Säkerhet och sekretess för programuppdateringar i Configuration Manager
Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} Information |
|---|
Det här avsnittet visas i handboken Distributionsprogramvara och operativsystem i System Center 2012 Configuration Manager och i handboken Säkerhet och sekretess för System Center 2012 Configuration Manager. |
Det här avsnittet innehåller information om säkerhet och sekretess för programuppdateringar i System Center 2012 Configuration Manager.
Rekommenderade säkerhetsmetoder för programuppdateringar
Använd följande rekommenderade säkerhetsmetoder när du distribuerar programvaruuppdateringar till klienter:
Regelverk för säkerhet |
Mer information |
||
|---|---|---|---|
Ändra inte standardbehörigheterna för programuppdateringspaketen. |
Som standard är programuppdateringspaketen inställda på att ge administratörer Fullständig behörighet och användare Läs-behörighet. Om du ändrar behörigheteran kan det göra det möjligt för en angripare att lägga till, ta bort eller radera programuppdateringar. |
||
Kontrollera åtkomsten till nedladdningsplatsen för programuppdateringar. |
Datorkontona för SMS-providern, platsservern och den administrativa användaren som laddar ner programuppdateringarna till nedladdningsplatsen kräver Skriv-behörighet till nedladdningsplatsen. Begränsa åtkomsten till nedladdningsplatsen för att minska risken för att angripare manipulerar programuppdateringskällfilerna där. Om du dessutom använder en UNC-resurs för nedladdningsplatsen, säkra nätverkskanalen genom att använda IPsec- eller SMB-signering för att undvika manipulering av programuppdateringskällfilerna när de överförs via nätverket. |
||
Använd UTC för att utvärdera distributionstider. |
Om du använder lokal tid istället för UTC kan användarna möjligen fördröja installationen av programuppdateringar genom att ändra tidszonen på sina datorer |
||
Aktivera SSL på WSUS och följ rekommenderade metoder för att säkra Windows Server Update Services (WSUS). |
Identifiera och följ de rekommenderade säkerhetsmetoderna för den version av WSUS som du använder med Configuration Manager.
|
||
Aktivera CRL-kontroll. |
Som standard kontrollerar Configuration Manager inte listan över återkallade certifikat (CRL) för att verifiera signaturen på programuppdateringar innan de distribueras till datorer. Att kontrollera CRL-listan vid varje certifikatanvändning ger högre säkerhet än att använda ett certifikat som har återkallats, men ger även upphov till att anslutningen blir långsammare och att belastningen ökar på den dator där CRL-kontrollen utförs. Mer information om hur du aktiverar CRL-kontroll av programuppdateringar finns i Så här aktiverar du CRL-kontroll för programvaruuppdateringar. |
||
Konfigurera WSUS att använda en anpassad webbplats. |
När du installerar WSUS på programuppdateringsplatsen kan du välja att använda den befintliga IIS-standardwebbplatsen eller att skapa en anpassad WSUS-webbplats. Skapa en anpassad webbplats för WSUS så att IIS är värd för WSUS-tjänsterna på en dedikerad virtuell webbplats istället för att dela samma webbplats som används av de andra Configuration Manager-platssystemen eller andra program. Mer information finns i avsnittet Konfigurera WSUS att använda en anpassad webbplats i avsnittet Planera programuppdateringar i Configuration Manager. |
||
NAP (Network Access Protection): Förlita dig inte på att NAP skyddar nätverket från skadliga användare. |
Network Access Protection är utformat för att hjälpa administratörerna att underhålla datorernas hälsa i nätverket, vilket i sin tur hjälper till att underhålla nätverkets övergripande integritet. Om en dator till exempel har alla programuppdateringar som krävs av Configuration Managers NAP-policy anses datorn vara kompatibel och den får rätt behörighet till nätverket. Network Access Protection hindrar inte en behörig användare med en kompatibel dator att överföra ett skadligt program till nätverket eller inaktivera NAP-agenten. |
||
NAP (Network Access Protection): Använd inte DHCP NAP-verkställande i en produktionsmiljö. |
Använd endast DHCP NAP i en säker testmiljö eller för övervakningssyften. När du använder DHCP NAP kan angripare ändra hälsodeklarationspaketen mellan klienten och NAP-hälsoprincipservern och användarna kan kringgå NAP-processen. |
||
NAP (Network Access Protection): Använd konsekventa NAP-principer i hierarkin för att minimera missförstånden. |
En felkonfigurerad NAP-princip kan leda till att klienterna kommer åt nätverket när de ska hindras eller att behöriga klienter felaktigt hindras. Ju mer komplicerad din NAP-princip är desto högre är risken för felkonfiguration. Konfigurera platserna för NAP-klientagenten för Configuration Manager och Configuration Manager-systemhälsoverifierare att använda samma inställningar i hela hierarkin eller genom ytterligare hierarkier i organisationen om klienterna kan nätverksväxla mellan dem.
