次の方法で共有


Configuration Managerのソフトウェア更新プログラムのセキュリティとプライバシー

Configuration Manager (現在のブランチ) に適用

このトピックでは、Configuration Managerのソフトウェア更新プログラムのセキュリティとプライバシーに関する情報について説明します。

ソフトウェア更新プログラムのセキュリティに関するベスト プラクティス

クライアントにソフトウェア更新プログラムを展開する場合は、次のセキュリティのベスト プラクティスを使用します。

  • ソフトウェア更新プログラム パッケージの既定のアクセス許可を変更しないでください。

    既定では、ソフトウェア更新プログラム パッケージは、管理者 のフル コントロール とユーザーが 読み取り アクセスを許可するように設定されています。 これらのアクセス許可を変更すると、攻撃者がソフトウェア更新プログラムを追加、削除、または削除できる可能性があります。

  • ソフトウェア更新プログラムのダウンロード場所へのアクセスを制御します。

    SMS プロバイダー、サイト サーバー、およびダウンロード場所にソフトウェア更新プログラムを実際にダウンロードする管理ユーザーのコンピューター アカウントには、ダウンロード場所への 書き込み アクセス権が必要です。 ダウンロード場所へのアクセスを制限して、攻撃者がダウンロード場所のソフトウェア更新プログラムのソース ファイルを改ざんするリスクを軽減します。

    さらに、ダウンロード場所に UNC 共有を使用する場合は、IPsec または SMB 署名を使用してネットワーク チャネルをセキュリティで保護し、ソフトウェア更新プログラムのソース ファイルがネットワーク経由で転送されたときに改ざんされないようにします。

  • デプロイ時間を評価するには UTC を使用します。

    UTC ではなく現地時刻を使用する場合、ユーザーはコンピューターのタイム ゾーンを変更することで、ソフトウェア更新プログラムのインストールを遅らせる可能性があります

  • WSUS で SSL を有効にし、Windows Server Update Services (WSUS) をセキュリティで保護するためのベスト プラクティスに従います。

    Configuration Managerで使用する WSUS のバージョンに関するセキュリティのベスト プラクティスを特定し、従います。

    SSL を有効にする方法の詳細については、「 PKI 証明書で TLS/SSL を使用するようにソフトウェア更新ポイントを構成する」チュートリアルを参照してください。

    重要

    WSUS サーバーの SSL 通信を有効にするようにソフトウェア更新ポイントを構成する場合は、WSUS サーバーで SSL の仮想ルートを構成する必要があります。

  • CRL チェックを有効にします。

    既定では、Configuration Managerは証明書失効リスト (CRL) をチェックして、ソフトウェア更新プログラムがコンピューターに展開される前に署名を確認しません。 証明書を使用するたびに CRL をチェックすると、失効した証明書を使用することに対するセキュリティが強化されますが、接続の遅延が発生し、CRL チェックを実行するコンピューターで追加の処理が発生します。

    ソフトウェア更新プログラムの CRL チェックを有効にする方法の詳細については、「ソフトウェア更新プログラムの CRL チェックを有効にする方法」を参照してください。

  • カスタム Web サイトを使用するように WSUS を構成します。

    ソフトウェアの更新ポイントに WSUS をインストールする場合は、既存の IIS 既定の Web サイトを使用するか、カスタム WSUS Web サイトを作成するかを選択できます。 WSUS 用のカスタム Web サイトを作成して、他のConfiguration Manager サイト システムや他のアプリケーションで使用されているものと同じ Web サイトを共有するのではなく、IIS が専用の仮想 Web サイトで WSUS サービスをホストできるようにします。

    詳細については、「 カスタム Web サイトを使用するように WSUS を構成する」を参照してください。

ソフトウェア更新プログラムのプライバシー情報

ソフトウェア更新プログラムは、クライアント コンピューターをスキャンして、必要なソフトウェア更新プログラムを特定し、その情報をサイト データベースに送信します。 ソフトウェア更新プロセス中に、Configuration Managerは、コンピューターとログオン アカウントを識別するクライアントとサーバー間で情報を送信する可能性があります。

Configuration Managerは、ソフトウェア展開プロセスに関する状態情報を保持します。 状態情報は、転送中またはストレージ中に暗号化されません。 状態情報はConfiguration Manager データベースに格納され、データベースメンテナンス タスクによって削除されます。 状態情報は Microsoft に送信されません。

Configuration Managerソフトウェア更新プログラムを使用してクライアント コンピューターにソフトウェア更新プログラムをインストールする場合、これらの更新プログラムのソフトウェア ライセンス条項が適用される場合があります。これは、Configuration Managerのソフトウェア ライセンス条項とは別です。 Configuration Managerを使用してソフトウェア更新プログラムをインストールする前に、ソフトウェア ライセンス条項を必ず確認し、同意してください。

Configuration Managerでは、既定ではソフトウェア更新プログラムが実装されていないため、情報を収集する前にいくつかの構成手順が必要です。

ソフトウェア更新プログラムを構成する前に、プライバシー要件を検討してください。