Biztonság és adatvédelem a System Center Configuration Manager megfelelőségi beállításokSecurity and privacy for compliance settings in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A megfelelőségi beállítások biztonsági védelmének bevált gyakorlataSecurity best practices for compliance settings

Bevált biztonsági gyakorlatSecurity best practice További információMore information
Ne figyelje a bizalmas adatokat.Do not monitor sensitive data. Az információk felfedésének elkerülése érdekében ne állítsa be a konfigurációelemeket a feltehetően bizalmas adatok figyelésére.To help avoid information disclosure, do not configure configuration items to monitor potentially sensitive information.
Ne konfiguráljon olyan megfelelőségi szabályokat, amelyek végfelhasználók által módosítható adatokat használnak.Do not configure compliance rules that use data that can be modified by end users. Ha a felhasználók által módosítható adatok, például konfigurációválasztásokhoz tartozó beállításjegyzék-beállítások alapján hoz létre megfelelőségi szabályt, a megfelelőségi eredmények nem lesznek megbízhatók.If you create a compliance rule based on data that users can modify, such as registry settings for configuration choices, the compliance results will not be reliable.
Csak akkor importáljon külső forrásból Microsoft System Center konfigurációs csomagokat vagy más konfigurációs adatokat, ha azok egy megbízható közzétevő digitális aláírásával rendelkeznek.Import Microsoft System Center configuration packs and other configuration data from external sources only if they have a valid digital signature from a trusted publisher. A közzétett konfigurációs adatok digitális aláírással láthatók el, hogy ellenőrizni lehessen a közzétételi forrást, valamint azt, hogy az adatokat nem módosították.Published configuration data can be digitally signed so that you can verify the publishing source and ensure that the data has not been tampered with. Ha a digitális aláírás ellenőrzése sikertelen, a rendszer figyelmezteti és rákérdez az importálás folytatására.If the digital signature verification check fails, you are warned and prompted to continue with the import. Ne importáljon aláíratlan adatokat, ha nem tudja ellenőrizni az adatok forrását és sértetlenségét.Do not import unsigned data if you cannot verify the source and integrity of the data.
Alkalmazzon hozzáférés-vezérlést a referencia-számítógépek védelméhez.Implement access controls to protect reference computers. Amikor egy rendszergazda felhasználó egy referencia-számítógépet tallózással megkeresve konfigurálja a beállításjegyzékben vagy a fájlrendszerben található beállításokat, győződjön meg arról, hogy a referencia-számítógép biztonsága nem sérült.Ensure that when an administrative user configures a registry or file system setting by browsing to a reference computer, the reference computer had not been compromised.
Ha tallózással keres referencia-számítógépet, biztonságossá kell tennie a kommunikációs csatornát.Secure the communication channel when you browse to a reference computer. Ha a hálózaton keresztül továbbított adatok illetéktelen megakadályozásához használja az IP-biztonság (IPsec) vagy kiszolgálói üzenetblokk (SMB) a Configuration Manager konzolt futtató számítógép és a referencia-számítógép között.To prevent tampering of the data when it is transferred over the network, use Internet Protocol security (IPsec) or server message block (SMB) between the computer that runs the Configuration Manager console and the reference computer.
Korlátozza és a figyelje azokat a rendszergazdákat, akik megfelelőségibeállítás-kezelői biztonsági szerepkörrel rendelkeznek.Restrict and monitor the administrative users who are granted the Compliance Settings Manager role-based security role. A megfelelőségibeállítás-kezelői szerepkört kapott rendszergazda felhasználók minden eszköz és a hierarchiában lévő összes felhasználó számára telepíthetnek konfigurációelemeket.Administrative users who are granted the Compliance Settings Manager role can deploy configuration items to all devices and all users in the hierarchy. A konfigurációelemek nagyon hatékonyak lehetnek, például parancsfájlokat és a beállításjegyzék újrakonfigurálását is tartalmazhatják.Configuration items can be very powerful and can include, for example, scripts and registry reconfiguration.

Adatvédelmi információ a megfelelőségi beállításokhozPrivacy information for compliance settings

A megfelelőségi beállítások segítségével értékelhető, hogy az ügyféleszközök megfelelnek-e a referenciakonfigurációkban központilag telepített konfigurációs elemeknek.You can use compliance settings to evaluate whether your client devices are compliant with configuration items that you deploy in configuration baselines. Egyes beállítások automatikusan is kijavíthatók, ha nem megfelelőek.Some settings can be automatically remediated if they out of compliance. A felügyeleti pont a megfelelőségi információkat a helykiszolgálónak továbbítja, és azokat a hely adatbázisa tárolja.Compliance information is sent to the site server by the management point and stored in the site database. Az adatok titkosítva vannak, amikor az eszközök elküldik azokat a felügyeleti pontnak, azonban a helyadatbázis titkosítás nélkül tárolja az adatokat.The information is encrypted when devices send it to the management point, but it is not stored in encrypted format in the site database. Ezek az adatok addig maradnak az adatbázisban, amíg a 90 naponta végrehajtott Elavult Configuration Management adatok törlése helykarbantartási feladat el nem távolítja azokat.Information is retained in the database until the site maintenance task Delete Aged Configuration Management Data deletes it every 90 days. Beállíthatja a törlési időközt.You can configure the deletion interval. A program nem küld megfelelőségi adatokat a Microsoftnak.Compliance information is not sent to Microsoft.

Az eszközök alapértelmezés szerint nem értékelik ki a megfelelőségi beállításokat.By default, devices do not evaluate compliance settings. Ezenfelül konfigurálnia kell a konfigurációelemeket és referenciakonfigurációkat, majd telepíteni őket az eszközökre.In addition, you must configure the configuration items and configuration baselines, and then deploy them to devices.