Configuration Manager 中软件更新的安全和隐私
适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
本主题出现在在 System Center 2012 Configuration Manager 中部署软件和操作系统 指南和 System Center 2012 Configuration Manager 的安全性和隐私 指南中。 |
本主题包含 System Center 2012 Configuration Manager 中的软件更新的安全和隐私信息。
软件更新的最佳安全方案
在将软件更新部署到客户端时,请使用以下最佳安全方案:
最佳安全方案 |
更多信息 |
||
|---|---|---|---|
不要更改有关软件更新包的默认权限。 |
默认情况下,软件更新包设置为向管理员提供“完全控制”访问权,以及向用户提供“读取”访问权。 如果更改这些权限,则可能会使攻击者能够添加、移除或删除软件更新。 |
||
控制对软件更新下载位置的访问。 |
与 SMS 提供程序、站点服务器和实际上将软件更新下载到下载位置的管理用户对应的计算机帐户需要此下载位置的“写入”访问权。 限制对此下载位置的访问,以减少攻击者在下载位置中篡改软件更新源文件的风险。 此外,如果将 UNC 共享用于下载位置,则通过使用 IPsec 或 SMB 签名来保护网络通道,以防止软件更新源文件在通过网络传输时被篡改。 |
||
使用 UTC 来估计部署时间。 |
如果使用本地时间而不是 UTC,则用户可能会通过更改其计算机上的时区来延迟软件更新的安装。 |
||
在 WSUS 上启用 SSL,然后按照保护 Windows Server Update Services (WSUS) 的最佳方案进行。 |
为你用于 配置管理器 的 WSUS 版本找出最佳安全方案,然后按其进行。
|
||
启用 CRL 检查。 |
默认情况下,配置管理器 不会检查证书吊销列表 (CRL),以便在将软件更新部署到计算机之前验证软件更新上的签名。 如果在每次使用证书时都检查 CRL,则能更好地抵御因使用已吊销的证书而造成的安全威胁,但这样做会使连接出现延迟,并在执行 CRL 检查的计算机上引发额外的处理操作。 有关如何为软件更新启用 CRL 检查的详细信息,请参阅如何对软件更新启用 CRL 检查。 |
||
配置 WSUS 以使用自定义网站。 |
在软件更新点上安装 WSUS 时,可以选择使用现有的 IIS 默认网站或创建自定义的 WSUS 网站。 为 WSUS 创建自定义网站,以便 IIS 在专用的虚拟网站中承载 WSUS 服务,而不是共享由其他 配置管理器 站点系统或其他应用程序使用的同一个网站。 有关详细信息,请参阅将 WSUS 配置为使用自定义的网站主题中的在 Configuration Manager 中规划软件更新部分。 |
||
网络访问保护 (NAP):不要依靠 NAP 来保护网络免受恶意用户的攻击。 |
网络访问保护旨在帮助管理员保持网络中的计算机的健康,反过来帮助维护网络的整体完整性。 例如,某计算机具有 Configuration Manager NAP 策略所需的全部软件更新,那么,该计算机被认为是符合的,并且将向它授予适当的网络访问权。 网络访问保护不会阻止授权用户使用符合的计算机将恶意程序上载到网络或禁用 NAP 代理。 |
||
网络访问保护 (NAP):不要在生产环境中使用 DHCP NAP 强制。 |
在安全的测试环境中使用 DHCP NAP,或将其仅用于监视目的。 在使用 DHCP NAP 时,攻击者可能会修改客户端与 NAP 健康策略服务器之间的运行状况数据包的声明,而且用户可能会绕过 NAP 过程。 |
||
网络访问保护 (NAP):在整个层次结构中使用一致的 NAP 策略,以最大程度地减少混乱。 |
如果 NAP 策略配置不当,则可能会导致在应限制客户端访问网络时允许客户端访问网络,或者错误地限制有效的客户端访问网络。 NAP 策略设计得越复杂,配置不当的风险就越高。 将 Configuration Manager NAP 客户端代理和 Configuration Manager 系统健康验证程序点配置为在整个层次结构中或者在组织内的其他层次结构中(如果客户端可能在它们之间漫游)都使用相同的设置。
|
||
网络访问保护 (NAP):不要将网络访问保护作为客户端设置在新的 配置管理器 站点上立即启用。 |
虽然在修改 配置管理器 NAP 策略时站点服务器会向域控制器发布 配置管理器 健康状况引用,但在 Active Directory 复制完成之前,系统健康验证程序点可能无法立即检索这些新数据。 如果在复制完成前在 配置管理器 客户端上启用网络访问保护,并且如果 NAP 健康策略服务器将为不符合的客户端提供受限制的网络访问,则你可能会导致自己遭遇拒绝服务攻击。 |
||
网络访问保护 (NAP):如果将健康状况引用存储在指定的林中,则指定两个不同的帐户,以用于发布和检索健康状况引用。 |
在指定 Active Directory 林以存储健康状况引用时,指定两个不同的帐户,因为它们需要不同的权限集:
|
||
网络访问保护 (NAP):不要将网络访问保护作为即时或实时的强制机制加以依赖。 |
NAP 强制机制本身存在延迟。 虽然 NAP 可以帮助计算机长期保持符合,但是,由于各种因素(包括不同配置参数的设置)的缘故,典型的强制延迟可能会达到大约几小时或更长时间。 |
.jpeg "System_CAPS_important"){kind=icon}
重要事项
软件更新的隐私信息
软件更新会扫描客户端计算机,以确定所需的软件更新,然后将该信息发送回站点数据库。 在软件更新过程中,配置管理器 可能会在客户端和服务器之间传输信息,这些信息标识计算机和登录帐户。
配置管理器 会维护有关软件部署过程的状态信息。 状态信息在传输或存储期间并未加密。 状态信息存储在 配置管理器 数据库中,而且由数据库维护任务删除。 状态信息不会发送给 Microsoft。
使用 配置管理器 软件更新在客户端计算机上安装软件更新时,可能要遵守这些更新的软件许可条款,它们不同于 Microsoft System Center 2012 Configuration Manager 的软件许可条款。 在使用 配置管理器 安装软件更新之前,请务必查看并同意软件许可条款。
默认情况下,配置管理器 并不实施软件更新,而且,在收集信息前,它需要执行几个配置步骤。
在配置软件更新之前,请考虑隐私要求。