Protezione e privacy per aggiornamenti software in Configuration Manager
Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Questo argomento è presente in: guida Distribuzione di software e sistemi operativi con System Center 2012 Configuration Manager e guida Protezione e privacy per System Center 2012 Configuration Manager.
Questo argomento contiene informazioni sulla privacy e sulla protezione per gli aggiornamenti software in System Center 2012 Configuration Manager.
Procedure ottimali di protezione per aggiornamenti software
Quando si distribuiscono gli aggiornamenti software ai client, utilizzare le seguenti procedure ottimali di protezione:
Procedura di sicurezza consigliata |
Altre informazioni |
||
---|---|---|---|
Non modificare le autorizzazioni predefinite nei pacchetti di aggiornamento software. |
Per impostazione predefinita, i pacchetti di aggiornamento software sono impostati in modo da consentire agli amministratori il Controllo completo e agli utenti l'accesso in Lettura. Se si modificano queste autorizzazioni, è possibile che un utente malintenzionato aggiunga, rimuova o elimini aggiornamenti software. |
||
Controllare l'accesso al percorso download per gli aggiornamenti software. |
Per gli account computer per il provider SMS, il server del sito e l'utente amministratore che scaricherà gli aggiornamenti software nel percorso download è necessario disporre dell'accesso in Scrittura al percorso download. Limitare l'accesso al percorso download consente di ridurre il rischio di manomissioni da parte di utenti malintenzionati dei file origine degli aggiornamenti software nel percorso download. Inoltre, se si utilizza una condivisione UNC per il percorso download, proteggere il canale di rete utilizzando una firma SMB o IPsec per impedire manomissioni dei file origine degli aggiornamenti software durante il trasferimento in rete. |
||
Per valutare la durata della distribuzione, utilizzare l'ora UTC. |
Se gli utenti utilizzano l'ora locale invece dell'ora UTC potrebbero ritardare l'installazione di aggiornamenti software modificando il fuso orario nel computer |
||
Attivare SSL in WSUS (Windows Server Update Services) e seguire le procedure ottimali per la protezione di WSUS. |
Individuare e seguire le procedure ottimali per la versione di WSUS in uso con Configuration Manager.
|
||
Attivare il controllo CRL. |
Per impostazione predefinita, Configuration Manager non controlla l'elenco di revoche di certificati (CRL) per verificare la firma degli aggiornamenti software prima della distribuzione nei computer. Il controllo dell'elenco CRL a ogni utilizzo del certificato offre una maggiore protezione dall'utilizzo di un certificato revocato, ma introduce un ritardo nella connessione e genera un'ulteriore elaborazione nel computer che esegue il controllo CRL. Per ulteriori informazioni su come attivare il controllo CRL per gli aggiornamenti software, vedere Come abilitare il controllo CRL per aggiornamenti software. |
||
Configurare WSUS per l'utilizzo di un sito Web personalizzato. |
Quando si installa WSUS nel punto di aggiornamento software, è possibile scegliere di utilizzare il sito Web IIS predefinito o di creare un sito Web WSUS personalizzato. Creare un sito Web personalizzato per WSUS in modo che IIS ospiti Windows Server Update Services in un sito Web virtuale dedicato invece di condividere lo stesso sito Web utilizzato dagli altri sistemi del sito Configuration Manager o da altre applicazioni. Per altre informazioni, vedere la sezione Configurazione di WSUS per l'utilizzo di un sito Web personalizzato nell'argomento Pianificazione degli aggiornamenti software in Configuration Manager. |
||
Protezione accesso alla rete (NAP): Non fare affidamento su Protezione accesso alla rete per proteggere una rete da utenti malintenzionati. |
Protezione accesso alla rete mira a consentire agli amministratori di mantenere l'integrità dei computer nella rete e quindi di mantenere l'integrità generale della rete. Ad esempio, un computer che dispone di tutti gli aggiornamenti software richiesti dal criterio di Protezione accesso alla rete di Configuration Manager verrà considerato conforme e potrà accedere correttamente alla rete. Protezione accesso alla rete non impedisce a un utente autorizzato con un computer conforme di caricare un programma dannoso in rete o di disattivare l'agente Protezione accesso alla rete. |
||
Protezione accesso alla rete (NAP): Non utilizzare l'imposizione Protezione accesso alla rete DHCP in un ambiente di produzione. |
Utilizzare Protezione accesso alla rete DHCP in un ambiente di testing protetto o solo a scopo di monitoraggio. Quando si utilizza Protezione accesso alla rete DHCP, gli utenti malintenzionati possono modificare il rapporto dei pacchetti di integrità tra il server del criterio di integrità di Protezione accesso alla rete e il client e gli utenti possono aggirare il processo NAP. |
||
Protezione accesso alla rete (NAP): Utilizzare criteri di Protezione accesso alla rete coerenti in tutta la gerarchia per ridurre al minimo la confusione. |
Se un criterio di Protezione accesso alla rete configurato è configurato in modo errato, è possibile che client a cui non dovrebbe essere consentito l'accesso possano invece accedere alla rete o che venga impedito l'accesso a client validi. Più complicata è la struttura del criterio di Protezione accesso alla rete, più alto sarà il rischio di errori nella configurazione. Configurare l'agente del client Protezione accesso alla rete di Configuration Manager e i punti di Convalida integrità sistema di Configuration Manager per l'utilizzo delle stesse impostazioni in tutta la gerarchia o nelle gerarchie aggiuntive presenti nell'organizzazione se i client si spostano al loro interno.
