Безопасность и конфиденциальность обновлений программного обеспечения в Configuration Manager

Относится к Configuration Manager (Current Branch)

Этот раздел содержит сведения о безопасности и конфиденциальности обновлений программного обеспечения в Configuration Manager.

Рекомендации по обеспечению безопасности для обновлений программного обеспечения

При развертывании обновлений программного обеспечения на клиентах используйте следующие рекомендации по обеспечению безопасности.

• Не изменяйте разрешения по умолчанию для пакетов обновления программного обеспечения.

  По умолчанию пакеты обновлений программного обеспечения настроены таким образом, чтобы разрешить администраторам полный доступ и пользователям на чтение . Изменение этих разрешений может позволить злоумышленнику добавлять, удалять или удалять обновления программного обеспечения.

• Управление доступом к расположению скачивания обновлений программного обеспечения.

  Учетные записи компьютера для поставщика SMS, сервера сайта и пользователя с правами администратора, который будет фактически загружать обновления программного обеспечения в расположение загрузки, требуют доступа на запись к расположению загрузки. Ограничьте доступ к расположению загрузки, чтобы снизить риск изменения злоумышленниками исходных файлов обновлений программного обеспечения в расположении загрузки.

  Кроме того, если вы используете общий ресурс UNC для расположения загрузки, защитите сетевой канал с помощью протокола IPsec или подписывания SMB, чтобы предотвратить незаконное изменение исходных файлов обновлений программного обеспечения при их передаче по сети.

• Используйте UTC для оценки времени развертывания.

  Если вы используете местное время вместо UTC, пользователи могут отложить установку обновлений программного обеспечения, изменив часовой пояс на своих компьютерах.

• Включите SSL в WSUS и следуйте рекомендациям по защите Windows Server Update Services (WSUS).

  Определите и следуйте рекомендациям по обеспечению безопасности для версии WSUS, используемой с Configuration Manager.

  Дополнительные сведения о включении SSL см. в руководстве Настройка точки обновления программного обеспечения для использования TLS/SSL с PKI-сертификатом.

  Важно!

  Если точка обновления программного обеспечения настроена для включения ssl-связи для сервера WSUS, необходимо настроить виртуальные корневые серверы для SSL на сервере WSUS.

• Включите проверку списка отзыва сертификатов.

  По умолчанию Configuration Manager не проверка список отзыва сертификатов (CRL) для проверки подписи обновлений программного обеспечения перед их развертыванием на компьютерах. Проверка списка отзыва сертификатов при каждом использовании сертификата обеспечивает большую безопасность при использовании сертификата, который был отозван, но это вызывает задержку подключения и вызывает дополнительную обработку на компьютере, выполняя проверка списка отзыва сертификатов.

  Дополнительные сведения о том, как включить проверку CRL для обновлений программного обеспечения, см. в разделе Включение проверки CRL для обновлений программного обеспечения.

• Настройте СЛУЖБЫ WSUS для использования пользовательского веб-сайта.

  При установке WSUS в точке обновления программного обеспечения вы можете использовать существующий веб-сайт IIS по умолчанию или создать настраиваемый веб-сайт WSUS. Создайте пользовательский веб-сайт для WSUS, чтобы службы WSUS размещались на выделенном виртуальном веб-сайте вместо совместного использования того же веб-сайта, который используется другими системами сайта Configuration Manager или другими приложениями.

  Дополнительные сведения см. в разделе Настройка WSUS для использования пользовательского веб-сайта.

Сведения о конфиденциальности обновлений программного обеспечения

Обновления программного обеспечения сканируют клиентские компьютеры, чтобы определить необходимые обновления программного обеспечения, а затем отправляют эти сведения обратно в базу данных сайта. В процессе обновления программного обеспечения Configuration Manager могут передавать информацию между клиентами и серверами, которые идентифицируют компьютер и учетные записи входа.

Configuration Manager хранит сведения о состоянии процесса развертывания программного обеспечения. Сведения о состоянии не шифруются во время передачи или хранения. Сведения о состоянии хранятся в базе данных Configuration Manager и удаляются задачами обслуживания базы данных. Сведения о состоянии не отправляются в корпорацию Майкрософт.

Использование Configuration Manager обновлений программного обеспечения для установки обновлений программного обеспечения на клиентских компьютерах может регулироваться условиями лицензии на программное обеспечение для этих обновлений, которые отделены от условий лицензионного соглашения на использование программного обеспечения для Configuration Manager. Перед установкой обновлений программного обеспечения с помощью Configuration Manager всегда ознакомьтесь с условиями лицензирования программного обеспечения и примите их.

Configuration Manager не реализует обновления программного обеспечения по умолчанию и требует выполнения нескольких действий по настройке перед сбором сведений.

Прежде чем настраивать обновления программного обеспечения, ознакомьтесь с требованиями к конфиденциальности.