セキュリティー要件

システムは、安全な Public Key Infrastructure (PKI) 署名を使用するすべての Fixlet およびアクションを認証します。PKI では、確実に認証を行うために、公開鍵と秘密鍵のペアが使用されます。

BigFix をインストールする前に、Windows の場合はインストーラーを実行し、Linux の場合はスクリプト install.sh を実行して、自身の秘密鍵を生成してから、公開鍵を含む署名証明書を HCL に申し込む必要があります。秘密鍵 (ユーザーのコンピューターにのみ存在し、HCL を含む他者に知られていない) は、ユーザーが選択するパスワードにより暗号化されるため、誰かが秘密鍵を盗んだとしても、その秘密鍵を使用するにはさらにパスワードを知る必要があります。ただし、秘密鍵も適切に保護する必要があります。サイトの秘密鍵とパスワード、サーバーへのアクセス権、およびデータベース・ログインを所有するユーザーは誰でも、クライアント・コンピューターに対してアクションを適用できます。

秘密鍵は、会社の玄関の鍵と同様に扱います。共有ディスクには保存しないでください。代わりに、リムーバブル・ディスクなどの安全な場所に保管し、それ自体を紛失しないようにしてください。物理的な世界でマスター・キーを紛失した場合、建物のすべての鍵を交換する必要があります。同様に、デジタル・キーを紛失した場合も、新しい許可キーに移行するか、または (すべてのクライアントを含む) システム全体をフレッシュ・インストールする必要があります。サイト・レベルのキー・ファイルのバックアップ・コピーを安全な金庫に保管することは不適切ではありません。

インストール・プロセス中、サーバーの署名キーが作成され、ファイルとしてサーバー・マシンに保存されます。オペレーターがアクションを実行すると、そのアクションに対して、サーバーの署名キーによりデジタル署名が行われ、クライアントはそのキーで署名されたアクションのみを信頼します。クライアントは、サーバーの署名キーにより署名されたアクションを信頼するため、サーバーの署名キー・ファイルを保護することが重要です。サーバーの署名キー・ファイルを保護するために、サーバー・マシンへの管理者権限を制限する必要があります。

Fixlet にもデジタル署名が行われます。Fixlet サイトの作成者は、認証のために BigFix ルートにトレースバックできるキーを使用して各メッセージに署名します。この署名は、Fixlet サイトのマストヘッドと一致している必要があります。マストヘッドは、サイトのサブスクライブ時にクライアントのインストール・フォルダー内に配置されます。この手順により、スプーフィングおよび中間者攻撃が防止され、受信した Fixlet が元の認定済みの作成者からのものであることが保証されます。

組織に BigFix をインストールする前に、セキュリティー関連の解決すべき問題がいくつかあります。

  • Microsoft から入手可能な最新の Service Pack を適用した Windows Server 2008 以降 (64 ビット) がサーバー・コンピューターで実行されていることを確認します。
  • SQL Server が最新のセキュリティー関連のパッチを使用して保護されていることを確認します。
  • すべての内部ルーターおよび内部ファイアウォールで、指定のポート (デフォルト値は、コンソールを含むすべてのコンポーネントで 52311) での TCP/IP および UDP が完全にブロック解除されていることを確認します。
  • 外部ルーターで、指定のポート (デフォルト値は、すべてのコンポーネントで 52311) でのインバウンド・トラフィックおよびアウトバウンド・トラフィックが禁止されていることを確認します。これは、BigFix 関連のトラフィックがネットワーク内に流れ込まないようにするため、およびネットワークから流れ出ないようにするためです。

    DMZ 内に認証リレーを配置することで、ローミング・ラップトップを管理できます。追加の詳細については、「リレーとサーバーの認証」を参照してください

  • ネットワーク管理者に問い合わせ、ユーザー本人が、サーバーがポート 80 を通じてインターネットにアクセスするように設定できることを確認します。Windows 上の BES ルート・サーバー・サービスおよび Linux 上の beserver サービスは、インターネットにアクセスして、デフォルトで SYSTEM アカウント (Windows の場合) および root (Linux の場合) として実行されます。
    注: ご使用の環境で、プロキシー経由でインターネットに接続する場合は、プロキシー接続のセットアップの説明に従って、接続を構成します。ファイアウォールの制限がある場合は、ローカル・ファイアウォールの構成を参照してください。

    インターネットからの物理的な切断を維持するには、の『エアー・ギャップ環境でのファイルのダウンロード』を参照してください。

  • 会社または業界規模の標準を使用して、サーバー・コンピューターおよび SQL データベースを保護します。詳しくは、ネットワーク管理者またはデータベース管理者にお問い合わせください。
注: ほとんど使用されない特定のロックダウン手順が原因で、サーバーが適切に機能しなくなる場合があります。ロックダウン手順について具体的な質問がある場合は、HCL ソフトウェア・サポートにお問い合わせください。

会社または業界規模の標準を使用してクライアント・コンピューターを保護します。最小権限の原則 (PoLP) を適用することをお勧めします。

Windows システムで最適な結果を得るには、次を実行します。
  • UAC 機能は常に有効にします。
  • ローカルの管理者権限でユーザー・アカウントを設定しないようにします。
  • システム・ディレクトリーのパス (例: Windows、System32、Program Files (x86)、Program Files) へのアクセスには必ず制限をかけます。ローカル・ユーザーがこれらの場所にアクセスすることのないようにします。