Zabezpieczenia i prywatność ustawień zgodności w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Wskazówki dotyczące zabezpieczeń
Nie monitoruj poufnych danych
Aby uniknąć ujawniania informacji, nie konfiguruj elementów konfiguracji w celu monitorowania potencjalnie poufnych informacji.
Nie konfiguruj reguł zgodności korzystających z danych, które mogą być modyfikowane przez użytkowników końcowych
Jeśli utworzysz regułę zgodności na podstawie danych, które użytkownicy mogą modyfikować, takich jak ustawienia rejestru dla opcji konfiguracji, wyniki zgodności nie będą niezawodne.
Importuj tylko pakiety konfiguracji ze źródeł zewnętrznych, które są podpisane cyfrowo
Importowanie pakietów konfiguracji i innych danych konfiguracji ze źródeł zewnętrznych tylko wtedy, gdy mają prawidłowy podpis cyfrowy od zaufanego wydawcy.
Opublikowane dane konfiguracji mogą być podpisane cyfrowo, aby można było zweryfikować źródło publikowania i upewnić się, że dane nie zostały naruszone. Jeśli sprawdzanie weryfikacji podpisu cyfrowego zakończy się niepowodzeniem, zostanie wyświetlony monit o kontynuowanie importowania. Jeśli nie możesz zweryfikować źródła i integralności danych, nie importuj niepodpisanych danych.
Implementowanie kontroli dostępu w celu ochrony komputerów referencyjnych
Upewnij się, że gdy użytkownik administracyjny konfiguruje ustawienie rejestru lub systemu plików, przechodząc do komputera odniesienia, komputer odniesienia nie zostanie naruszona.
Zabezpieczanie kanału komunikacyjnego podczas przechodzenia do komputera odniesienia
Aby zapobiec naruszeniu danych podczas przesyłania ich za pośrednictwem sieci, użyj zabezpieczeń protokołu internetowego (IPsec) lub podpisywania bloku komunikatów serwera (SMB) między komputerem z uruchomioną konsolą Configuration Manager a komputerem odniesienia.
Ograniczanie i monitorowanie administracji opartej na rolach pod kątem ustawień zgodności
Ogranicz i monitoruj użytkowników administracyjnych, którym przyznano rolę zabezpieczeń opartą na rolach Menedżera ustawień zgodności .
Użytkownicy administracyjni z tą rolą mogą wdrażać elementy konfiguracji na wszystkich urządzeniach i wszystkich użytkownikach w hierarchii. Elementy konfiguracji są zaawansowane i mogą obejmować na przykład skrypty i ponowną konfigurację rejestru.
Informacje o ochronie prywatności
Ustawienia zgodności umożliwiają ocenę, czy urządzenia klienckie są zgodne z elementami konfiguracji wdrażanych w konfiguracji odniesienia. Niektóre ustawienia można automatycznie korygować, jeśli nie są zgodne. Informacje o zgodności są wysyłane do serwera lokacji przez punkt zarządzania i przechowywane w bazie danych lokacji. Informacje są szyfrowane, gdy urządzenia wysyłają je do punktu zarządzania, ale nie są przechowywane w formacie zaszyfrowanym w bazie danych lokacji. Informacje o zgodności nie są wysyłane do Microsoft.
Domyślnie urządzenia nie oceniają ustawień zgodności. Konfigurujesz elementy konfiguracji i konfigurację odniesienia, a następnie wdrażasz je na urządzeniach.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla