A hardverleltár biztonsága és adatvédelme a System Center Configuration ManagerbenSecurity and privacy for hardware inventory in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a témakör a Hardverleltár a System Center Configuration Manager biztonsági és adatvédelmi tudnivalókat tartalmazza.This topic contains security and privacy information for hardware inventory in System Center Configuration Manager.

Ajánlott biztonsági eljárások a hardverleltár használatáhozSecurity best practices for hardware inventory

A hardverleltáradatok az ügyfelektől való begyűjtésekor használja az alábbi ajánlott biztonsági eljárásokat:Use the following security best practices for when you collect hardware inventory data from clients:

Bevált biztonsági gyakorlatSecurity best practice További információMore information
Leltáradatok aláírása és titkosításaSign and encrypt inventory data Ha az ügyfelek a HTTPS protokollal kommunikálnak a felügyeleti pontokkal, az összes általuk küldött adat titkosítva van az SSL használatával.When clients communicate with management points by using HTTPS, all data that they send is encrypted by using SSL. Ha azonban az ügyfélszámítógépek a HTTP protokollal kommunikálnak az intraneten lévő felügyeleti pontokkal, az ügyfélleltáradatok és az összegyűjtött fájlok aláírás és titkosítás nélkül is elküldhetők.However, when client computers use HTTP to communicate with management points on the intranet, client inventory data and collected files can be sent unsigned and unencrypted. Győződjön meg arról, hogy a hely úgy van konfigurálva, hogy megkövetelje az aláírást és titkosítást használjon.Make sure that the site is configured to require signing and use encryption. Emellett ha az ügyfelek támogatják az SHA-256 algoritmus használatát, állítsa be az SHA-256 megkövetelésének lehetőségét.In addition, if clients can support the SHA-256 algorithm, select the option to require SHA-256.
Fokozott biztonságú környezetekben ne gyűjtse az IDMIF- és NOIDMIF-fájlokat.Do not collect IDMIF and NOIDMIF files in high-security environments Az IDMIF- és NOIDMIF-fájlok gyűjtésével bővítheti a hardverleltározást.You can use IDMIF and NOIDMIF file collection to extend hardware inventory collection. Ha szükséges, a Configuration Manager új táblákat hoz létre vagy módosítja a meglévő táblákat a Configuration Manager adatbázisban az IDMIF és NOIDMIF-fájlok tulajdonságainak kezeléséhez.When necessary, Configuration Manager creates new tables or modifies existing tables in the Configuration Manager database to accommodate the properties in IDMIF and NOIDMIF files. A Configuration Manager azonban nem ellenőrzi IDMIF és NOIDMIF-fájlokat, így ezek a fájlok felhasználhatók táblák módosítására, melyeket nem kívánja módosítani.However, Configuration Manager does not validate IDMIF and NOIDMIF files, so these files could be used to alter tables that you do not want altered. Az érvényes adatok felülírhatók érvénytelen adatokkal.Valid data could be overwritten by invalid data. Emellett nagy mennyiségű adat adható hozzá, és ezen adatok feldolgozása késéseket okozhat az összes Configuration Manager funkcióihoz.In addition, large amounts of data could be added and the processing of this data might cause delays in all Configuration Manager functions. A kockázatok csökkentése érdekében a hardverleltár MIF-fájlok gyűjtése ügyfélbeállítását konfigurálja a Nincsértékre.To mitigate these risks, configure the hardware inventory client setting Collect MIF files as None.

A hardverleltár biztonsági problémáiSecurity issues for hardware inventory

A leltáradatok gyűjtése potenciális biztonsági réseket tesz elérhetővé.Collecting inventory exposes potential vulnerabilities. A támadók a következőket hajthatják végre:Attackers can perform the following:

  • Érvénytelen adatok küldése, melyeket a felügyeleti pont akkor is elfogad, ha a szoftverleltár ügyfélbeállítása le van tiltva, és a fájlgyűjtés nincs engedélyezve.Send invalid data, which will be accepted by the management point even when the software inventory client setting is disabled and file collection is not enabled.

  • Rendkívül nagy mennyiségű adat küldése egyetlen fájlban vagy nagy mennyiségű fájlban, ami szolgáltatásmegtagadást okozhat.Send excessively large amounts of data in a single file and in lots of files, which might cause a denial of service.

  • Hozzáférés a Configuration Manager az átvitel során.Access inventory information as it is transferred to Configuration Manager.

    Helyi rendszergazdai jogosultságokkal rendelkező felhasználók bármilyen adatokat elküldhetnek leltáradatokként, mert nem tekinti a Configuration Manager mérvadónak begyűjtött leltáradatokat.Because a user with local administrative privileges can send any information as inventory data, do not consider inventory data that is collected by Configuration Manager to be authoritative.

    A hardverleltár alapértelmezés szerint engedélyezve van ügyfélbeállításként.Hardware inventory is enabled by default as a client setting.

Adatvédelmi információ a hardverleltárhozPrivacy information for hardware inventory

Hardverleltár a Configuration Manager-ügyfelek a beállításjegyzékben és a WMI-ben tárolt adatok lekérését teszi lehetővé.Hardware inventory allows you to retrieve any information that is stored in the registry and in WMI on Configuration Manager clients. A szoftverleltár az összes, megadott típusú fájl felderítését, vagy a megadott fájlok az ügyfelekről való begyűjtését teszi lehetővé.Software inventory allows you to discover all files of a specified type or to collect any specified files from clients. Az Eszközintelligencia szolgáltatás a hardver- és szoftverleltár kibővítésével, illetve új licenckezelési funkciók hozzáadásával javítja a leltározási képességeket.Asset Intelligence enhances the inventory capabilities by extending hardware and software inventory and adding new license management functionality.

A hardverleltár alapértelmezés szerint engedélyezve van ügyfélbeállításként, és a begyűjtött WMI-adatokat a megadott beállítások határozzák meg.Hardware inventory is enabled by default as a client setting and the WMI information collected is determined by options that you select. A szoftverleltár alapértelmezés szerint engedélyezve van ügyfélbeállításként, de a rendszer alapértelmezés szerint nem gyűjt fájlokat.Software inventory is enabled by default but files are not collected by default. A leltározási adatgyűjtés automatikusan engedélyezve van, a hardverleltár engedélyezni kívánt jelentési osztályait azonban kiválaszthatja.Asset Intelligence data collection is automatically enabled, although you can select the hardware inventory reporting classes to enable.

A rendszer nem küld leltáradatokat a Microsoftnak.Inventory information is not sent to Microsoft. Hardverleltár-információk a Configuration Manager adatbázisban tárolódik.Inventory information is stored in the Configuration Manager database. Ha az ügyfelek a HTTPS protokollal csatlakoznak a felügyeleti pontokhoz, az általuk a helyre küldött leltáradatok az átvitel során titkosítva vannak.When clients use HTTPS to connect to management points, the inventory data that they send to the site is encrypted during the transfer. Ha az ügyfelek a HTTP protokollal csatlakoznak a felügyeleti pontokhoz, lehetősége van engedélyezni a leltár titkosítását.If clients use HTTP to connect to management points, you have the option to enable inventory encryption. Az adatbázis titkosítás nélkül tárolja a leltáradatokat.The inventory data is not stored in encrypted format in the database. Az adatbázis addig őrzi meg ezeket az adatokat, amíg nem törli azokat az Elavult leltárelőzmények törlése vagy az Elavult gyűjteményfájlok törlése helykarbantartási feladat 90 naponta.Information is retained in the database until it is deleted by the site maintenance tasks Delete Aged Inventory History or Delete Aged Collected Files every 90 days. Beállíthatja a törlési időközt.You can configure the deletion interval.

A hardverleltár, a szoftverleltár, a fájlgyűjtés vagy a leltározási adatgyűjtés konfigurálása előtt gondolja át az adatvédelmi követelményeket.Before you configure hardware inventory, software inventory, file collection, or Asset Intelligence data collection, consider your privacy requirements.