Безопасность и конфиденциальность для инвентаризации оборудования в Configuration Manager
Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Примечание |
|---|
Этот раздел отображается в следующей документации: в руководстве Активы и соответствие в System Center 2012 Configuration Manager и в руководстве Безопасность и конфиденциальность System Center 2012 Configuration Manager. |
В этом разделе содержатся сведения о безопасности и конфиденциальности для инвентаризации оборудования в System Center 2012 Configuration Manager.
Рекомендации по безопасности при инвентаризации оборудования
При сборе сведений об инвентаризации оборудования клиентов используйте следующие рекомендации по безопасности.
Рекомендация по безопасности |
Дополнительные сведения |
|---|---|
Данные инвентаризации необходимо подписывать и шифровать. |
Когда клиенты обмениваются данными с точками управления по протоколу HTTPS, для всех передаваемых данных используется SSL-шифрование.Тем не менее, когда клиентские компьютеры используют протокол HTTP для обмена данными с точками управления в интрасети, данные инвентаризации клиентов и собранные файлы могут отправляться незашифрованными и неподписанными.Убедитесь, что требование подписывания и шифрования настроено для сайта.Кроме того, если клиенты поддерживают алгоритм шифрования SHA-256, настройте обязательное использование SHA-256. |
Не собирайте IDMIF-файлы и NOIDMIF-файлы в средах с высоким уровнем безопасности |
Сбор IDMIF и noidmif-файлов можно использовать для расширения коллекции инвентаризации оборудования.При необходимости Configuration Manager создает новые таблицы или изменяет существующие таблицы базы данных Configuration Manager для добавления свойств из IDMIF-файлов и NOIDMIF-файлов.Однако Configuration Manager не проверяет IDMIF и noidmif-файлов, поэтому эти файлы могут использоваться для изменения таблицы, которые требуется изменить.Действительные данные могут быть заменены недействительными данными.Кроме того, могут быть добавлены большие объемы данных и обработки этих данных может привести к задержкам во всех Configuration Manager функции.Для снижения этих рисков, настройте параметр клиента инвентаризации оборудования собирать MIF-файлы как Нет. |
Вопросы безопасности для инвентаризации оборудования
Со сбором данных инвентаризации связано несколько потенциальных уязвимостей.Злоумышленники могут сделать следующее:
отправить недопустимые данные, которые могут быть приняты точкой управления, даже если параметр клиента инвентаризации программного обеспечения отключен, и сбор файлов не активирован;
отправлять слишком большие объемы данных в одном файле или в большом числе файлов, реализуя атаку типа "отказ в обслуживании";
получать доступ к данным инвентаризации в момент их передачи в Configuration Manager.
Поскольку пользователь с правами локального администратора может отправлять любые сведения в качестве данных инвентаризации, нельзя считать данные инвентаризации, собираемые Configuration Manager, достоверными.
Инвентаризация оборудования включена по умолчанию в качестве клиентского параметра.
Сведения о соблюдении конфиденциальности для инвентаризации оборудования
| Примечание |
|---|
Сведения из этого раздела также содержатся в Безопасность и конфиденциальность инвентаризации программного обеспечения в Configuration Manager. |
Функция инвентаризации оборудования позволяет извлекать любые данные, хранимые в реестре и инструментарии WMI на клиентах Configuration Manager.Функция инвентаризации программного обеспечения позволяет обнаруживать все файлы указанного типа или выполнять сбор всех указанных файлов с клиентов.Аналитика активов оптимизирует возможности инвентаризации, расширяя набор данных инвентаризации оборудования и программного обеспечения и дополняя их новыми функциями управления лицензиями.
Инвентаризация оборудования включена по умолчанию в качестве параметра клиента. Набор собираемых данных инструментария WMI определяется заданными администратором параметрами.Функция инвентаризации программного обеспечения включена по умолчанию, однако сбор файлов по умолчанию не выполняется.Сбор данных аналитике активов включен автоматически, хотя можно выбрать необходимые классы подготовки отчетов по инвентаризации оборудования.
Данные инвентаризации не передаются в корпорацию Майкрософт.Данные инвентаризации хранятся в базе данных Configuration Manager.Когда клиенты используют протокол HTTPS для подключения к точкам управления, отправляемые ими на сайт данные шифруются во время передачи.Если клиент использует для подключения к точкам управления протокол HTTP, шифрование данных инвентаризации можно настроить специально.Данные инвентаризации не хранятся в зашифрованном виде в базе данных.Сведения хранятся в базе данных, пока не будут удалены задачей обслуживания сайта Удаление устаревших данных инвентаризации или Удаление устаревших собранных файлов (интервал по умолчанию составляет 90 дней).Можно настроить интервал удаления.
Перед настройкой инвентаризации оборудования и программного обеспечения, сбора файлов или сбора данных аналитики активов примите во внимание требования к конфиденциальности.