Udostępnij za pośrednictwem

Zabezpieczenia i prywatność aktualizacji oprogramowania w Configuration Manager

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Ten temat zawiera informacje o zabezpieczeniach i ochronie prywatności dotyczące aktualizacji oprogramowania w Configuration Manager.

Najlepsze rozwiązania dotyczące zabezpieczeń aktualizacji oprogramowania

Podczas wdrażania aktualizacji oprogramowania na klientach należy stosować następujące najlepsze rozwiązania w zakresie zabezpieczeń:

  • Nie zmieniaj domyślnych uprawnień do pakietów aktualizacji oprogramowania.

    Domyślnie pakiety aktualizacji oprogramowania są ustawione tak, aby umożliwić administratorom pełną kontrolę i użytkownikom dostęp do odczytu . Zmiana tych uprawnień może spowodować, że osoba atakująca będzie mogła dodawać, usuwać lub usuwać aktualizacje oprogramowania.

  • Kontrolowanie dostępu do lokalizacji pobierania aktualizacji oprogramowania.

    Komputer jest kontem dostawcy programu SMS, serwera lokacji i użytkownika administracyjnego, który faktycznie pobierze aktualizacje oprogramowania do lokalizacji pobierania, wymaga dostępu do zapisu do lokalizacji pobierania. Ogranicz dostęp do lokalizacji pobierania, aby zmniejszyć ryzyko naruszenia plików źródłowych aktualizacji oprogramowania w lokalizacji pobierania przez osoby atakujące.

    Ponadto jeśli używasz udziału UNC dla lokalizacji pobierania, zabezpiecz kanał sieciowy przy użyciu podpisywania protokołu IPsec lub SMB, aby zapobiec naruszeniu plików źródłowych aktualizacji oprogramowania podczas ich przesyłania za pośrednictwem sieci.

  • Użyj czasu UTC do oceny czasu wdrożenia.

    Jeśli używasz czasu lokalnego zamiast czasu UTC, użytkownicy mogą potencjalnie opóźnić instalację aktualizacji oprogramowania, zmieniając strefę czasową na swoich komputerach

  • Włącz protokół SSL w programie WSUS i postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczania Windows Server Update Services (WSUS).

    Zidentyfikuj i postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń dla wersji programu WSUS używanej z Configuration Manager.

    Aby uzyskać więcej informacji na temat włączania protokołu SSL, zobacz samouczek Konfigurowanie punktu aktualizacji oprogramowania w celu używania protokołu TLS/SSL z certyfikatem PKI.

    Ważna

    W przypadku skonfigurowania punktu aktualizacji oprogramowania w celu włączenia komunikacji SSL dla serwera WSUS należy skonfigurować wirtualne katalogi główne dla protokołu SSL na serwerze WSUS.

  • Włącz sprawdzanie listy CRL.

    Domyślnie Configuration Manager nie sprawdza listy odwołania certyfikatów (CRL), aby zweryfikować podpis aktualizacji oprogramowania przed ich wdrożeniem na komputerach. Sprawdzanie listy CRL przy każdym użyciu certyfikatu zapewnia większe bezpieczeństwo przed użyciem certyfikatu, który został odwołany, ale wprowadza opóźnienie połączenia i powoduje dodatkowe przetwarzanie na komputerze wykonującym sprawdzanie listy CRL.

    Aby uzyskać więcej informacji na temat włączania sprawdzania listy CRL pod kątem aktualizacji oprogramowania, zobacz Jak włączyć sprawdzanie listy CRL pod kątem aktualizacji oprogramowania.

  • Skonfiguruj usługę WSUS do korzystania z niestandardowej witryny internetowej.

    Podczas instalowania programu WSUS w punkcie aktualizacji oprogramowania masz możliwość użycia istniejącej domyślnej witryny sieci Web usług IIS lub utworzenia niestandardowej witryny internetowej programu WSUS. Utwórz niestandardową witrynę internetową dla programu WSUS, aby usługi IIS hostują usługi WSUS w dedykowanej wirtualnej witrynie internetowej, zamiast udostępniać tę samą witrynę internetową, która jest używana przez inne systemy lokacji Configuration Manager lub inne aplikacje.

    Aby uzyskać więcej informacji, zobacz Konfigurowanie programu WSUS do korzystania z niestandardowej witryny sieci Web.

Informacje o ochronie prywatności dotyczące aktualizacji oprogramowania

Aktualizacje oprogramowania skanują komputery klienckie w celu określenia, których aktualizacji oprogramowania potrzebujesz, a następnie wysyłają te informacje z powrotem do bazy danych lokacji. Podczas procesu aktualizacji oprogramowania Configuration Manager mogą przesyłać informacje między klientami i serwerami identyfikującymi komputer i konta logowania.

Configuration Manager przechowuje informacje o stanie procesu wdrażania oprogramowania. Informacje o stanie nie są szyfrowane podczas transmisji ani przechowywania. Informacje o stanie są przechowywane w bazie danych Configuration Manager i są usuwane przez zadania konserwacji bazy danych. Do firmy Microsoft nie są wysyłane żadne informacje o stanie.

Korzystanie z Configuration Manager aktualizacji oprogramowania w celu instalowania aktualizacji oprogramowania na komputerach klienckich może podlegać postanowieniu licencyjnemu oprogramowania dla tych aktualizacji, które jest oddzielone od postanowień licencyjnych dotyczących oprogramowania dla Configuration Manager. Przed zainstalowaniem aktualizacji oprogramowania należy zawsze przeglądać i wyrażać zgodę na postanowienia licencyjne dotyczące oprogramowania przy użyciu Configuration Manager.

Configuration Manager domyślnie nie implementuje aktualizacji oprogramowania i wymaga kilku kroków konfiguracji przed zebraniem informacji.

Przed skonfigurowaniem aktualizacji oprogramowania należy wziąć pod uwagę wymagania dotyczące prywatności.