Biztonság és adatvédelem a System Center Configuration Manager szoftverleltárSecurity and privacy for software inventory in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a témakör a szoftverleltár a System Center Configuration Manager biztonsági és adatvédelmi tudnivalókat tartalmazza.This topic contains security and privacy information for software inventory in System Center Configuration Manager.

A szoftverleltárhoz kapcsolódó ajánlott biztonsági eljárásokSecurity best practices for software inventory

A szoftverleltáradatok az ügyfelektől való begyűjtésekor használja az alábbi ajánlott biztonsági eljárásokat:Use the following security best practices for when you collect software inventory data from clients:

Bevált biztonsági gyakorlatSecurity best practice További információMore information
Leltáradatok aláírása és titkosításaSign and encrypt inventory data Ha az ügyfelek a HTTPS protokollal kommunikálnak a felügyeleti pontokkal, az összes általuk küldött adat titkosítva van az SSL használatával.When clients communicate with management points by using HTTPS, all data that they send is encrypted by using SSL. Ha azonban az ügyfélszámítógépek a HTTP protokollal kommunikálnak az intraneten lévő felügyeleti pontokkal, az ügyfélleltáradatok és az összegyűjtött fájlok aláírás és titkosítás nélkül is elküldhetők.However, when client computers use HTTP to communicate with management points on the intranet, client inventory data and collected files can be sent unsigned and unencrypted. Győződjön meg arról, hogy a hely úgy van konfigurálva, hogy megkövetelje az aláírást és titkosítást használjon.Make sure that the site is configured to require signing and use encryption. Emellett ha az ügyfelek támogatják az SHA-256 algoritmus használatát, állítsa be az SHA-256 megkövetelésének lehetőségét.In addition, if clients can support the SHA-256 algorithm, select the option to require SHA-256.
A fájlgyűjtést ne használja kritikus fontosságú fájlok vagy bizalmas információk gyűjtésére.Do not use file collection to collect critical files or sensitive information A Configuration Manager szoftverleltár a LocalSystem fiók, mely képes a kritikus rendszerfájlok, például a beállításjegyzék és a biztonságifiók-adatbázis másolatainak gyűjtésére összes jogosultságát használja.Configuration Manager software inventory uses all the rights of the LocalSystem account, which has the ability to collect copies of critical system files, such as the registry or security account database. Ha ezek a fájlok elérhetők a helykiszolgálón, egy, a tárolt fájlok helyéhez Erőforrás olvasása jogosultságokkal vagy NTFS jogosultságokkal rendelkező személy elemezheti azok tartalmát, és akár az ügyféllel kapcsolatos fontos részleteket is feltárhat, melyekkel veszélyeztetheti annak biztonságát.When these files are available at the site server, someone with the Read Resource rights or NTFS rights to the stored file location could analyze their contents and possibly discern important details about the client in order to be able to compromise its security.
Helyi rendszergazdai jogosultságok korlátozása az ügyfélszámítógépekenRestrict local administrative rights on client computers A helyi rendszergazdai jogosultságokkal rendelkező felhasználók érvénytelen adatokat küldhetnek el leltáradatokként.A user with local administrative rights can send invalid data as inventory information.

A szoftverleltár biztonsági problémáiSecurity issues for software inventory

A leltáradatok gyűjtése potenciális biztonsági réseket tesz elérhetővé.Collecting inventory exposes potential vulnerabilities. A támadók a következőket hajthatják végre:Attackers can perform the following:

  • Érvénytelen adatok küldése, melyeket a felügyeleti pont akkor is elfogad, ha a szoftverleltár ügyfélbeállítása le van tiltva, és a fájlgyűjtés nincs engedélyezve.Send invalid data, which will be accepted by the management point even when the software inventory client setting is disabled and file collection is not enabled.

  • Rendkívül nagy mennyiségű adat küldése egyetlen fájlban vagy nagy mennyiségű fájlban, ami szolgáltatásmegtagadást okozhat.Send excessively large amounts of data in a single file and in lots of files, which might cause a denial of service.

  • Hozzáférés a Configuration Manager az átvitel során.Access inventory information as it is transferred to Configuration Manager.

