次の方法で共有


Configuration Manager のソフトウェア インベントリのセキュリティとプライバシー

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

このトピックでは System Center 2012 Configuration Manager のソフトウェア インベントリに関するセキュリティおよびプライバシー情報について説明します。

ソフトウェア インベントリに関するセキュリティ上のベスト プラクティス

クライアントにソフトウェア インベントリ データをクライアントから収集するときは、次のようなセキュリティのベスト プラクティスに従ってください。

セキュリティのベスト プラクティス

説明

インベントリ データの署名と暗号化

クライアントがHTTPS を使用して管理ポイントと通信するときは、送信されるすべてのデータが SSL を使って暗号化されます。しかし、クライアント コンピューターが HTTP を使用してイントラネット上の管理ポイントと通信するときは、クライアント インベントリ データや収集されたファイルを署名なしで、暗号化せずに送信することができます。必ず署名が必要とされ、暗号化が使用されるようにサイトを構成してください。さらに、クライアントが SHA-256 アルゴリズムをサポートできる場合は、SHA-256 を要求するオプションを選択してください。

重要なファイルや機密情報を収集するのにファイルのコレクションを使用しません。

Configuration Manager ソフトウェア インベントリは、レジストリやセキュリティ アカウント データベースなど、重要なシステムファイルのコピーを収集することのできる、LocalSystem アカウントのすべての権限を使用します。これらのファイルがサイト サーバーにある場合、保存されているファイルの場所に対するリソースの読み取り権限または NTFS 権限を持つ人物が、クライアントのセキュリティを低下させることができるようにするために、ファイルの内容を分析し、クライアントに関する重要な詳細を識別できる可能性があります。

クライアント コンピューターのローカル管理権限を制限してください。

ローカル管理権限を持つユーザーはインベントリ情報として無効なデータを送信できます。

ソフトウェア インベントリに関するセキュリティの問題

インベントリを収集すると、潜在的な脆弱性が露出します。攻撃者は、次のような攻撃を行う可能性があります。

  • ソフトウェア インベントリ クライアント設定が無効化され、ファイル コレクションが有効化されていない場合でも、管理ポイントが受け付けてしまう、無効なデータを送信する。

  • 単一ファイル、あるいは多くのファイルで極めて大量のデータを送信し、その結果サービス拒否攻撃を引き起こす可能性がある。

  • Configuration Manager に転送されるときに、インベントリ情報にアクセスする。

Skpswi.dat という名前の隠しファイルを作成し、そのファイルをクライアントのハード ドライブのルートに配置すると、そのハード ドライブをソフトウェア インベントリから除外できるという事実をユーザーが知っていた場合、ソフトウェア インベントリ データをそのコンピューターから収集することはできなくなります。

ローカル管理権限を持つユーザーはどんな情報でもインベントリ データとして送信できるので、Configuration Manager が収集したインベントリ データが必ず正しいとは考えないでください。

ソフトウェア インベントリは、クライアント設定として既定で有効になっています。

ソフトウェア インベントリに関するプライバシー情報

[!メモ]

このセクションの情報は、次の場所にも表示されます: Configuration Manager のハードウェア インベントリのセキュリティとプライバシー.

ハードウェア インベントリを使うと、Configuration Manager クライアントのレジストリと WMI に格納されているすべての情報を取得できます。ソフトウェア インベントリにより、クライアントにある指定された種類のすべてのファイルの探索、および指定されたすべてのファイルの収集を行うことができます。資産インテリジェンスは、ハードウェアおよびソフトウェア インベントリを拡張し、新しいライセンス管理機能を追加することで、インベントリの機能を強化します。

ハードウェア インベントリは、クライアント設定として既定で有効になっており、収集される WMI 情報は選択するオプションによって決まります。ソフトウェア インベントリは、既定で有効になっていますが、ファイルは既定では収集されません。有効にするハードウェア インベントリ レポート クラスを選択することは可能ですが、資産インテリジェンス データ コレクションは自動的に有効化されます。

インベントリ情報がマイクロソフトに送信されることはありません。インベントリ情報は Configuration Manager データベースに格納されます。クライアントが HTTPS を使用して管理ポイントに接続する場合、クライアントがサイトに送信するインベントリ データは転送中、暗号化されます。クライアントが HTTP を使用して管理ポイントに接続する場合は、インベントリの暗号化を有効にするかどうか選択できます。インベントリ データは、暗号化された形式でデータベースに格納されるわけではありません。サイトの保守タスクによって削除されるまでに、データベースに情報が保持されます 期限切れのインベントリ履歴の削除 または 期限切れの収集ファイルの削除 90 日ごとです。削除間隔は構成できます。

ハードウェア インベントリ、ソフトウェア インベントリ、ファイル コレクション、または資産インテリジェンス データ コレクションを構成する前に、プライバシー要件について検討してください。