Zabezpieczenia i prywatność spisu oprogramowania w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Ten temat zawiera informacje o zabezpieczeniach i ochronie prywatności dotyczące spisu oprogramowania w Configuration Manager.
Najlepsze rozwiązania w zakresie zabezpieczeń dla spisu oprogramowania
Podczas zbierania danych spisu oprogramowania od klientów należy stosować następujące najlepsze rozwiązania w zakresie zabezpieczeń:
| Najlepsze rozwiązanie w zakresie zabezpieczeń | Więcej informacji |
|---|---|
| Podpisywanie i szyfrowanie danych spisu | Gdy klienci komunikują się z punktami zarządzania przy użyciu protokołu HTTPS, wszystkie wysyłane dane są szyfrowane przy użyciu protokołu SSL. Jednak gdy komputery klienckie używają protokołu HTTP do komunikowania się z punktami zarządzania w intranecie, dane spisu klientów i zebrane pliki mogą być wysyłane bez podpisu i niezaszyfrowane. Upewnij się, że witryna jest skonfigurowana tak, aby wymagała podpisywania i używania szyfrowania. Ponadto jeśli klienci mogą obsługiwać algorytm SHA-256, wybierz opcję wymagania algorytmu SHA-256. |
| Nie używaj kolekcji plików do zbierania krytycznych plików lub poufnych informacji | Configuration Manager spis oprogramowania korzysta ze wszystkich praw konta LocalSystem, które ma możliwość zbierania kopii krytycznych plików systemowych, takich jak baza danych rejestru lub konta zabezpieczeń. Jeśli te pliki są dostępne na serwerze lokacji, osoba mająca prawa do odczytu zasobu lub prawa NTFS do przechowywanej lokalizacji plików może przeanalizować ich zawartość i ewentualnie rozpoznać ważne szczegóły dotyczące klienta, aby móc naruszyć jego bezpieczeństwo. |
| Ograniczanie lokalnych praw administracyjnych na komputerach klienckich | Użytkownik z lokalnymi uprawnieniami administracyjnymi może wysyłać nieprawidłowe dane jako informacje o spisie. |
Problemy z zabezpieczeniami spisu oprogramowania
Zbieranie spisu uwidacznia potencjalne luki w zabezpieczeniach. Osoby atakujące mogą wykonywać następujące czynności:
Wyślij nieprawidłowe dane, które zostaną zaakceptowane przez punkt zarządzania nawet wtedy, gdy ustawienie klienta spisu oprogramowania jest wyłączone i zbieranie plików nie jest włączone.
Wysyłaj zbyt duże ilości danych w jednym pliku i w wielu plikach, co może spowodować odmowę usługi.
Uzyskiwanie dostępu do informacji o spisie podczas przenoszenia do Configuration Manager.
Jeśli użytkownicy wiedzą, że mogą utworzyć ukryty plik o nazwie Skpswi.dat i umieścić go w katalogu głównym dysku twardego klienta, aby wykluczyć go ze spisu oprogramowania, nie będzie można zbierać danych spisu oprogramowania z tego komputera.
Ponieważ użytkownik z lokalnymi uprawnieniami administracyjnymi może wysyłać dowolne informacje jako dane spisu, nie należy traktować danych spisu zbieranych przez Configuration Manager za autorytatywne.
Spis oprogramowania jest domyślnie włączony jako ustawienie klienta.
Informacje o ochronie prywatności dotyczące spisu oprogramowania
Spis sprzętu umożliwia pobieranie wszelkich informacji przechowywanych w rejestrze i w usłudze WMI na klientach Configuration Manager. Spis oprogramowania umożliwia odnajdywanie wszystkich plików określonego typu lub zbieranie określonych plików od klientów. Analiza zasobów zwiększa możliwości spisu, rozszerzając spis sprzętu i oprogramowania oraz dodając nowe funkcje zarządzania licencjami.
Spis sprzętu jest domyślnie włączony jako ustawienie klienta, a zebrane informacje WMI są określane przez wybrane opcje. Spis oprogramowania jest domyślnie włączony, ale pliki nie są zbierane domyślnie. Zbieranie danych analizy zasobów jest automatycznie włączone, ale można wybrać klasy raportowania spisu sprzętu do włączenia.
Informacje o spisie nie są wysyłane do Microsoft. Informacje o spisie są przechowywane w bazie danych Configuration Manager. Gdy klienci używają protokołu HTTPS do nawiązywania połączenia z punktami zarządzania, dane spisu wysyłane do lokacji są szyfrowane podczas transferu. Jeśli klienci używają protokołu HTTP do nawiązywania połączenia z punktami zarządzania, możesz włączyć szyfrowanie spisu. Dane spisu nie są przechowywane w zaszyfrowanym formacie w bazie danych. Informacje są przechowywane w bazie danych, dopóki nie zostaną usunięte przez zadania konserwacji lokacji Usuń przestarzałą historię spisu lub Usuń przestarzałe zebrane pliki co 90 dni. Interwał usuwania można skonfigurować.
Przed skonfigurowaniem spisu sprzętu, spisu oprogramowania, zbierania plików lub zbierania danych analizy zasobów należy wziąć pod uwagę wymagania dotyczące prywatności.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla