Поделиться через


Безопасность и конфиденциальность обновления программного обеспечения в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Эта статья содержит сведения о безопасности и конфиденциальности функции обновления программного обеспечения в System Center 2012 Configuration Manager.

Рекомендации по обеспечению безопасности для обновления программного обеспечения

При развертывании обновлений программного обеспечения на клиентах используйте следующие рекомендации по безопасности.

Рекомендация по безопасности

Дополнительные сведения

Не изменяйте разрешения по умолчанию для пакетов обновления программного обеспечения.

По умолчанию пакеты обновления программного обеспечения предоставляют Полный доступ администраторам, а обычным пользователям – доступ уровня Чтение. Если изменить эти разрешения, у злоумышленника может появиться возможность добавлять, удалять или отменять программные обновления.

Управление доступом к расположению загрузки обновлений программного обеспечения.

Учетные записи компьютера для поставщика SMS, сервера сайта и пользователя с правами администратора, который будет непосредственно загружать обновления в расположение загрузки, требуют наличия прав доступа Запись в отношении расположения загрузки. Ограничьте доступ к расположению загрузки, чтобы снизить риск подмены злоумышленниками исходных файлов обновлений.

Кроме того, если вы используете общую папку UNC в качестве расположения загрузки, защитите сетевой канал, используя протокол IPsec или подписи SMB, чтобы предотвратить подмену исходных файлов обновлений при их передаче через сеть.

Используйте время UTC при оценке длительности развертывания.

Если использовать локальное время вместо времени UTC, у пользователей появится возможность отложить установку обновлений посредством смены часового пояса.

Включите SSL на WSUS и следуйте рекомендациям по обеспечению безопасности служб Windows Server Update Services (WSUS).

Найдите и используйте рекомендации для вашей версии WSUS, которая используется с Configuration Manager.

System_CAPS_importantВажно

Если на точке обновления программного обеспечения включены SSL-соединения для сервера WSUS, необходимо настроить виртуальные корни для SSL на сервере WSUS.

Включите проверку списка отзыва сертификатов.

По умолчанию Configuration Manager не обращается к списку отзыва сертификатов (CRL) для проверки подписи обновлений программного обеспечения перед их развертыванием на компьютерах. Проверка списка отзыва сертификатов при каждом использовании сертификата обеспечивает повышенную безопасность по сравнению с использованием отозванного сертификата, однако такая проверка приводит к задержкам соединения и обуславливает дополнительную вычислительную нагрузку на компьютер, выполняющий такую проверку.

Дополнительные сведения о том, как включить проверку списка отзыва сертификатов для обновлений программного обеспечения, см. в разделе Включение проверки списка отзыва сертификатов для обновлений программного обеспечения.

Настройте службы WSUS на использование настраиваемого веб-сайта.

При установке служб WSUS на точке обновления программного обеспечения есть возможность использования существующего веб-сайта IIS, являющегося сайтом по умолчанию, а также возможность создания своего собственного веб-сайта WSUS. Создайте настраиваемый веб-сайт для служб WSUS, чтобы они были размещены в IIS на выделенном виртуальном веб-сайте, а не на веб-сайте, который используется другими системами сайта Configuration Manager или приложениями.

Дополнительные сведения см. в разделе Настройка WSUS для использования настраиваемого веб-сайта статьи Планирование обновления программного обеспечения в Configuration Manager.

Защита доступа к сети (NAP) Не следует полагаться на службу NAP для защиты сети от злоумышленников.

Эта служба позволяет администраторам поддерживать работоспособность компьютеров в сети, что, в свою очередь, обеспечивает общую целостность сети. Например, если на компьютере установлены все обновления, требуемые согласно политике NAP в Configuration Manager, компьютер считается соответствующим требованиям и ему будет предоставлен надлежащий доступ к сети. Защита доступа к сети не может помешать полномочному пользователю с соответствующим политике компьютером загрузить вредоносную программу в сеть или отключить агент NAP.

Защита доступа к сети (NAP) Не используйте принудительное применение DHCP NAP в производственной среде.

Используйте DHCP NAP только в защищенной тестовой среде или только в целях мониторинга. При использовании DHCP NAP злоумышленники могут изменять состояния пакетов работоспособности между клиентом и сервером политики работоспособности NAP, а пользователи могут обходить процесс NAP.

Защита доступа к сети (NAP) Чтобы избежать путаницы, следует использовать согласованные политики NAP во всей иерархии.

