Segurança e privacidade para atualizações de software no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Este tópico contém informações de segurança e privacidade para atualizações de software em Configuration Manager.
Práticas recomendadas de segurança para atualizações de software
Use as seguintes práticas recomendadas de segurança ao implantar atualizações de software em clientes:
Não altere as permissões padrão em pacotes de atualização de software.
Por padrão, os pacotes de atualização de software são definidos para permitir que os administradores Controle Completo e usuários tenham acesso de leitura . Se você alterar essas permissões, poderá permitir que um invasor adicione, remova ou exclua atualizações de software.
Controlar o acesso ao local de download para atualizações de software.
As contas de computador para o Provedor de SMS, o servidor do site e o usuário administrativo que realmente baixará as atualizações de software para o local de download exigem acesso de gravação ao local do download. Restrinja o acesso ao local de download para reduzir o risco de invasores adulterarem os arquivos de origem das atualizações de software no local de download.
Além disso, se você usar um compartilhamento UNC para o local de download, proteja o canal de rede usando a assinatura IPsec ou SMB para evitar a adulteração dos arquivos de origem de atualizações de software quando eles são transferidos pela rede.
Use UTC para avaliar os tempos de implantação.
Se você usar o horário local em vez de UTC, os usuários poderão potencialmente atrasar a instalação de atualizações de software alterando o fuso horário em seus computadores
Habilite o SSL no WSUS e siga as melhores práticas para proteger Windows Server Update Services (WSUS).
Identifique e siga as melhores práticas de segurança para a versão do WSUS que você usa com Configuration Manager.
Para obter mais informações sobre como habilitar o SSL, consulte o ponto Configurar uma atualização de software para usar o TLS/SSL com um tutorial de certificado PKI.
Importante
Se você configurar o ponto de atualização de software para habilitar as comunicações SSL para o servidor WSUS, deverá configurar raízes virtuais para SSL no servidor WSUS.
Habilitar a verificação de CRL.
Por padrão, Configuration Manager não marcar a CRL (lista de revogação de certificado) para verificar a assinatura em atualizações de software antes de serem implantadas em computadores. Verificar o CRL sempre que um certificado é usado oferece mais segurança em relação ao uso de um certificado que foi revogado, mas ele introduz um atraso de conexão e incorre em processamento adicional no computador que executa o crl marcar.
Para obter mais informações sobre como habilitar a verificação de CRL para atualizações de software, confira Como habilitar a verificação de CRL para atualizações de software.
Configure o WSUS para usar um site personalizado.
Ao instalar o WSUS no ponto de atualização de software, você terá a opção de usar o site padrão do IIS existente ou criar um site WSUS personalizado. Crie um site personalizado para o WSUS para que o IIS hospede os serviços do WSUS em um site virtual dedicado em vez de compartilhar o mesmo site que é usado pelos outros sistemas de site Configuration Manager ou outros aplicativos.
Para obter mais informações, consulte Configurar o WSUS para usar um site personalizado.
Informações de privacidade para atualizações de software
As atualizações de software verificam seus computadores cliente para determinar quais atualizações de software você precisa e, em seguida, envia essas informações de volta para o banco de dados do site. Durante o processo de atualizações de software, Configuration Manager pode transmitir informações entre clientes e servidores que identificam o computador e contas de logon.
Configuration Manager mantém informações de estado sobre o processo de implantação de software. As informações de estado não são criptografadas durante a transmissão ou o armazenamento. As informações de estado são armazenadas no banco de dados Configuration Manager e excluídas pelas tarefas de manutenção do banco de dados. Nenhuma informação de estado é enviada à Microsoft.
O uso de Configuration Manager atualizações de software para instalar atualizações de software em computadores cliente pode estar sujeito a termos de licença de software para essas atualizações, que são separadas dos Termos de Licença de Software para Configuration Manager. Sempre examine e concorde com os Termos de Licenciamento de Software antes de instalar as atualizações de software usando Configuration Manager.
Configuration Manager não implementa atualizações de software por padrão e requer várias etapas de configuração antes que as informações sejam coletadas.
Antes de configurar atualizações de software, considere seus requisitos de privacidade.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de