Partilhar via


Segurança e privacidade para atualizações de software no Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Este tópico contém informações de segurança e privacidade para atualizações de software no Gestor de Configuração.

Procedimentos recomendados de segurança para atualizações de software

Utilize os seguintes procedimentos recomendados de segurança para implementar atualizações de software em clientes:

  • Não altere as permissões predefinidas nos pacotes de atualização de software.

    Por predefinição, os pacotes de atualização de software são configurados para permitir Controlo Total aos administradores e acesso de Leitura aos utilizadores. Se alterar estas permissões, poderá permitir que um intruso adicione, remova ou elimine as atualizações de software.

  • Controle o acesso à localização de transferência de atualizações de software.

    As contas de computador do Fornecedor de SMS, o servidor do site e o utilizador administrativo que efetivamente transferem atualizações de software para a localização de transferência necessitam de acesso de Escrita a essa mesma localização. Restrinja o acesso à localização de transferência para reduzir o risco de adulteração dos ficheiros de origem das atualizações de software por parte de intrusos.

    Além disso, se utilizar uma partilha UNC na localização de transferência, proteja o canal de rede utilizando o IPsec ou a assinatura SMB para evitar a adulteração dos ficheiros de origem de atualizações de software quando forem transferidos através da rede.

  • Utilize a UTC para avaliar a tempos de implementação.

    Se utilizar a hora local em vez da UTC, os utilizadores poderão atrasar a instalação das atualizações de software alterando o fuso horário nos respetivos computadores

  • Ative SSL no WSUS e siga os procedimentos recomendados para proteger o Windows Server Update Services (WSUS).

    Identifique e siga as melhores práticas de segurança para a versão da WSUS que utiliza com o Gestor de Configuração.

    Para obter mais informações sobre a ativação do SSL, consulte o ponto de atualização de software configurar um ponto de atualização de software para utilizar o TLS/SSL com um tutorial de certificado PKI.

    Importante

    Se configurar o ponto de atualização de software para ativar as comunicações SSL no servidor WSUS, tem de configurar as raízes virtuais para SSL no servidor WSUS.

  • Ative a verificação CRL.

    Por predefinição, o Gestor de Configuração não verifica a lista de revogação do certificado (CRL) para verificar a assinatura nas atualizações de software antes de serem implantadas nos computadores. A verificação da CRL sempre que é utilizado um certificado oferece mais segurança contra a utilização de um certificado revogado, mas provoca um atraso de ligação e implica um processamento adicional no computador que a está a efetuar.

    Para obter mais informações sobre como permitir a verificação de CRL para atualizações de software, consulte Como permitir a verificação de CRL para atualizações de software.

  • Configure o WSUS para utilizar um Web site personalizado.

    Quando instala o WSUS no ponto de atualização de software, pode optar por utilizar o Web site predefinido do IIS existente ou por criar um Web site do WSUS personalizado. Crie um website personalizado para a WSUS para que o IIS acolhia os serviços WSUS num website virtual dedicado em vez de partilhar o mesmo site que é usado pelos outros sistemas de site do Gestor de Configuração ou outras aplicações.

    Para mais informações, consulte Configure WSUS to use a custom web site.

Informações de privacidade para atualizações de software

As atualizações de software analisam os computadores cliente para determinar que atualizações de software são necessárias e, em seguida, devolvem as informações à base de dados do site. Durante o processo de atualização do software, o Gestor de Configuração poderá transmitir informações entre clientes e servidores que identifiquem as contas do computador e do início de sílinho.

O Gestor de Configuração mantém informações estatais sobre o processo de implementação do software. As informações de estado não são encriptadas durante a transmissão ou o armazenamento. As informações estatais são armazenadas na base de dados do Gestor de Configuração e são eliminadas pelas tarefas de manutenção da base de dados. Não são enviadas informações de estado à Microsoft.

A utilização de atualizações de software do Gestor de Configuração para instalar atualizações de software em computadores clientes pode estar sujeita a termos de licença de software para essas atualizações, que são separadas dos Termos de Licença de Software para Gestor de Configuração. Reveja e concorde sempre com os Termos de Licenciamento de Software antes de instalar as atualizações de software utilizando o Gestor de Configuração.

O Gestor de Configuração não implementa atualizações de software por predefinição e requer vários passos de configuração antes de a informação ser recolhida.

Antes de configurar as atualizações de software, considere os requisitos de privacidade.