Säkerhet och sekretess för programuppdateringar i Configuration Manager

Gäller för: Configuration Manager (aktuell gren)

Det här avsnittet innehåller säkerhets- och sekretessinformation för programuppdateringar i Configuration Manager.

Rekommenderade säkerhetsmetoder för programuppdateringar

Använd följande rekommenderade säkerhetsmetoder när du distribuerar programuppdateringar till klienter:

• Ändra inte standardbehörigheterna för programuppdateringspaket.

  Som standard är programuppdateringspaket inställda för att ge administratörer fullständig behörighet och användare att ha läsåtkomst . Om du ändrar dessa behörigheter kan en angripare lägga till, ta bort eller ta bort programuppdateringar.

• Kontrollera åtkomsten till nedladdningsplatsen för programuppdateringar.

  Datorkontona för SMS-providern, platsservern och den administrativa användare som faktiskt laddar ned programuppdateringarna till nedladdningsplatsen kräver skrivåtkomst till nedladdningsplatsen. Begränsa åtkomsten till nedladdningsplatsen för att minska risken för att angripare manipulerar källfilerna för programuppdateringar på nedladdningsplatsen.

  Om du använder en UNC-resurs för nedladdningsplatsen skyddar du dessutom nätverkskanalen med hjälp av IPsec- eller SMB-signering för att förhindra manipulering av källfilerna för programuppdateringar när de överförs via nätverket.

• Använd UTC för att utvärdera distributionstider.

  Om du använder lokal tid i stället för UTC kan användarna potentiellt fördröja installationen av programuppdateringar genom att ändra tidszonen på sina datorer

• Aktivera SSL på WSUS och följ metodtipsen för att skydda Windows Server Update Services (WSUS).

  Identifiera och följ rekommenderade säkerhetsmetoder för den version av WSUS som du använder med Configuration Manager.

  Mer information om hur du aktiverar SSL finns i självstudiekursen Konfigurera en programuppdateringsplats för användning av TLS/SSL med ett PKI-certifikat.

  Viktigt

  Om du konfigurerar programuppdateringsplatsen för att aktivera SSL-kommunikation för WSUS-servern måste du konfigurera virtuella rötter för SSL på WSUS-servern.

• Aktivera CRL-kontroll.

  Som standard kontrollerar Configuration Manager inte listan över återkallade certifikat (CRL) för att verifiera signaturen för programuppdateringar innan de distribueras till datorer. Att kontrollera listan över återkallade certifikat varje gång ett certifikat används ger större säkerhet mot att använda ett certifikat som har återkallats, men det medför en anslutningsfördröjning och ytterligare bearbetning på datorn som utför CRL-kontrollen.

  Mer information om hur du aktiverar CRL-kontroll för programuppdateringar finns i Så här aktiverar du CRL-kontroll för programuppdateringar.

• Konfigurera WSUS för att använda en anpassad webbplats.

  När du installerar WSUS på programuppdateringsplatsen kan du välja att använda den befintliga IIS-standardwebbplatsen eller att skapa en anpassad WSUS-webbplats. Skapa en anpassad webbplats för WSUS så att IIS är värd för WSUS-tjänsterna på en dedikerad virtuell webbplats i stället för att dela samma webbplats som används av andra Configuration Manager platssystem eller andra program.

  Mer information finns i Konfigurera WSUS för att använda en anpassad webbplats.

Sekretessinformation för programuppdateringar

Programuppdateringar söker igenom klientdatorerna för att avgöra vilka programuppdateringar du behöver och skickar sedan tillbaka informationen till platsdatabasen. Under programuppdateringsprocessen kan Configuration Manager överföra information mellan klienter och servrar som identifierar dator- och inloggningskonton.

Configuration Manager underhåller tillståndsinformation om programdistributionsprocessen. Tillståndsinformation krypteras inte under överföring eller lagring. Tillståndsinformation lagras i Configuration Manager-databasen och tas bort av databasunderhållsuppgifterna. Ingen tillståndsinformation skickas till Microsoft.

Användningen av Configuration Manager programuppdateringar för att installera programuppdateringar på klientdatorer kan omfattas av licensvillkor för dessa uppdateringar, som är separata från licensvillkoren för programvara för Configuration Manager. Granska och godkänn alltid villkoren för programvarulicensiering innan du installerar programuppdateringarna med hjälp av Configuration Manager.

Configuration Manager implementerar inte programuppdateringar som standard och kräver flera konfigurationssteg innan information samlas in.

Innan du konfigurerar programuppdateringar bör du tänka igenom dina sekretesskrav.