セキュリティー要件
システムは、安全な Public Key Infrastructure (PKI) 署名を使用するすべての Fixlet およびアクションを認証します。PKI では、確実に認証を行うために、公開鍵と秘密鍵のペアが使用されます。
BigFix をインストールする前に、Windows の場合はインストーラーを実行し、Linux の場合はスクリプト install.sh
を実行して、自身の秘密鍵を生成してから、公開鍵を含む署名証明書を HCL に申し込む必要があります。秘密鍵 (ユーザーのコンピューターにのみ存在し、HCL を含む他者に知られていない) は、ユーザーが選択するパスワードにより暗号化されるため、誰かが秘密鍵を盗んだとしても、その秘密鍵を使用するにはさらにパスワードを知る必要があります。ただし、秘密鍵も適切に保護する必要があります。サイトの秘密鍵とパスワード、サーバーへのアクセス権、およびデータベース・ログインを所有するユーザーは誰でも、クライアント・コンピューターに対してアクションを適用できます。
秘密鍵は、会社の玄関の鍵と同様に扱います。共有ディスクには保存しないでください。代わりに、リムーバブル・ディスクなどの安全な場所に保管し、それ自体を紛失しないようにしてください。物理的な世界でマスター・キーを紛失した場合、建物のすべての鍵を交換する必要があります。同様に、デジタル・キーを紛失した場合も、新しい許可キーに移行するか、または (すべてのクライアントを含む) システム全体をフレッシュ・インストールする必要があります。サイト・レベルのキー・ファイルのバックアップ・コピーを安全な金庫に保管することは不適切ではありません。
インストール・プロセス中、サーバーの署名キーが作成され、ファイルとしてサーバー・マシンに保存されます。オペレーターがアクションを実行すると、そのアクションに対して、サーバーの署名キーによりデジタル署名が行われ、クライアントはそのキーで署名されたアクションのみを信頼します。クライアントは、サーバーの署名キーにより署名されたアクションを信頼するため、サーバーの署名キー・ファイルを保護することが重要です。サーバーの署名キー・ファイルを保護するために、サーバー・マシンへの管理者権限を制限する必要があります。
Fixlet にもデジタル署名が行われます。Fixlet サイトの作成者は、認証のために BigFix ルートにトレースバックできるキーを使用して各メッセージに署名します。この署名は、Fixlet サイトのマストヘッドと一致している必要があります。マストヘッドは、サイトのサブスクライブ時にクライアントのインストール・フォルダー内に配置されます。この手順により、スプーフィングおよび中間者攻撃が防止され、受信した Fixlet が元の認定済みの作成者からのものであることが保証されます。
組織に BigFix をインストールする前に、セキュリティー関連の解決すべき問題がいくつかあります。
- Microsoft から入手可能な最新の Service Pack を適用した Windows Server 2008 以降 (64 ビット) がサーバー・コンピューターで実行されていることを確認します。
- SQL Server が最新のセキュリティー関連のパッチを使用して保護されていることを確認します。
- すべての内部ルーターおよび内部ファイアウォールで、指定のポート (デフォルト値は、コンソールを含むすべてのコンポーネントで
52311
) での TCP/IP および UDP が完全にブロック解除されていることを確認します。 - 外部ルーターで、指定のポート (デフォルト値は、すべてのコンポーネントで
52311
) でのインバウンド・トラフィックおよびアウトバウンド・トラフィックが禁止されていることを確認します。これは、BigFix 関連のトラフィックがネットワーク内に流れ込まないようにするため、およびネットワークから流れ出ないようにするためです。DMZ 内に認証リレーを配置することで、ローミング・ラップトップを管理できます。追加の詳細については、「リレーとサーバーの認証」を参照してください。
- ネットワーク管理者に問い合わせ、ユーザー本人が、サーバーがポート 80 を通じてインターネットにアクセスするように設定できることを確認します。Windows 上の BES ルート・サーバー・サービスおよび Linux 上の
beserver
サービスは、インターネットにアクセスして、デフォルトで SYSTEM アカウント (Windows の場合) および root (Linux の場合) として実行されます。注: ご使用の環境で、プロキシー経由でインターネットに接続する場合は、プロキシー接続のセットアップの説明に従って、接続を構成します。ファイアウォールの制限がある場合は、ローカル・ファイアウォールの構成を参照してください。インターネットからの物理的な切断を維持するには、の『エアー・ギャップ環境でのファイルのダウンロード』を参照してください。
- 会社または業界規模の標準を使用して、サーバー・コンピューターおよび SQL データベースを保護します。詳しくは、ネットワーク管理者またはデータベース管理者にお問い合わせください。
会社または業界規模の標準を使用してクライアント・コンピューターを保護します。最小権限の原則 (PoLP) を適用することをお勧めします。
- UAC 機能は常に有効にします。
- ローカルの管理者権限でユーザー・アカウントを設定しないようにします。
- システム・ディレクトリーのパス (例: Windows、System32、Program Files (x86)、Program Files) へのアクセスには必ず制限をかけます。ローカル・ユーザーがこれらの場所にアクセスすることのないようにします。