Aracılığıyla paylaş


Configuration Manager'da Yazılım Günceleştirmeleri İçin Güvenlik ve Gizlilik

 

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Bu konu, System Center 2012 Configuration Manager'daki yazılım güncelleştirmeleri için güvenlik ve gizlilik bilgilerini içerir.

Yazılım Güncelleştirmeleri için En İyi Güvenlik Yöntemleri

İstemcilere yazılım güncelleştirmelerini dağıtırken aşağıdaki en iyi güvenlik yöntemlerini kullanın:

En iyi güvenlik yöntemi

Daha fazla bilgi

Yazılım güncelleştirme paketlerinin varsayılan izinlerini değiştirmeyin.

Varsayılan olarak, yazılım güncelleştirme paketleri yöneticilere Tam Denetim ve kullanıcılara Okuma erişimi sağlamaya ayarlanmıştır. Bu ayarları değiştirirseniz bu durum, bir saldırganın yazılım güncelleştirmelerini eklemesine, kaldırmasına veya silmesine neden olabilir.

Yazılım güncelleştirmelerinin indirme konumuna olan erişimi denetleyin.

SMS Sağlayıcısı için bilgisayar hesaplarının, site sunucusunun ve yazılım güncelleştirmelerini indirme konumuna indirecek olan yönetici kullanıcının, indirme konumuna Yazma erişimi olması gerekir. İndirme konumundaki yazılım güncelleştirme kaynak dosyalarının saldırganlar tarafından izinsiz değiştirilme riskini azaltmak için indirme konumuna erişimi sınırlandırın.

Ayrıca, indirme konumu için bir UNC paylaşımı kullanırsanız, yazılım güncelleştirme kaynak dosyalarının ağ üzerinden aktarıldığında izinsiz değiştirilmesini engellemek için IPsec veya SMB imzası kullanarak ağ kanalını güvenli hale getirin.

Dağıtım zamanlarını değerlendirmek için UTC kullanın.

UTC yerine yerel saat kullanırsanız kullanıcılar, bilgisayarlarındaki saat dilimini değiştirerek yazılım güncelleştirmelerini geciktirebilir.

Windows Server Update Services (WSUS) üzerinde SSL'i etkinleştirin ve WSUS'yi güvenli hale getirmek için en iyi yöntemleri takip edin.

Configuration Manager ile kullandığınız WSUS sürümü için en iyi yöntemleri belirleyin ve takip edin.

System_CAPS_importantÖnemli

WSUS sunucusuna SSL iletişimini etkinleştirmek için yazılım güncelleştirme noktasını yapılandırırsanız, WSUS sunucusunda SSL için sanal kökler yapılandırmanız gerekir.

CRL denetimini etkinleştirin.

Varsayılan olarak Configuration Manager, bilgisayarlara dağıtılmadan önce yazılım güncelleştirmelerindeki imzayı doğrulamak için sertifika iptal listesini (CRL) denetlemez. Her sertifika kullanıldığında CRL'nin denetlenmesi, iptal edilmiş sertifika kullanımına karşı daha fazla güvenlik sağlar ancak bağlantıda bir gecikmeye ve CRL denetimi yapılan bilgisayarda ek işlem yapılmasına neden olur.

Yazılım güncelleştirmeleri için CRL denetiminin nasıl etkinleştirileceği hakkında daha fazla bilgi için, bkz. Yazılım Güncelleştirmeleri için CRL Denetimini Etkinleştirme.

Özel bir web sitesi kullanmak için WSUS'yi yapılandırın.

Yazılım güncelleştirme noktasına WSUS'yi yüklediğinizde mevcut IIS Varsayılan Web sitesini kullanma veya özel bir WSUS web sitesi oluşturma seçenekleriniz vardır. WSUS için özel bir web sitesi oluşturun, böylece IIS, diğer Configuration Manager site sistemleri veya diğer uygulamalar tarafından kullanılan aynı web sitesini paylaşmak yerine, WSUS hizmetlerini bir ayrılmış sanal web sitesinde barındırır.

Daha fazla bilgi edinmek için Configuration Manager'da Yazılım Güncelleştirmeleri Planlaması konusunun WSUS'i Özel Web Sitesi Kullanacak Şekilde Yapılandırma bölümüne bakın.

Ağ Erişim Koruması (NAP): Kötü amaçlı kullanıcılara karşı bir ağı güvenli hale getirmek için NAP kullanmayın.

Ağ Erişim Koruması, yöneticilerin ağdaki bilgisayarların sağlığını ve dönüşte ağın genel bütünlüğünü korumalarını sağlamak üzere tasarlanmıştır. Örneğin, bir bilgisayar Configuration Manager NAP ilkesinin gerektirdiği tüm yazılım güncelleştirmelerine sahipse uyumlu kabul edilir ve bu bilgisayara ilgili ağ erişimi verilir. Ağ Erişim Koruması, uyumlu bir bilgisayarı olan yetkili bir kullanıcının ağa kötü amaçlı bir program yüklemesini veya NAP aracısını devre dışı bırakmasını engellemez.

Ağ Erişim Koruması (NAP): Bir üretim ortamında DHCP NAP zorlaması kullanmayın.

DHCP NAP'i güvenli bir sınama ortamında veya yalnızca izleme amaçlarıyla kullanın. DHCP NAP kullandığınızda saldırganlar, istemci ve NAP sistem durumu ilke sunucusu arasındaki sistem durum paketlerini değiştirebilir ve kullanıcılar NAP işlemini atlayabilir.

Ağ Erişim Koruması (NAP): Karışıklığı en aza indirgemek için hiyerarşi genelinde tutarlı NAP ilkeleri kullanın.

