清单安全最佳方案和隐私信息
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
收集清单会暴露潜在的漏洞。攻击者可能会:
发送无效的数据。
发送超大量的数据。
在将清单信息传输到站点系统时访问清单信息。
与强制未经授权的软件分发相比,通常认为清单攻击严重性略低,因为清单信息可以通过其他方式提供。
清单最佳方案
启用清单加密 在 Microsoft System Center Configuration Manager 2007 纯模式下,客户端与管理点的通信使用 SSL 进行加密。在混合模式下,发送至管理点的客户端清单报表和所收集文件默认经过签名但未加密。有关加密发送到管理点的清单报表的详细信息,请参阅如何加密客户端清单报表。
在高安全环境中禁用 IDMIF 和 NOIDMIF 收集 IDMIF 和 NOIDMIF 收集可用于扩展硬件清单收集。如有必要,Configuration Manager 2007 将创建新表或修改站点数据库中的现有表以容纳 IDMIF 和 NOIDMIF 文件中的属性。但是,IDMIF 和 NOIDMIF 文件没有经过验证,因此可以使用它们来更改不希望更改的表。无效数据可以覆盖有效数据。可以加载大量数据,导致所有 Configuration Manager 2007 功能延迟。要缓解此风险,您可以在硬件清单客户端代理属性上禁用 IDMIF 和 NOIDMIF 收集。
备注
使用 SMS_def.mof 扩展扩展硬件清单收集不存在这些安全问题。所有 SMS_def.mof 扩展都必须在服务器范围内进行,这需要管理权限。
不要使用文件收集来收集重要文件或敏感信息 Configuration Manager 2007 使用本地系统帐户的所有权限收集清单,这样能够收集重要系统文件的副本,例如注册表或安全帐户数据库。当这些文件在站点服务器中可用时,对存储的文件位置具有读取资源权限或 NTFS 权限的用户可以分析其内容,并且有可能识别关于客户端的重要详细信息,从而威胁其安全性。
隐私信息
硬件清单允许您检索存储在 Configuration Manager 2007 客户端的 WMI 中的任何信息。软件清单允许您发现具有指定类型的所有文件或从客户端收集任何指定的文件。通过扩展硬件和软件清单并添加新的许可证管理功能,资产智能增强了清单功能。
默认情况下,硬件清单处于启用状态,而收集的 WMI 信息由 SMS_def.mof 文件确定。您可以修改 .mof 文件以收集更多或较少的信息。软件清单和文件收集在默认情况下是禁用的。默认情况下,在新安装上不启用资产智能数据收集,但是如果先前已对 SMS 2003 SP3 启用,则在升级之后仍会启用。
清单信息不会被发送回 Microsoft。清单信息存储在站点数据库中。在纯模式下传输到管理点期间对清单进行加密。在纯模式下,您可以选择启用清单加密。在任一模式下,数据均不以加密形式存储在数据库中。信息将保留在数据库中,直到每 90 天后被站点维护任务“删除过期的清单历史记录”或“删除过期的收集文件”删除。您可以配置删除间隔。
在配置硬件清单、软件清单、文件收集或资产智能数据收集之前,请考虑您的隐私要求。
另请参阅
其他资源
Configuration Manager 功能的安全最佳方案和隐私信息
Configuration Manager 中的清单
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。