Bewährte Sicherheitsmethoden und Datenschutzinformationen für Softwareupdates

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Zu den bewährten Sicherheitsmethoden gehört das Anwenden der aktuellen Sicherheitsupdates. Microsoft System Center Configuration Manager 2007 vereinfacht die Anwendung von Softwareupdates auf Computern in Ihrer Organisation. Es gibt einige bewährte Methoden, um die Softwareupdateinfrastruktur vor Manipulationen durch Angreifer zu schützen.

Bewährte Sicherheitsmethoden

Ändern Sie nicht die Standardberechtigungen von Softwareupdatepaketen.    Standardmäßig sind Softwareupdatepakete so konfiguriert, dass Administratoren Vollzugriff und Benutzern Lesezugriff gewährt wird. Wenn Sie diese Berechtigungen ändern, könnte dies einem Angreifer ermöglichen, Softwareupdates hinzuzufügen, zu entfernen oder zu löschen.

Beschränken Sie den Zugriff auf den Downloadspeicherort der Softwareupdates.     Sowohl das SMS-Anbietercomputerkonto als auch der Benutzer, der die Softwareupdates herunterlädt, benötigen Schreibzugriff auf den Downloadspeicherort. Beschränken Sie den Zugriff auf den Downloadspeicherort, um das Risiko zu verringern, dass Angreifer die Quelldatei der Softwareupdates am Downloadspeicherort manipulieren.

Verwenden Sie für die Bewertung der Bereitstellungszeiten UTC.    Wenn Sie Ortszeit anstelle von UTC verwenden, können Benutzer die Installation von Softwareupdates verzögern, indem sie die Zeitzone auf ihren Computern ändern.

Befolgen Sie die bewährten Methoden zum Schützen von WSUS    Informationen zum Schützen von WSUS sowie zum Hinzufügen einer Active Directory-Authentifizierung und SSL finden Sie unter https://go.microsoft.com/fwlink/?LinkId=93170 (möglicherweise in englischer Sprache).

Wichtig

Wenn sich Ihr Standort im einheitlichen Modus befindet, müssen Sie zur Unterstützung des einheitlichen Modus von Configuration Manager 2007 zusätzlich zur Konfiguration von SSL auf dem WSUS-Server SSL für einige zusätzliche virtuelle Stammverzeichnisse aktivieren. Weitere Informationen finden Sie unter Planen der Installation des Softwareupdatepunkts.

Aktivieren Sie die CRL-Prüfung.     Standardmäßig wird die Zertifikatsperrliste (Certificate Revocation List, CRL) bei der Überprüfung der Signaturen von Softwareupdates nicht berücksichtigt. Das Prüfen der CRL bei jeder Verwendung eines Zertifikats bietet einen höheren Schutz vor gesperrten Zertifikaten, führt jedoch zu einer Verbindungsverzögerung und zusätzlichem Verarbeitungsaufwand auf dem Computer, der die CRL-Prüfung ausführt. Die erforderlichen Schritte werden unter Aktivieren der CRL-Prüfung für Softwareupdates beschrieben.

Wenn der Softwareupdatepunkt in einem Umkreisnetzwerk konfiguriert ist, konfigurieren Sie den Standortserver zum Abrufen der Daten auf dem Standortsystem.    Standardmäßig übertragen Standortsysteme ihre Daten mithilfe von Push zurück zum Standortserver. Ein Standortsystem kann so konfiguriert werden, dass stattdessen der Standortserver angewiesen wird, die Daten mithilfe von Pull zu übertragen. Dies ermöglicht eine bessere Kontrolle der für die Datenübertragung erforderlichen Ports und Berechtigungen. Die Einstellung Nur von Standortservern initiierte Datenübertragungen von diesem Standortsystem zulassen gilt für das gesamte Standortsystem und alle in ihm konfigurierten Standortsystemrollen.

Wenn Sie Softwareupdates für SMS 2003-Clients bereitstellen müssen, führen Sie das Inventurprogramm für Microsoft Updates auf dem primären Standortserver aus, der sich auf der obersten Ebene der Hierarchie befindet.     Es ist nicht erforderlich, das Inventurprogramm für Microsoft Updates auf dem zentralen Server zu installieren. Sie sollten es jedoch immer auf dem obersten Standort der Hierarchie installieren, dem Clients untergeordnet sind. Wenn das Überprüfungstool an einem primären Standort installiert wird, der sich weiter unten in der Hierarchie befindet, können die Standorte auf den höheren Ebenen keine Berichte zu den Softwareupdates senden.

Konfigurieren Sie WSUS für die Verwendung einer benutzerdefinierten Website.    Beim Installieren von WSUS auf einem Softwareupdatepunkt haben Sie die Möglichkeit, die vorhandene IIS-Standardwebsite oder eine benutzerdefinierte WSUS 3.0-Website zu verwenden. Erstellen Sie eine benutzerdefinierte Website für WSUS, sodass die Internetinformationsdienste (IIS) die WSUS 3.0-Dienste auf einer eigenen virtuellen Website hosten, anstatt dafür dieselbe Website wie andere Configuration Manager 2007-Standortsysteme oder andere Anwendungen zu verwenden. Weitere Informationen finden Sie unter Planen der Installation des Softwareupdatepunkts.

Aktivieren Sie BITS 2.5 auf dem Standort und den Verteilungspunkten.    Beim Installieren von Softwareupdates auf Clients werden die Quelldateien zunächst in den Clientcache heruntergeladen und dann installiert. Wenn BITS auf dem Verteilungspunkt aktiviert ist, erfolgt die Bereitstellung auch bei einer Trennung der Netzwerkverbindung während des Downloads der Softwareupdates, da BITS den Download beim nächsten Zugriff des Clients auf das Netzwerk an der Stelle fortsetzt, an der er unterbrochen wurde. Wenn BITS auf dem Verteilungspunkt nicht aktiviert ist und während des Downloads der Softwareupdatedateien ein Netzwerkproblem auftritt, kann die Installation der Softwareupdates nicht ausgeführt werden, wodurch der betreffende Client möglicherweise in einem Zustand belassen wird, in dem er anfällig für Angriffe ist.

Datenschutzinformationen

Die Softwareupdatefunktion überprüft Ihre Clientcomputer, um zu bestimmen, welche Softwareupdates Sie benötigen. Diese Informationen werden dann zur Standortdatenbank zurückgesendet. Beim Softwareupdateprozess überträgt Configuration Manager 2007 möglicherweise Informationen zwischen Clients und Servern, die die Computer- und Anmeldekonten identifizieren.

Configuration Manager 2007 verwaltet Zustandsinformationen zum Softwareverteilungsprozess. Zustandsinformationen werden während der Übertragung oder Speicherung nicht verschlüsselt. Zustandsinformationen werden in der Standortdatenbank gespeichert und von den Datenbankwartungstasks gelöscht. Die Zustandsinformationen werden nicht an Microsoft zurückgesendet.

Das Verwenden der Softwareupdatefunktion von Configuration Manager 2007 zur Installation von Softwareupdates auf Clientcomputern kann Softwarelizenzbedingungen für diese Updates unterliegen, die sich von den Softwarelizenzbedingungen für Configuration Manager 2007 unterscheiden. Bevor Sie die Softwareupdates mit Configuration Manager 2007 installieren, sollten Sie immer die Softwarelizenzbedingungen lesen und akzeptieren.

Configuration Manager 2007 implementiert die Softwareupdatefunktion nicht standardmäßig, und es sind mehrere Konfigurationsschritte erforderlich, bevor Informationen gesammelt werden. Berücksichtigen Sie vor dem Konfigurieren der Softwareupdatefunktion Ihre Datenschutzanforderungen.

Siehe auch

Andere Ressourcen

Bewährte Sicherheitsmethoden und Datenschutzinformationen zu Configuration Manager-Features
Softwareupdates in Configuration Manager

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com