Säkerhet och sekretess för Programvaruinventering i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Det här avsnittet innehåller information om säkerhet och sekretess för programvaruinventering i System Center 2012 Configuration Manager.

Metodtips för Programvaruinventering

Använd följande Säkerhet Metodtips för när du samlar in data om programvara från klienter:

Regelverk för säkerhet

Mer information

Signera och kryptera lagerdata

När klienter kommunicera med hanteringsplatser med HTTPS, alla data som de skickar krypteras med SSL.Dock när klientdatorer använder HTTP för att kommunicera med hanteringsplatser på intranätet kan kan klienten inventering data och insamlade filer skickas osignerade och okrypterade.Kontrollera att webbplatsen är konfigurerad för kräver signering och kryptering.Dessutom om klienter kan ha stöd för SHA-256 algoritmen, välja alternativet att kräva SHA-256.

Använd inte filen samling att samla in kritiska filer eller känslig information

Configuration Manager programvaruinventering använder kontot Lokalt system som har möjlighet att samla in kopior av kritiska systemfiler, till exempel registret eller databasen för kontosäkerhet alla rättigheter.När de här filerna är tillgängliga på platsservern kan någon med läsa resurs rättigheter eller NTFS rättigheter till lagrade filplats analysera innehållet och eventuellt särskilja viktig information om klienten för att kunna skada säkerheten.

Begränsa lokal administratörsbehörighet på klientdatorer

En användare med lokal administratörsbehörighet kan skicka ogiltiga data som inventeringsinformation.

Säkerhetsfrågor för Programvaruinventering

Att samla in lager visar säkerhetsproblem.Angripare kan utföra följande:

  • Skicka ogiltiga data som kommer att accepteras av hanteringsplatsen när programvaruinventering klienten anger är inaktiverat och insamling av filen inte är aktiverad.

  • Skicka för stora mängder data i en fil och massor av filer, vilket kan orsaka en denial of service.

  • Åtkomst till inventeringsinformation som överförs till Configuration Manager.

Om användarna vet att de kan skapa en dold fil med namnet Skpswi.dat och placera den i roten av en klient hårddisk ska undantas från programvaruinventering, du kommer inte att kunna samla in data om programvaran från datorn.

Eftersom en användare med lokala administrativa privilegier kan skicka all information som lager, inte anser inventering data som samlas in av Configuration Manager ska vara ändringen.

Programvaruinventering är aktiverad som standard som en klient anger.

Sekretessinformation för Programvaruinventering

System_CAPS_noteInformation

Informationen i det här avsnittet visas även i Säkerhet och sekretess för Maskinvaruinventering i Configuration Manager.

Maskinvaruinventering kan du hämta information som lagras i registret och i WMI på Configuration Manager klienter.Programvaruinventering kan du identifiera alla filer till en angiven typ eller samla in alla angivna filer från klienter.Tillgångsinformation ökar inventering funktioner genom att utvidga inventering av maskin- och programvara och lägga till nya funktioner för hantering av licens.

Maskinvaruinventering är aktiverad som standard som en klient anger och WMI-information som samlas in bestäms genom att alternativ som du väljer.Programvaruinventering är aktiverad som standard men filer samlas inte som standard.Datainsamling för tillgångsinformation aktiveras automatiskt, men du kan välja maskinvaruinventering reporting klasser för att aktivera.

Inventeringsinformation skickas inte till Microsoft.Inventeringsinformation lagras i den Configuration Manager databasen.När klienter använder HTTPS för att ansluta till hanteringsplatser, är inventering data som de skickar till webbplatsen krypterad under överföringen.Om klienterna använder HTTP för att ansluta till hanteringsplatser, kan välja att aktivera inventering kryptering.Inventering data lagras inte i krypterat format i databasen.Information som finns kvar i databasen tills den tas bort av webbplats underhållsuppgifter Ta bort äldre inventering tidigare eller Ta bort äldre insamlade filer efter 90 dagar.Du kan konfigurera borttagningsintervallet.

Innan du konfigurerar maskinvaruinventering, programvaruinventering, insamling av filen eller datainsamling för tillgångsinformation tänka din sekretesskrav som finns.