Zabezpečení a ochrana soukromí pro aktualizace softwaru v nástroji Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Toto téma se zobrazuje v příručka Nasazení softwaru a operačních systémů v nástroji System Center 2012 Configuration Manager a v příručce Zabezpečení a ochrana soukromí pro aplikaci System Center 2012 Configuration Manager.
Toto téma obsahuje informace související se zabezpečením a ochranou osobních údajů při aktualizacích softwaru v nástroji System Center 2012 Configuration Manager.
Osvědčené postupy zabezpečení pro aktualizace softwaru
Při nasazování aktualizací softwaru do klientů používejte následující osvědčené postupy zabezpečení:
Doporučené zabezpečení |
Další informace |
||
|---|---|---|---|
Neměňte výchozí oprávnění u balíčků aktualizací softwaru. |
Výchozí oprávnění je u balíčků aktualizací softwaru nastaveno na úroveň Úplné řízení pro správce a na úroveň Číst pro uživatele. Změna těchto oprávnění může případnému útočníkovi umožnit přidání, odebrání nebo odstranění aktualizací softwaru. |
||
Zajistěte řízení přístupu k umístění pro stahování aktualizací softwaru. |
Účty počítačů poskytovatele služby SMS, serveru lokality a správce, který bude skutečně stahovat aktualizace softwaru do umístění pro stahování, vyžadují pro toto umístění úroveň přístupu Zapisovat. Omezením přístupu k umístění pro stahování snížíte riziko manipulace se zdrojovými soubory aktualizací softwaru v tomto umístění ze strany případných útočníků. Pokud používáte jako umístění pro stahování sdílenou složku UNC, zabezpečte dále síťový kanál protokolem IPsec nebo podepisováním SMB. Zabráníte tak možné manipulaci se zdrojovými soubory aktualizací softwaru při jejich přenosu v síti. |
||
Při vyhodnocování časů nasazení používejte světový čas (UTC). |
Pokud místo světového času použijete místní čas, uživatelé by teoreticky mohli oddalovat instalaci aktualizací softwaru změnou časového pásma ve svých počítačích. |
||
Povolte protokol SSL u služby WSUS a použijte osvědčené postupy zabezpečení služby WSUS (Windows Server Update Services). |
Vyhledejte a použijte osvědčené postupy zabezpečení odpovídající verzi služby WSUS, kterou s nástrojem Configuration Manager používáte.
|
||
Zapněte kontrolu seznamu CRL. |
Configuration Manager ve výchozím nastavení nekontroluje seznam odvolaných certifikátů (CRL) při ověřování podpisu aktualizací softwaru před jejich nasazením do počítačů. Kontrola seznamu CRL pokaždé, když je certifikát použit, poskytuje lepší zabezpečení proti použití certifikátu, který byl zrušen, ale představuje zpoždění připojení a má za následek další zpracování na počítači provádějícím kontrolu seznamu CRL. Další informace o povolení kontroly seznamu CRL pro aktualizace softwaru naleznete v části Povolení kontroly CRL pro aktualizace softwaru. |
||
Nastavte službu WSUS, aby používala vlastní web. |
Při instalaci služby WSUS v bodě aktualizace softwaru je možné použít existující výchozí web služby IIS nebo vytvořit vlastní web služby WSUS. Vytvořte vlastní web pro server WSUS, aby služba IIS hostovala služby WSUS ve vyhrazeném virtuálním webu místo sdílení stejného webu, který je použit jinými systémy lokality nástroje Configuration Manager nebo jinými aplikacemi. Další informace naleznete v části Konfigurace serveru WSUS pro použití vlastního webu v tématu Plánování aktualizací softwaru v nástroji Configuration Manager. |
||
Architektura NAP (Network Access Protection): Nespoléhejte na to, že architektura NAP zabezpečí síť před uživateli se zlými úmysly. |
Architektura NAP pomáhá správcům udržovat počítače v síti v řádném stavu, což následně pomáhá udržovat celkovou integritu sítě. Pokud má například počítač všechny aktualizace softwaru vyžadované zásadami NAP nástroje Configuration Manager, je považován za vyhovující a získá příslušný přístup k síti. Architektura NAP nemůže zabránit tomu, aby oprávněný uživatel s vyhovujícím počítačem nahrál do sítě škodlivý program nebo zakázal agenta NAP. |
||
Architektura NAP (Network Access Protection): Nepoužívejte vynucení architektury DHCP NAP v provozním prostředí. |
Architekturu DHCP NAP používejte pouze v zabezpečeném testovacím prostředí nebo pro potřeby monitorování. Při použití architektury DHCP NAP mohou případní útočníci změnit stav stavových paketů mezi klientem a serverem zásad stavu NAP a uživatelé mohou proces NAP obejít. |
||
Architektura NAP (Network Access Protection): Používejte konzistentní zásady NAP v celé hierarchii pro zachování přehlednosti. |
Chybně konfigurované zásady NAP mohou umožnit klientům přístup k síti tehdy, kdy by jim měl být odepřen, nebo naopak zablokovat přístup oprávněným klientům. Riziko chybné konfigurace je tím větší, čím je návrh zásad NAP složitější. Nastavte klientského agenta NAP a body validátoru stavu systému Configuration Manager tak, aby používaly stejnou konfiguraci v celé hierarchii, případně i v dalších hierarchiích v rámci organizace, pokud se klienti mohou mezi nimi pohybovat.
