Protezione e Privacy per l'inventario Software in Configuration Manager
Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Questo argomento è presente in: guida Risorse e conformità a System Center 2012 Configuration Manager e guida Protezione e privacy per System Center 2012 Configuration Manager.
In questo argomento contiene informazioni sulla privacy e sicurezza per l'inventario software in System Center 2012 Configuration Manager.
Le procedure consigliate per l'inventario Software
Utilizzare le seguenti procedure ottimali di protezione per quando è raccogliere i dati di inventario software dai client:
Procedura di sicurezza consigliata |
Altre informazioni |
---|---|
Firmare e crittografare i dati di inventario |
Quando i client comunicano con i punti di gestione tramite HTTPS, tutti i dati che inviano viene crittografato con SSL.Tuttavia, quando i computer client utilizzano HTTP per comunicare con i punti di gestione della rete Intranet, i dati di inventario client e i file raccolti possono essere inviati non firmati e crittografati.Assicurarsi che il sito sia configurato per richiedere la firma e utilizzare la crittografia.Inoltre, se i client possono supportare l'algoritmo SHA-256, selezionare l'opzione per richiedere SHA-256. |
Non utilizzare l'insieme di file per raccogliere i file critici o informazioni riservate |
Configuration Manager inventario software utilizza tutti i diritti dell'account LocalSystem, che è in grado di raccogliere le copie di file di sistema critici, ad esempio il Registro di sistema o il database di account di sicurezza.Quando questi file sono disponibili nel server del sito, un utente con i diritti di lettura risorsa o diritti NTFS per il percorso del file archiviato Impossibile analizzare il contenuto e identificare importanti informazioni relative al client per poter essere in grado di compromettere la protezione. |
Limitare i diritti amministrativi locali sul computer client |
Un utente con diritti di amministratore locale può inviare dati non validi come informazioni di inventario. |
Problemi di sicurezza per l'inventario Software
La raccolta dell'inventario espone potenziali vulnerabilità.Gli utenti malintenzionati possono eseguire le operazioni seguenti:
Inviare dati non validi, che verranno accettati dal punto di gestione anche quando l'impostazione client di inventario software è disabilitato e raccolta di file non è abilitato.
Trasmissione eccessivamente grandi quantità di dati in un singolo file e in un numero elevato di file, che potrebbero causare un attacco denial of service.
Accedere alle informazioni di inventario, come viene trasferito al Configuration Manager.
Se gli utenti sappiano che è possibile creare un file nascosto denominato Skpswi.dat e posizionarlo nella radice di un disco rigido da escludere dall'inventario software client, non sarà in grado di raccogliere dati di inventario software dal computer.
Poiché un utente con privilegi di amministratore locale può inviare le informazioni come dati di inventario, non prende in considerazione i dati di inventario raccolti da Configuration Manager autorevoli.
Inventario software è abilitato per impostazione predefinita come impostazione client.
Informazioni sulla privacy per l'inventario Software
Nota
Le informazioni contenute in questa sezione appaiono anche in Protezione e Privacy per l'inventario Hardware in Configuration Manager.
Inventario hardware consente di recuperare tutte le informazioni archiviate nel Registro di sistema e in WMI in Configuration Manager client.Inventario software consente di individuare tutti i file di un tipo specificato o per raccogliere tutti i file specificati dai client.Asset Intelligence migliora le funzionalità di inventario mediante l'estensione dell'inventario hardware e software e aggiungere una nuova funzionalità di gestione licenze.
Inventario hardware è abilitata per impostazione predefinita come impostazione client e le informazioni di WMI raccolte sono determinate dalle opzioni selezionate.Inventario software è abilitato per impostazione predefinita, ma i file non vengono raccolti per impostazione predefinita.Raccolta di dati di Asset Intelligence viene abilitata automaticamente, anche se è possibile selezionare l'inventario hardware classi per la creazione di report.
Informazioni di inventario non vengono inviate a Microsoft.Informazioni di inventario vengono archiviate nel Configuration Manager database.Quando i client utilizzano HTTPS per connettersi ai punti di gestione, i dati di inventario che inviano al sito vengono crittografati durante il trasferimento.Se i client utilizzano HTTP per connettersi ai punti di gestione, è possibile attivare la crittografia di inventario.I dati di inventario non è archiviati in formato crittografato nel database.Le informazioni vengono mantenute nel database fino a quando non viene eliminato da attività di manutenzione del sito Elimina cronologia inventario obsoleti o Elimina file raccolti obsoleti ogni 90 giorni.È possibile configurare l'intervallo di eliminazione.
Prima di configurare l'inventario hardware, inventario software, raccolta di file o la raccolta dei dati di Asset Intelligence, considerare i requisiti sulla privacy.