分享方式:


Configuration Manager 中軟體更新的安全性和隱私權

適用於:Configuration Manager (目前的分支)

本主題包含 Configuration Manager 中軟體更新的安全性和隱私權資訊。

軟體更新的安全性最佳做法

當您將軟體更新部署至用戶端時,請使用下列安全性最佳做法:

  • 請勿變更軟體更新套件的默認許可權。

    根據預設,軟體更新套件會設定為允許系統管理員 完全控制 和使用者具有 取許可權。 如果您變更這些許可權,可能會允許攻擊者新增、移除或刪除軟體更新。

  • 控制軟體更新下載位置的存取權。

    計算機負責 SMS 提供者、站台伺服器,以及實際將軟體更新下載到下載位置的系統管理使用者,需要下載位置的 入許可權。 限制下載位置的存取,以降低攻擊者竄改下載位置中軟體更新來源檔案的風險。

    此外,如果您針對下載位置使用 UNC 共用,請使用 IPsec 或 SMB 簽署來保護網路通道,以避免軟體更新來源檔案透過網路傳輸時遭到竄改。

  • 使用UTC來評估部署時間。

    如果您使用當地時間而非 UTC,使用者可能會變更電腦上的時區來延遲軟體更新的安裝

  • 在 WSUS 上啟用 SSL,並遵循保護 Windows Server Update Services (WSUS) 的最佳做法。

    識別並遵循與 Configuration Manager 搭配使用之 WSUS 版本的安全性最佳做法。

    如需啟用 SSL 的詳細資訊,請參閱設定 軟體更新點以搭配 PKI 憑證使用 TLS/SSL 教學課程

    重要事項

    如果您設定軟體更新點來啟用 WSUS 伺服器的 SSL 通訊,您必須在 WSUS 伺服器上設定 SSL 的虛擬根目錄。

  • 啟用CRL檢查。

    根據預設,Configuration Manager 不會檢查CRL) (證書吊銷清單,以在軟體更新部署到電腦之前驗證其簽章。 每次使用憑證時檢查 CRL,可針對使用已撤銷的憑證提供更多安全性,但會造成連線延遲,並在執行 CRL 檢查的電腦上產生額外的處理。

    如需如何啟用軟體更新 CRL 檢查的詳細資訊,請參閱 如何啟用軟體更新的 CRL 檢查

  • 將 WSUS 設定為使用自訂網站。

    當您在軟體更新點上安裝 WSUS 時,可以選擇使用現有的 IIS 預設網站或建立自訂 WSUS 網站。 建立 WSUS 的自訂網站,讓 IIS 在專用虛擬網站中裝載 WSUS 服務,而不是共用其他 Configuration Manager 月臺系統或其他應用程式所使用的相同網站。

    如需詳細資訊, 請參閱設定WSUS以使用自訂網站

軟體更新的隱私權資訊

軟體更新會掃描您的用戶端計算機,以判斷您需要哪些軟體更新,然後將該資訊傳回月臺資料庫。 在軟體更新程式期間,Configuration Manager 可能會在識別計算機和登入帳戶的用戶端和伺服器之間傳輸資訊。

Configuration Manager 維護軟體部署程式的狀態資訊。 狀態資訊不會在傳輸或儲存期間加密。 狀態資訊會儲存在 Configuration Manager 資料庫中,並由資料庫維護工作刪除。 不會將狀態資訊傳送給 Microsoft。

使用 Configuration Manager 軟體更新在用戶端電腦上安裝軟體更新,可能會受限於這些更新的軟體授權條款,這與 Configuration Manager 的軟體授權條款不同。 在使用 Configuration Manager 安裝軟體更新之前,請務必檢閱並同意軟體授權條款。

Configuration Manager 預設不會實作軟體更新,而且需要數個設定步驟,才能收集資訊。

設定軟體更新之前,請考慮您的隱私權需求。