• Artykuł

Bezpieczeństwo i prywatność aktualizacji oprogramowania w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Uwaga

Ten temat występuje w — przewodniki Wdrażanie oprogramowania i systemów operacyjnych w programie System Center 2012 Configuration Manager oraz Bezpieczeństwo i ochrona prywatności w programie System Center 2012 Configuration Manager.

Ten temat zawiera informacje o bezpieczeństwie i ochronie prywatności dotyczące aktualizacji oprogramowania w programie System Center 2012 Configuration Manager.

Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące aktualizacji oprogramowania

Podczas wdrażania aktualizacji oprogramowania na klientach należy stosować następujące najlepsze rozwiązania w zakresie zabezpieczeń:

Najlepsze rozwiązanie w zakresie zabezpieczeń

Więcej informacji

Nie zmieniaj domyślnych uprawnień w pakietach aktualizacji oprogramowania.

Domyślnie pakiety aktualizacji oprogramowania są ustawione tak, aby zezwalać administratorom na dostęp typu Pełna kontrola, a użytkownikom — Odczyt. W przypadku zmiany tych uprawnień osoba atakująca może mieć możliwość dodawania, kasowania i usuwania aktualizacji oprogramowania.

Kontroluj dostęp do lokalizacji pobierania aktualizacji oprogramowania.

Konta komputerów dla dostawcy programu SMS, serwera lokacji oraz użytkownika administracyjnego, który faktycznie pobiera aktualizacje oprogramowania do lokalizacji pobierania, wymagają w przypadku lokalizacji pobierania dostępu typu Zapis. Aby zmniejszyć ryzyko naruszenia przez osoby atakujące plików źródłowych aktualizacji oprogramowania znajdujących się w lokalizacji pobierania, należy odpowiednio ograniczyć dostęp do tej lokalizacji.

Dodatkowo, jeśli w lokalizacji pobierania używane są udziały UNC, należy zabezpieczyć kanał sieciowy przy użyciu protokołu IPsec lub podpisywania SMB, aby zapobiec naruszeniu plików źródłowych aktualizacji oprogramowania podczas ich przesyłania przez sieć.

Używaj czasu UTC podczas określania godzin wdrażania.

Jeśli zamiast czasu UTC używasz czasu lokalnego, może się zdarzyć, że instalacja aktualizacji oprogramowania zostanie opóźniona na komputerach użytkowników w wyniku zmiany przez nich ustawienia strefy czasowej.

Włącz protokół SSL w programie WSUS i przestrzegaj najlepszych rozwiązań z zakresu zabezpieczania programu Windows Server Update Services (WSUS).

Zidentyfikuj najlepsze rozwiązania z zakresu bezpieczeństwa dotyczące wersji programu WSUS używanej z programem Menedżer konfiguracji i przestrzegaj ich.

System_CAPS_importantWażne

Jeśli punkt aktualizacji oprogramowania jest skonfigurowany do komunikacji SSL z serwerem programu WSUS, na serwerze programu WSUS należy skonfigurować wirtualne katalogi główne do obsługi protokołu SSL.

Włącz sprawdzanie listy CRL.

Domyślnie program Menedżer konfiguracji nie sprawdza listy odwołania certyfikatów (CRL, certificate revocation list) w celu weryfikacji sygnatury aktualizacji oprogramowania przed ich wdrożeniem na komputerach. Sprawdzanie listy CRL przy każdorazowym użyciu certyfikatu zapewnia lepszą ochronę przed potencjalnym użyciem odwołanego certyfikatu, jednak wprowadza opóźnienie komunikacji i konieczność dodatkowego przetwarzania danych na komputerze wykonującym weryfikację listy.

Więcej informacji o sposobie włączania sprawdzania listy CRL na potrzeby aktualizacji oprogramowania znajduje się w temacie Aktywowanie sprawdzania listy CRL na potrzeby aktualizacji oprogramowania.

Skonfiguruj program WSUS do używania niestandardowej witryny sieci web.

