Seguridad y privacidad para las actualizaciones de software en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Este tema aparece en la guía Implementación de software y sistemas operativos en System Center 2012 Configuration Manager y la guía Seguridad y privacidad en System Center 2012 Configuration Manager.
Este tema contiene información de seguridad y privacidad para las actualizaciones de software en System Center 2012 Configuration Manager.
Recomendaciones de seguridad para las actualizaciones de software
Use las recomendaciones de seguridad siguientes al implementar actualizaciones de software en los clientes:
Práctica recomendada de seguridad |
Más información |
||
|---|---|---|---|
No cambie los permisos predeterminados de los paquetes de actualización de software. |
De manera predeterminada, los paquetes de actualización de software están configurados para permitir que los administradores tengan Control total y que los usuarios tengan Acceso de lectura. Si cambia estos permisos, los atacantes podrían agregar, quitar o eliminar actualizaciones de software. |
||
Controle el acceso a la ubicación de descarga de actualizaciones de software. |
Las cuentas de equipo del proveedor de SMS, el servidor de sitio y el usuario administrativo que descargará las actualizaciones de software en la ubicación de descarga requieren Acceso de escritura en la misma. Limite el acceso a la ubicación de descarga para reducir el riesgo de que los atacantes alteren los archivos de origen de las actualizaciones de software en la misma. Además, si usa un recurso compartido UNC como ubicación de descarga, proteja el canal de red mediante la firma SMB o IPsec para impedir las alteraciones de los archivos de origen de las actualizaciones de software durante su transferencia a través de la red. |
||
Use UTC para evaluar las horas de implementación. |
Si usa la hora local en vez de UTC, los usuarios podrían retrasar la instalación de actualizaciones de software mediante el cambio de la zona horaria en sus equipos. |
||
Habilite SSL en WSUS y siga las recomendaciones de seguridad para proteger Windows Server Update Services (WSUS). |
Identifique y siga las recomendaciones de seguridad para la versión de WSUS que utiliza con Configuration Manager.
|
||
Habilite la comprobación de CRL. |
De manera predeterminada, Configuration Manager no comprueba la lista de revocación de certificados (CRL) para comprobar la firma en las actualizaciones de software antes de implementarlas en los equipos. La comprobación de CRL cada vez que se usa un certificado proporciona una mayor seguridad frente a certificados revocados, pero incorpora un retraso en la conexión e implica un procesamiento adicional en el equipo que realiza la comprobación de CRL. Para obtener más información acerca de cómo habilitar la comprobación de la CRL para actualizaciones de software, consulte Cómo habilitar la comprobación de CRL para actualizaciones de software. |
||
Configure WSUS para usar un sitio web personalizado. |
Cuando instale WSUS en el punto de actualización de software, tendrá la opción de usar el sitio web predeterminado de IIS existente o crear un sitio web WSUS personalizado. Cree un sitio web personalizado para WSUS para que IIS hospede los servicios WSUS en un sitio web virtual dedicado en vez de compartir el sitio web que también usan otros sistemas de sitio de Configuration Manager u otras aplicaciones. Para obtener más información, consulte la sección Configurar WSUS para utilizar un sitio web personalizado del tema Planeación de actualizaciones de software en Configuration Manager. |
||
Protección de acceso a redes (NAP): No se base solamente en NAP para proteger la red de usuarios malintencionados. |
La Protección de acceso a redes está diseñada para ayudar a los administradores a mantener el estado de mantenimiento de los equipos en la red, lo que contribuye al mantenimiento de la integridad global de la misma. Por ejemplo, si un equipo dispone de todas las actualizaciones de software requeridas por la directiva de NAP de Configuration Manager, se considerará que el equipo es compatible y, por lo tanto, se le concederá el acceso correspondiente a la red. La Protección de acceso a redes no impide que los usuarios autorizados en equipos compatibles carguen programas malintencionados en la red o deshabiliten el agente NAP. |
||
Protección de acceso a redes (NAP): No use el cumplimiento NAP para DHCP en entornos de producción. |
Use NAP para DHCP en un entorno de pruebas protegido o solo con fines de supervisión. Cuando usa NAP para DHCP, los atacantes pueden modificar los paquetes de informes de mantenimiento entre el cliente y el servidor de directivas de mantenimiento de NAP, y los usuarios pueden eludir el proceso NAP. |
||
Protección de acceso a redes (NAP): Use directivas de NAP coherentes en toda la jerarquía para evitar confusiones. |
Las directivas de NAP mal configuradas podrían permitir el acceso a la red a clientes que no deberían poder obtener acceso a la misma o limitar el acceso a los que deberían poder obtenerlo. El riesgo de que se produzcan errores de configuración aumenta en función de la complicación del diseño de la directiva de NAP. Configure el agente cliente de NAP de Configuration Manager y los puntos del Validador de mantenimiento del sistema de Configuration Manager para que usen la misma configuración en toda la jerarquía o en jerarquías adicionales en la organización si los clientes pueden moverse entre las mismas.