    Ha a felhasználók tisztában vannak vele, hogy egy Skpswi.dat nevű rejtett fájl létrehozásával és egy ügyfél merevlemezének gyökerében való elhelyezésével kizárhatják azt a szoftverleltárból, nem fog tudni szoftverleltáradatokat gyűjteni az adott számítógépről.If users know that they can create a hidden file named Skpswi.dat and place it in the root of a client hard drive to exclude it from software inventory, you will not be able to collect software inventory data from that computer.

    Helyi rendszergazdai jogosultságokkal rendelkező felhasználók bármilyen adatokat elküldhetnek leltáradatokként, mert nem tekinti a Configuration Manager mérvadónak begyűjtött leltáradatokat.Because a user with local administrative privileges can send any information as inventory data, do not consider inventory data that is collected by Configuration Manager to be authoritative.

    A szoftverleltár alapértelmezés szerint engedélyezve van ügyfélbeállításként.Software inventory is enabled by default as a client setting.

Adatvédelmi információ a szoftverleltárhozPrivacy information for software inventory

Hardverleltár a Configuration Manager-ügyfelek a beállításjegyzékben és a WMI-ben tárolt adatok lekérését teszi lehetővé.Hardware inventory allows you to retrieve any information that is stored in the registry and in WMI on Configuration Manager clients. A szoftverleltár az összes, megadott típusú fájl felderítését, vagy a megadott fájlok az ügyfelekről való begyűjtését teszi lehetővé.Software inventory allows you to discover all files of a specified type or to collect any specified files from clients. Az Eszközintelligencia szolgáltatás a hardver- és szoftverleltár kibővítésével, illetve új licenckezelési funkciók hozzáadásával javítja a leltározási képességeket.Asset Intelligence enhances the inventory capabilities by extending hardware and software inventory and adding new license management functionality.

A hardverleltár alapértelmezés szerint engedélyezve van ügyfélbeállításként, és a begyűjtött WMI-adatokat a megadott beállítások határozzák meg.Hardware inventory is enabled by default as a client setting and the WMI information collected is determined by options that you select. A szoftverleltár alapértelmezés szerint engedélyezve van ügyfélbeállításként, de a rendszer alapértelmezés szerint nem gyűjt fájlokat.Software inventory is enabled by default but files are not collected by default. A leltározási adatgyűjtés automatikusan engedélyezve van, a hardverleltár engedélyezni kívánt jelentési osztályait azonban kiválaszthatja.Asset Intelligence data collection is automatically enabled, although you can select the hardware inventory reporting classes to enable.

A rendszer nem küld leltáradatokat a Microsoftnak.Inventory information is not sent to Microsoft. Hardverleltár-információk a Configuration Manager adatbázisban tárolódik.Inventory information is stored in the Configuration Manager database. Ha az ügyfelek a HTTPS protokollal csatlakoznak a felügyeleti pontokhoz, az általuk a helyre küldött leltáradatok az átvitel során titkosítva vannak.When clients use HTTPS to connect to management points, the inventory data that they send to the site is encrypted during the transfer. Ha az ügyfelek a HTTP protokollal csatlakoznak a felügyeleti pontokhoz, lehetősége van engedélyezni a leltár titkosítását.If clients use HTTP to connect to management points, you have the option to enable inventory encryption. Az adatbázis titkosítás nélkül tárolja a leltáradatokat.The inventory data is not stored in encrypted format in the database. Az adatbázis addig őrzi meg ezeket az adatokat, amíg nem törli azokat az Elavult leltárelőzmények törlése vagy az Elavult gyűjteményfájlok törlése helykarbantartási feladat 90 naponta.Information is retained in the database until it is deleted by the site maintenance tasks Delete Aged Inventory History or Delete Aged Collected Files every 90 days. Beállíthatja a törlési időközt.You can configure the deletion interval.

A hardverleltár, a szoftverleltár, a fájlgyűjtés vagy a leltározási adatgyűjtés konfigurálása előtt gondolja át az adatvédelmi követelményeket.Before you configure hardware inventory, software inventory, file collection, or Asset Intelligence data collection, consider your privacy requirements.