Configuration Manager中硬件清单的安全和隐私

适用于: Configuration Manager(current branch)

本主题包含 Configuration Manager 中的硬件清单的安全和隐私信息。

硬件清单的安全最佳做法

在从客户端收集硬件清单数据时使用以下安全最佳做法：

安全最佳做法	更多信息
对清单数据进行签名和加密	当客户端使用 HTTPS 与管理点通信时，它们发送的所有数据都使用 SSL 进行加密。 但是，当客户端计算机使用 HTTP 与 Intranet 上的管理点通信时，客户端清单数据和收集的文件可以发送未签名且未加密。 确保站点配置为需要签名和使用加密。 此外，如果客户端可以支持 SHA-256 算法，请选择要求 SHA-256 的选项。
请勿在高安全性环境中收集 IDMIF 和 NOIDMIF 文件	可以使用 IDMIF 和 NOIDMIF 文件收集来扩展硬件清单收集。 如有必要，Configuration Manager创建新表或修改Configuration Manager数据库中的现有表，以容纳 IDMIF 和 NOIDMIF 文件中的属性。 但是，Configuration Manager不会验证 IDMIF 和 NOIDMIF 文件，因此这些文件可用于更改不希望更改的表。 无效数据可能会覆盖有效数据。 此外，可能会添加大量数据，并且处理此数据可能会导致所有Configuration Manager函数出现延迟。 若要缓解这些风险，请将硬件清单客户端设置为“收集 MIF 文件”设置为“无”。

硬件清单的安全问题

收集清单会暴露潜在的漏洞。 攻击者可以执行以下操作：

• 发送无效数据，即使禁用了软件清单客户端设置且未启用文件收集，管理点也会接受这些数据。

• 在单个文件和大量文件中发送过多的数据，这可能会导致拒绝服务。

• 在将清单信息传输到Configuration Manager时访问该信息。

  由于具有本地管理权限的用户可以将任何信息作为清单数据发送，因此不要认为Configuration Manager收集的清单数据具有权威性。

  默认情况下，硬件清单作为客户端设置启用。

硬件清单的隐私信息

硬件清单允许检索存储在注册表和 WMI Configuration Manager 客户端上的任何信息。 软件清单允许发现指定类型的所有文件或从客户端收集任何指定文件。 资产智能通过扩展硬件和软件清单并添加新的许可证管理功能来增强清单功能。

默认情况下，硬件清单作为客户端设置启用，收集的 WMI 信息由所选选项决定。 默认情况下启用软件清单，但默认情况下不会收集文件。 资产智能数据收集会自动启用，但你可以选择要启用的硬件清单报告类。

清单信息不会发送到Microsoft。 清单信息存储在 Configuration Manager 数据库中。 当客户端使用 HTTPS 连接到管理点时，它们发送到站点的清单数据在传输过程中会加密。 如果客户端使用 HTTP 连接到管理点，则可以选择启用清单加密。 清单数据不以加密格式存储在数据库中。 信息将保留在数据库中，直到站点维护任务每隔 90 天 删除过期的清单历史记录 或删除 过期的收集文件 。 可以配置删除间隔。

在配置硬件清单、软件清单、文件收集或资产智能数据收集之前，请考虑隐私要求。