Compartir a través de

Seguridad y privacidad de las actualizaciones de software en Configuration Manager

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Este tema contiene información de seguridad y privacidad para las actualizaciones de software en Configuration Manager.

Procedimientos recomendados de seguridad para las actualizaciones de software

Use los siguientes procedimientos recomendados de seguridad al implementar actualizaciones de software en los clientes:

  • No cambie los permisos predeterminados en los paquetes de actualización de software.

    De forma predeterminada, los paquetes de actualización de software se establecen para permitir que los administradores control total y los usuarios tengan acceso de lectura . Si cambia estos permisos, podría permitir que un atacante agregue, quite o elimine actualizaciones de software.

  • Controle el acceso a la ubicación de descarga para las actualizaciones de software.

    Las cuentas de equipo para el proveedor de SMS, el servidor de sitio y el usuario administrativo que descargará realmente las actualizaciones de software en la ubicación de descarga requieren acceso de escritura a la ubicación de descarga. Restrinja el acceso a la ubicación de descarga para reducir el riesgo de que los atacantes manipulen los archivos de origen de las actualizaciones de software en la ubicación de descarga.

    Además, si usa un recurso compartido UNC para la ubicación de descarga, proteja el canal de red mediante la firma IPsec o SMB para evitar la alteración de los archivos de origen de actualizaciones de software cuando se transfieren a través de la red.

  • Use UTC para evaluar las horas de implementación.

    Si usa la hora local en lugar de UTC, los usuarios podrían retrasar potencialmente la instalación de actualizaciones de software cambiando la zona horaria en sus equipos.

  • Habilite SSL en WSUS y siga los procedimientos recomendados para proteger Windows Server Update Services (WSUS).

    Identifique y siga los procedimientos recomendados de seguridad para la versión de WSUS que usa con Configuration Manager.

    Para obtener más información sobre cómo habilitar SSL, consulte el tutorial Configuración de un punto de actualización de software para usar TLS/SSL con un certificado PKI.

    Importante

    Si configura el punto de actualización de software para habilitar las comunicaciones SSL para el servidor WSUS, debe configurar raíces virtuales para SSL en el servidor WSUS.

  • Habilite la comprobación de CRL.

    De forma predeterminada, Configuration Manager no comprueba la lista de revocación de certificados (CRL) para comprobar la firma en las actualizaciones de software antes de implementarlas en los equipos. Comprobar la CRL cada vez que se usa un certificado ofrece más seguridad con respecto al uso de un certificado que se ha revocado, pero introduce un retraso de conexión e incurre en un procesamiento adicional en el equipo que realiza la comprobación de CRL.

    Para obtener más información sobre cómo habilitar la comprobación de CRL para las actualizaciones de software, consulte How to enable CRL checking for software updates (Cómo habilitar la comprobación de CRL para actualizaciones de software).

  • Configure WSUS para usar un sitio web personalizado.

    Al instalar WSUS en el punto de actualización de software, tiene la opción de usar el sitio web predeterminado de IIS existente o crear un sitio web wsus personalizado. Cree un sitio web personalizado para WSUS para que IIS hospede los servicios WSUS en un sitio web virtual dedicado en lugar de compartir el mismo sitio web que usan los demás sistemas de sitio Configuration Manager u otras aplicaciones.

    Para obtener más información, consulte Configuración de WSUS para usar un sitio web personalizado.

Información de privacidad de las actualizaciones de software

Las actualizaciones de software examinan los equipos cliente para determinar qué actualizaciones de software necesita y, a continuación, envían esa información a la base de datos del sitio. Durante el proceso de actualizaciones de software, Configuration Manager puede transmitir información entre clientes y servidores que identifican las cuentas de equipo y de inicio de sesión.

Configuration Manager mantiene información de estado sobre el proceso de implementación de software. La información de estado no se cifra durante la transmisión o el almacenamiento. La información de estado se almacena en la base de datos Configuration Manager y las tareas de mantenimiento de la base de datos la eliminan. No se envía información de estado a Microsoft.

El uso de Configuration Manager actualizaciones de software para instalar actualizaciones de software en equipos cliente podría estar sujeto a términos de licencia de software para esas actualizaciones, que es independiente de los Términos de licencia de software para Configuration Manager. Revise y acepte siempre los Términos de licencia de software antes de instalar las actualizaciones de software mediante Configuration Manager.

Configuration Manager no implementa actualizaciones de software de forma predeterminada y requiere varios pasos de configuración antes de recopilar información.

Antes de configurar las actualizaciones de software, tenga en cuenta los requisitos de privacidad.