Configuration Manager中硬體清查的安全性和隱私權

適用於：Configuration Manager (目前的分支)

本主題包含Configuration Manager中硬體清查的安全性和隱私權資訊。

硬體清查的安全性最佳做法

當您從用戶端收集硬體清查資料時，請使用下列安全性最佳做法：

安全性最佳做法	其他相關資訊
簽署和加密清查資料	當用戶端使用 HTTPS 與管理點通訊時，它們傳送的所有資料都會使用 SSL 加密。 不過，當用戶端電腦使用 HTTP 與內部網路上的管理點通訊時，用戶端清查資料和收集的檔案可以不帶正負號和未加密的方式傳送。 請確定網站已設定為需要簽署和使用加密。 此外，如果用戶端可以支援 SHA-256 演算法，請選取需要 SHA-256 的選項。
請勿在高安全性環境中收集 IDMIF 和 NOIDMIF 檔案	您可以使用 IDMIF 和 NOIDMIF 檔案集合來擴充硬體清查收集。 必要時，Configuration Manager會建立新的資料表，或修改Configuration Manager資料庫中的現有資料表，以容納 IDMIF 和 NOIDMIF 檔案中的屬性。 不過，Configuration Manager不會驗證 IDMIF 和 NOIDMIF 檔案，因此這些檔案可用來改變您不想要改變的資料表。 不正確資料可能會覆寫有效的資料。 此外，可能會新增大量資料，而處理此資料可能會導致所有Configuration Manager函式延遲。 若要降低這些風險，請將硬體清查用戶端設定 [收集 MIF 檔案] 設定為 [無]。

硬體清查的安全性問題

收集清查會公開潛在的弱點。 攻擊者可以執行下列動作：

• 傳送不正確資料，即使停用軟體清查用戶端設定且未啟用檔案收集，管理點也會接受此資料。

• 在單一檔案和許多檔案中傳送大量資料，這可能會導致阻斷服務。

• 將清查資訊傳輸至Configuration Manager時存取清查資訊。

  由於具有本機系統管理許可權的使用者可以傳送任何資訊作為清查資料，因此請勿將Configuration Manager所收集的清查資料視為授權。

  硬體清查預設會啟用為用戶端設定。

硬體清查的隱私權資訊

硬體清查可讓您擷取儲存在登錄和 WMI 中Configuration Manager用戶端中的任何資訊。 軟體清查可讓您探索指定類型的所有檔案，或從用戶端收集任何指定的檔案。 Asset Intelligence 藉由擴充硬體和軟體清查，並新增新的授權管理功能，來增強清查功能。

硬體清查預設會啟用為用戶端設定，而收集的 WMI 資訊取決於您選取的選項。 預設會啟用軟體清查，但預設不會收集檔案。 Asset Intelligence 資料收集會自動啟用，不過您可以選取要啟用的硬體清查報告類別。

清查資訊不會傳送至Microsoft。 清查資訊會儲存在Configuration Manager資料庫中。 當用戶端使用 HTTPS 連線到管理點時，它們傳送至月臺的清查資料會在傳輸期間加密。 如果用戶端使用 HTTP 連線到管理點，您可以選擇啟用清查加密。 清查資料不會以加密格式儲存在資料庫中。 資訊會保留在資料庫中，直到月臺維護工作每隔 90 天刪除一次過時 清查記錄 或 刪除過時收集的檔案 為止。 您可以設定刪除間隔。

設定硬體清查、軟體清查、檔案收集或 Asset Intelligence 資料收集之前，請考慮您的隱私權需求。