Seguridad y privacidad para el inventario de software en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Este tema contiene información de seguridad y privacidad para el inventario de software en Configuration Manager.
Procedimientos recomendados de seguridad para el inventario de software
Use los siguientes procedimientos recomendados de seguridad para cuando recopile datos de inventario de software de clientes:
| Procedimiento recomendado de seguridad | Más información |
|---|---|
| Firmar y cifrar datos de inventario | Cuando los clientes se comunican con puntos de administración mediante HTTPS, todos los datos que envían se cifran mediante SSL. Sin embargo, cuando los equipos cliente usan HTTP para comunicarse con puntos de administración en la intranet, los datos de inventario de cliente y los archivos recopilados se pueden enviar sin firmar y sin cifrar. Asegúrese de que el sitio está configurado para requerir la firma y usar el cifrado. Además, si los clientes pueden admitir el algoritmo SHA-256, seleccione la opción para requerir SHA-256. |
| No usar la recopilación de archivos para recopilar archivos críticos o información confidencial | Configuration Manager inventario de software usa todos los derechos de la cuenta LocalSystem, que tiene la capacidad de recopilar copias de archivos críticos del sistema, como la base de datos del registro o de la cuenta de seguridad. Cuando estos archivos están disponibles en el servidor de sitio, alguien con los derechos Read Resource o NTFS a la ubicación del archivo almacenado podría analizar su contenido y posiblemente discernir detalles importantes sobre el cliente para poder poner en peligro su seguridad. |
| Restricción de derechos administrativos locales en equipos cliente | Un usuario con derechos administrativos locales puede enviar datos no válidos como información de inventario. |
Problemas de seguridad para el inventario de software
La recopilación de inventario expone posibles vulnerabilidades. Los atacantes pueden realizar lo siguiente:
Envíe datos no válidos, que el punto de administración aceptará incluso cuando la configuración del cliente de inventario de software esté deshabilitada y la recopilación de archivos no esté habilitada.
Envíe cantidades excesivamente grandes de datos en un solo archivo y en una gran cantidad de archivos, lo que podría provocar una denegación de servicio.
Acceda a la información de inventario a medida que se transfiere a Configuration Manager.
Si los usuarios saben que pueden crear un archivo oculto denominado Skpswi.dat y colocarlo en la raíz de un disco duro cliente para excluirlo del inventario de software, no podrá recopilar datos de inventario de software de ese equipo.
Dado que un usuario con privilegios administrativos locales puede enviar cualquier información como datos de inventario, no considere que los datos de inventario recopilados por Configuration Manager sean autoritativos.
El inventario de software está habilitado de forma predeterminada como una configuración de cliente.
Información de privacidad del inventario de software
El inventario de hardware permite recuperar cualquier información almacenada en el Registro y en WMI en Configuration Manager clientes. El inventario de software le permite detectar todos los archivos de un tipo especificado o recopilar los archivos especificados de los clientes. Asset Intelligence mejora las funcionalidades de inventario ampliando el inventario de hardware y software y agregando nuevas funciones de administración de licencias.
El inventario de hardware está habilitado de forma predeterminada como una configuración de cliente y la información de WMI recopilada viene determinada por las opciones que seleccione. El inventario de software está habilitado de forma predeterminada, pero los archivos no se recopilan de forma predeterminada. La recopilación de datos de Asset Intelligence se habilita automáticamente, aunque puede seleccionar las clases de informes de inventario de hardware para habilitar.
La información de inventario no se envía a Microsoft. La información de inventario se almacena en la base de datos Configuration Manager. Cuando los clientes usan HTTPS para conectarse a puntos de administración, los datos de inventario que envían al sitio se cifran durante la transferencia. Si los clientes usan HTTP para conectarse a puntos de administración, tiene la opción de habilitar el cifrado de inventario. Los datos de inventario no se almacenan en formato cifrado en la base de datos. La información se conserva en la base de datos hasta que las tareas de mantenimiento del sitio eliminen el historial de inventario antiguo o eliminen los archivos recopilados antiguos cada 90 días. Puede configurar el intervalo de eliminación.
Antes de configurar el inventario de hardware, el inventario de software, la recopilación de archivos o la recopilación de datos de Asset Intelligence, tenga en cuenta sus requisitos de privacidad.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de