|
||
Architektura NAP (Network Access Protection): Nepovolujte ihned architekturu NAP v nastavení klienta u nových lokalit nástroje Configuration Manager. |
I když servery lokalit publikují při změně zásad NAP nástroje Configuration Manager odkaz na stav nástroje Configuration Manager na řadiči domény, může se stát, že bod validátoru stavu systému bude mít tato nová data k dispozici až po dokončení replikace služby Active Directory. Pokud povolíte architekturu NAP u klientů nástroje Configuration Manager před dokončením replikace a pokud server zásad stavu NAP dává nevyhovujícím klientům omezený přístup k síti, hrozí nebezpečí, že způsobíte útok na dostupnost služby (DoS) sami proti sobě. |
||
Architektura NAP (Network Access Protection): Pokud uchováváte odkaz na stav v určené doménové struktuře, zadejte dva různé účty pro publikování a načítání odkazu na stav. |
Pokud určíte doménovou strukturu služby Active Directory pro uchovávání odkazu na stav, zadejte dva různé účty, protože jsou potřebné dvě sady oprávnění:
|
||
Architektura NAP (Network Access Protection): Nespoléhejte na to, že architektura NAP zajistí okamžité vynucování nebo vynucování v reálném čase. |
Mechanismus vynucování architektury NAP v sobě zahrnuje nevyhnutelná zpoždění. Architektura NAP pomáhá udržovat počítače dlouhodobě ve vyhovujícím stavu. Typická zpoždění při vynucování mohou představovat několik hodin i více, v závislosti na různých nastaveních konfigurace a dalších okolnostech. |
.jpeg "System_CAPS_important")
DůležitéOchrana osobních údajů při aktualizacích softwaru
Aktualizace softwaru prohledávají klientské počítače a zjišťují, jaké aktualizace softwaru potřebujete. Tyto informace pak odesílají zpět do databáze lokality. Configuration Manager může při aktualizacích softwaru přenášet mezi klienty a servery informace, které identifikují účty počítačů a přihlašovací účty.
Configuration Manager uchovává informace o stavu procesu nasazení softwaru. Informace nejsou při přenosu a uchovávání šifrovány. Stavové informace jsou uloženy v databázi nástroje Configuration Manager a jsou v rámci úloh údržby databáze odstraňovány. Žádné informace o stavu nejsou odesílány společnosti Microsoft.
Použití nástroje Configuration Manager k instalaci aktualizací softwaru do klientských počítačů může podléhat licenčním podmínkám těchto aktualizací, které jsou oddělené od licenčních podmínek pro nástroj Microsoft System Center 2012 Configuration Manager. Před instalací aktualizací softwaru s použitím nástroje Configuration Manager si vždy přečtěte licenční podmínky pro software a vyjádřete s nimi souhlas.
Configuration Manager ve výchozím nastavení neimplementuje aktualizace softwaru. Před shromažďováním informací je třeba použít několik kroků konfigurace.
Před konfigurací aktualizací softwaru zvažte své požadavky na ochranu osobních údajů.