Seguridad y privacidad para el inventario de Software en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Este tema aparece en la guía Activos y compatibilidad en System Center 2012 Configuration Manager y la guía Seguridad y privacidad en System Center 2012 Configuration Manager.
Este tema contiene información de seguridad y privacidad para el inventario de software en System Center 2012 Configuration Manager.
Prácticas recomendadas de seguridad para el inventario de Software
Utilice las siguientes prácticas recomendadas de seguridad para cuando recopila datos de inventario de software de los clientes:
Práctica recomendada de seguridad |
Más información |
|---|---|
Firmar y cifrar los datos de inventario |
Cuando los clientes se comunican con puntos de administración mediante HTTPS, todos los datos que se envían se cifra mediante SSL.Sin embargo, cuando los equipos cliente utilizan HTTP para comunicarse con los puntos de administración en la intranet, los datos de inventario de cliente y los archivos recopilados se pueden enviar sin signo y sin cifrar.Asegúrese de que el sitio está configurado para requerir firma y utilizar el cifrado.Además, si los clientes pueden admitir el algoritmo SHA-256, seleccione la opción para requerir SHA-256. |
No use la recopilación de archivos para recopilar archivos críticos o información confidencial |
Configuration Manager inventario de software usa todos los derechos de la cuenta LocalSystem, que tiene la capacidad de recopilar copias de archivos críticos del sistema, como el registro o la base de datos de cuentas de seguridad.Cuando estos archivos están disponibles en el servidor de sitio, una persona con los derechos de leer recurso o los permisos NTFS para la ubicación de archivo almacenado podría analizar su contenido y captar detalles importantes sobre el cliente para que se puedan poner en peligro su seguridad. |
Restringir los derechos administrativos locales en los equipos cliente |
Un usuario con derechos administrativos locales puede enviar datos no válidos como información de inventario. |
Problemas de seguridad para el inventario de Software
Las recopilaciones de inventario dejan expuestas posibles vulnerabilidades.Los atacantes pueden realizar lo siguiente:
Enviar datos no válidos, que se aceptarán mediante el punto de administración incluso cuando se deshabilita la configuración de cliente de inventario de software y la recopilación de archivos no está habilitado.
Enviar excesivamente grandes cantidades de datos en un único archivo y una gran cantidad de archivos, lo que podrían ocasionar una denegación de servicio.
Acceso a la información de inventario cuando se transfieren a Configuration Manager.
Si los usuarios sepan que pueden crear un archivo oculto llamado Skpswi.dat y colóquelo en la raíz de una unidad de disco duro de cliente para excluir del inventario de software, no podrá recopilar datos de inventario de software de ese equipo.
Dado que un usuario con privilegios de administrador local puede enviar toda la información como datos de inventario, tienen en cuenta los datos de inventario recopilados por Configuration Manager autoridad.
Inventario de software está habilitado de forma predeterminada como una configuración de cliente.
Información de privacidad de inventario de Software
Nota
La información de esta sección también aparece en Seguridad y privacidad para el inventario de Hardware en Configuration Manager.
Inventario de hardware permite recuperar cualquier información que se almacena en el registro y en WMI en Configuration Manager los clientes.Inventario de software le permite detectar todos los archivos de un tipo especificado o para recopilar los archivos especificados de los clientes.Asset Intelligence mejora las capacidades de inventario ampliar el inventario de hardware y software y agregando la nueva funcionalidad de administración de licencias.
Inventario de hardware está habilitado de forma predeterminada como una configuración de cliente y opciones que seleccione determinará la información de WMI recopilada.Inventario de software está habilitado de forma predeterminada, pero los archivos no se recopilan de forma predeterminada.Recopilación de datos de inteligencia de activos se habilita automáticamente, aunque puede seleccionar reporting clases para habilitar el inventario de hardware.
Información de inventario no se envía a Microsoft.Información de inventario se almacena en el Configuration Manager base de datos.Cuando los clientes utilizan HTTPS para conectarse a los puntos de administración, los datos de inventario envían al sitio se cifran durante la transferencia.Si los clientes utilizan HTTP para conectarse a los puntos de administración, tiene la opción de habilitar el cifrado de inventario.Los datos de inventario no se almacenan en formato cifrado en la base de datos.Información se guarda en la base de datos hasta que se elimine por las tareas de mantenimiento de sitio eliminar el historial de inventario antiguos o Eliminar archivos recopilados antiguos cada 90 días.Puede configurar el intervalo de eliminación.
Antes de configurar el inventario de hardware, inventario de software, colección de archivos o recopilación de datos de Asset Intelligence, tenga en cuenta los requisitos de privacidad.