Delen via


Beveiliging en privacy voor software-updates in Configuration Manager

Van toepassing op: Configuration Manager (current branch)

Dit onderwerp bevat informatie over beveiliging en privacy voor software-updates in Configuration Manager.

Best practices voor beveiliging voor software-updates

Gebruik de volgende best practices voor beveiliging wanneer u software-updates op clients implementeert:

  • Wijzig de standaardmachtigingen voor software-updatepakketten niet.

    Software-updatepakketten zijn standaard zo ingesteld dat beheerders volledig beheer en gebruikers leestoegang hebben. Als u deze machtigingen wijzigt, kan een aanvaller software-updates toevoegen, verwijderen of verwijderen.

  • Toegang tot de downloadlocatie voor software-updates beheren.

    De computeraccounts voor de SMS-provider, de siteserver en de gebruiker met beheerdersrechten die de software-updates daadwerkelijk naar de downloadlocatie downloadt, vereisen schrijftoegang tot de downloadlocatie. Beperk de toegang tot de downloadlocatie om het risico te beperken dat aanvallers knoeien met de bronbestanden van software-updates op de downloadlocatie.

    Als u bovendien een UNC-share gebruikt voor de downloadlocatie, beveiligt u het netwerkkanaal met behulp van IPsec- of SMB-ondertekening om manipulatie van de bronbestanden van software-updates te voorkomen wanneer deze via het netwerk worden overgedragen.

  • Gebruik UTC voor het evalueren van implementatietijden.

    Als u lokale tijd gebruikt in plaats van UTC, kunnen gebruikers de installatie van software-updates mogelijk vertragen door de tijdzone op hun computers te wijzigen

  • Schakel SSL in wsus in en volg de best practices voor het beveiligen van Windows Server Update Services (WSUS).

    Identificeer en volg de aanbevolen beveiligingsprocedures voor de versie van WSUS die u gebruikt met Configuration Manager.

    Zie de zelfstudie Een software-updatepunt configureren voor het gebruik van TLS/SSL met een PKI-certificaat voor meer informatie over het inschakelen van SSL.

    Belangrijk

    Als u het software-updatepunt configureert om SSL-communicatie voor de WSUS-server in te schakelen, moet u virtuele wortels voor SSL configureren op de WSUS-server.

  • CRL-controle inschakelen.

    Standaard controleert Configuration Manager de certificaatintrekkingslijst (CRL) niet om de handtekening op software-updates te controleren voordat ze op computers worden geïmplementeerd. Het controleren van de CRL telkens wanneer een certificaat wordt gebruikt, biedt meer beveiliging tegen het gebruik van een certificaat dat is ingetrokken, maar het leidt tot een verbindingsvertraging en extra verwerking op de computer die de CRL-controle uitvoert.

    Zie CRL-controle op software-updates inschakelen voor meer informatie over het inschakelen van CRL-controle op software-updates.

  • WSUS configureren voor het gebruik van een aangepaste website.

    Wanneer u WSUS installeert op het software-updatepunt, hebt u de mogelijkheid om de bestaande standaardwebsite van IIS te gebruiken of om een aangepaste WSUS-website te maken. Maak een aangepaste website voor WSUS, zodat IIS de WSUS-services host in een toegewezen virtuele website in plaats van dezelfde website te delen die wordt gebruikt door de andere Configuration Manager sitesystemen of andere toepassingen.

    Zie WSUS configureren voor het gebruik van een aangepaste website voor meer informatie.

Privacy-informatie voor software-updates

Software-updates scant uw clientcomputers om te bepalen welke software-updates u nodig hebt en stuurt die informatie vervolgens terug naar de sitedatabase. Tijdens het software-updateproces kan Configuration Manager informatie verzenden tussen clients en servers die de computer en aanmeldingsaccounts identificeren.

Configuration Manager onderhoudt statusinformatie over het software-implementatieproces. Statusgegevens worden niet versleuteld tijdens verzending of opslag. Statusgegevens worden opgeslagen in de Configuration Manager-database en worden verwijderd door de onderhoudstaken van de database. Er worden geen statusgegevens naar Microsoft verzonden.

Het gebruik van Configuration Manager software-updates om software-updates op clientcomputers te installeren, is mogelijk onderworpen aan softwarelicentievoorwaarden voor deze updates, die los staan van de softwarelicentievoorwaarden voor Configuration Manager. Controleer en ga altijd akkoord met de softwarelicentievoorwaarden voordat u de software-updates installeert met behulp van Configuration Manager.

Configuration Manager implementeert geen software-updates standaard en vereist verschillende configuratiestappen voordat informatie wordt verzameld.

Houd rekening met uw privacyvereisten voordat u software-updates configureert.