• Artikel

Beveiliging en privacy voor software-updates in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notitie

Dit onderwerp wordt behandeld in de gids Software en besturingssystemen implementeren in System Center 2012 Configuration Manager en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).

Dit onderwerp bevat beveiligings- en privacy-informatie voor software-updates in System Center 2012 Configuration Manager.

Aanbevolen beveiligingsprocedures voor software-updates

Gebruik de volgende aanbevolen beveiligingsprocedures wanneer u software-updates implementeert op clients:

Aanbevolen beveiligingsprocedure

Meer informatie

Zorg dat u de standaardmachtigingen voor software-updatepakketten niet wijzigt.

Software-updatepakketten worden standaard zodanig ingesteld dat beheerders Volledig beheer hebben en gebruikers de toegang Lezen hebben. Als u deze machtigingen wijzigt, kunnen kwaadwillende personen hierdoor mogelijk software-updates toevoegen of verwijderen.

Beheer de toegang tot de downloadlocatie voor software-updates.

De computeraccounts voor de SMS-provider, de siteserver en de gebruiker met beheerdersrechten die de software-updates daadwerkelijk downloadt naar de downloadlocatie, hebben de toegang Schrijven nodig voor de downloadlocatie. Beperk de toegang tot de downloadlocatie om het risico te beperken dat kwaadwillende personen knoeien met de bronbestanden van software-updates op de downloadlocatie.

Als u bovendien een UNC-share gebruikt voor de downloadlocatie, beveiligt u het netwerkkanaal door IPsec of SMB-ondertekening te gebruiken om te voorkomen dat er wordt geknoeid met de bronbestanden van software-updates wanneer deze via het netwerk worden overgedragen.

Gebruik UTC om implementatietijden te evalueren.

Als u de lokale tijd gebruikt in plaats van UTC, kunnen gebruikers mogelijk de installatie van software-updates vertragen door de tijdzone op hun computers te wijzigen.

Schakel SSL op Windows Server Update Services (WSUS) in en volg de aanbevolen procedures om WSUS te beveiligen.

Bepaal en volg de aanbevolen beveiligingsprocedures voor de WSUS-versie die u gebruikt met Configuration Manager.

System_CAPS_importantBelangrijk

Als u het software-updatepunt zodanig configureert dat SSL-communicatie voor de WSUS-server wordt ingeschakeld, moet u virtuele roots voor SSL configureren op de WSUS-server.

Schakel CRL-controle in.

Configuration Manager raadpleegt standaard niet de certificaatintrekkingslijst (CRL) om de handtekening van software-updates te controleren voordat de updates op computers worden geïmplementeerd. Door de CRL te raadplegen elke keer dat er een certificaat wordt gebruikt, bent u beter beschermd tegen het gebruik van een ingetrokken certificaat. Hierdoor ontstaat echter ook een vertraging in de verbinding en vinden er extra verwerkingsactiviteiten plaats op de computer die de CRL-controle uitvoert.

Zie CRL-controle inschakelen voor software-updates voor meer informatie over het inschakelen van CRL-controles voor software-updates.

Configureer WSUS voor het gebruik van een aangepaste website.

Wanneer u WSUS installeert op het software-updatepunt, kunt u kiezen of u de bestaande standaardwebsite van IIS wilt gebruiken of een aangepaste WSUS-website wilt maken. Maak een aangepaste website voor WSUS, zodat de WSUS-services door IIS worden gehost op een speciale virtuele website in plaats van dezelfde website te delen die wordt gebruikt door de andere Configuration Manager-sitesystemen of andere toepassingen.

Zie het gedeelte Configureer WSUS voor het gebruik van een aangepaste website in het onderwerp Software-updates plannen in Configuration Manager voor meer informatie.

NAP (Network Access Protection): Vertrouw niet op NAP om een netwerk te beveiligen tegen kwaadwillende gebruikers.

Network Access Protection (NAP, Netwerktoegangsbeveiliging) is ontworpen om beheerders te helpen computers in het netwerk gezond te houden, waardoor weer de algehele integriteit van het netwerk behouden blijft. Als een computer bijvoorbeeld alle software-updates bevat die vereist zijn voor het NAP-beleid van Configuration Manager, wordt de computer als compatibel beschouwd en krijgt hij de toepasselijke toegang tot het netwerk. Met NAP wordt echter niet voorkomen dat een onbevoegde gebruiker met een compatibele computer een schadelijk programma uploadt naar het netwerk of de NAP-agent uitschakelt.

NAP (Network Access Protection): Gebruik geen DHCP NAP-afdwinging in een productieomgeving.

Gebruik DHCP NAP alleen in een beveiligde testomgeving of voor bewakingsdoeleinden. Wanneer u DHCP NAP gebruikt, kunnen kwaadwillende personen de statusverklaringspakketten wijzigen tussen de client en de NAP-statusbeleidserver, en kunnen gebruikers het NAP-proces omzeilen.

NAP (Network Access Protection): Gebruik consistente NAP-beleidregels binnen de hele hiërarchie om verwarring te beperken.