Podczas instalowania programu WSUS na punkcie aktualizacji oprogramowania jest dostępna opcja użycia istniejącej domyślnej witryny sieci Web usług IIS lub utworzenia niestandardowej witryny sieci web programu WSUS. Utwórz niestandardową witrynę sieci web dla programu WSUS, tak aby usługi IIS obsługiwały usługi programu WSUS w dedykowanej wirtualnej witrynie sieci web i nie udostępniały tej samej witryny, która jest używana przez inne systemy lokacji lub aplikacje programu Menedżer konfiguracji.

Więcej informacji można znaleźć w sekcji Konfigurowanie programu WSUS do używania niestandardowej witryny sieci Web w temacie Planowanie aktualizacji oprogramowania w programie Configuration Manager.

Ochrona dostępu do sieci (NAP): Nie używaj funkcji NAP do zabezpieczania sieci przed złośliwymi użytkownikami.

Ochrona dostępu do sieci ułatwia administratorom utrzymanie prawidłowej kondycji komputerów w sieci, co z kolei pomaga zachować ogólną integralność sieci. Jeśli na przykład na komputerze znajdują się wszystkie aktualizacje oprogramowania wymagane przez zasadę NAP programu Configuration Manager, komputer jest uznawany za zgodny i zostanie mu przydzielony odpowiedni dostęp do sieci. Ochrona dostępu do sieci nie zapobiega przekazywaniu do sieci złośliwych programów przez autoryzowanych użytkowników ze zgodnych komputerów ani wyłączaniu agentów ochrony dostępu do sieci.

Ochrona dostępu do sieci (NAP): Nie używaj wymuszania ochrony dostępu do sieci DHCP w środowisku produkcyjnym.

Ochrony dostępu do sieci DHCP używaj tylko w zabezpieczonym środowisku testowym lub tylko do monitorowania. W przypadku używania ochrony dostępu do sieci DHCP osoby atakujące mogą modyfikować pakiety raportów o kondycji przesyłane między klientami i serwerem zasad dotyczących kondycji ochrony dostępu do sieci, a użytkownicy mogą omijać proces NAP.

Ochrona dostępu do sieci (NAP): Używaj spójnych zasad NAP w całej hierarchii, aby zminimalizować ryzyko pomyłek.

Błędnie skonfigurowana zasada NAP może skutkować udostępnieniem sieci klientom, którzy powinni mieć zabroniony dostęp, oraz blokowaniem klientów, którym dostęp powinien być przyznany. Im bardziej skomplikowany projekt zasady NAP, tym większe ryzyko błędnej konfiguracji. Skonfiguruj agenta klienta ochrony dostępu do sieci programu Configuration Manager oraz punkty modułu sprawdzania kondycji systemu programu Configuration Manager do używania takich samych ustawień w całej hierarchii lub w dodatkowych hierarchiach w organizacji, jeśli klienci mogą między nimi przechodzić.

System_CAPS_importantWażne

Jeśli klient programu Menedżer konfiguracji z włączonym agentem klienta ochrony dostępu do sieci przechodzi do innej hierarchii programu Menedżer konfiguracji, a raport o jego kondycji jest zweryfikowany przez punkt modułu sprawdzania poprawności kondycji systemu znajdujący się na zewnątrz hierarchii, proces weryfikacji nie powiedzie się na etapie kontroli lokacji. W wyniku tego stan kondycji klienta zostanie określony jako nieznany, a taki stan jest na serwerze zasad dotyczących kondycji ochrony dostępu do sieci domyślnie skonfigurowany jako niezgodny. Jeśli serwer zasad dotyczących kondycji ochrony dostępu do sieci zawiera zasady sieciowe skonfigurowane do ograniczania dostępu do sieci, takich klientów nie można skorygować i istnieje ryzyko, że nie będą oni mogli uzyskać dostępu do całej sieci. Aby przyznać klientom programu Menedżer konfiguracji spoza hierarchii programu Menedżer konfiguracji nieograniczony dostęp do sieci, można skonfigurować na serwerze zasad dotyczących kondycji ochrony dostępu do sieci odpowiednią zasadę wykluczeń.

