A szoftverfrissítések biztonsága és adatvédelme a System Center Configuration ManagerbenSecurity and privacy for software updates in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a témakör biztonsági és adatvédelmi információ a szoftverfrissítések a System Center Configuration Managerben.This topic contains security and privacy information for software updates in System Center Configuration Manager.

A szoftverfrissítés biztonsági védelmének bevált gyakorlataSecurity best practices for software updates

A szoftverfrissítések ügyfélgépekre telepítéséhez jól használható a következő bevált eljárás:Use the following security best practices when you deploy software updates to clients:

  • Ne változtassa meg a szoftverfrissítési csomagok alapértelmezett engedélyeit.Do not change the default permissions on software update packages.

    A szoftverfrissítési csomagok beállítása alapértelmezetten az, hogy a rendszergazdák a Teljes hozzáférés , a felhasználók pedig az Olvasás engedéllyel rendelkeznek.By default, software update packages are set to allow administrators Full Control and users to have Read access. Ha megváltoztatja ezeket az engedélyeket, lehetővé válhat, hogy egy támadó hozzáadjon, eltávolítson vagy töröljön szoftverfrissítéseket.If you change these permissions, it might allow an attacker to add, remove, or delete software updates.

  • Teljes hozzáférés a szoftverfrissítések letöltési helyéhez.Control access to the download location for software updates.

    Az SMS-szolgáltatónak, a helykiszolgáló elérésére szolgáló számítógépek fiókjainak, valamint azoknak a rendszergazda felhasználóknak, akik a szoftverfrissítéseket ténylegesen letöltik a letöltési helyre Írás hozzáféréssel kell rendelkeznie a letöltési helyre.The computer accounts for the SMS Provider, the site server, and the administrative user who will actually download the software updates to the download location require Write access to the download location. Ezért a letöltési hely hozzáférését megfelelően kell korlátozni, hogy csökkenjen a szoftverfrissítési forrásfájlok támadók általi módosításának kockázata.Restrict access to the download location to reduce the risk of attackers tampering with the software updates source files in the download location.

    Ha a letöltési helyre az UNC megosztást használja, akkor a hálózati csatornát is biztonságossá kell tenni az IPsec vagy az SMB aláírású protokollal, hogy megakadályozza a szoftverfrissítés forrásfájljainak illetéktelen módosítását a hálózati átvitel közben.In addition, if you use a UNC share for the download location, secure the network channel by using IPsec or SMB signing to prevent tampering of the software updates source files when they are transferred over the network.

  • A központi telepítésekben az idő kiértékelése a világidő (UTC) szerinti legyen.Use UTC for evaluating deployment times.

    Ha a világidő helyett helyi időt használ, előfordulhat, hogy a felhasználók a számítógépükön lévő időzóna megváltoztatásával késleltethetik a szoftverfrissítések telepítését.If you use local time instead of UTC, users could potentially delay installation of software updates by changing the time zone on their computers

  • A Windows Server Update Services (WSUS) szolgáltatás biztonsága érdekében engedélyezni kell rá az SSL használatát, és a bevált gyakorlat szerint kell eljárni.Enable SSL on WSUS and follow the best practices for securing Windows Server Update Services (WSUS).

    Ismerje meg és kövesse a biztonsági védelmének bevált gyakorlata a Configuration Managerrel használt WSUS verziójának.Identify and follow the security best practices for the version of WSUS that you use with Configuration Manager.

    Fontos

    Ha a WSUS kiszolgálóján a szoftverfrissítési pontot az SSL kommunikáció használatára konfigurálja, virtuális gyökereket is konfigurálni kell az SSL részére a WSUS kiszolgálóján.If you configure the software update point to enable SSL communications for the WSUS server, you must configure virtual roots for SSL on the WSUS server.

  • Engedélyezze a CRL-ellenőrzést.Enable CRL checking.

