вы используете этот общий ресурс развертывания только для установки Windows на целевые компьютеры, тогда достаточно разрешения «Чтение и выполнение», поскольку оно позволяет целевому компьютеру читать файлы, содержащиеся в общем ресурсе, и запускать сценарии и программы в общем ресурсе. Другими словами, наша учетная запись сборки, указанная в Bootstrap.ini, может быть простой учетной записью пользователя домена — она не обязательно должна быть учетной записью администратора домена. Это хорошие новости! Итак, давайте продолжим и изменим учетную запись, указанную в свойстве UserID в нашем файле Bootstrap.ini, с администратора на mdt_build. Как только мы это сделали, наш новый файл Bootstrap.ini будет выглядеть так, как показано на рис. 6:

Рисунок 6: Bootstrap.ini теперь указывает учетную запись пользователя домена

Не забывайте, что после внесения изменений в файл Bootstrap.ini вам необходимо обновить общий ресурс развертывания (рис. 7):

Рисунок 7. Всегда обновляйте общий ресурс развертывания после изменения Bootstrap.ini

И не забывайте также, что после обновления вашей папки развертывания вам нужно будет записать новый компакт-диск LiteTouchPE, так как на него включен файл Bootstrap.ini.

Все идет нормально. Теперь вопрос использования учетной записи присоединения немного сложнее, поэтому мы вернемся к этому позже. Между тем, я должен упомянуть вам, что изменение, которое вы только что внесли в свой файл Bootstrap.ini, что-то сломало, если вы теперь попытаетесь настроить свою базу данных MDT для развертывания Windows по-разному на разных компьютерах в зависимости от UUID компьютера, MAC-адреса, или другое свойство машины, как описано ранее в частях 16 и 17 этой серии, вы обнаружите, что это больше не работает! В частности, вы сможете развернуть Windows 7 с помощью MDT, но любые настройки, указанные вами в базе данных MDT, не будут применены (и целевой компьютер также не присоединится к домену). Вы можете увидеть или не увидеть сообщение об ошибке, отображаемое в конце процесса развертывания, но в любом случае, если вы позже изучите файл BDD.log в папке %WINDIR%TempDeployment logs на развернутом целевом компьютере, вы увидите следующая ошибка:

Ошибка ZTI при открытии соединения SQL: невозможно открыть базу данных «MDT», запрошенную при входе в систему. Вход не выполнен. (-2147467259)

Мы увидим, как исправить эту проблему, в следующей статье этой серии, где мы также рассмотрим проблему безопасного присоединения к домену.

• Развертывание Windows 7. Часть 1. Усовершенствования Windows AIK 2.0
• Развертывание Windows 7. Часть 2. Использование DISM
• Развертывание Windows 7. Часть 3. Знакомство с MAP 4.0
• Развертывание Windows 7. Часть 4. Использование MAP 4.0
• Развертывание Windows 7. Часть 5. Усовершенствования MDT 2010
• Развертывание Windows 7. Часть 6. Легкое прикосновение с помощью MDT 2010
• Развертывание Windows 7. Часть 7. Автоматическое развертывание LTI
• Развертывание Windows 7. Часть 8. Знакомство с файлами конфигурации LTI
• Развертывание Windows 7. Часть 9. Развертывание 32-разрядной и 64-разрядной версии Windows
• Развертывание Windows 7. Часть 10. Создание и развертывание образа эталонного компьютера
• Развертывание Windows 7. Часть 11. Запись существующей установки
• Развертывание Windows 7. Часть 12. Планирование совместимости приложений
• Развертывание Windows 7. Часть 13. Миграция вручную с Windows XP на Windows 7
• Развертывание Windows 7. Часть 14. Автоматический переход с XP
• Развертывание Windows 7. Часть 15. Настройка базы данных MDT
•  
•  
•  
•  
• Развертывание Windows 7. Часть 21. Защита MDT (часть 2)
• Развертывание Windows 7. Часть 22. Массовое заполнение базы данных MDT с помощью PowerShell
• Развертывание Windows 7. Часть 23. Управление драйверами. Введение
• Развертывание Windows 7. Часть 24. Управление драйверами. Проблемы и подходы
• Развертывание Windows 7. Часть 25. Управление драйверами. Профили выбора
• Развертывание Windows 7. Часть 26. Управление драйверами — по производителям и моделям
• Развертывание Windows 7. Часть 27. Управление драйверами. Советы и рекомендации
• Развертывание Windows 7. Часть 28. Управление обновлениями программного обеспечения
• Развертывание Windows 7. Часть 29. Завершение инфраструктуры развертывания LTI