|
||
Protezione accesso alla rete (NAP): Non attivare subito Protezione accesso alla rete come impostazione client nei nuovi siti di Configuration Manager. |
Benché i server dei siti pubblichino il riferimento dello stato di integrità di Configuration Manager in un controller di dominio quando vengono modificati i criteri di Protezione accesso alla rete di Configuration Manager, è possibile che questi nuovi dati non siano immediatamente disponibili per il recupero da parte del punto di Convalida integrità sistema fino al termine della replica di Active Directory. Se si attiva Protezione accesso alla rete nei client di Configuration Manager prima del completamento della replica e se il server del criterio di integrità di Protezione accesso alla rete fornisce ai client non conformi un accesso alla rete limitato, esiste il rischio di provocare un attacco Denial of Service contro se stessi. |
||
Protezione accesso alla rete (NAP): Se si archivia il riferimento sullo stato di integrità in una foresta indicata, specificare due account diversi per la pubblicazione e il recupero del riferimento sullo stato di integrità. |
Quando si indica una foresta di Active Directory in cui archiviare il riferimento sullo stato di integrità, specificare due account diversi perché sono necessari insiemi di autorizzazioni diversi:
|
||
Protezione accesso alla rete (NAP): Non considerare Protezione accesso alla rete come meccanismo di imposizione istantaneo o in tempo reale. |
Sono presenti ritardi inerenti nel meccanismo di imposizione di Protezione accesso alla rete. Anche se Protezione accesso alla rete consente di mantenere la conformità dei computer a lungo termine, possono verificarsi ritardi tipici nell'imposizione. Questi ritardi possono durare diverse ore e sono causati da svariati fattori, tra cui impostazioni di diversi parametri di configurazione. |
Informazioni sulla privacy per gli aggiornamenti software
Gli aggiornamenti software consentono di esaminare i computer del client per stabilire quali aggiornamenti software sono necessari, quindi reinviano le informazioni al database del sito. Durante il processo di aggiornamento del software, Configuration Manager può trasmettere le informazioni tra i client e i server che identificano gli account di accesso e del computer.
Configuration Manager mantiene le informazioni sullo stato relative al processo di distribuzione del software. Le informazioni sullo stato non vengono crittografate durante la trasmissione o l'archiviazione. Le informazioni sullo stato vengono archiviate nel database di Configuration Manager ed eliminate dalle attività di manutenzione del database stesso. Nessuna informazione sullo stato viene inviata a Microsoft.
L'utilizzo degli aggiornamenti software di Configuration Manager per installare gli aggiornamenti software nei computer client può essere soggetto alle Condizioni di licenza software per tali aggiornamenti, che si distinguono dalle Condizioni di licenza software per Microsoft System Center 2012 Configuration Manager. Esaminare sempre e accettare le Condizioni di licenza software prima di installare gli aggiornamenti software utilizzando Configuration Manager.
Per impostazione predefinita, Configuration Manager non implementa gli aggiornamenti software e richiede di eseguire diversi passaggi di configurazione prima di raccogliere le informazioni.
Prima di configurare gli aggiornamenti software, considerare i requisiti sulla privacy.