Dell KACE K2000システムデプロイメントアプライアンスバージョン3.3.36822以前では、「peinst」という読み取り専用のCIFSファイルを使用して、Windowsを迅速に展開します。この読み取り専用の隠しファイルには、プレインストールタスク、ポストインストールタスク、およびWindowsネットワークオペレーティングシステムのインストール(「スクリプト形式のインストール」と言います)とイメージ作成(「Kイメージ」と言います)で使用される展開用の起動ファイルおよびメディアが格納されています。
このファイル共有は隠しファイルです。Windows PE 2005以前のバージョンでは、パスワード保護された共有へのルートドライブとしてのアクセスは制限されているため、匿名での読み取り専用アクセスが提供されます。Dell KACEのトレーニングとマニュアルでは、以下のことを推奨しています。
- コンピューターをドメインに参加させるためにWindows unattend.xmlおよびsysprep.infで使用するアカウント資格情報は、マイクロソフトのツールを使用して暗号化します。
- unattend.xml、sysprep.inf、および他のポストインストールスクリプトで使用するアカウントの権限は、最小限の権限の原則を使用して割り当てます。例えば、コンピューターをドメインに追加するために使用するアカウントにはその権限のみを付与し、コンテナによって制限されるようにして、他の権限は付与しないようにします。
Windows PEの旧バージョンはユーザーベースが次第に減少しているため、Dell KACEは将来のリリースでこのファイル共有の認証を提供する予定です。
ただし、この共有の認証を要求することによって防止できるのは、CIFSプロトコルを使用して展開用の起動ファイルとタスクを調べることのみです。資格情報が格納された起動ファイルは、必ずTFTPを使用してPXEで起動するワークステーションに転送されますが、TFTPにはデータストリームセキュリティが設定されていません。(TFTPはPXE標準に組み込まれ、セキュリティを備えた代替プロトコルはありません)。サイトでも、上記の暗号化と最小限の権限の原則に関する推奨事項に従う必要があります。
一部のサイトでは、履歴または管理上の理由により、この推奨する原則に従うことができない場合があります。セキュリティ要件の厳しいサイトでは、展開専用のネットワークを検討してもよいでしょう。
ご質問、ご不明な点がございましたら、Dell KACEサポートまでお問い合わせください。