Segurança e privacidade para inventário de software no System Center Configuration ManagerSecurity and privacy for software inventory in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Este tópico contém informações de segurança e privacidade para inventário de software no System Center Configuration Manager.This topic contains security and privacy information for software inventory in System Center Configuration Manager.

Procedimentos recomendados de segurança para inventário de software Security best practices for software inventory

Utilize as seguintes melhores práticas de segurança para quando recolher os dados de inventário de software a partir de clientes:Use the following security best practices for when you collect software inventory data from clients:

Procedimento recomendado de segurançaSecurity best practice Mais informaçõesMore information
Assinar e encriptar dados de inventárioSign and encrypt inventory data Quando os clientes comunicam com pontos de gestão através de HTTPS, todos os dados enviados são encriptados com SSL.When clients communicate with management points by using HTTPS, all data that they send is encrypted by using SSL. No entanto, quando os computadores cliente utilizam HTTP para comunicar com pontos de gestão na intranet, os dados de inventário de cliente e os ficheiros recolhidos podem ser enviados não estando assinados nem encriptados.However, when client computers use HTTP to communicate with management points on the intranet, client inventory data and collected files can be sent unsigned and unencrypted. Certifique-se de que o site está configurado para exigir assinatura e utilizar encriptação.Make sure that the site is configured to require signing and use encryption. Além disso, se os clientes suportarem o algoritmo SHA-256, selecione a opção para exigir SHA-256.In addition, if clients can support the SHA-256 algorithm, select the option to require SHA-256.
Não utilize a recolha de ficheiros para recolher ficheiros críticos ou informações confidenciaisDo not use file collection to collect critical files or sensitive information Inventário de software do Configuration Manager utiliza todos os direitos da conta LocalSystem, que tem a capacidade de recolher cópias dos ficheiros de sistema cruciais, como o registo ou a base de dados de conta de segurança.Configuration Manager software inventory uses all the rights of the LocalSystem account, which has the ability to collect copies of critical system files, such as the registry or security account database. Quando estes ficheiros estão disponíveis no servidor do site, uma pessoa que tenha os direitos de Ler Recurso ou os direitos NTFS para a localização do ficheiro armazenado pode analisar os respetivos conteúdos e, possivelmente, discernir detalhes importantes sobre o cliente, para que seja possível comprometer a segurança.When these files are available at the site server, someone with the Read Resource rights or NTFS rights to the stored file location could analyze their contents and possibly discern important details about the client in order to be able to compromise its security.
Restrinja os direitos administrativos locais no computador clienteRestrict local administrative rights on client computers Um utilizador com direitos administrativos locais pode enviar dados inválidos como informações de inventário.A user with local administrative rights can send invalid data as inventory information.

Problemas de segurança para inventário de softwareSecurity issues for software inventory

Recolher o inventário expõe potenciais vulnerabilidades.Collecting inventory exposes potential vulnerabilities. Os atacantes podem efetuar as seguintes tarefas:Attackers can perform the following:

  • Enviar dados inválidos, que serão aceites pelo ponto de gestão mesmo quando a definição de cliente de inventário de software está desativada e a recolha de ficheiros não está ativada.Send invalid data, which will be accepted by the management point even when the software inventory client setting is disabled and file collection is not enabled.

  • Enviar excessivamente grandes quantidades de dados num único ficheiro e em muitos ficheiros, o que poderá provocar denial of service.Send excessively large amounts of data in a single file and in lots of files, which might cause a denial of service.

  • Aceder às informações de inventário que é transferido para o Configuration Manager.Access inventory information as it is transferred to Configuration Manager.

    Se os utilizadores souberem que é possível criar um ficheiro oculto denominado Skpswi.dat e colocá-lo na raiz de uma unidade de disco rígido do cliente para excluí-lo do inventário de software, não será possível recolher dados de inventário de software a partir desse computador.If users know that they can create a hidden file named Skpswi.dat and place it in the root of a client hard drive to exclude it from software inventory, you will not be able to collect software inventory data from that computer.

    Uma vez que um utilizador com privilégios administrativos locais pode enviar quaisquer informações como dados de inventário, considere os dados de inventário recolhidos pelo Configuration Manager como autoritativos.Because a user with local administrative privileges can send any information as inventory data, do not consider inventory data that is collected by Configuration Manager to be authoritative.

    O inventário de software está ativado por predefinição como uma definição de cliente.Software inventory is enabled by default as a client setting.

Informações de privacidade para inventário de software Privacy information for software inventory

Inventário de hardware permite-lhe obter as informações que são armazenadas no registo e no WMI em clientes do Configuration Manager.Hardware inventory allows you to retrieve any information that is stored in the registry and in WMI on Configuration Manager clients. O inventário de software permite-lhe detetar todos os ficheiros de um tipo especificado ou recolher todos os ficheiros especificados a partir dos clientes.Software inventory allows you to discover all files of a specified type or to collect any specified files from clients. O Asset Intelligence melhora as capacidades de inventário ao expandir o inventário de hardware e software e ao adicionar novas funcionalidades de gestão de licenças.Asset Intelligence enhances the inventory capabilities by extending hardware and software inventory and adding new license management functionality.

O inventário de hardware está ativado por predefinição como uma definição de cliente e as informações da WMI recolhidas são determinadas pelas opções que selecionar.Hardware inventory is enabled by default as a client setting and the WMI information collected is determined by options that you select. O inventário de software está ativado por predefinição, mas os ficheiros não são recolhidos por predefinição.Software inventory is enabled by default but files are not collected by default. A recolha de dados do Asset Intelligence é ativada automaticamente, embora possa selecionar as classes de relatório de inventário de hardware a ativar.Asset Intelligence data collection is automatically enabled, although you can select the hardware inventory reporting classes to enable.

As informações de inventário não são enviadas à Microsoft.Inventory information is not sent to Microsoft. Informações de inventário são armazenadas na base de dados do Configuration Manager.Inventory information is stored in the Configuration Manager database. Quando os clientes utilizam HTTPS para ligar a pontos de gestão, os dados de inventário enviados para o site são encriptados durante a transferência.When clients use HTTPS to connect to management points, the inventory data that they send to the site is encrypted during the transfer. Se os clientes utilizarem HTTP para ligar a pontos de gestão, terá a opção para ativar a encriptação de inventário.If clients use HTTP to connect to management points, you have the option to enable inventory encryption. Os dados de inventário não são armazenados em formato encriptado na base de dados.The inventory data is not stored in encrypted format in the database. As informações são retidas na base de dados até serem eliminadas pelas tarefas de manutenção do site Eliminar Histórico de Inventário Desatualizado ou Eliminar Ficheiros Recolhidos Desatualizados todos os 90 dias.Information is retained in the database until it is deleted by the site maintenance tasks Delete Aged Inventory History or Delete Aged Collected Files every 90 days. Pode configurar o intervalo de eliminação.You can configure the deletion interval.

Antes de configurar o inventário de hardware, o inventário de software, a recolha de ficheiros ou a recolha de dados do Asset Intelligence, considere os requisitos de privacidade.Before you configure hardware inventory, software inventory, file collection, or Asset Intelligence data collection, consider your privacy requirements.