適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

推奨するセキュリティ運用方法として、最新のセキュリティの更新を適用する方法があります。Microsoft System Center Configuration Manager 2007 を使用することで、組織内のコンピュータにソフトウェアの更新を適用しやすくなります。ただし、ソフトウェアの更新のインフラストラクチャを攻撃者に乗っ取られないようにするために推奨する運用方法がいくつかあります。

推奨するセキュリティ運用方法

ソフトウェアの更新パッケージに対する既定のアクセス許可を変更しない    既定では、ソフトウェアの更新パッケージは、管理者にフル コントロール、ユーザーに読み取りアクセス権を許可するように設定されています。これらのアクセス許可を変更すると、攻撃者によるソフトウェアの更新の追加、除去、または削除が可能になる危険性があります。

ソフトウェアの更新のダウンロード先へのアクセスを制御する    ソフトウェアの更新を実際にダウンロード先にダウンロードする SMS プロバイダ コンピュータ アカウントとユーザーのどちらにも、ダウンロード先への書き込みアクセス許可が必要です。ダウンロード先へのアクセスを制限して、そこにあるソフトウェアの更新のソース ファイルを攻撃者が改ざんするリスクを低減します。

展開時刻の評価に UTC を使用する    UTC ではなくローカル時刻を使用する場合、ユーザーがコンピュータのタイム ゾーンを変更しているためにソフトウェアの更新のインストールが遅れる可能性があります。

WSUS のセキュリティを保護するための推奨運用方法に従う    Active Directory 認証と SSL の追加を含む、WSUS のセキュリティ保護の詳細については、https://go.microsoft.com/fwlink/?LinkId=93170 (英語) を参照してください。

CRL チェックを有効にする    既定では、ソフトウェアの更新の署名を検証するときに証明書失効リスト (CRL) はチェックされません。証明書が使用されるたびに CRL をチェックすることで、失効済み証明書の使用に対するセキュリティを向上できますが、接続に遅れが発生し、CRL チェックを実行するコンピュータの処理の増加を招くことになります。手順については、「ソフトウェアの更新の CRL チェックを有効にする方法」を参照してください。

ソフトウェアの更新ポイントが境界ネットワーク内に構成されている場合、サイト システムからデータを取得するようにサイト サーバーを構成する    既定では、サイト システムがサイト サーバーにデータをプッシュして戻します。サイト システムの構成ではサイト サーバーが代わりにデータを引き出すようにすることが可能で、これによりデータ転送に必要なポートおよびアクセス許可を厳密に制御できます。［サイト サーバが開始した、このサイト システムからのデータ転送のみを許可する］設定は、サイト システム全体およびそれに対して構成されたすべてのサイト システムの役割に適用されます。

SMS 2003 クライアントにソフトウェアの更新を展開する必要がある場合、階層内の最も上位にあるプライマリ サイト サーバーで Microsoft 更新プログラム用のインベントリ ツールを実行する    セントラル サーバーに Microsoft 更新プログラム用インベントリ ツールをインストールする必要はありませんが、クライアントの報告先となる最上位のサイトにはインストールする必要があります。スキャン ツールが階層内の下位にあるプライマリ サイトにインストールされると、より上位にあるサイトはソフトウェアの更新について報告することができません。

WSUS がカスタム Web サイトを使用するように構成する    ソフトウェアの更新ポイントに WSUS をインストールする場合、既存の IIS 既定 Web サイトを使用するか、またはカスタム WSUS 3.0 Web サイトを作成するかを選択できます。他の Configuration Manager 2007 サイト システムや他のアプリケーションが使用するのと同じ Web サイトを共有するのではなく、インターネット インフォメーション サービス (IIS) が 専用の仮想 Web サイトで WSUS 3.0 サービスをホストするように、WSUS のカスタム Web サイトを作成する必要があります。詳細については、「ソフトウェアの更新ポイントのインストールの計画」を参照してください。

サイトと配布ポイントに対して BITS 2.5 を有効にする    ソフトウェアの更新がクライアントにインストールされるとき、ソース ファイルはまずクライアント コンピュータのキャッシュにダウンロードされてから、インストールされます。BITS が配布ポイントで有効になっていると、ソフトウェアの更新のダウンロード中にネットワークから切断されても、次回にクライアントがネットワークにアクセスできるようになったときに BITS によってダウンロードが中断された場所から再開されるため、展開が失敗することはありません。BITS が配布ポイントで有効になっておらず、ソフトウェアの更新ファイルのダウンロード中にネットワークの問題が発生した場合、ソフトウェアの更新のインストールは失敗し、クライアントが攻撃に対して脆弱な状態になる可能性があります。

プライバシー情報

ソフトウェアの更新は、クライアント コンピュータをスキャンして、必要なソフトウェアの更新を判断し、情報をサイト データベースに返送します。ソフトウェアの更新プロセスの間、Configuration Manager 2007 では、コンピュータとログオン アカウントを識別する情報がクライアントとサーバー間で送信されることがあります。

Configuration Manager 2007 では、ソフトウェアの配布プロセスに関する状態情報が維持されます。状態情報は、送信時や保管時に暗号化されません。状態情報は、データベース保守タスクによってサイト データベースに保管され、削除されます。状態情報が Microsoft に送信されることはありません。

Configuration Manager 2007 のソフトウェアの更新を使用してクライアント コンピュータにソフトウェアの更新をインストールする場合は、その更新に関するソフトウェア ライセンス条項の対象となることがあります。これは、Configuration Manager 2007 のソフトウェア ライセンス条項とは別個のものです。Configuration Manager 2007 を使用してソフトウェアの更新をインストールする前に、必ずソフトウェア ライセンス条項を確認して同意する必要があります。

Configuration Manager 2007 では、既定でソフトウェアの更新が実装されることはありません。また、複数の構成手順を実行しなければ、情報が収集されることはありません。ソフトウェアの更新を構成する前に、プライバシー要件について検討してください。

参照:

その他のリソース

Configuration Manager 機能について推奨するセキュリティ運用方法とプライバシー情報
Configuration Manager のソフトウェアの更新

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.