|
||
Protección de acceso a redes (NAP): No habilite inmediatamente la Protección de acceso a redes como una configuración de cliente en nuevos sitios de Configuration Manager. |
Aunque los servidores de sitio publican la referencia de estado de mantenimiento de Configuration Manager en un controlador de dominio cuando las directivas de NAP de Configuration Manager se modifican, es posible que el punto de Validador de mantenimiento del sistema no pueda recuperar los nuevos datos hasta que finalice la replicación de Active Directory. Si habilita Protección de acceso a redes en clientes de Configuration Manager antes de que finalice la replicación y si su servidor de directivas de mantenimiento de NAP otorga a clientes no compatibles un acceso limitado de red, es posible que sufra un ataque por denegación de servicio. |
||
Protección de acceso a redes (NAP): Si almacena la referencia de estado de mantenimiento en un bosque designado, especifique dos cuentas distintas para la recuperación y la publicación de la referencia de estado de mantenimiento. |
Al designar un bosque de Active Directory para almacenar la referencia de estado de mantenimiento, especifique dos cuentas distintas, ya que requieren conjuntos de permisos diferentes:
|
||
Protección de acceso a redes (NAP): No se base solamente en Protección de acceso a redes como mecanismo de cumplimiento instantáneo o en tiempo real. |
El mecanismo de cumplimiento de NAP incorpora retrasos inherentes. NAP contribuye a mantener los equipos compatibles a largo plazo, pero los retrasos en la aplicación del cumplimiento pueden durar varias horas o periodos mayores debido a varios factores como, por ejemplo, los valores de determinados parámetros de configuración. |
.jpeg "System_CAPS_important")
Importante
Información de privacidad de las actualizaciones de software
Las actualizaciones de software examinan los equipos cliente para determinar las actualizaciones de software requeridas y, a continuación, envían la información a la base de datos del sitio. Durante el proceso de actualización de software, es posible que Configuration Manager transmita información entre clientes y servidores que permite identificar las cuentas de equipo y de inicio de sesión.
Configuration Manager mantiene información de estado sobre el proceso de implementación de software. La información de estado no se cifra durante la transmisión o el almacenamiento. La información de estado se almacena en la base de datos de Configuration Manager. Las tareas de mantenimiento de la base de datos eliminarán la información de estado. No se envía información de estado a Microsoft.
El uso de las actualizaciones de software de Configuration Manager para instalar actualizaciones de software en equipos cliente puede estar sujeto a los términos de licencias de software de dichas actualizaciones, ya que son independientes de los términos de licencias de software de Microsoft System Center 2012 Configuration Manager. Revise y acepte los términos de licencias de software antes de instalar las actualizaciones de software mediante Configuration Manager.
Configuration Manager no implementa actualizaciones de software de forma predeterminada y requiere varios pasos de configuración antes de recopilar información.
Antes de configurar las actualizaciones de software, tenga en cuenta los requisitos de privacidad.