Beveiliging en Privacy voor Software-inventarisatie in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
Dit onderwerp wordt behandeld in de gids Activa en naleving in System Center 2012 Configuration Manager en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).
In dit onderwerp bevat informatie over de beveiliging en privacy voor software-inventarisatie in System Center 2012 Configuration Manager.
Security Best Practices voor Software-inventarisatie
Gebruik de volgende security best practices voor wanneer het verzamelen van software-inventarisatiegegevens van clients:
Aanbevolen beveiligingsprocedure |
Meer informatie |
|---|---|
Meld u en inventarisatiegegevens versleutelen |
Wanneer clients communiceren met beheerpunten via HTTPS, worden alle gegevens die zij verzenden gecodeerd met SSL.Echter als HTTP clientcomputers gebruiken om te communiceren met beheerpunten op het intranet, kunnen client-inventarisgegevens en verzamelde bestanden worden verzonden niet-ondertekende en niet-versleutelde.Zorg ervoor dat de site is geconfigureerd voor ondertekening vereisen en codering gebruiken.Als clients kunnen ondersteuning voor het algoritme SHA-256, selecteert u bovendien de mogelijkheid om af te dwingen SHA-256. |
Gebruik geen bestand verzameling kritieke bestanden of gevoelige gegevens verzamelen |
Configuration Manager software-inventarisatie maakt gebruik van de rechten van de account LocalSystem, waarin de mogelijkheid voor het verzamelen van kopieën van essentiële systeembestanden, zoals het register of security accountdatabase heeft.Als u deze bestanden zijn beschikbaar op de siteserver, kan iemand met de leesbewerkingen rechten of het NTFS-toegangsrechten voor de locatie van de opgeslagen hun inhoud analyseren en te onderscheiden mogelijk belangrijke informatie over de client te kunnen een beveiligingsrisico zijn. |
Lokale beheerdersrechten op clientcomputers beperken |
Een gebruiker met lokale beheerdersrechten kunt ongeldige gegevens verzenden als inventarisatie-informatie. |
Beveiligingsproblemen voor Software-inventarisatie
Verzameld inventarisatie wordt aangegeven potentiële beveiligingsproblemen.Aanvallers kunnen het volgende doen:
Ongeldige gegevens, zelfs wanneer de software-inventarisatie client-instelling is uitgeschakeld en de verzameling van het bestand niet is ingeschakeld wordt geaccepteerd door het beheerpunt verzenden.
Uitzonderlijk grote hoeveelheden gegevens in één bestand en in een groot aantal bestanden dat leiden denial of service tot kunnen worden verzonden.
Inventarisatie-informatie gebruiken als ze worden overgebracht naar Configuration Manager.
Als gebruikers weten dat ze een verborgen bestand met de naam kunnen maken Skpswi.dat en in de hoofdmap van de vaste schijf van een client naar uitgesloten van het software-inventarisatie plaatsen, worden niet op die computer software-inventarisatiegegevens verzamelen.
Omdat een gebruiker met lokale beheerdersrechten geen gegevens als inventarisgegevens verzenden kan, geen inventarisatiegegevens die worden verzameld door rekening Configuration Manager gemachtigd zijn.
Software-inventarisatie is standaard ingeschakeld als een client-instelling.
Privacy-informatie voor Software-inventarisatie
Notitie
De informatie in deze sectie komt ook voor in Beveiliging en Privacy voor Hardware-inventarisatie in Configuration Manager.
Hardware-inventarisatie kunt u informatie die wordt opgeslagen in het register en in WMI op te halen Configuration Manager clients.Software-inventarisatie kunt u alle bestanden van een bepaald type detecteren of voor het verzamelen van de opgegeven bestanden van clients.Asset Intelligence verbetert de mogelijkheden inventarisatie door hardware en software-inventaris uitbreiden en het toevoegen van nieuwe licentie management-functionaliteit.
Hardware-inventarisatie is standaard ingeschakeld als een client-instelling en de WMI-gegevens worden verzameld wordt bepaald door de opties die u selecteert.Software-inventarisatie is standaard ingeschakeld, maar bestanden worden standaard niet verzameld.Asset Intelligence gegevensverzameling wordt automatisch ingeschakeld, maar kunt u de hardware-inventarisatie reporting klassen om in te schakelen.
Inventarisatie-informatie niet naar Microsoft verzonden.Inventarisatie-informatie wordt opgeslagen in de Configuration Manager database.Wanneer clients HTTPS gebruiken verbinding maken met beheerpunten, wordt de inventarisatie gegevens die zij naar de site verzenden gecodeerd tijdens de overdracht.Als clients verbinding maken met beheerpunten via HTTP, hebt u de optie inventarisatie codering inschakelen.De inventarisatiegegevens worden niet opgeslagen in gecodeerde indeling in de database.Informatie in de database wordt bewaard totdat deze is verwijderd door de site onderhoudstaken ouder inventarisatie geschiedenis verwijderen of verzamelde bestanden verwijderen van jaar 90 dagen.U kunt het verwijderingsinterval configureren.
Overweeg voordat u de hardware-inventarisatie, software-inventarisatie, bestand verzameling of Asset Intelligence gegevensverzameling configureert, de privacyvereisten van uw.