    Alapértelmezés szerint a Configuration Manager nem ellenőrzi a visszavont tanúsítványok listáját (CRL), hogy ellenőrizze a szoftverfrissítések aláírását, a számítógépekre telepítésük előtt.By default, Configuration Manager does not check the certificate revocation list (CRL) to verify the signature on software updates before they are deployed to computers. A visszavonttanúsítvány-lista minden alkalommal történő ellenőrzése nagyobb védelmet kínál a visszavont tanúsítványokkal szemben, de csatlakozási késedelmet és többlet feldolgozást eredményez a CRL-ellenőrzést végző számítógépeken.Checking the CRL each time a certificate is used offers more security against using a certificate that has been revoked, but it introduces a connection delay and incurs additional processing on the computer performing the CRL check.

    Tanúsítvány-visszavonási listát engedélyezésével kapcsolatos további információ a szoftverfrissítések-ellenőrzésének engedélyezéséről: a System Center Configuration Manager szoftverfrissítések CRL-ellenőrzésének engedélyezése.For more information about how to enable CRL checking for software updates, see How to enable CRL checking for software updates in System Center Configuration Manager.

  • A WSUS szolgáltatás konfigurálása egyéni webhelyi használathoz.Configure WSUS to use a custom website.

    Ha a WSUS telepítése a szoftverfrissítési pontra történik választhat, hogy ahhoz az IIS létező alapértelmezett webhelyét használja, vagy egyéni WSUS webhelyet hozzon létre.When you install WSUS on the software update point, you have the option to use the existing IIS Default Web site or to create a custom WSUS website. Az egyéni webhelyet létrehozni a WSUS Szolgáltatáshoz, hogy az IIS a WSUS szolgáltatások nem osztja meg ugyanazt a webhelyet a más Configuration Manager helyrendszerei vagy más alkalmazások által használt dedikált virtuális webhelyen futtatja.Create a custom website for WSUS so that IIS hosts the WSUS services in a dedicated virtual website instead of sharing the same web site that is used by the other Configuration Manager site systems or other applications.

    További információkért lásd: WSUS beállítása egy egyéni webhely használatára.For more information, see Configure WSUS to use a custom web site.

Adatvédelmi információ a szoftverfrissítésekhezPrivacy information for software updates

A szoftverfrissítések megvizsgálják az ügyfélgépeket abból a szempontból, hogy milyen szoftverfrissítésre van szükségük, és ezt az információt küldik a helyadatbázisba.Software updates scans your client computers to determine which software updates you require, and then sends that information back to the site database. A szoftverfrissítési folyamat során a Configuration Manager információt továbbíthat között ügyfelek és kiszolgálók, amelyek a számítógépet és annak bejelentkezési fiókjait azonosítják.During the software updates process, Configuration Manager might transmit information between clients and servers that identify the computer and logon accounts.

A Configuration Manager a szoftver központi telepítésére vonatkozó állapotadatokat megőrzi.Configuration Manager maintains state information about the software deployment process. Az állapotadatok az átvitel és a tárolás során nem titkosítottak.State information is not encrypted during transmission or storage. Állapotadatok a Configuration Manager-adatbázis tárolja, és nem törli azokat az adatbázis-karbantartási feladatokat.State information is stored in the Configuration Manager database and it is deleted by the database maintenance tasks. A rendszer semmilyen állapotadatot nem küld a Microsoftnak.No state information is sent to Microsoft.

Configuration Manager szoftverfrissítések a szoftverfrissítések ügyfélgépekre telepítésére történő felhasználása is vonatkozik szoftver licencfeltételeit, amelyiket frissíti, amely a szoftverlicenc-feltételek a System Center Configuration Manager elkülönül.The use of Configuration Manager software updates to install software updates on client computers might be subject to software license terms for those updates, which is separate from the Software License Terms for System Center Configuration Manager. Mindig tekintse át, és fogadja el a szoftverfrissítések a Configuration Manager használatával történő telepítése előtt a szoftverfrissítések licencelési feltételeit.Always review and agree to the Software Licensing Terms prior to installing the software updates by using Configuration Manager.

A Configuration Manager nem valósítja meg a szoftverfrissítések alapértelmezés szerint, és több konfigurációs lépésre van szükség, előtt a szolgáltatás által gyűjtött információk.Configuration Manager does not implement software updates by default and requires several configuration steps before information is collected.

A szoftverfrissítések konfigurálása előtt gondolja át az adatvédelmi követelményeit.Before you configure software updates, consider your privacy requirements.