• Cikk

Szoftverfrissítések biztonsága és adatvédelme a Configuration Managerben

 

Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteMegjegyzés

Ez a témakör itt jelenik meg: a Deploying Software and Operating Systems in System Center 2012 Configuration Manager (Szoftverek és operációs rendszerek telepítése a System Center 2012 Configuration Managerrel) útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban.

Ez a témakör a System Center 2012 Configuration Manager szoftverfrissítéseivel kapcsolatos biztonsági és adatvédelmi tudnivalókat tartalmazza.

A szoftverfrissítés biztonsági védelmének bevált gyakorlata

A szoftverfrissítések ügyfélgépekre telepítéséhez jól használható a következő bevált eljárás:

Bevált biztonsági gyakorlat

További információ

Ne változtassa meg a szoftverfrissítési csomagok alapértelmezett engedélyeit.

A szoftverfrissítési csomagok beállítása alapértelmezetten az, hogy a rendszergazdák a Teljes hozzáférés, a felhasználók pedig az Olvasás engedéllyel rendelkeznek. Ha megváltoztatja ezeket az engedélyeket, lehetővé válhat, hogy egy támadó hozzáadjon, eltávolítson vagy töröljön szoftverfrissítéseket.

Teljes hozzáférés a szoftverfrissítések letöltési helyéhez.

Az SMS-szolgáltatónak, a helykiszolgáló elérésére szolgáló számítógépek fiókjainak, valamint azoknak a rendszergazda felhasználóknak, akik a szoftverfrissítéseket ténylegesen letöltik a letöltési helyre Írás hozzáféréssel kell rendelkeznie a letöltési helyre. Ezért a letöltési hely hozzáférését megfelelően kell korlátozni, hogy csökkenjen a szoftverfrissítési forrásfájlok támadók általi módosításának kockázata.

Ha a letöltési helyre az UNC megosztást használja, akkor a hálózati csatornát is biztonságossá kell tenni az IPsec vagy az SMB aláírású protokollal, hogy megakadályozza a szoftverfrissítés forrásfájljainak illetéktelen módosítását a hálózati átvitel közben.

A központi telepítésekben az idő kiértékelése a világidő (UTC) szerinti legyen.

Ha a világidő helyett helyi időt használ, előfordulhat, hogy a felhasználók a számítógépükön lévő időzóna megváltoztatásával késleltethetik a szoftverfrissítések telepítését.

A Windows Server Update Services (WSUS) szolgáltatás biztonsága érdekében engedélyezni kell rá az SSL használatát, és a bevált gyakorlat szerint kell eljárni.

Fel és meg kell ismernie a Configuration Manager alkalmazással használt WSUS verziójának megfelelő védelem bevált gyakorlatát, és annak megfelelően kell eljárnia.

System_CAPS_importantFontos

Ha a WSUS kiszolgálóján a szoftverfrissítési pontot az SSL kommunikáció használatára konfigurálja, virtuális gyökereket is konfigurálni kell az SSL részére a WSUS kiszolgálóján.

Engedélyezze a CRL-ellenőrzést.

Alapértelmezetten a Configuration Manager nem ellenőrzi a visszavonttanúsítvány-listát (CRL), hogy a számítógépekre telepítésük előtt ellenőrizze a szoftverfrissítések aláírását. A visszavonttanúsítvány-lista minden alkalommal történő ellenőrzése nagyobb védelmet kínál a visszavont tanúsítványokkal szemben, de csatlakozási késedelmet és többlet feldolgozást eredményez a CRL-ellenőrzést végző számítógépeken.

További információ a szoftverfrissítések CRL-ellenőrzésének engedélyezéséről: Szoftverfrissítések CRL-ellenőrzésének engedélyezése.

A WSUS szolgáltatás konfigurálása egyéni webhelyi használathoz.

