При разработке сценариев развертывания продумайте вопросы, связанные с поддержкой и развертыванием образов, а также с угрозами безопасности в разработанных сценариях.
Обязательно предпримите меры для защиты от рисков, связанных с работой сети или локального компьютера, например от несанкционированного доступа. Настройка механизмов безопасности может увеличить уровень защиты от этих рисков.
Файлы, используемые для настройки и развертывания Windows®, содержат конфиденциальные данные. Файлы ответов автоматической установки содержат пароли и ключи продукта. Дистрибутивные общие ресурсы содержат интеллектуальную собственность, лицензионные приложения, настроенные приложения и другие данные. Образы Windows могут содержать все указанные конфиденциальные данные. Необходимо ознакомиться с мерами по обеспечению безопасности для улучшения безопасности инфраструктуры развертывания.
В следующих разделах описаны возможные угрозы безопасности и рекомендованы некоторые предварительные меры по улучшению безопасности.
Будьте всегда в курсе самых последних угроз безопасности и обновлений, которые могут повлиять не только на устанавливаемые образы Windows, но и на компьютеры предприятия. Самые последние обновления корпорации Майкрософт, касающиеся улучшения безопасности, а также советы и рекомендации можно найти на веб-сайте, посвященном безопасности Microsoft (может быть на английском языке).
Новые функции безопасности и параметры настройки клиента Windows см. на веб-сайте Microsoft TechNet.
Улучшение безопасности файлов ответов
Файлы ответов хранят конфиденциальные сведения: ключи продукта, пароли и другие сведения учетной записи.
- Ограничьте доступ к файлам ответов. В
зависимости от среды, можно изменить списки управления доступом или
разрешения для файла. Только учетные записи с разрешениями могут
получить доступ к файлам ответов.
- Чтобы улучшить безопасность файлов ответов,
можно скрыть пароли локальных учетных записей с помощью диспетчера
установки Windows. Дополнительные сведения см. в разделе Скрытие конфиденциальных
данных в файле ответов.
- Во время автоматической установки Windows
файлы ответов кэшируются на компьютере. На каждом этапе настройки
конфиденциальные сведения, например пароли и ключи продукта,
удаляются из кэшированного файла ответов. Однако другие сведения в
файле ответов еще можно прочитать. Перед поставкой компьютера
потребителю удалите кэшированные файлы ответов, находящиеся в
%WINDIR%\panther
.
Удаляйте файл ответов, только если не осталось параметров, которые следует обработать на этапе настройки oobeSystem. Этап настройки oobeSystem обрабатывается сразу же после запуска экрана приветствия Windows. Обычно этот этап наступает при первом включении компьютера пользователем. Если файл ответов удален из указанного каталога, параметры применены не будут.
Улучшение безопасности образов Windows
Образы Windows содержат настроенные данные конфигурации, приложения и другую интеллектуальную собственность. Существует несколько способов улучшения безопасности образов Windows, как оперативных, так и автономных.
- Ограничьте доступ к образам Windows. В
зависимости от среды, можно изменить списки управления доступом или
разрешения для файла. Только учетные записи с разрешениями могут
получить доступ к образам Windows.
- Обновите образы Windows, установив в них
последние исправления и обновления программного обеспечения.
Существует множество способов обслуживания образа Windows.
Дополнительные сведения см. в разделе Этап 5. Обслуживание
образа Windows и управление им. После обслуживания образа
Windows, проверьте правильность образа и стабильность
компьютера.
- Во время установки Windows необходимо
настроить автоматическую загрузку и установку обновлений
Windows. Эта процедура увеличивает время установки. Однако в
этом случае устанавливаемый образ Windows содержит самые последние
обновления. Дополнительные сведения см. в главе, посвященной
компоненту
DynamicUpdate
установки Microsoft-Windows-Setup разделаСправочник по автоматической установке Windows.
Улучшение безопасности дистрибутивных общих ресурсов и наборов конфигурации
Дистрибутивные общие ресурсы и наборы конфигурации содержат конфиденциальные сведения, доступ к которым разрешен только немногим сотрудникам организации. Ниже приведены рекомендации по улучшению безопасности дистрибутивных общих ресурсов и наборов конфигурации.
- Ограничьте доступ к содержимому
дистрибутивного общего ресурса. В зависимости от среды, можно
изменить списки управления доступом или разрешения для
дистрибутивного общего ресурса. Только учетные записи с
разрешениями должны иметь доступ к дистрибутивным общим
ресурсам.
- Обновите все драйверы устройств и приложения
самыми последними исправлениями и обновлениями.
Улучшение безопасности сценариев Windows PE и сетевой загрузки
Следующие рекомендации относятся к сценариям Windows PE и сетевой загрузки.
- В документации средств сетевой загрузки
найдите сведения об улучшении безопасности инфраструктуры сетевой
загрузки.
- Используйте проводную сеть. Беспроводные сети
могут нести угрозу безопасности.
Примечание. Беспроводную сеть для загрузки Windows PE использовать нельзя.
- Дополнительные сведения об улучшении
безопасности в Windows PE см. в разделе Техническое руководство
по Windows PE.