Segurança e privacidade para atualizações de software no System Center Configuration ManagerSecurity and privacy for software updates in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Este tópico contém informações de privacidade para atualizações de software no System Center Configuration Manager e segurança.This topic contains security and privacy information for software updates in System Center Configuration Manager.

Procedimentos recomendados de segurança para atualizações de software Security best practices for software updates

Utilize os seguintes procedimentos recomendados de segurança para implementar atualizações de software em clientes:Use the following security best practices when you deploy software updates to clients:

  • Não altere as permissões predefinidas nos pacotes de atualização de software.Do not change the default permissions on software update packages.

    Por predefinição, os pacotes de atualização de software são configurados para permitir Controlo Total aos administradores e acesso de Leitura aos utilizadores.By default, software update packages are set to allow administrators Full Control and users to have Read access. Se alterar estas permissões, poderá permitir que um intruso adicione, remova ou elimine as atualizações de software.If you change these permissions, it might allow an attacker to add, remove, or delete software updates.

  • Controle o acesso à localização de transferência de atualizações de software.Control access to the download location for software updates.

    As contas de computador do Fornecedor de SMS, o servidor do site e o utilizador administrativo que efetivamente transferem atualizações de software para a localização de transferência necessitam de acesso de Escrita a essa mesma localização.The computer accounts for the SMS Provider, the site server, and the administrative user who will actually download the software updates to the download location require Write access to the download location. Restrinja o acesso à localização de transferência para reduzir o risco de adulteração dos ficheiros de origem das atualizações de software por parte de intrusos.Restrict access to the download location to reduce the risk of attackers tampering with the software updates source files in the download location.

    Além disso, se utilizar uma partilha UNC na localização de transferência, proteja o canal de rede utilizando o IPsec ou a assinatura SMB para evitar a adulteração dos ficheiros de origem de atualizações de software quando forem transferidos através da rede.In addition, if you use a UNC share for the download location, secure the network channel by using IPsec or SMB signing to prevent tampering of the software updates source files when they are transferred over the network.

  • Utilize a UTC para avaliar a tempos de implementação.Use UTC for evaluating deployment times.

    Se utilizar a hora local em vez da UTC, os utilizadores poderão atrasar a instalação das atualizações de software alterando o fuso horário nos respetivos computadoresIf you use local time instead of UTC, users could potentially delay installation of software updates by changing the time zone on their computers

  • Ative SSL no WSUS e siga os procedimentos recomendados para proteger o Windows Server Update Services (WSUS).Enable SSL on WSUS and follow the best practices for securing Windows Server Update Services (WSUS).

    Identifique e siga os procedimentos de segurança para a versão do WSUS que utiliza com o Configuration Manager.Identify and follow the security best practices for the version of WSUS that you use with Configuration Manager.

    Importante

    Se configurar o ponto de atualização de software para ativar as comunicações SSL no servidor WSUS, tem de configurar as raízes virtuais para SSL no servidor WSUS.If you configure the software update point to enable SSL communications for the WSUS server, you must configure virtual roots for SSL on the WSUS server.

  • Ative a verificação CRL.Enable CRL checking.

    Por predefinição, o Configuration Manager não verifica a lista de revogação de certificados (CRL) para confirmar a assinatura nas atualizações de software antes da respetiva implementação nos computadores.By default, Configuration Manager does not check the certificate revocation list (CRL) to verify the signature on software updates before they are deployed to computers. A verificação da CRL sempre que é utilizado um certificado oferece mais segurança contra a utilização de um certificado revogado, mas provoca um atraso de ligação e implica um processamento adicional no computador que a está a efetuar.Checking the CRL each time a certificate is used offers more security against using a certificate that has been revoked, but it introduces a connection delay and incurs additional processing on the computer performing the CRL check.

    Para obter mais informações sobre como ativar a CRL procurar atualizações de software, consulte o artigo como ativar a verificação CRL para atualizações de software no System Center Configuration Manager.For more information about how to enable CRL checking for software updates, see How to enable CRL checking for software updates in System Center Configuration Manager.

  • Configure o WSUS para utilizar um Web site personalizado.Configure WSUS to use a custom website.

    Quando instala o WSUS no ponto de atualização de software, pode optar por utilizar o Web site predefinido do IIS existente ou por criar um Web site do WSUS personalizado.When you install WSUS on the software update point, you have the option to use the existing IIS Default Web site or to create a custom WSUS website. Crie um Web site personalizado para o WSUS para que o IIS aloje os serviços WSUS num Web site virtual dedicado em vez de partilhar o mesmo web site que é utilizada pelos outros sistemas de sites do Configuration Manager ou outras aplicações.Create a custom website for WSUS so that IIS hosts the WSUS services in a dedicated virtual website instead of sharing the same web site that is used by the other Configuration Manager site systems or other applications.

    Para obter mais informações, consulte o artigo configurar o WSUS para utilizar um web site personalizado.For more information, see Configure WSUS to use a custom web site.

Informações de privacidade para atualizações de software Privacy information for software updates

As atualizações de software analisam os computadores cliente para determinar que atualizações de software são necessárias e, em seguida, devolvem as informações à base de dados do site.Software updates scans your client computers to determine which software updates you require, and then sends that information back to the site database. Durante o processo de atualizações de software do Configuration Manager pode transmitir informações entre clientes e servidores que identificam as contas de computador e de início de sessão.During the software updates process, Configuration Manager might transmit information between clients and servers that identify the computer and logon accounts.

O Configuration Manager mantém as informações de estado sobre o processo de implementação de software.Configuration Manager maintains state information about the software deployment process. As informações de estado não são encriptadas durante a transmissão ou o armazenamento.State information is not encrypted during transmission or storage. As informações de estado são armazenadas na base de dados do Configuration Manager e serem eliminadas pelas tarefas de manutenção da base de dados.State information is stored in the Configuration Manager database and it is deleted by the database maintenance tasks. Não são enviadas informações de estado à Microsoft.No state information is sent to Microsoft.

A utilização de atualizações de software do Configuration Manager para instalar atualizações de software em computadores cliente pode estar sujeita aos termos de licenciamento do software dessas atualizações, que são separado dos termos de licenciamento de Software para o System Center Configuration Manager.The use of Configuration Manager software updates to install software updates on client computers might be subject to software license terms for those updates, which is separate from the Software License Terms for System Center Configuration Manager. Reveja e aceite os termos de licenciamento para Software antes de instalar as atualizações de software através do Configuration Manager sempre.Always review and agree to the Software Licensing Terms prior to installing the software updates by using Configuration Manager.

Configuration Manager não implementa atualizações de software por predefinição e requer vários passos de configuração antes de informações que são recolhidas.Configuration Manager does not implement software updates by default and requires several configuration steps before information is collected.

Antes de configurar as atualizações de software, considere os requisitos de privacidade.Before you configure software updates, consider your privacy requirements.