Een verkeerd geconfigureerd NAP-beleid kan tot gevolg hebben dat clients toegang krijgen tot het netwerk terwijl de toegang eigenlijk beperkt hoort te zijn, of dat geldige clients onterecht beperkte toegang hebben. Hoe ingewikkelder het ontwerp van uw NAP-beleid, hoe groter het risico op een onjuiste configuratie. Configureer de NAP-clientagent van Configuration Manager en Configuration Manager System Health Validator-punten zodanig dat dezelfde instellingen worden gebruikt in de gehele hiërarchie, of in aanvullende hiërarchieën in de organisatie als clients mogelijk roamen tussen deze hiërarchieën.

System_CAPS_importantBelangrijk

Als een Configuration Manager-client naar een andere Configuration Manager-hiërarchie roamt terwijl de NAP-clientagent is ingeschakeld en de statusverklaring van de client wordt gevalideerd door een System Health Validator-punt buiten de eigen hiërarchie, mislukt de sitecontrole van het validatieproces. Hierdoor is de status van de client onbekend, wat op de NAP-statusbeleidserver standaard is geconfigureerd als zijnde niet-compatibel. Als op de NAP-statusbeleidserver netwerkbeleidsregels zijn geconfigureerd voor beperkte netwerktoegang, kunnen deze clients niet worden hersteld en krijgen ze mogelijk geen toegang tot het volledige netwerk. Met een uitzonderingsbeleid op de NAP-statusbeleidserver krijgen Configuration Manager-clients die roamen buiten hun Configuration Manager-hiërarchie mogelijk onbeperkte netwerktoegang.

NAP (Network Access Protection): Schakel NAP niet onmiddellijk in als een clientinstelling op nieuwe Configuration Manager-sites.

Hoewel de siteservers de Configuration Manager-statusreferentie publiceren naar een domeincontroller wanneer de NAP-beleidsregels van Configuration Manager worden gewijzigd, zijn deze nieuwe gegevens mogelijk niet onmiddellijk beschikbaar om door het System Health Validator-punt te worden opgehaald, maar pas nadat de Active Directory-replicatie is voltooid. Als u NAP op Configuration Manager-clients inschakelt voordat de replicatie is voltooid en als de NAP-statusbeleidserver niet-compatibele clients beperkte netwerktoegang biedt, kunt u mogelijk een Denial of Service-aanval tegen uzelf veroorzaken.

NAP (Network Access Protection): Als u de statusreferentie opslaat in een aangewezen forest, geeft u twee verschillende accounts op om de statusreferentie te publiceren en op te halen.

Wanneer u een Active Directory-forest aanwijst om de statusreferentie op te slaan, geeft u twee verschillende accounts op omdat hiervoor twee verschillende machtigingssets vereist zijn:

  • Voor Publicatieaccount Health-statusreferentie zijn de machtigingen Lezen, Schrijven en Maken vereist voor de Active Directory-forest waarin de statusreferentie wordt opgeslagen.

  • Voor Opvraagaccount Health-statusreferentie is alleen de machtiging Lezen vereist voor de Active Directory-forest waarin de statusreferentie wordt opgeslagen. Ken aan dit account geen interactieve rechten voor aanmelden toe.

NAP (Network Access Protection): Vertrouw niet op NAP als onmiddellijk of realtime afdwingingsmechanisme.

Er treden inherente vertragingen op in het NAP-afdwingingsmechanisme. Hoewel NAP helpt computers ook op lange termijn compatibel te houden, kunnen er typische nalevingsvertragingen van enkele uren of meer optreden wegens diverse factoren, waaronder de instellingen van diverse configuratieparameters.

Privacy-informatie voor software-updates

Bij software-updates worden uw clientcomputers gescand om te bepalen welke updates u nodig hebt. Vervolgens wordt die informatie teruggestuurd naar de sitedatabase. Tijdens het software-updateproces wordt er in Configuration Manager mogelijk informatie tussen clients en servers overgedragen waarmee de computer- en aanmeldingsaccounts worden geïdentificeerd.

In Configuration Manager wordt statusinformatie over het software-implementatieproces bijgehouden. Statusinformatie wordt niet versleuteld tijdens de overdracht of opslag. Statusinformatie wordt opgeslagen in de Configuration Manager-database en wordt verwijderd door de onderhoudstaken van de database. Er wordt geen statusinformatie verzonden naar Microsoft.

Het gebruik van Configuration Manager-software-updates om software-updates te installeren op clientcomputers is mogelijk onderhevig aan licentievoorwaarden voor die updates, wat los staat van de licentievoorwaarden voor Microsoft System Center 2012 Configuration Manager. Zorg dat u altijd de licentievoorwaarden leest en hiermee akkoord gaat voordat u de software-updates installeert met behulp van Configuration Manager.

In Configuration Manager worden software-updates niet standaard geïmplementeerd; er zijn diverse configuratiestappen vereist voordat de informatie wordt verzameld.

Voordat u software-updates configureert, moet u nadenken over uw privacyvereisten.