Ochrona dostępu do sieci (NAP): W nowych lokacjach programu Menedżer konfiguracji nie włączaj od razu ochrony dostępu do sieci jako ustawienia klienta.

Mimo że serwery lokacji publikują odwołania do stanu kondycji programu Menedżer konfiguracji w kontrolerach domeny podczas każdej modyfikacji zasad NAP programu Menedżer konfiguracji, te nowe dane mogą nie być dostępne od razu do pobrania przez punkt modułu sprawdzania poprawności kondycji systemu, aż do zakończenia replikacji usługi Active Directory. Jeśli włączysz ochronę dostępu do sieci na klientach programu Menedżer konfiguracji przed zakończeniem replikacji, a używany serwer zasad dotyczących kondycji ochrony dostępu do sieci przyznaje niezgodnym klientom ograniczony dostęp do sieci, może dojść skierowania na siebie ataku typu „odmowa usługi”.

Ochrona dostępu do sieci (NAP): Jeśli przechowujesz odwołanie do stanu kondycji w wyznaczonym lesie, wskaż dwa różne konta do publikowania i pobierania odwołań o stanie kondycji.

Po wyznaczeniu lasu usługi Active Directory do przechowywania odwołań do stanu kondycji określ dwa różne konta, ponieważ wymagają one różnych zestawów uprawnień:

  • Konto publikowania odwołań do stanu kondycji wymaga uprawnień odczytu, zapisu i tworzenia dla lasu usługi Active Directory przechowującego odwołanie do stanu kondycji.

  • Konto kwerendy odwołania do stanu kondycji wymaga tylko uprawnienia do odczytu lasu usługi Active Directory przechowującego odwołanie do stanu kondycji. Nie przyznawaj temu kontu interaktywnych uprawnień logowania.

Ochrona dostępu do sieci (NAP): Nie używaj ochrony dostępu do sieci jako mechanizmu wymuszenia natychmiastowego lub w czasie rzeczywistym.

Wymuszenie mechanizmu NAP jest zawsze realizowane z opóźnieniem. Mimo że funkcja NAP pomaga zachować zgodność komputerów w kontekście długoterminowym, typowe opóźnienia wymuszenia mogą być równe co najmniej kilka godzin i wynikać z różnych czynników, takich jak ustawienie różnych parametrów konfiguracyjnych.

Informacje o ochronie prywatności dotyczące aktualizacji oprogramowania

Aktualizacje oprogramowania skanują komputery klienckie, aby określić, które aktualizacje są wymagane, a następnie wysyłają odpowiednią informację z powrotem do bazy danych lokacji. W czasie procesu aktualizowania aplikacji program Menedżer konfiguracji może przesyłać informacje między klientami i serwerami, które identyfikują komputer i konta logowania.

Program Menedżer konfiguracji zarządza informacjami o stanie dotyczącym procesu wdrażania oprogramowania. Informacje o stanie nie są szyfrowane podczas przesyłania ani przechowywania. Informacje o stanie są przechowywane w bazie danych programu Menedżer konfiguracji i są usuwane przez zadania konserwacji bazy danych. Żadne informacje o stanie nie są wysyłane do firmy Microsoft.

Używanie dostępnej w programie Menedżer konfiguracji funkcji aktualizacji oprogramowania do instalowania aktualizacji na komputerach klienckich może podlegać postanowieniom licencyjnym dotyczącym oprogramowania, które są oddzielne od postanowień dotyczących programu Microsoft System Center 2012 Configuration Manager. Przed zainstalowaniem aktualizacji oprogramowania za pomocą programu Menedżer konfiguracji należy zawsze przeczytać i zaakceptować postanowienia licencyjne dotyczące oprogramowania.

Program Menedżer konfiguracji nie implementuje aktualizacji oprogramowania domyślnie i przed zebraniem informacji wymaga podjęcia kilku czynności konfiguracyjnych.

Przed skonfigurowaniem aktualizacji oprogramowania należy wziąć pod uwagę wymogi związane z ochroną prywatności.