Sicherheit und Datenschutz für die Hardwareinventur in Configuration Manager
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Dieses Thema erscheint in den Handbüchern Assets and Compliance in System Center 2012 Configuration Manager (Bestand und Kompatibilität in System Center 2012 Configuration Manager) und Sicherheit und Datenschutz für System Center 2012 Configuration Manager. |
Dieses Thema enthält Sicherheits- und Datenschutzinformationen zur Hardwareinventur in System Center 2012 Configuration Manager.
Bewährte Sicherheitsmethoden für die Hardwareinventur
Wenden Sie die folgenden bewährten Sicherheitsmethoden beim Sammeln von Hardwareinventurdaten der Clients an:
Bewährte Sicherheitsmethode |
Weitere Informationen |
|---|---|
Signieren und Verschlüsseln von Inventurdaten |
Bei der Kommunikation der Clients mit Verwaltungspunkten über HTTPS werden alle von den Clients gesendeten Daten per SSL verschlüsselt.Allerdings werden Clientinventurdaten und gesammelte Dateien möglicherweise nicht signiert und unverschlüsselt gesendet, wenn auf den Clientcomputern HTTP als Protokoll für die Kommunikation mit Verwaltungspunkten im Intranet verwendet wird.Stellen Sie sicher, dass der Standort so konfiguriert ist, dass Signierung und Verschlüsselung erforderlich sind.Wählen Sie zusätzlich die Option "SHA-256 erforderlich" aus, wenn der SHA-256-Algorithmus von den Clients unterstützt wird. |
Sammeln Sie IDMIF- und NOIDMIF-Dateien nicht in Umgebungen mit hoher Sicherheit. |
Sie können die IDMIF- und NOIDMIF-Dateisammlung verwenden, um die Hardwareinventursammlung zu erweitern.Bei Bedarf werden von Configuration Manager neue Tabellen erstellt oder vorhandene Tabellen in der Configuration Manager-Datenbank geändert, um die Eigenschaften in IDMIF- und NOIDMIF-Dateien zu berücksichtigen.Allerdings Configuration Manager IDMIF und NOIDMIF-Dateien wird nicht überprüft werden, damit diese Dateien verwendet werden können, zum Ändern von Tabellen, die Sie nicht geändert.Gültige Daten könnten durch ungültige Daten überschrieben werden.Darüber hinaus können große Mengen von Daten hinzugefügt werden und die Verarbeitung dieser Daten möglicherweise verzögert in allen Configuration Manager Funktionen.Um diese Risiken zu verringern, konfigurieren Sie die Hardwareinventur-Clienteinstellung MIF-Dateien sammeln als keine. |
Sicherheitsprobleme bei der Hardwareinventur
Das Sammeln der Inventur weist potenzielle Sicherheitslücken auf.Angreifer können die folgenden Aktionen ausführen:
Senden von ungültigen Daten – Diese werden vom Verwaltungspunkt auch dann akzeptiert, wenn die Softwareinventur-Clienteinstellung deaktiviert und keine Dateisammlung aktiviert ist.
Senden von übermäßig großen Datenmengen in einer einzigen Datei und in vielen Dateien – Dies kann zu einem DoS führen.
Zugreifen auf Inventurinformationen während ihrer Übertragung an Configuration Manager.
Da ein Benutzer mit lokalen Administratorberechtigungen alle Informationen als Inventurdaten senden kann, sollten Sie von Configuration Manager gesammelte Inventurdaten nicht als autoritative Datenquelle betrachten.
Die Hardwareinventur ist standardmäßig als Clienteinstellung aktiviert.
Informationen zum Datenschutz für die Hardwareinventur
| Hinweis |
|---|
Die Informationen in diesem Abschnitt erscheinen auch in Sicherheit und Datenschutz für die Softwareinventur in Configuration Manager. |
Die Hardwareinventur ermöglicht das Abrufen von Informationen, die auf Configuration Manager-Clients in der Registrierung und in WMI gespeichert sind.Die Softwareinventur ermöglicht die Ermittlung aller Dateien eines bestimmten Typs oder die Sammlung bestimmter Dateien von Clients.Asset Intelligence erweitert die Inventurfunktionen, indem die Hardware- und Softwareinventur erweitert und neue Lizenzverwaltungsfunktionen hinzugefügt werden.
Die Hardwareinventur ist standardmäßig als Clienteinstellung aktiviert, und die gesammelten WMI-Informationen werden durch die von Ihnen ausgewählten Optionen festgelegt.Die Softwareinventur ist zwar standardmäßig aktiviert, aber Dateien werden standardmäßig nicht gesammelt.Die Asset Intelligence-Datensammlung ist zwar automatisch aktiviert, aber Sie können die zu aktivierenden Hardwareinventur-Berichtsklassen selbst auswählen.
Die Inventurinformationen werden nicht an Microsoft gesendet.Die Inventurinformationen werden in der Configuration Manager-Datenbank gespeichert.Wenn auf den Clients HTTPS für die Herstellung der Verbindung zu den Verwaltungspunkten verwendet wird, werden die vom Verwaltungspunkt an den Standort gesendeten Inventurdaten während der Übertragung verschlüsselt.Wenn auf den Clients HTTP für die Herstellung der Verbindung zu den Verwaltungspunkten verwendet wird, haben Sie die Möglichkeit, die Inventurverschlüsselung zu aktivieren.In der Datenbank werden die Inventurdaten unverschlüsselt gespeichert.Informationen werden so lange in der Datenbank gespeichert, bis sie durch die alle 90 Tage durchgeführten Standortwartungstasks Veralteten Inventurverlauf löschen oder Veraltete gesammelte Dateien löschen gelöscht werden.Sie können das Löschintervall konfigurieren.
Berücksichtigen Sie bei der Konfiguration der Hardware- und Softwareinventur, der Dateisammlung oder der Asset Intelligence-Datensammlung Ihre Datenschutzanforderungen.