Dell KACE K2000系统部署设备版本3.3.36822和更低版本使用的是名为“peinst”的只读CIFS文件共享,目的在于加快Windows部署。这个隐藏的、只读文件共享填充有用于Windows操作系统安装(称为“脚本安装”)和映像(称为“K-images”)的预安装和安装后任务以及部署引导文件和媒体。
该文件共享是隐藏的。由于Windows PE 2005和更低版本在访问受密码保护的作为引导驱动器的共享时存在各种限制,因此该文件提供匿名只读访问。Dell KACE在其培训和文档中建议:
- 在Windows unattend.xml和sysprep.inf中用于将计算机连到某一域的帐户凭据应使用Microsofts工具加密
- 在unattend.xml、sysprep.inf和任何安装后脚本中使用的帐户权利应通过最小特权进行分配。例如,用于将计算机添加到域的帐户仅具有该权利,且受容器限制,别无其他权利。
Dell KACE已计划在将来的版本中为这些文件共享提供身份验证功能,因为Windows PE的较早版本已逐渐淡出其用户群的视线。
请注意,要求对这些共享进行身份验证仅针对使用CIFS协议检查部署引导文件和任务提供保护。含有凭据的引导文件需要使用TFTP传输到PXE引导工作站,这样做不会影响数据流安全。(TFTP已内置到PXE标准中且没有代替安全协议。)站点仍应遵守上述有关加密和最小特权方面给出的建议。
由于历史或管理上的原因,某些站点可能无法遵守上述建议的政策。安全要求高的站点或许需要考虑使用专门用于部署的网络。
客户如有问题或疑虑,请与Dell KACE支持人员联系。