Vier Dateien, die Sie aus der Umgebung von Configuration Manager entfernen müssen

Dana Epp (@DanaEpp) hielt kürzlich eine faszinierende Präsentation über die Schwachstellen, denen Configuration Manager ausgesetzt ist, von täglichen Bedrohungen von außen bis hin zu den Herausforderungen, mit denen ConfigMgr-Administratoren und Microsoft Deployment Toolkit (MDT)-Administratoren konfrontiert sind, um diese Bedrohungen zu blockieren.

Zumindest empfiehlt Dana dringend, vier bestimmte Dateien von allen Ihren Computern zu entfernen, um Ihre Umgebung sicherer zu machen.

Sie brauchen mehr Überzeugungskraft? Nehmen Sie die Datei C:\sysprep.inf. Sie sind sich dessen vielleicht nicht bewusst, aber es enthält die Passwortinformationen des lokalen Administrators als Klartext. Mit dieser Intelligenz kann sich ein Hacker Zugang zu allen Arbeitsstationen verschaffen! Wenn dies alles ist, was ein Hacker braucht, um in Ihre Umgebung einzudringen, wie lange wird es dauern, bis er den Benutzernamen und das Passwort für das Konto eines Domänenadministrators hat?

Die vier Dateien, die entfernt werden müssen, sind:

C:\sysprep.inf
C:\sysprep\sysprep.xml
%windir%\Panther\Unattend\Unattend.xml
%windir%\Panther\Unattend.xml

Unten finden Sie eine Beispieldatei sysprep.inf.

Ich werde alle meine Kunden ermutigen, Danas Ratschlägen zu folgen, und ich habe zugestimmt, Dana zu helfen, das Wort zu verbreiten, indem ich diesen Blogbeitrag schreibe. Wenn Sie weitere Informationen wünschen, können Sie seine Präsentationsskizze auf der Seite einsehen TASK-Website.

Denken Sie daran, dass dieser Prozess mehrere Schritte umfasst, daher werde ich diese Serie in fünf Blog-Posts aufteilen.

Beginnen wir damit, diese Problemcomputer zu finden.

In der ConfigMgr 2012-Konsole erstellen wir ein Configuration Item (CI) für jede der vier Dateien, um sie auf jeder Workstation zu erkennen. Obwohl diese Schritte für ConfigMgr 2012 geschrieben wurden, sind sie für ConfigMgr 2007 im Wesentlichen gleich.

Ich zeige den Prozess für sysprep.inf und dann müssen Sie diese Schritte für die verbleibenden drei Dateien selbst wiederholen.

1. Gehen Sie in der ConfigMgr 2012-Konsole zu Vermögenswerte und Compliance | Übersicht | Compliance-Einstellungen | Konfigurationselemente, und klicken Sie dann auf Konfigurationselement erstellen in der Symbolleiste.

2. Geben Sie a . ein Name für das Konfigurationselement, und klicken Sie dann auf Nächste.

Notiz: Merken Sie sich diesen Namen, da wir ihn in meinem nächsten Blogbeitrag zum Erstellen der Konfigurationsbasislinie benötigen.

3. Klicken Sie auf Nächste.

4. Klicken Sie auf Neu.

5. Im Name Geben Sie das Feld ein Einstellen des Anzeigenamens. In meinem Beispiel habe ich den Dateinamen sysprep.inf verwendet, um später bei der Fehlerbehebung zu helfen.

Ändere das Einstellungstyp zu Dateisystem.

Geben Sie die Weg zur Datei. C:\

Geben Sie die Dateiname. sysprep.inf

Notiz: Wenn Sie auf diesem Bildschirm nach der Datei suchen, wird automatisch eine Compliance-Regel erstellt. Wenn eine Compliance-Regel erstellt wird, müssen Sie diese Regel im nächsten Schritt noch anpassen.