Configuration Manager でのソフトウェア更新プログラムのセキュリティとプライバシー

  • [アーティクル]

適用対象: Configuration Manager (現在のブランチ)

このトピックでは、Configuration Manager のソフトウェア更新プログラムのセキュリティとプライバシーに関する情報について説明します。

ソフトウェア更新プログラムのセキュリティのベスト プラクティス

ソフトウェア更新プログラムをクライアントに展開する場合は、次のセキュリティのベスト プラクティスを使用します。

  • ソフトウェア更新プログラム パッケージの既定のアクセス許可を変更しない。

    既定では、ソフトウェア更新プログラム パッケージは、管理者がフル コントロールを許可し、ユーザーが読み取りアクセス権を 持つ許可を設定 しています。 これらのアクセス許可を変更すると、攻撃者がソフトウェア更新プログラムを追加、削除、または削除する可能性があります。

  • ソフトウェア更新プログラムのダウンロード場所へのアクセスを制御します。

    SMS プロバイダー、サイト サーバー、および実際にソフトウェア更新プログラムをダウンロード場所にダウンロードする管理ユーザーのコンピューター アカウントには、ダウンロード場所への書き込みアクセス権が必要です。 ダウンロード場所へのアクセスを制限して、攻撃者がダウンロード場所にあるソフトウェア更新プログラムのソース ファイルを改ざんするリスクを軽減します。

    さらに、ダウンロード場所に UNC 共有を使用する場合は、IPsec または SMB 署名を使用してネットワーク チャネルをセキュリティで保護し、ネットワーク上で転送されるソフトウェア更新プログラムソース ファイルの改ざんを防止します。

  • 展開時間を評価するには、UTC を使用します。

    UTC の代わりに現地時間を使用する場合、ユーザーはコンピューターのタイム ゾーンを変更することで、ソフトウェア更新プログラムのインストールを遅らせる可能性があります。

  • WSUS で SSL を有効にし、セキュリティ保護 (WSUS) のWindows Server Update Servicesに従います。

    Configuration Manager で使用する WSUS のバージョンのセキュリティのベスト プラクティスを特定し、それに従います。

    SSL の有効化の詳細については、「PKI 証明書で TLS/SSL を使用するソフトウェア更新ポイントの構成」 チュートリアルを参照してください

    重要

    WSUS サーバーの SSL 通信を有効にするためにソフトウェア更新ポイントを構成する場合は、WSUS サーバーで SSL 用の仮想ルートを構成する必要があります。

  • CRL チェックを有効にする。

    既定では、Configuration Manager は証明書失効リスト (CRL) をチェックして、コンピューターに展開する前にソフトウェア更新プログラムの署名を確認します。 証明書を使用する度に CRL をチェックすると、失効した証明書の使用に対するセキュリティが強化されますが、接続の遅延が発生し、CRL チェックを実行するコンピューターで追加の処理が発生します。

    ソフトウェア更新プログラムの CRL チェックを有効にする方法の詳細については、「ソフトウェア更新プログラムの CRL チェックを有効にする方法 」を参照してください

  • カスタム Web サイトを使用する WSUS を構成します。

    ソフトウェア更新ポイントに WSUS をインストールする場合は、既存の IIS Default Web サイトを使用するか、カスタム WSUS Web サイトを作成することもできます。 他の Configuration Manager サイト システムや他のアプリケーションで使用されるのと同じ Web サイトを共有するのではなく、IIS が専用の仮想 Web サイトで WSUS サービスをホストする WSUS 用のカスタム Web サイトを作成します。

    詳細については、「カスタム Web サイト を使用する WSUS の構成」を参照してください

ソフトウェア更新プログラムのプライバシー情報

ソフトウェア更新プログラムは、クライアント コンピューターをスキャンして、必要なソフトウェア更新プログラムを特定し、その情報をサイト データベースに送り返します。 ソフトウェア更新プロセス中に、Configuration Manager は、コンピューターとログオン アカウントを識別するクライアントとサーバー間で情報を送信する場合があります。

Configuration Manager は、ソフトウェアの展開プロセスに関する状態情報を保持します。 状態情報は、転送中またはストレージ中に暗号化されません。 状態情報は Configuration Manager データベースに格納され、データベースメンテナンス タスクによって削除されます。 状態情報は Microsoft に送信されません。

Configuration Manager ソフトウェア更新プログラムを使用してクライアント コンピューターにソフトウェア更新プログラムをインストールする場合、これらの更新プログラムのソフトウェア ライセンス条項が適用される場合があります。これは Configuration Manager のソフトウェア ライセンス条項とは別です。 Configuration Manager を使用してソフトウェア更新プログラムをインストールする前に、必ずソフトウェア ライセンス条項を確認して同意してください。

Configuration Manager は既定でソフトウェア更新プログラムを実装し、情報を収集する前にいくつかの構成手順を必要とします。

ソフトウェア更新プログラムを構成する前に、プライバシー要件を検討してください。