Configuration Manager中软件更新的安全和隐私

适用于: Configuration Manager(current branch)

本主题包含 Configuration Manager 中软件更新的安全和隐私信息。

软件更新的安全最佳做法

将软件更新部署到客户端时,请使用以下安全最佳做法:

  • 不要更改软件更新包的默认权限。

    默认情况下,软件更新包设置为允许管理员 “完全控制” 和“用户”具有 读取 访问权限。 如果更改这些权限,攻击者可能会添加、删除或删除软件更新。

  • 控制对软件更新下载位置的访问。

    计算机负责 SMS 提供程序、站点服务器以及实际将软件更新下载到下载位置的管理用户需要下载位置的 写入 访问权限。 限制对下载位置的访问,以降低攻击者篡改下载位置中的软件更新源文件的风险。

    此外,如果使用 UNC 共享作为下载位置,请使用 IPsec 或 SMB 签名来保护网络通道,以防止在通过网络传输软件更新源文件时被篡改。

  • 使用 UTC 评估部署时间。

    如果使用本地时间而不是 UTC,则用户可能会通过更改其计算机上的时区来延迟软件更新的安装

  • 在 WSUS 上启用 SSL,并遵循保护Windows Server Update Services (WSUS) 的最佳做法。

    确定并遵循与 Configuration Manager 一起使用的 WSUS 版本的安全最佳做法。

    有关启用 SSL 的详细信息,请参阅 配置软件更新点以将 TLS/SSL 与 PKI 证书配合使用教程

    重要

    如果将软件更新点配置为为 WSUS 服务器启用 SSL 通信,则必须在 WSUS 服务器上为 SSL 配置虚拟根。

  • 启用 CRL 检查。

    默认情况下,Configuration Manager不会检查证书吊销列表, (CRL) 在软件更新部署到计算机之前验证软件更新上的签名。 每次使用证书时检查 CRL 可提高安全性,防止使用已吊销的证书,但会引入连接延迟,并在执行 CRL 检查的计算机上引发额外的处理。

    有关如何为软件更新启用 CRL 检查的详细信息,请参阅 如何为软件更新启用 CRL 检查

  • 将 WSUS 配置为使用自定义网站。

    在软件更新点上安装 WSUS 时,可以选择使用现有 IIS 默认网站或创建自定义 WSUS 网站。 为 WSUS 创建自定义网站,以便 IIS 在专用虚拟网站中托管 WSUS 服务,而不是共享其他Configuration Manager站点系统或其他应用程序使用的相同网站。

    有关详细信息,请参阅 将 WSUS 配置为使用自定义网站

软件更新的隐私信息

软件更新会扫描客户端计算机以确定所需的软件更新,然后将该信息发送回站点数据库。 在软件更新过程中,Configuration Manager可能会在标识计算机和登录帐户的客户端和服务器之间传输信息。

Configuration Manager维护有关软件部署过程的状态信息。 在传输或存储期间,状态信息不会加密。 状态信息存储在 Configuration Manager 数据库中,数据库维护任务会将其删除。 不会向 Microsoft 发送任何状态信息。

使用Configuration Manager软件更新在客户端计算机上安装软件更新可能受这些更新的软件许可条款的约束,该条款与Configuration Manager的软件许可条款是分开的。 在使用 Configuration Manager 安装软件更新之前,请始终查看并同意软件许可条款。

Configuration Manager默认情况下不实现软件更新,在收集信息之前需要执行多个配置步骤。

在配置软件更新之前,请考虑隐私要求。