硬體清查 Configuration Manager 中的安全性與隱私權
適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") 注意事項 |
|---|
本主題顯示於System Center 2012 Configuration Manager 中的資產與相容性指南和 System Center 2012 Configuration Manager 的安全性和隱私權指南中。 |
本主題包含硬體清查中的安全性和隱私權資訊 System Center 2012 Configuration Manager。
硬體清查的安全性最佳作法
當您從用戶端收集硬體清查資料時使用下列安全性最佳作法:
安全性最佳作法 |
詳細資訊 |
|---|---|
簽署和加密清查資料 |
與管理點的用戶端是使用 HTTPS 通訊,會使用 SSL 加密其傳送的所有資料。不過,當用戶端電腦會使用 HTTP 與內部網路上的管理點進行通訊,用戶端清查資料和收集的檔案可以傳送不帶正負號和未加密。請確定該網站設定為需要簽署並使用加密。此外,如果用戶端可以支援 sha-256 演算法,選取 [需要 sha-256 的選項。 |
不會收集在高安全性環境中的 IDMIF 和 NOIDMIF 檔案 |
您可以使用 IDMIF 和 NOIDMIF 檔案集合來擴充硬體清查彙總。在必要時 Configuration Manager 建立新的資料表或修改現有資料表中的 Configuration Manager 資料庫以容納 IDMIF 和 NOIDMIF 檔案中的屬性。不過, Configuration Manager 不會驗證 IDMIF 和 NOIDMIF 檔案,因此這些檔案可以用來改變您不想更改的資料表。有效的資料可能會覆寫不正確的資料。此外,無法新增大量的資料和處理這項資料可能會導致延遲所有 Configuration Manager 函式。若要減輕這些風險,設定硬體清查用戶端設定 收集 MIF 檔案 為 無。 |
硬體清查的安全性問題
收集的清查會公開潛在的弱點。攻擊者可以執行以下工作:
傳送不正確的資料,將會接受管理點即使當軟體清查用戶端設定已停用並不會啟用檔案集合。
在單一檔案和很多可能會造成阻絕服務的檔案中傳送非常大量的資料。
存取目錄資訊傳輸至 Configuration Manager。
因為具有本機系統管理權限的使用者可以傳送任何資訊與清查資料,不會考慮所收集的清查資料 Configuration Manager 為授權。
預設會啟用硬體清查為用戶端設定。
硬體清查的隱私權資訊
| 注意事項 |
|---|
本節提供的資訊也會出現在 軟體清查 Configuration Manager 中的安全性與隱私權. |
硬體清查可讓您擷取儲存在登錄中和在 WMI 的任何資訊 Configuration Manager 用戶端。軟體清查可讓您探索指定之類型的所有檔案或從用戶端收集任何指定的檔案。資產智慧增強的清查功能藉由擴充硬體和軟體清查及加入新的授權管理功能。
預設會啟用硬體清查用戶端設定為與所收集的 WMI 資訊取決於您選取的選項。預設會啟用軟體清查但依預設不會收集檔案。資產智慧資料收集會自動啟用,雖然您可以選取硬體清查報告類別以啟動...
清查資訊不會傳送給 Microsoft。清查資訊會儲存在 Configuration Manager 資料庫。當用戶端使用 HTTPS 連接至管理點時,它們傳送至網站的清查資料是在傳輸期間加密。如果用戶端會使用 HTTP 來連接至管理點,您必須啟用清查加密的選項。清查資料不是在資料庫中的加密格式儲存。資訊保留在資料庫中直到刪除網站的維護工作 刪除過時的庫存記錄 或 刪除過時的收集檔案 每隔 90 天。您可以設定刪除間隔。
設定硬體清查、 軟體清查、 檔案集合或資產智慧資料收集之前,請考慮您隱私權的需求。