Ha a WSUS telepítése a szoftverfrissítési pontra történik választhat, hogy ahhoz az IIS létező alapértelmezett webhelyét használja, vagy egyéni WSUS webhelyet hozzon létre. A WSUS részére az egyéni webhelyet úgy kell létrehozni, hogy a WSUS szolgáltatásait az IIS kiszolgálója dedikált virtuális webhelyen biztosítsa ahelyett, hogy ugyanazt a webhelyet osztaná meg, amelyiket a Configuration Manager más helyrendszerei vagy alkalmazásai használnak.

További információ: A WSUS beállítása egy egyéni webhely használatára a A szoftverfrissítések tervezése a Configuration Manager alkalmazásban témakörben.

Hálózatvédelem (NAP): Ne bízzon abban, hogy a NAP megvédi a hálózatot a rosszindulatú felhasználóktól.

A Hálózatvédelem úgy lett kialakítva, hogy segítse a rendszergazdákat a hálózaton lévő számítógépeket megfelelő állapotban tartani, ami viszonzásul segíti a hálózat általános sértetlenségét. Például, ha a számítógép rendelkezik minden olyan szoftverfrissítéssel, amit megkövetel a Configuration Manager NAP házirendje, a számítógép megfelelőnek tekintendő, és megkapja a hálózat megfelelő hozzáférési jogát. A Hálózatvédelem nem akadályozza meg, hogy a megfelelőnek tekintett számítógépről egy jogosulatlan felhasználó rosszindulatú programot töltsön fel a hálózatra, vagy letiltsa a NAP ügynökét.

Hálózatvédelem (NAP): A DHCP NAP kényszerítése termelési környezetben nem használható.

A DHCP NAP csak biztonságos, tesztelési környezetben vagy figyelési céllal használható. A DHCP NAP használatakor a támadók módosíthatják az ügyfélgép és a hálózatvédelmi állapotházirend közötti állapotcsomagok állításait, és így a felhasználók megkerülhetik a NAP védelmét.

Hálózatvédelem (NAP): A zavarok minimalizálása érdekében az egész hierarchiában következetes hálózatvédelmi állapotházirendet kell használni.

A félrekonfigurált hálózatvédelmi állapotházirend eredményeként az ügyfélgépek akkor is hozzáférhetnek a hálózathoz, ha korlátozás alá esnek, illetve a nem korlátozottak is tévesen korlátozva lehetnek. Minél bonyolultabb a hálózatvédelmi állapotházirend kialakítása, annál nagyobb a félrekonfigurálás kockázata. A Configuration Manager NAP-ügyfélügynökét és a Configuration Manager rendszerállapot-érvényesítési pontjait úgy kell konfigurálni, hogy ugyanazokat a beállításokat használják az egész hierarchiában, illetve a szervezetben lévő többi hierarchiában, ha az ügyfelek azokban is barangolhatnak.

System_CAPS_importantFontos

Ha a Configuration Manager engedélyezett hálózatvédelmi ügyfélügynökével rendelkező ügyfél más Configuration Manager hierarchiában barangol, és az ügyfélállapotát a rendszerállapot-érvényesítési pont a hierarchiájából kívülről érvényesítette, a helyellenőrzés érvényesítési folyamata sikertelen lesz. Ez azt eredményezi, hogy az ügyfélállapot ismeretlen lesz, aminek a hálózatvédelmi állapotházirend kiszolgálóján az az alapértelmezett konfigurálása, hogy nem megfelelő. Ha a hálózatvédelmi állapotházirend kiszolgálójának van a korlátozott hálózathozzáférésre hálózati házirendje, ezek az ügyfelek helyrehozhatatlanok, és az a kockázat, hogy nem tudják elérni a teljes hálózatot. A hálózatvédelmi állapotházirend kiszolgálóján egy kivételezési házirend adhat teljes hálózati hozzáférést a Configuration Manager azon ügyfélgépeinek, amelyek a saját Configuration Manager hierarchiájukon kívül barangolnak.

