软件清单配置管理器中的安全和隐私
适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
本主题出现在资产和 System Center 2012 Configuration Manager 中的符合性 指南和 System Center 2012 Configuration Manager 的安全性和隐私 指南中。 |
本主题包含的安全和隐私信息中的软件清单 System Center 2012 Configuration Manager。
软件清单安全最佳方案
从客户端收集软件清单数据时使用下列最佳安全方案:
最佳安全方案 |
更多信息 |
|---|---|
签名和加密清单数据 |
当客户端与管理点使用 HTTPS 进行通信时,则他们将发送的所有数据是通过使用 SSL 都加密。但是,当客户端计算机使用 HTTP 来与 intranet 上的管理点通信时,客户端清单数据和收集的文件可以发送未签名和未加密。请确保该站点已配置为要求签名并使用加密。此外,如果客户端可以支持 sha-256 的算法,选择需要 sha-256 选项。 |
不使用文件收集来收集重要文件或敏感信息 |
配置管理器 软件清单使用已收集的关键系统文件,如注册表或安全帐户数据库副本的能力的 LocalSystem 帐户的所有的权限。当这些文件在站点服务器中可用时,对存储的文件位置具有读取资源权限或 NTFS 权限的用户可以分析其内容,并且有可能识别关于客户端的重要详细信息,从而威胁其安全性。 |
限制客户端计算机上的本地管理权限 |
具有本地管理权限的用户可以发送无效的数据与清单信息。 |
软件清单的安全问题
收集清单会暴露潜在的漏洞。攻击者可以执行以下:
发送无效数据,即使禁用软件清单客户端设置,且未启用文件收集管理点将接受。
在单个文件和大量文件,可能会导致拒绝服务发送过大的数据量。
访问清单信息传输到 配置管理器。
如果用户知道他们可以创建一个名为的隐藏的文件 Skpswi.dat 并将它放在客户端的硬盘从软件清单中排除的根目录中,您将不能从该计算机中收集软件清单数据。
因为具有本地管理权限的用户可以将清单数据作为发送任何信息,不考虑由收集的清单数据 配置管理器 要成为权威。
默认情况下作为客户端设置来启用软件清单。
软件清单的隐私信息
| 注意 |
|---|
本节中的信息还出现在 硬件清单配置管理器中的安全和隐私. |
硬件清单允许您检索存储在注册表和 WMI 中的任何信息 配置管理器 客户端。软件清单允许您发现具有指定类型的所有文件或从客户端收集任何指定的文件。通过扩展硬件和软件清单并添加新的许可证管理功能,资产智能增强了清单功能。
默认情况下作为客户端设置启用硬件清单和收集的 WMI 信息由您选择的选项。默认情况下启用软件清单,但默认情况下不收集文件。自动启用资产智能数据收集,尽管您可以选择的硬件清单报表类来启用。
清单信息不会发送给 Microsoft。清单信息存储在 配置管理器 数据库。当客户端使用 HTTPS 来连接到管理点时,它们将发送到站点的清单数据进行加密在传输过程中。如果客户端使用 HTTP 来连接到管理点,您可以选择启用清单加密。清单数据不存储在数据库中的加密格式中。信息将保留在数据库中就会通过站点维护任务删除 删除过期的清单历史记录 或 删除过期的收集文件 每隔 90 天。可以配置删除间隔。
在配置硬件清单、 软件清单、 文件收集或资产智能数据收集之前,请考虑您的隐私要求。