Поделиться через


Безопасность и конфиденциальность инвентаризации программного обеспечения в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteПримечание

Этот раздел отображается в следующей документации: в руководстве Активы и соответствие в System Center 2012 Configuration Manager и в руководстве Безопасность и конфиденциальность System Center 2012 Configuration Manager.

Этот раздел содержит сведения о безопасности и конфиденциальности функции инвентаризации программного обеспечения в System Center 2012 Configuration Manager.

Рекомендации по обеспечению безопасности для инвентаризации программного обеспечения

Примите во внимание следующие рекомендации по обеспечению безопасности при сборе данных инвентаризации программного обеспечения с клиентов.

Рекомендация по безопасности

Дополнительные сведения

Данные инвентаризации необходимо подписывать и шифровать.

Когда клиенты обмениваются данными с точками управления по протоколу HTTPS, для всех передаваемых данных используется SSL-шифрование.Тем не менее, когда клиентские компьютеры используют протокол HTTP для обмена данными с точками управления в интрасети, данные инвентаризации клиентов и собранные файлы могут отправляться незашифрованными и неподписанными.Убедитесь, что требование подписывания и шифрования настроено для сайта.Кроме того, если клиенты поддерживают алгоритм шифрования SHA-256, настройте обязательное использование SHA-256.

Не используйте функцию сбора файлов для сбора критических файлов или конфиденциальной информации.

Функция инвентаризации программного обеспечения Configuration Manager использует все права учетной записи LocalSystem, которой разрешено выполнять сбор критических системных файлов, таких как данные реестра или базы данных учетных записей безопасности.Если такие файлы доступны на сервере сайта, пользователь с правами на чтение ресурсов или правами NTFS на доступ к расположению, где хранятся файлы, может проанализировать содержимое файлов и выяснить важные сведения о клиентах, что позволит ему нарушить их безопасность.

Ограничьте права локального администратора на клиентских компьютерах

Пользователь с правами локального администратора может отправить недопустимые данные в качестве данных инвентаризации.

Проблемы безопасности инвентаризации программного обеспечения

Со сбором данных инвентаризации связано несколько потенциальных уязвимостей.Злоумышленники могут сделать следующее:

  • отправить недопустимые данные, которые могут быть приняты точкой управления, даже если параметр клиента инвентаризации программного обеспечения отключен, и сбор файлов не активирован;

  • отправлять слишком большие объемы данных в одном файле или в большом числе файлов, реализуя атаку типа "отказ в обслуживании";

  • получать доступ к данным инвентаризации в момент их передачи в Configuration Manager.

Если пользователям известно, что они могут создать скрытый файл с именем Skpswi.dat и поместить его в корневую папку жесткого диска клиента, чтобы исключить его из инвентаризации программного обеспечения, вам не удастся выполнить сбор данных с этого компьютера.

Поскольку пользователь с правами локального администратора может отправлять любые сведения в качестве данных инвентаризации, нельзя считать данные инвентаризации, собираемые Configuration Manager, достоверными.

Функция инвентаризации программного обеспечения включена по умолчанию в качестве параметра клиента.

Сведения о конфиденциальности инвентаризации программного обеспечения

System_CAPS_noteПримечание

Сведения из этого раздела также содержатся в Безопасность и конфиденциальность для инвентаризации оборудования в Configuration Manager.

Функция инвентаризации оборудования позволяет извлекать любые данные, хранимые в реестре и инструментарии WMI на клиентах Configuration Manager.Функция инвентаризации программного обеспечения позволяет обнаруживать все файлы указанного типа или выполнять сбор всех указанных файлов с клиентов.Аналитика активов оптимизирует возможности инвентаризации, расширяя набор данных инвентаризации оборудования и программного обеспечения и дополняя их новыми функциями управления лицензиями.

Инвентаризация оборудования включена по умолчанию в качестве параметра клиента. Набор собираемых данных инструментария WMI определяется заданными администратором параметрами.Функция инвентаризации программного обеспечения включена по умолчанию, однако сбор файлов по умолчанию не выполняется.Сбор данных аналитики активов включается автоматически, однако можно выбрать, какие именно классы отчетов инвентаризации оборудования будут включены.

Данные инвентаризации не передаются в корпорацию Майкрософт.Данные инвентаризации хранятся в базе данных Configuration Manager.Когда клиенты используют протокол HTTPS для подключения к точкам управления, отправляемые ими на сайт данные шифруются во время передачи.Если клиент использует для подключения к точкам управления протокол HTTP, шифрование данных инвентаризации можно настроить специально.Данные инвентаризации не хранятся в зашифрованном виде в базе данных.Сведения хранятся в базе данных, пока не будут удалены задачей обслуживания сайта Удаление устаревших данных инвентаризации или Удаление устаревших собранных файлов (интервал по умолчанию составляет 90 дней).Можно настроить интервал удаления.

Перед настройкой инвентаризации оборудования и программного обеспечения, сбора файлов или сбора данных аналитики активов примите во внимание требования к конфиденциальности.