在 Configuration Manager 中進行軟體更新的安全性和隱私權

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

本主題包含 System Center 2012 Configuration Manager 中的軟體更新安全性與隱私權資訊。

為用戶端部署軟體更新時,請參閱下列安全性最佳作法:

安全性最佳作法

詳細資訊

請勿變更軟體更新套件的預設權限。

軟體更新套件預設為允許系統管理員進行 [完全控制],使用者則擁有 [讀取] 權限。 如果變更這些權限,攻擊者就有可能趁機新增、移除或刪除軟體更新。

控制軟體更新下載位置的存取權限。

SMS 提供者、站台伺服器及實際將軟體更新下載至下載位置的系統管理使用者必須具備下載位置的 [寫入] 存取權限。 限制下載位置存取權限可以降低攻擊者在下載位置竄改軟體更新來源檔案的風險。

此外,如果以 UNC 共用區作為下載位置,請使用 IPsec 或 SMB 簽署功能保護網路通道,防止攻擊者趁機在透過網路傳送軟體更新來源檔案時進行竄改。

使用 UTC 評估部署時間。

如果您使用本機時間而非 UTC,使用者只要變更電腦的時區即可延後安裝軟體更新。

請在 WSUS 啟用 SSL 並依照最佳作法進行,以保障 Windows Server Update Services (WSUS) 的安全性。

識別並依照與 Configuration Manager 一起使用之 WSUS 版本的最佳安全性作法。

System_CAPS_important重要事項

如果設定軟體更新點以在 WSUS 伺服器上啟用 SSL 通訊,您必須在 WSUS 伺服器上設定 SSL 的虛擬根。

啟用 CRL 檢查。

根據預設,在部署至電腦上之前,Configuration Manager 不會透過檢查憑證撤銷清單 (CRL) 的方式驗證軟體更新的簽章。 每次使用憑證時皆檢查,提供比使用已撤銷憑證更多的安全性,但同時也會造成連線延遲,以及對執行 CRL 檢查的電腦產生額外的處理需求。

如需有關啟用軟體更新 CRL 檢查方式的詳細資訊,請參閱如何啟用軟體更新的 CRL 檢查

設定 WSUS 使用自訂網站。

在軟體更新點上安裝 WSUS 時,您可以選擇使用現有的 IIS 預設網站或建立自訂的 WSUS 網站。 建立自訂的 WSUS 網站可以讓 IIS 將 WSUS 服務裝載在專用的虛擬網站上,而不需共用其他 Configuration Manager 站台系統或其他應用程式所使用的網站。

如需詳細資訊,請參閱在 Configuration Manager 中規劃軟體更新主題中的將 WSUS 設定為使用自訂網站一節。

網路存取保護 (NAP):請勿依賴 NAP 防範惡意使用者攻擊網路。

網路存取保護的用途在於協助系統管理員維護電腦在網路上的健全狀況,從而保持網路的完整性。 例如,若電腦裝有 Configuration Manager NAP 原則所規定的所有軟體更新,即為相容電腦,而且可以擁有網路存取權限。 網路存取保護並不能防止授權使用者透過相容電腦將惡意程式上傳到網路中,也不能防止他們停用 NAP 代理程式。

網路存取保護 (NAP):請勿在生產環境中使用 DHCP NAP 強制功能。

請務必只在安全的測試環境中使用 DHCP NAP,或者只將其用於監視用途。 使用 DHCP NAP 時,攻擊者可以修改用戶端和 NAP 健全狀況原則伺服器之間的健全狀況封包陳述,而且使用者可以規避 NAP 處理序。

網路存取保護 (NAP):在整個階層中使用一致的 NAP 規則,盡可能避免發生混淆。

一旦 NAP 設定不當,就有可能出現應受限制的用戶端可以存取網路,或是有效用戶端錯遭限制等情況。 NAP 原則設計越複雜,設定不當的風險越高。 您可以設定讓整個階層中的 Configuration Manager NAP 用戶端代理程式和 Configuration Manager 系統健全狀況驗證程式點使用相同設定,如果用戶端可能會在兩者之間漫遊,則可以讓組織中其他階層的設定也比照辦理。

System_CAPS_important重要事項

如果支援網路存取保護用戶端代理程式的 Configuration Manager 用戶端漫遊至不同的 Configuration Manager 階層,而且其用戶端的健全狀況陳述是由階層外的系統健全狀況驗證程式點所驗證,則站台檢查無法通過驗證程序。 這種情況會導致用戶端的健全狀況顯示未知狀態,NAP 健全狀況原則伺服器預設將此狀態設定為不相容。 如 NAP 健全狀況原則伺服器的網路原則設定為限制網路存取,則無法補救這些用戶端,而且有可能無法存取整個網路。 NAP 健全狀況原則伺服器上的免除原則可以讓漫遊至其 Configuration Manager 階層外的 Configuration Manager 用戶端無限存取網路。

網路存取保護 (NAP):不可立即在新的 Configuration Manager 站台上啟用網路存取保護用戶端設定。

修改 Configuration Manager NAP 原則時,雖然站台伺服器會將 Configuration Manager 健全狀況狀態參照發佈至網域控制站,但在完成複寫 Active Directory 之前,系統健全狀況驗證程式點可能無法立即擷取這項新資料。 如果在複寫完成之前啟用 Configuration Manager 用戶端上的網路存取保護功能,且若您的 NAP 健全狀況原則伺服器會讓不相容的用戶端進行有限網路存取,您有可能會引發以您為目標的阻斷服務。

網路存取保護 (NAP):如果將健全狀況參照存放在指定樹系中,請指定兩個不同的帳戶來發佈和擷取健全狀況狀態參照。

指定以 Active Directory 樹系存放健全狀況狀態參照時,請指定兩個不同的帳戶,因為這兩個帳戶需要兩組不同的權限:

  • 健全狀況狀態參照發佈帳戶需要能讀取、寫入及建立健全狀況狀態參照 Active Directory 樹系的權限。

  • 健全狀況狀態參照查詢帳戶只需要能讀取健全狀況狀態參照 Active Directory 樹系的權限。 不要授與此帳戶互動式登入權限。

網路存取保護 (NAP):請勿依賴網路存取保護作為瞬間或即時強制機制。

NAP 強制機制本身具有延遲問題。 NAP 有助於長期保持電腦的相容性,但經常會因為各種原因發生長達數小時以上的強制延遲問題,原因不一而足,其中包括不同組態參數的設定。

軟體更新會掃描用戶端電腦以判定所需的軟體更新,再將資訊傳回站台資料庫。 軟體更新期間,Configuration Manager 可能會在用戶端和伺服器之間傳送可識別電腦與登入帳戶的資訊。

Configuration Manager 會保存軟體部署程序的相關資訊。 傳送或儲存時均不會加密狀態資訊。 狀態資訊儲存在 Configuration Manager 資料庫中,由資料庫維護工作進行刪除。 所有狀態資訊皆不會傳送給 Microsoft。

使用 Configuration Manager 軟體更新在用戶端電腦上安裝軟體更新時,必須遵守這些更新的軟體授權條款,這些條款不同於 Microsoft System Center 2012 Configuration Manager 的軟體授權條款。 請務必先詳閱並同意軟體授權條款,再使用 Configuration Manager 安裝軟體更新。

Configuration Manager 預設不會實作軟體更新,而且在收集資訊之前必須執行數個設定步驟。

設定軟體更新之前,請考慮您的隱私權需求。

顯示: