Freigeben über


Sicherheit und Datenschutz für Softwareupdates in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Dieses Thema enthält Sicherheits- und Datenschutzinformationen für Softwareupdates in Configuration Manager.

Bewährte Sicherheitsmethoden für Softwareupdates

Verwenden Sie die folgenden bewährten Sicherheitsmethoden, wenn Sie Softwareupdates für Clients bereitstellen:

  • Ändern Sie nicht die Standardberechtigungen für Softwareupdatepakete.

    Standardmäßig sind Softwareupdatepakete so festgelegt, dass Administratoren vollzugriff und Benutzer Lesezugriff haben. Wenn Sie diese Berechtigungen ändern, kann ein Angreifer Softwareupdates hinzufügen, entfernen oder löschen.

  • Steuern Sie den Zugriff auf den Downloadspeicherort für Softwareupdates.

    Die Computerkonten für den SMS-Anbieter, den Standortserver und den Administrator, der die Softwareupdates tatsächlich an den Downloadspeicherort herunterladen wird, benötigen Schreibzugriff auf den Downloadspeicherort. Beschränken Sie den Zugriff auf den Downloadspeicherort, um das Risiko zu verringern, dass Angreifer die Quelldateien für Softwareupdates am Downloadspeicherort manipulieren.

    Wenn Sie außerdem eine UNC-Freigabe für den Downloadspeicherort verwenden, sichern Sie den Netzwerkkanal mithilfe von IPsec oder SMB-Signatur, um zu verhindern, dass die Quelldateien der Softwareupdates manipuliert werden, wenn sie über das Netzwerk übertragen werden.

  • Verwenden Sie UTC zum Auswerten der Bereitstellungszeiten.

    Wenn Sie die Ortszeit anstelle von UTC verwenden, können Benutzer die Installation von Softwareupdates möglicherweise verzögern, indem sie die Zeitzone auf ihren Computern ändern.

  • Aktivieren Sie SSL unter WSUS, und befolgen Sie die bewährten Methoden zum Schützen von Windows Server Update Services (WSUS).

    Identifizieren und befolgen Sie die bewährten Sicherheitsmethoden für die Version von WSUS, die Sie mit Configuration Manager verwenden.

    Weitere Informationen zum Aktivieren von SSL finden Sie im Tutorial Konfigurieren eines Softwareupdatepunkts für die Verwendung von TLS/SSL mit einem PKI-Zertifikat.

    Wichtig

    Wenn Sie den Softwareupdatepunkt so konfigurieren, dass die SSL-Kommunikation für den WSUS-Server aktiviert wird, müssen Sie virtuelle Stammelemente für SSL auf dem WSUS-Server konfigurieren.

  • Aktivieren Sie die CRL-Überprüfung.

    Standardmäßig überprüft Configuration Manager die Zertifikatsperrliste (Certificate Revocation List, CRL) nicht, um die Signatur von Softwareupdates zu überprüfen, bevor sie auf Computern bereitgestellt werden. Das Überprüfen der Zertifikatsperrliste bei jeder Verwendung eines Zertifikats bietet mehr Sicherheit bei der Verwendung eines gesperrten Zertifikats, führt jedoch zu einer Verbindungsverzögerung und führt zu einer zusätzlichen Verarbeitung auf dem Computer, der die Zertifikatsperrlistenprüfung durchführt.

    Weitere Informationen zum Aktivieren der CRL-Überprüfung auf Softwareupdates finden Sie unter Aktivieren der CRL-Überprüfung für Softwareupdates.

  • Konfigurieren Sie WSUS für die Verwendung einer benutzerdefinierten Website.

    Wenn Sie WSUS auf dem Softwareupdatepunkt installieren, haben Sie die Möglichkeit, die vorhandene IIS-Standardwebsite zu verwenden oder eine benutzerdefinierte WSUS-Website zu erstellen. Erstellen Sie eine benutzerdefinierte Website für WSUS, damit IIS die WSUS-Dienste auf einer dedizierten virtuellen Website hostet, anstatt dieselbe Website zu teilen, die von den anderen Configuration Manager-Standortsystemen oder anderen Anwendungen verwendet wird.

    Weitere Informationen finden Sie unter Konfigurieren von WSUS für die Verwendung einer benutzerdefinierten Website.

Datenschutzinformationen für Softwareupdates

Softwareupdates überprüft Ihre Clientcomputer, um zu ermitteln, welche Softwareupdates Sie benötigen, und sendet diese Informationen dann zurück an die Standortdatenbank. Während des Softwareupdatevorgangs übertragen Configuration Manager möglicherweise Informationen zwischen Clients und Servern, die den Computer und Anmeldekonten identifizieren.

Configuration Manager verwaltet Zustandsinformationen zum Softwarebereitstellungsprozess. Zustandsinformationen werden während der Übertragung oder Speicherung nicht verschlüsselt. Zustandsinformationen werden in der Configuration Manager Datenbank gespeichert und von den Datenbankwartungsaufgaben gelöscht. Es werden keine Zustandsinformationen an Microsoft gesendet.

Die Verwendung von Configuration Manager Softwareupdates zum Installieren von Softwareupdates auf Clientcomputern unterliegt möglicherweise den Softwarelizenzbedingungen für diese Updates, die von den Softwarelizenzbedingungen für Configuration Manager getrennt sind. Überprüfen Und akzeptieren Sie die Softwarelizenzbedingungen immer, bevor Sie die Softwareupdates mithilfe von Configuration Manager installieren.

Configuration Manager implementiert standardmäßig keine Softwareupdates und erfordert mehrere Konfigurationsschritte, bevor Informationen gesammelt werden.

Berücksichtigen Sie vor dem Konfigurieren von Softwareupdates Ihre Datenschutzanforderungen.