Hálózatvédelem (NAP): Új Configuration Manager helyeken ne engedélyezze rögtön ügyfélbeállításként a hálózatvédelmet.

Bár a helykiszolgálók közzé teszik a Configuration Manager állapotreferenciáját a tartományvezérlőre, amikor a Configuration Manager hálózatvédelmi állapotházirendje módosítva lett, ezeket az új adatokat a rendszerállapot-érvényesítési pont esetleg nem azonnal éri el, amíg nem fejeződik be az Active Directory replikálása. Ha a hálózatvédelmet a Configuration Manager ügyfélgépein a replikálás befejezése előtt engedélyezi, és a hálózatvédelmi állapotházirend kiszolgálója korlátozott hálózati hozzáférést ad a nem megfelelő ügyfélgépeknek, Ön okozhatja esetleg azt, hogy letiltja a szolgáltatás Ön általi megtámadását.

Hálózatvédelem (NAP): Ha az állapotreferenciát kijelölt erdőben tárolja, az állapotreferencia közzétételéhez és lekéréséhez két külön fiókot kell megadni.

Ha az állapotreferencia tárolására Active Directory erdőt jelöl ki, két külön fiókot adjon meg, mert azok az engedélyek eltérő halmazát igénylik:

  • Az Állapotreferencia közzétételi fiókja Olvasás, Írás és Létrehozás engedélyt igényel ahhoz az Active Directory erdőhöz, amelyik az állapotreferenciát tárolja.

  • Az Állapotreferencia lekérdezési fiókja csak Olvasás engedélyt igényel ahhoz az Active Directory erdőhöz, amelyik az állapotreferenciát tárolja. Ne adjon meg interaktív bejelentkezési jogokat ehhez a fiókhoz.

Hálózatvédelem (NAP): Ne bízzon abban, hogy a Hálózatvédelem azonnali vagy valósidejű kényszerítő mechanizmus.

A Hálózatvédelem kényszerítő mechanizmusa már eleve késedelmes. Míg hosszú futtatásukkor a Hálózatvédelem segít megtartani a számítógépek megfelelőségét, a tipikus kényszerítések késedelme különböző tényezők miatt, beleértve a különböző konfigurálási paraméterek beállításait is, több óra is lehet.

Adatvédelmi információ a szoftverfrissítésekhez

A szoftverfrissítések megvizsgálják az ügyfélgépeket abból a szempontból, hogy milyen szoftverfrissítésre van szükségük, és ezt az információt küldik a helyadatbázisba. A szoftverfrissítési folyamat során a Configuration Manager olyan információt továbbíthat az ügyfélgépek és a kiszolgálók között, amelyek a számítógép bejelentkezési fiókjait azonosítják.

A Configuration Manager a szoftver központi telepítésére vonatkozó állapotadatokat megőrzi. Az állapotadatok az átvitel és a tárolás során nem titkosítottak. Az állapotadatok a Configuration Manager adatbázisában tárolódnak, és azokat törlik az adatbázis-karbantartási feladatok. A rendszer semmilyen állapotadatot nem küld a Microsoftnak.

A Configuration Manager szoftverfrissítéseinek a szoftverfrissítések ügyfélgépekre telepítésére történő használatára azon szoftver licence is vonatkozik, amelyiket frissíti, ez a Microsoft System Center 2012 Configuration Manager szoftverlicencének feltételeitől elkülönül. A szoftverfrissítések Configuration Manager használatával történő telepítése előtt mindig meg kell nézni, és el kell fogadni a szoftverfrissítések licencelési feltételeit.

A Configuration Manager a szoftverfrissítéseket nem alapértelmezettként implementálja, és az információk összegyűjtése előtt igényli néhány konfigurálási lépés elvégzését.

A szoftverfrissítések konfigurálása előtt gondolja át az adatvédelmi követelményeit.