Sdílet prostřednictvím

Zabezpečení a ochrana osobních údajů pro aktualizace softwaru v Configuration Manager

  • Článek

Platí pro: Configuration Manager (Current Branch)

Toto téma obsahuje informace o zabezpečení a ochraně osobních údajů pro aktualizace softwaru v Configuration Manager.

Osvědčené postupy zabezpečení pro aktualizace softwaru

Při nasazování aktualizací softwaru do klientů používejte následující osvědčené postupy zabezpečení:

  • Neměňte výchozí oprávnění k balíčkům aktualizací softwaru.

    Ve výchozím nastavení jsou balíčky aktualizací softwaru nastavené tak, aby správcům umožňovaly úplné řízení a uživatelům přístup ke čtení . Pokud tato oprávnění změníte, může to útočníkovi umožnit přidat, odebrat nebo odstranit aktualizace softwaru.

  • Řízení přístupu k umístění pro stahování aktualizací softwaru

    Účty počítačů pro poskytovatele serveru SMS, server lokality a správce, kteří budou aktualizace softwaru stahovat do umístění pro stahování, vyžadují přístup k zápisu do umístění pro stahování. Omezte přístup k umístění pro stahování, abyste snížili riziko, že útočníci manipulují se zdrojovými soubory aktualizací softwaru v umístění pro stahování.

    Pokud pro umístění pro stahování používáte sdílenou složku UNC, zabezpečte síťový kanál pomocí protokolu IPsec nebo podepisování SMB, abyste zabránili manipulaci se zdrojovými soubory aktualizací softwaru při jejich přenosu přes síť.

  • K vyhodnocení časů nasazení použijte utc.

    Pokud místo času UTC použijete místní čas, uživatelé můžou potenciálně zpozdit instalaci aktualizací softwaru změnou časového pásma na svých počítačích.

  • Povolte ssl ve službě WSUS a postupujte podle osvědčených postupů pro zabezpečení Windows Server Update Services (WSUS).

    Identifikujte a dodržujte osvědčené postupy zabezpečení pro verzi služby WSUS, kterou používáte s Configuration Manager.

    Další informace o povolení protokolu SSL najdete v kurzu Konfigurace bodu aktualizace softwaru pro použití protokolu TLS/SSL s certifikátem PKI.

    Důležité

    Pokud nakonfigurujete bod aktualizace softwaru tak, aby umožňoval komunikaci SSL pro server WSUS, musíte na serveru WSUS nakonfigurovat virtuální kořeny pro protokol SSL.

  • Povolte kontrolu seznamu CRL.

    Ve výchozím nastavení Configuration Manager nekontroluje seznam odvolaných certifikátů (CRL), aby ověřil podpis v aktualizacích softwaru před jejich nasazením do počítačů. Kontrola seznamu CRL při každém použití certifikátu nabízí větší zabezpečení proti použití certifikátu, který byl odvolán, ale způsobuje zpoždění připojení a na počítači provádějícím kontrolu seznamu CRL probíhá další zpracování.

    Další informace o tom, jak povolit kontrolu seznamu CRL pro aktualizace softwaru, najdete v tématu Povolení kontroly seznamu CRL pro aktualizace softwaru.

  • Nakonfigurujte službu WSUS tak, aby používala vlastní web.

    Při instalaci služby WSUS v bodě aktualizace softwaru máte možnost použít existující výchozí web služby IIS nebo vytvořit vlastní web wsus. Vytvořte vlastní web pro službu WSUS tak, aby služba IIS hostuje služby WSUS na vyhrazeném virtuálním webu místo sdílení stejného webu, který používá ostatní Configuration Manager systémy lokality nebo jiné aplikace.

    Další informace najdete v tématu Konfigurace služby WSUS pro použití vlastního webu.

Informace o ochraně osobních údajů pro aktualizace softwaru

Aktualizace softwaru prohledá klientské počítače, aby zjistily, které aktualizace softwaru potřebujete, a pak je odešlou zpět do databáze lokality. Během procesu aktualizací softwaru může Configuration Manager přenášet informace mezi klienty a servery, které identifikují počítače a přihlašovací účty.

Configuration Manager udržuje informace o stavu procesu nasazení softwaru. Informace o stavu se během přenosu nebo ukládání nešifrují. Informace o stavu jsou uloženy v databázi Configuration Manager a odstraněny úlohami údržby databáze. Microsoftu se neposílají žádné informace o stavu.

Použití Configuration Manager aktualizací softwaru k instalaci aktualizací softwaru do klientských počítačů může podléhat licenčním podmínkám pro tyto aktualizace, které jsou oddělené od licenčních podmínek pro software pro Configuration Manager. Před instalací aktualizací softwaru pomocí Configuration Manager si vždy přečtěte licenční podmínky pro software a přijměte s nimi souhlas.

Configuration Manager ve výchozím nastavení neimplementuje aktualizace softwaru a před shromážděním informací vyžaduje několik kroků konfigurace.

Před konfigurací aktualizací softwaru zvažte své požadavky na ochranu osobních údajů.