Tips Bilde:
Du kan finne mer informasjon om automat LTI distribusjon i Windows 7 Resource Kit fra Microsoft Press. Jeg er hovedforfatter for denne Resource Kit og jeg også opprettholde Unofficial brukerstøtte for Windows 7 Resource Kit med svar på spørsmål postet av leserne, samt linker til de nyeste ressursene på Windows 7 utrulling, administrasjon og feilsøking.

legitimasjon i Bootstrap.ini

Jeg vil gå tilbake til å forklare hvordan du konfigurerer og bruker MDT database snart, men på dette punktet jeg ønsker å ta opp spørsmålet om MDT sikkerhet. Så langt i denne serien av artikler om distribusjon av Windows 7 har vi ikke vært veldig bekymret for sikkerheten. For eksempel, Bootstrap.ini filen vi har brukt i vår distribusjon andel i disse artiklene ser slik ut:

[Innstillinger]
Priority = Standard
[Default]
DeployRoot=\\\\SEA-DC1\\DeploymentShare$
UserID=Administrator
UserDomain=CONTOSO
UserPassword=Pa$$w0rd
KeyboardLocale=en-US
SkipBDDWelcome=YES

The brukerkonto spesifisert av UserID, er brukerpassord og Brukerdomene eiendommer i Bootstrap.ini brukes av Veiviser for Windows kjører på målmaskinen å koble til aksjefordeling på MDT-serveren og få tilgang til innholdet i denne aksjen. Frem til nå har vi vært å bruke standard administratorkontoen i domenet til dette formålet. Det er to grunner til at dette ikke er en god idé.

Først, hvis du er initiere din Lite Touch (LTI) utplassering manuelt ved å starte opp målet datamaskiner ved hjelp av din LiteTouchPE CD, bør du være klar over det faktum at din Bootstrap.ini filen er faktisk til stede på denne CD. For å se dette, la oss begynne med å undersøke innholdet i en LiteTouchPE CD i Windows Explorer (figur 1):

Figur 1:
innholdet i en LiteTouchPE CD som sett på i Windows Explorer

Legg merke til at det meste av CD består av en Windows bildefil Boot.wim, som finnes i \\ kilder mappen på CD. (The \\ boot mappen inneholder bare noen filer som brukes til å aktivere CD for å starte opp og montere dette bildet.) Nå, la oss si at du forlot LiteTouchPE CD liggende rundt og noen stjal den. Tyven kan deretter installere Windows AIK 2.0 på en datamaskin og montere Boot.wim filen på denne CD-en til en tom mappe med ImageX kommandoen som følger (figur 2):

Figur 2 :
Montere Boot.wim fil fra en LiteTouchPE CD

Når Boot.wim filen har blitt montert på tom mappe (her heter C: \\ PEbootfiles) tyven kan deretter bla gjennom innholdet på den montert bilde ved hjelp av Windows Explorer (figur 3):

Figur 3:
Din Bootstrap.ini filen finnes i Boot.wim fil av LiteTouchPE CD

Tyven kan deretter åpne Bootstrap.ini i Notepad (figur 4):

Figur 4:
Dette Bootstrap.ini filen inneholder administrative rettigheter for domenet ditt
< P> På dette punktet hele Windows infrastruktur har blitt skadet etter tyven har fått Domain Admins legitimasjon. Så, hvis du skal bruke Domain Admin legitimasjon i Bootstrap.ini fil, du åpenbart trenger for å beskytte LiteTouchPE CD (eller DVD eller USB flash-stasjon, avhengig av boot media du bruker til å sette i gang LTI distribusjon). Med andre ord, ikke la uautoriserte personer har tilgang til slike medier.

Den andre sikkerhetsproblem gjelder overføringer av legitimasjon over nettverket. Når du starter et mål datamaskinen i Windows PE bruker LiteTouchPE boot media, datamaskinen vanligvis får en IP fra en DHCP-server, og forsøker deretter å etablere en forbindelse med aksje utrulling på MDT server. Nå, hvis du bruker MDT i en ny datamaskin scenario (det vil si å utføre en bart metall utplassering på et mål datamaskin som for øyeblikket ikke har noe operativsystem) da Kerberos eller NTLM-godkjenning brukes for å sikkert passere legitimasjon angitt i Bootstrap. ini fil fra målmaskinen til MDT server, og noen sniffing nettverket ikke ville være i stand til å stjele disse legitimasjon. Men hvis du bruker MDT i en Refresh Computer scenario (det vil si å re-image en eksisterende datamaskin og lagre /gjenopprette brukertilstandsinformasjon) så Bootstrap.ini er behandlet fra aksje utrulling og legitimasjonen er gått over nettverket i klartekst . Dette betyr at noen sniffing nettverket i dette scenariet kunne stjele legitimasjon spesifisert i Bootstrap.ini, og hvis disse er Domain Admins legitimasjon da nettverket er kompromittert.

Selvfølgelig, hvis du bruker MDT i et testmiljø eller i en sikker lab som speiler din produksjonsnettverk, men har et annet domene, så det er greit å la standard administratorkontoen for domenet i Bootstrap. ini som vist i figur 4 ovenfor. Hvis du bruker MDT i et produksjonsmiljø derimot, har du sannsynligvis ikke ønsker å gjøre dette. Vi får se en mulig løsning på dette problemet i et øyeblikk.

legitimasjon i CustomSettings.ini

Det andre stedet legitimasjon er spesifisert i MDT er i CustomSettings.ini filen for din del distribusjon. Spesielt er følgende del av en CustomSettings.ini filen brukes til å automatisere prosessen med å bli måldatamaskinene til domenet under sluttfasen av deployment:

JoinDomain=CONTOSO
DomainAdmin=Administrator
DomainAdminDomain=CONTOSO
DomainAdminPassword=Pa$$w0rd

Note at vi har vært med den samme kontoen (contoso \\ Administrator) i disse artiklene for både Bootstrap.ini (for å tillate målmaskinen å få tilgang til aksje distribusjon) og CustomSettings.ini (for å bli med målmaskinen til domenet når installasjonen har fullført). Nå din CustomSettings.ini filen ikke finnes på din LiteTouchPE boot media, din Boostrap.ini fil, så det er ikke et problem. Men i alle distribusjons scenarier der automatiserte domene-join er utført, de ovennevnte info finnes i CustomSettings.ini overføres over nettverket fra MDT server til målmaskinen i klartekst. Dette betyr at hvis du bruker et Domain Admins konto for å automatisk bli utplassert datamaskiner til domenet ditt, noen sniffing nettverket ditt kan lett kompromittere sikkerheten til hele nettverket. Problemet er imidlertid at, generelt sett, er admin-nivå legitimasjon nødvendig hvis du ønsker å bli en datamaskin til et domene. Det er noen løsninger på dette problemet, men som vi skal snart se. Nok en gang men hvis du bruker MDT i et testmiljø eller i en sikker lab, kan du la standardadministratorkontoen for domenet i CustomSettings.ini som vist ovenfor.

Bruke Separat Bygg og Delta-kontoer

Hvis vi skal bruke vår MDT-server for å distribuere Windows i et produksjonsmiljø, er det første vi kan gjøre for å gjøre MDT sikrere er å bruke separate brukerkontoer for tilkobling til aksje utrulling og for å bli med datamaskiner til domenet. I dette eksemplet vil vi lage to nye brukerkontoer: