Segurança e privacidade para o inventário de Software no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Este tópico aparece em o manual Recursos e conformidade no System Center 2012 Configuration Manager e no manual Segurança e Privacidade no System Center 2012 Configuration Manager.
Este tópico contém informações de segurança e privacidade para o inventário de software no System Center 2012 Configuration Manager.
Segurança melhores práticas para o inventário de Software
Utilize as seguintes práticas recomendadas de segurança para quando recolher dados de inventário de software de clientes:
Procedimento recomendado de segurança |
Mais informações |
|---|---|
Inicie sessão e encriptar dados de inventário |
Quando clientes comunicam com os pontos de gestão utilizando HTTPS, todos os dados que lhe enviar está encriptado utilizando SSL.No entanto, quando computadores de cliente utilizem HTTP para comunicar com pontos de gestão da intranet, dados de inventário de cliente e ficheiros recolhidos podem ser enviados não assinada e não encriptada.Certifique-se de que o site está configurado para exigir o início de sessão e utilizar a encriptação.Além disso, se clientes podem suporta o algoritmo de SHA-256, selecione a opção para exigir SHA-256. |
Não utilize coleção de ficheiro para recolher ficheiros críticos ou informações confidenciais |
Gestor de configuração inventário de software utiliza todos os direitos da conta LocalSystem, o que tem a capacidade de recolher cópias dos ficheiros de sistema crítico, tal como o registo ou base de dados de conta de segurança.Quando estes ficheiros estão disponíveis no servidor do site, alguém com os direitos de leitura recursos ou direitos NTFS para a localização do ficheiro armazenado foi possível analisar os respetivos conteúdos e possivelmente discernir detalhes importantes sobre o cliente para conseguir comprometer a segurança. |
Restringir direitos administrativos locais em computadores de cliente |
Um utilizador com direitos administrativos locais pode enviar dados inválidos, como informações de inventário. |
Problemas de segurança de inventário de Software
Recolher inventário expõe potenciais vulnerabilidades.Attackers pode efetuar o seguinte:
Envie dados inválidos, que serão aceites pelo ponto de gestão, mesmo quando o cliente de inventário de software definição está desativado e coleção de ficheiros não está ativada.
Enviar excessivamente grandes quantidades de dados num ficheiro único e de muitos ficheiros, podendo causar uma negação de serviço.
Aceder a informações de inventário à medida que é transferido para Gestor de configuração.
Se os utilizadores saibam que podem criar um ficheiro oculto denominado Skpswi.dat e colocá-lo na raiz de uma unidade de disco rígido do cliente para exclui-lo a partir do inventário de software, não será capaz de recolher dados de inventário de software a partir desse computador.
Uma vez que um utilizador com privilégios administrativos locais pode enviar quaisquer informações como dados de inventário, não considere dados de inventário que são recolhidos por Gestor de configuração ser autoritativas.
Inventário de software está ativado por predefinição, como um definição do cliente.
Informações de privacidade de inventário de Software
Nota
As informações desta secção também constam de Segurança e privacidade para o inventário de Hardware no Gestor de configuração.
Inventário de hardware permite-lhe obter as informações que estão armazenadas no registo e no WMI no Gestor de configuração clientes.Inventário de software permite-lhe para detetar todos os ficheiros de um tipo específico ou para recolher todos os ficheiros especificados de clientes.Asset Intelligence melhora as capacidades de inventário, e expandindo até inventário de hardware e software e adicionar novas funcionalidades de gestão de licença.
Inventário de hardware está ativado por predefinição, como um definição do cliente e as informações de WMI recolhidas são determinadas pelas opções que selecionar.Inventário de software está ativado por predefinição mas ficheiros não são recolhidos por predefinição.Recolha de dados do Asset Intelligence está ativada automaticamente, embora pode selecionar o inventário de hardware classes para ativar a elaboração de relatórios.
Informações de inventário não são enviadas à Microsoft.Informações de inventário são armazenadas no Gestor de configuração base de dados.Quando os clientes utilizam HTTPS para ligar a pontos de gestão, os dados de inventário que lhe enviar para o site estão encriptados durante a transferência.Se a clientes utilizem HTTP para ligar a pontos de gestão, tem a opção para ativar a encriptação de inventário.Os dados de inventário não são armazenados no formato encriptado na base de dados.Informações são guardadas na base de dados até ser eliminada pelas tarefas de manutenção do site Eliminar histórico de inventário Aged ou Eliminar Aged recolhidas ficheiros cada 90 dias.Pode configurar o intervalo de eliminação.
Antes de configurar o inventário de hardware, inventário de software, coleção de ficheiros ou recolha de dados de Asset Intelligence, considere os requisitos de privacidade.