|
||
NAP (Network Access Protection): Aktivera inte Network Access Protection som en klientinställningen omedelbart på nya Configuration Manager-platser. |
Trots att platsservrarna publicerar Configuration Manager-hälsotillståndsreferensen till en domänkontrollant när Configuration Manager-NAP-principerna ändras kan det hända att dessa nya data inte är tillgängliga att hämta omedelbart av systemhälsoverifieraren förrän Active Directory-replikeringen har slutförts. Om du aktiverar Network Access Protection på Configuration Manager-klienter innan replikeringen har slutförts och om din NAP-hälsoprincipserver ger inkompatibla klienter begränsad nätverksåtkomst kan du orsaka en potentiell Denial of Service-attack mot dig själv. |
||
NAP (Network Access Protection): Om du sparar hälsotillståndsreferensen i en specificerad skog, ange två olika konton för att publicera och hämta hälsotillståndsreferensen. |
När du utser en Active Directory-skog som ska lagra hälsotillståndsreferensen, ange två olika konton eftersom de kräver olika uppsättningar av behörigheter:
|
||
NAP (Network Access Protection): Förlita dig inte på Network Access Protection som en ögonblicklig eller realtidsinriktad verkställandemekanism. |
Det finns inbyggda fördröjningar i NAP-verkställandemekanismen. NAP hjälper till att hålla datorerna kompatibla på lång sikt, men normala verkställandefördröjningar kan uppgå till flera timmar eller mer beroende på olika faktorer, inklusive inställning av olika konfigurationsparametrar. |
.jpeg "System_CAPS_important"){kind=icon}
Viktigt
Sekretessinformation för programuppdateringar
Programuppdateringar söker igenom dina klientdatorer för att avgöra vilka programuppdateringar du behöver och skickar sedan tillbaka informationen till platsdatabasen. Under programuppdateringsprocessen kan Configuration Manager överföra information mellan klienter och servrar som identifierar datorn och inloggningskonton.
Configuration Manager har statusinformation om programdistributionsprocessen. Statusinformationen är inte krypterad under överföring eller lagring. Statusinformationen lagras i Configuration Manager-databasen och raderas av databasens underhållsuppgifter. Ingen statusinformation skickas till Microsoft.
Om du använder Configuration Manager-programuppdateringar för att installera programuppdateringar på klientdatorer kan det omfattas av licensvillkor för dessa uppdateringar, som inte är desamma som programlicensvillkoren för Microsoft System Center 2012 Configuration Manager. Läs alltid och godkänn programvarans licensvillkor innan du installerar programuppdateringarna med hjälp av Configuration Manager.
Configuration Manager implementerar inte programuppdateringar som standard och kräver flera konfigurationssteg innan information samlas in.
Innan du konfigurerar programuppdateringar bör du tänka igenom dina sekretesskrav.