Zabezpieczenia i prywatność spisu oprogramowania w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Uwaga
Ten temat występuje w — przewodniki Zasoby i zgodność w programie System Center 2012 Configuration Manager oraz Bezpieczeństwo i ochrona prywatności w programie System Center 2012 Configuration Manager.
Ten temat zawiera informacje o zabezpieczeniach i zasady zachowania poufności dla spisu oprogramowania w System Center 2012 Configuration Manager.
Najważniejsze wskazówki dotyczące zabezpieczeń spisu oprogramowania
Użyj następujących najlepszych rozwiązań zabezpieczeń dla podczas gromadzenia danych spisu oprogramowania od klientów:
Najlepsze rozwiązanie w zakresie zabezpieczeń |
Więcej informacji |
|---|---|
Podpisywania i szyfrowania magazynu danych |
Klienci komunikują się z punktów zarządzania przy użyciu protokołu HTTPS, wysyłają one wszystkie dane są szyfrowane przy użyciu protokołu SSL.Jednak w przypadku komputerów klienckich protokołu HTTP do komunikowania się z punktów zarządzania w intranecie, dane spisu klienta i zebranych plików można wysłać niepodpisanych i niezaszyfrowane.Upewnij się, że witryna jest skonfigurowana do Wymagaj podpisywania i szyfrowania.Ponadto jeśli klienci mogą obsługiwać algorytmu SHA-256, wybierz opcję, aby wymagać SHA-256. |
Nie należy używać pliku kolekcji do gromadzenia plików krytycznych lub poufnych informacji |
Menedżer konfiguracji spisu oprogramowania używa praw konta systemu lokalnego, które umożliwia zbieranie kopii krytycznych plików systemowych, takich jak rejestru lub bazy danych kont zabezpieczeń.Jeśli te pliki są dostępne na serwerze lokacji, osobę mającą prawa odczytu zasobów lub NTFS prawa do lokalizacji pliku przechowywane analizowanie ich zawartość i prawdopodobnie wykrycia ważne informacje dotyczące klienta, aby możliwe było złamania jego zabezpieczeń. |
Ograniczenia lokalne uprawnienia administracyjne na komputerach klienckich |
Użytkownik z uprawnieniami administratora lokalnego może wysłać nieprawidłowe dane jako informacji o spisie. |
Problemy zabezpieczeń spisu oprogramowania
Zbieranie spisu przedstawia potencjalnych luk w zabezpieczeniach.Osoby nieupoważnione, można wykonać następujące czynności:
Wyślij nieprawidłowe dane, które będą akceptowane przez punkt zarządzania nawet wtedy, gdy jest wyłączone ustawienie klienta spisu oprogramowania Kolekcja plików nie jest włączona.
Wysyła zbyt duże ilości danych w pojedynczym pliku i w części plików, co może spowodować typu "odmowa usługi".
Dostęp do informacji o spisie zgodnie z jego przeniesienie do Menedżer konfiguracji.
Jeśli użytkownicy wiedzą, że mogą utworzyć plik ukryty o nazwie Skpswi.dat i umieścić w folderze głównym dysku twardego klienta, aby go wykluczyć ze spisu oprogramowania, nie będzie można zbierać dane spisu oprogramowania z tego komputera.
Ponieważ użytkownik z uprawnieniami administratora lokalnego może wysyłać żadnych informacji jako dane spisu, nie należy wziąć pod uwagę magazynu danych, które nie są zbierane przez Menedżer konfiguracji jako autorytatywny.
Spis oprogramowania jest domyślnie jako ustawienie klienta.
Zasady zachowania poufności informacji dla spisu oprogramowania
Uwaga
Informacje podane w tej części występują również w Zabezpieczenia i prywatność dla spisu sprzętu w programie Configuration Manager.
Spis sprzętu pozwala na pobranie informacji, które są przechowywane w rejestrze i w usłudze WMI na Menedżer konfiguracji klientów.Spisu oprogramowania służy do odnajdywania wszystkich plików określonego typu lub zbieranie żadnych plików określonego od klientów.Analiza zasobów zwiększa możliwości spisu rozszerzanie spisu sprzętu i oprogramowania i dodać nowe funkcje zarządzania licencji.
Spis sprzętu jest domyślnie włączona jako ustawienie klienta i zebrane informacje WMI jest określana przez wybranych opcji.Spisu oprogramowania jest domyślnie włączone, ale pliki nie są zbierane domyślnie.Zbierania danych analizy zasobów jest włączany automatycznie, mimo że można wybrać spisu sprzętu klasy, aby włączyć raportowanie.
Informacje o magazynie nie są wysyłane do firmy Microsoft.Spis informacje są przechowywane w Menedżer konfiguracji bazy danych.Klienci używają protokołu HTTPS nawiązać punkty zarządzania, dane spisu przesyłane do witryny są szyfrowane podczas przesyłania.Jeśli klienci używają protokołu HTTP nawiązać punkty zarządzania, masz możliwość włączenia szyfrowania spisu.Dane magazynu nie są przechowywane w formacie zaszyfrowanym w bazie danych.Informacje są przechowywane w bazie danych, dopóki zostanie usunięty przez zadania konserwacji witryny Usuń historię magazynu w wieku lub Usuń pliki zbierane w wieku co 90 dni.Możesz skonfigurować interwał usuwania.
Przed skonfigurowaniem spisu sprzętu, spisu oprogramowania, kolekcji plików lub zbierania danych analizy zasobów, należy wziąć pod uwagę swoją prywatność.