通过

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

应用最新的安全更新是安全最佳方案。Microsoft System Center Configuration Manager 2007 可使得更轻松地将软件更新应用到组织中的计算机。但是,一些最佳方案可帮助防止攻击者劫持软件更新基础结构。

安全最佳方案

请勿更改对软件更新包的默认权限    默认情况下,软件更新包设置为允许管理员具有完全控制权限,并且允许用户具有读取权限。更改这些权限可能允许攻击者添加或删除软件更新。

控制对软件更新下载位置的访问权限     SMS 提供程序计算机帐户和实际将软件更新下载到下载位置的用户都需要对下载位置具有写入权限。限制对下载位置的访问权限可降低攻击者在下载位置篡改软件更新源文件的风险。

使用 UTC 评估部署时间    如果使用本地时间代替 UTC,用户可能通过更改其计算机的时区来延迟软件更新安装。

采用最佳方案保护 WSUS 安全    有关保护 WSUS 安全(包括添加 Active Directory 身份验证和 SSL)的信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=93170(页面可能为英文)。

重要

如果站点处于纯模式,则除执行在 WSUS 服务器上配置 SSL 的典型步骤外,您还必须在其他一些虚拟根上启用 SSL 以支持 Configuration Manager 2007 纯模式。有关详细信息,请参阅规划软件更新点安装

启用 CRL 检查     默认情况下,验证软件更新的签名时不会检查证书吊销列表 (CRL)。每次使用证书时检查 CRL 会比使用已被吊销的证书提供更高的安全性,但是执行 CRL 检查会导致连接出现延迟,并且计算机上执行其他处理操作。有关该过程的信息,请参阅如何对软件更新启用 CRL 检查

如果软件更新点是在外围网络中配置的,则将站点服务器配置为从站点系统检索数据    默认情况下,站点系统会将其数据传递回站点服务器。站点系统可以被配置为要求站点服务器提取数据,这样做允许更好地控制端口以及数据传输所需的权限。设置“仅允许从此站点系统由站点服务器启动的数据传输”适用于整个站点系统以及其上配置的所有站点系统角色。

如果必须将软件更新部署到 SMS 2003 客户端,则在层次结构中最高的主站点服务器上运行 Microsoft 更新清单工具     虽然不要求在中央服务器上安装该清单工具,但是您应该始终在客户端向其报告的最高站点上安装它。如果扫描工具安装在层次结构中较低的主站点上,层次结构中较高的站点将无法对软件更新进行报告。

配置 WSUS 以使用自定义网站    当在软件更新点上安装 WSUS 时,您可以选择使用现有的 IIS 默认网站,也可以创建自定义的 WSUS 3.0 网站。您应该为 WSUS 创建自定义网站,以便 Internet Information Services (IIS) 在专用虚拟网站中宿主 WSUS 3.0 服务,而不是共享由其他 Configuration Manager 2007 站点系统或其他应用程序使用的同一网站。有关详细信息,请参阅规划软件更新点安装

为站点和分发点启用 BITS 2.5    如果软件更新安装在客户端上,则首先将源文件下载到客户端计算机上的缓存,然后进行安装。如果在分发点上启用了 BITS,则当在下载软件更新过程中与网络断开连接时,不会导致部署失败,这是因为 BITS 能够在客户端下次访问网络时从中断位置开始恢复下载。如果未在分发点上启用 BITS,并且下载软件更新文件时出现网络问题,则软件更新安装将失败,从而可能导致客户端易受攻击。

隐私信息

软件更新会扫描您的客户端计算机以确定您需要哪些软件更新,然后将该信息发送回站点数据库。在软件更新过程中,Configuration Manager 2007 可能会在客户端和服务器之间传输识别计算机和登录帐户的信息。

Configuration Manager 2007 维护有关软件分发过程的状态信息。在传输或存储过程中,状态信息不会被加密。状态信息存储在站点数据库中,并由数据库维护任务删除。状态信息不会被发送回 Microsoft。

使用 Configuration Manager 2007 软件更新来在客户端计算机上安装软件更新可能受这些更新的软件许可条款的约束,这些条款与 Configuration Manager 2007 软件许可条款是分开的。在使用 Configuration Manager 2007 安装软件更新之前,您应该查看并同意软件许可条款。

Configuration Manager 2007 不默认实施软件更新,并且需要执行几个配置步骤才能收集信息。在配置软件更新之前,请考虑您的隐私要求。

另请参阅

其他资源

Configuration Manager 功能的安全最佳方案和隐私信息
Configuration Manager 中的软件更新

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。