硬件清单配置管理器中的安全和隐私
适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
本主题出现在资产和 System Center 2012 Configuration Manager 中的符合性 指南和 System Center 2012 Configuration Manager 的安全性和隐私 指南中。 |
本主题包含有关硬件清单中的安全和隐私信息 System Center 2012 Configuration Manager。
硬件清单的最佳安全方案
从客户端收集硬件清单数据时使用下列最佳安全方案:
最佳安全方案 |
更多信息 |
|---|---|
签名和加密清单数据 |
当客户端与管理点使用 HTTPS 进行通信时,则他们将发送的所有数据是通过使用 SSL 都加密。但是,当客户端计算机使用 HTTP 来与 intranet 上的管理点通信时,客户端清单数据和收集的文件可以发送未签名和未加密。请确保该站点已配置为要求签名并使用加密。此外,如果客户端可以支持 sha-256 的算法,选择需要 sha-256 选项。 |
不会收集 IDMIF 和 NOIDMIF 文件在高安全性环境中 |
IDMIF 和 NOIDMIF 文件集合可用于扩展硬件清单收集。如有必要, 配置管理器 创建新表或修改现有表中的 配置管理器 数据库以容纳 IDMIF 和 NOIDMIF 文件中的属性。但是, 配置管理器 不会验证 IDMIF 和 NOIDMIF 文件,因此无法使用这些文件来更改不希望更改的表。无效数据可以覆盖有效数据。此外,无法添加大量的数据并处理此类数据可能会导致延迟在所有 配置管理器 函数。若要降低这些风险,配置硬件清单客户端设置 收集 MIF 文件 作为 None。 |
硬件清单的安全问题
收集清单会暴露潜在的漏洞。攻击者可以执行以下:
发送无效数据,即使禁用软件清单客户端设置,且未启用文件收集管理点将接受。
在单个文件和大量文件,可能会导致拒绝服务发送过大的数据量。
访问清单信息传输到 配置管理器。
因为具有本地管理权限的用户可以将清单数据作为发送任何信息,不考虑由收集的清单数据 配置管理器 要成为权威。
默认情况下作为客户端设置来启用硬件清单。
硬件清单的隐私信息
| 注意 |
|---|
本节中的信息还出现在 软件清单配置管理器中的安全和隐私. |
硬件清单允许您检索存储在注册表和 WMI 中的任何信息 配置管理器 客户端。软件清单允许您发现具有指定类型的所有文件或从客户端收集任何指定的文件。通过扩展硬件和软件清单并添加新的许可证管理功能,资产智能增强了清单功能。
默认情况下作为客户端设置启用硬件清单和收集的 WMI 信息由您选择的选项。默认情况下启用软件清单,但默认情况下不收集文件。自动启用资产智能数据收集,尽管您可以选择的硬件清单报表类以使...
清单信息不会发送给 Microsoft。清单信息存储在 配置管理器 数据库。当客户端使用 HTTPS 来连接到管理点时,它们将发送到站点的清单数据进行加密在传输过程中。如果客户端使用 HTTP 来连接到管理点,您可以选择启用清单加密。清单数据不存储在数据库中的加密格式中。信息将保留在数据库中就会通过站点维护任务删除 删除过期的清单历史记录 或 删除过期的收集文件 每隔 90 天。可以配置删除间隔。
在配置硬件清单、 软件清单、 文件收集或资产智能数据收集之前,请考虑您的隐私要求。