Segurança e privacidade para o inventário de Software no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Observação |
---|
Este tópico é exibido na nos guias Ativos e conformidade no System Center 2012 Configuration Manager e Segurança e privacidade no System Center 2012 Configuration Manager. |
Este tópico contém informações de segurança e privacidade para o inventário de software no System Center 2012 Configuration Manager.
Práticas recomendadas de segurança para o inventário de Software
Use as seguintes práticas recomendadas de segurança para quando você coleta dados de inventário de software de clientes:
Prática recomendada de segurança |
Mais informações |
---|---|
Assinar e criptografar os dados de inventário |
Quando os clientes se comunicam com pontos de gerenciamento usando HTTPS, todos os dados que enviam são criptografados usando SSL.No entanto, quando os computadores cliente usam HTTP para se comunicar com pontos de gerenciamento na intranet, os dados de inventário do cliente e os arquivos coletados podem ser enviados sem assinatura ou criptografia.Certifique-se de que o site está configurado para exigir assinatura e usar a criptografia.Além disso, se os clientes podem suportar o algoritmo SHA-256, selecione a opção de exigir SHA-256. |
Não use a coleção de arquivos para coletar arquivos críticos ou informações confidenciais |
Gerenciador de Configurações inventário de software usa todos os direitos da conta LocalSystem, que tem a capacidade de coletar cópias dos arquivos de sistema críticos, como o registro ou o banco de dados de contas de segurança.Quando esses arquivos estão disponíveis no servidor do site, alguém com os direitos de leitura recursos ou direitos NTFS para o local do arquivo armazenado poderia analisar seus conteúdos e possivelmente distinguir detalhes importantes sobre o cliente para que possam comprometer a segurança. |
Restringir direitos administrativos nos computadores cliente |
Um usuário com direitos administrativos locais pode enviar dados inválidos, como informações de inventário. |
Problemas de segurança para o inventário de Software
A coleção de inventários expõe vulnerabilidades potenciais.Os invasores podem fazer o seguinte:
Envie dados inválidos, o que serão aceito pelo ponto de gerenciamento, mesmo quando a configuração do cliente de inventário de software está desabilitado e a coleção de arquivos não está habilitada.
Envie excessivamente grandes quantidades de dados em um único arquivo em lotes de arquivos, o que podem causar uma negação de serviço.
Acessar informações de inventário que é transferido para Gerenciador de Configurações.
Se os usuários saibam que eles podem criar um arquivo oculto chamado Skpswi.dat e coloque-o na raiz de um disco rígido do cliente para excluí-lo do inventário de software, você não poderá coletar dados de inventário de software do computador.
Como um usuário com privilégios administrativos locais pode enviar informações como dados de inventário, não consideram os dados de inventário são coletados por Gerenciador de Configurações para autorização.
Inventário de software está habilitado por padrão como uma configuração de cliente.
Informações de privacidade para o inventário de Software
Observação |
---|
As informações nesta seção também aparecem em Segurança e privacidade para o inventário de Hardware no Configuration Manager. |
Inventário de hardware permite que você recupere todas as informações armazenadas no registro e no WMI em Gerenciador de Configurações clientes.Inventário de software permite que você descubra todos os arquivos de um tipo especificado ou para coletar todos os arquivos especificados de clientes.Inteligência de ativos aprimora os recursos de inventário, estendendo o inventário de hardware e software e adicionando novas funcionalidades de gerenciamento de licença.
Inventário de hardware está habilitado por padrão como uma configuração de cliente e as informações de WMI coletadas são determinadas pelas opções que você selecionar.Inventário de software é habilitado por padrão, mas os arquivos não são coletados por padrão.Coleta de dados de inteligência de ativos é habilitada automaticamente, embora você possa selecionar o relatório de classes para habilitar o inventário de hardware.
Informações de inventário não são enviadas à Microsoft.Informações de inventário são armazenadas no Gerenciador de Configurações banco de dados.Quando os clientes usam HTTPS para se conectar a pontos de gerenciamento, os dados de inventário que enviam para o site são criptografados durante a transferência.Se os clientes usam HTTP para se conectar a pontos de gerenciamento, você tem a opção de habilitar a criptografia de inventário.Os dados de inventário não são armazenados em formato criptografado no banco de dados.As informações são retidas no banco de dados até que sejam excluídas pelas tarefas de manutenção de site Excluir histórico de inventário antigos ou Excluir antigos coletados arquivos a cada 90 dias.Você pode configurar o intervalo de exclusão.
Antes de configurar o inventário de hardware, inventário de software, coleção de arquivos ou coleta de dados de inteligência de ativos, considere os requisitos de privacidade.