Неправильно настроенная политика NAP может привести к тому, что сеть будет доступна клиентам, которые не должны иметь к ней доступ, а действительным клиентам доступ будет по ошибке закрыт. Чем сложнее структура политики NAP, тем выше риск ее неправильной настройки. Настройте одни и те же параметры для точек агента клиента NAP Configuration Manager и средства проверки работоспособности системы Configuration Manager во всей иерархии, а также в других иерархиях организации, если клиенты могут перемещаться между ними.

System_CAPS_importantВажно

Если клиент Configuration Manager с включенным агентом клиента защиты доступа к сети переместится в другую иерархию Configuration Manager, и его состояние работоспособности будет проверяться точкой средства проверки работоспособности системы извне иерархии, проверка сайта завершится неудачей. Это приведет к тому, что состояние работоспособности клиента будет неизвестно. На сервере политики работоспособности NAP данное обстоятельство определяет несоответствие клиента требованиям. Если на сервере политики работоспособности NAP задействованы политики ограниченного доступа к сети, исправление клиентов не выполняется и они могут не получить полный доступ к сети. Политика исключений на сервере политики работоспособности может предусматривать возможность неограниченного доступа клиентов Configuration Manager извне их иерархии Configuration Manager.

Защита доступа к сети (NAP) Не включайте защиту доступа к сети в параметрах клиента на только что созданных сайтах Configuration Manager.

Хотя серверы сайтов публикуют ссылку на состояние работоспособности Configuration Manager на контроллере домена при изменении политик защиты доступа к сети Configuration Manager, эти данные могут становиться доступными для получения точкой средства проверки работоспособности системы лишь по завершении репликации Active Directory. Если включить защиту доступа к сети на клиентах Configuration Manager до завершения репликации, и если сервер политики работоспособности NAP предоставит несоответствующим клиентам ограниченный доступ к сети, это может привести к тому, что система инициирует атаку на отказ в обслуживании, направленную на саму себя.

Защита доступа к сети (NAP) Если ссылка на состояние работоспособности хранится в специально выделенном лесу, укажите две учетные записи для публикации и получения ссылки на состояние работоспособности.

Если ссылка на состояние работоспособности хранится в лесу Active Directory, укажите две различные учетные записи, так как требуется два различных набора разрешений.

  • Для учетной записи публикации ссылок на состояние работоспособности требуются разрешения "Чтение", "Запись" и "Создание" в лесу Active Directory, в котором находится ссылка на состояние работоспособности.

  • Для учетной записи запросов на ссылки на состояние работоспособности требуется только разрешение "Чтение" в лесу Active Directory, в котором находится ссылка на состояние работоспособности. Не предоставляйте данной учетной записи права на интерактивный вход в систему.

Защита доступа к сети (NAP) Не следует воспринимать защиту доступа к сети как механизм обеспечения соответствия требованиям, действующий незамедлительно или в режиме реального времени.

В механизме принудительной защиты доступа к сети возникают задержки, обусловленные структурой механизма. Хотя в целом защита доступа к сети помогает обеспечивать соответствие компьютеров требованиям, задержки проверки соответствия могут составлять несколько часов или более по причине целого ряда факторов, включая значения различных параметров конфигурации.

Сведения о конфиденциальности обновления программного обеспечения

При обновлении программного обеспечения выполняется сканирование компьютеров для определения того, какие обновления требуется установить, после чего собранные сведения передаются в базу данных сайта. В процессе обновления программного обеспечения Configuration Manager может передавать между клиентами и серверами данные, идентифицирующие компьютер и учетные записи входа в систему.

Configuration Manager сохраняет сведения о состоянии процесса развертывания программ. Сведения о состоянии передаются и хранятся в незашифрованном виде. Сведения о состоянии хранятся в базе данных Configuration Manager и удаляются в ходе выполнения задач обслуживания базы данных. Сведения о состоянии не отправляются в корпорацию Майкрософт.

Использование обновлений программного обеспечения Configuration Manager может контролироваться условиями лицензии, отдельными от условий лицензии на использование Microsoft System Center 2012 Configuration Manager. Всегда читайте и принимайте условия лицензионного соглашения на использование программного обеспечения перед развертыванием программного обеспечения с помощью Configuration Manager.

Configuration Manager не устанавливает обновления программного обеспечения по умолчанию и требует настройки некоторых параметров для начала сбора сведений.

Перед настройкой обновления программного обеспечения следует проанализировать требования к конфиденциальности.