Yanlış yapılandırılan NAP ilkeleri, engellenen istemcilerin ağa erişmeleriyle veya geçerli istemcilerin yanlışlıkla engellenmeleriyle sonuçlanabilir. NAP ilkesi tasarımınız ne kadar karmaşık olursa yanlış yapılandırma riski o kadar yüksek olur. Hiyerarşi genelinde veya istemcilerin aralarında dolaşabileceği kuruluştaki ek hiyerarşilerde aynı ayarları kullanmak için Configuration Manager NAP istemci aracısını ve Configuration Manager Sistem Durumu Doğrulayıcısı noktalarını yapılandırın.

System_CAPS_importantÖnemli

Ağ Erişim Koruması istemci aracısı etkin olan bir Configuration Manager istemci, farklı bir Configuration Manager hiyerarşisine dolaşırsa ve istemcisinin sistem durumu bilgisi, hiyerarşisi dışındaki bir Sistem Durumu Doğrulayıcı noktası tarafından doğrulanırsa doğrulama işlemi site denetimini başaramaz. Bu durum, varsayılan olarak NAP sistem durumu ilkesi sunucusunda uyumsuz olarak yapılandırılan bilinmeyen istemci sistem durumuyla sonuçlanır. NAP sistem durumu ilkesi sunucusu, sınırlı ağ erişimi için yapılandırılan ağ ilkelerine sahipse bu istemciler düzeltilemez ve tam ağa erişememe riski taşır. NAP sistem durumu ilkesi sunucusundaki bir özel durum ilkesi, Configuration Manager hiyerarşilerinin dışında dolaşan Configuration Manager istemcilere sınırsız ağ erişimi sunabilir.

Ağ Erişim Koruması (NAP): Yeni Configuration Manager sitelerinde bir istemci ayarı olarak Ağ Erişim korumasını hemen etkinleştirmeyin.

Site sunucuları, Configuration Manager NAP ilkeleri değiştirildiğinde Configuration Manager sistem durumu başvurusunu bir etki alanı denetleyicisine yayınlasa bile bu yeni veri, Active Directory çoğaltması tamamlanana kadar Sistem Durumu Doğrulama noktası tarafından hemen alınamayabilir. Çoğaltma işlemi tamamlanmadan önce Configuration Manager istemcilerinde Ağ Erişim Koruması'nı etkinleştirirseniz ve NAP sistem durumu ilkesi sunucunuz uyumsuz istemcilere sınırlı ağ erişimi sunarsa kendinize karşı bir hizmet reddi saldırısına neden olabilirsiniz.

Ağ Erişim Koruması (NAP): Sistem durumu başvurusunu atanmış bir ormanda depoluyorsanız sistem durumu başvurusunun yayınlanması ve alınması için iki farklı hesap belirtin.

Sistem durumu başvurularını depolamak için bir Active Directory ormanı atadığınızda, farklı izin kümeleri gerektirdiğinden iki farklı hesap belirtin:

  • Sistem Durumu Başvurusu Yayınlama Hesabı, sistem durumu başvurularını depolayan Active Directory ormanı için Okuma, Yazma ve Oluşturma izinlerini gerektirir.

  • Sistem Durumu Başvurusu Sorgulama Hesabı, sistem durumu başvurularını depolayan Active Directory ormanı için yalnızca Okuma iznini gerektirir. Bu hesaba etkileşimli oturum açma hakları vermeyin.

Ağ Erişim Koruması (NAP): Ağ Erişim Koruması'nı, anlık veya gerçek zamanlı bir uygulama mekanizması olarak kullanmayın.

NAP uygulama mekanizmasında doğal gecikmeler vardır. NAP, uzun vadede bilgisayarları uyumlu tutarken, çeşitli yapılandırma parametrelerinin ayarları gibi çeşitli etkenler nedeniyle genel uygulama gecikmeleri yaklaşık birkaç saat veya daha fazla sürebilir.

Yazılım Güncelleştirmeleri için Güvenlik Bilgileri

Yazılım güncelleştirmeleri, hangi yazılım güncelleştirmesine ihtiyacınız olduğunu belirlemek için istemci bilgisayarlarınızı tarar ve daha sonra bu bilgileri site veritabanına geri gönderir. Yazılım güncelleştirme işlemi sırasında Configuration Manager, bilgisayar ve oturum açma hesaplarını belirleyen istemciler ve sunucular arasında bilgi iletimi sağlayabilir.

Configuration Manager yazılım dağıtım işlemi ile ilgili durum bilgisini tutar. Durum bilgisi, iletim veya depolama sırasında şifrelenmez. Durum bilgisi Configuration Manager veritabanında depolanır ve veritabanı bakım görevleri tarafından silinir. Durum bilgilerinin hiçbiri Microsoft'a gönderilmez.

İstemci bilgisayarlarına yazılım güncelleştirmelerini yüklemek için Configuration Manager yazılım güncelleştirmelerinin kullanılması, Microsoft System Center 2012 Configuration Manager'ın Yazılım Lisans Koşulları'ndan farklı olarak bu güncelleştirmelerin yazılım lisans koşullarına tabi olabilir.Configuration Manager kullanarak yazılım güncelleştirmelerini yüklemeden önce Yazılım Lisans Koşulları'nı her zaman gözden geçirin ve kabul edin.

Configuration Manager varsayılan olarak yazılım güncelleştirmelerini uygulamaz ve bilgiler toplanmadan önce çeşitli yapılandırma adımları gerektirir.

Yazılım güncelleştirmelerini yapılandırmadan önce gizlilik gereksinimlerinizi dikkate alın.