軟體清查 Configuration Manager 中的安全性與隱私權
適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") 注意事項 |
|---|
本主題顯示於System Center 2012 Configuration Manager 中的資產與相容性指南和 System Center 2012 Configuration Manager 的安全性和隱私權指南中。 |
本主題包含的軟體清查的安全性和隱私權資訊 System Center 2012 Configuration Manager。
軟體清查的安全性最佳作法
當您從用戶端收集軟體清查資料時使用下列安全性最佳作法:
安全性最佳作法 |
詳細資訊 |
|---|---|
簽署和加密清查資料 |
與管理點的用戶端是使用 HTTPS 通訊,會使用 SSL 加密其傳送的所有資料。不過,當用戶端電腦會使用 HTTP 與內部網路上的管理點進行通訊,用戶端清查資料和收集的檔案可以傳送不帶正負號和未加密。請確定該網站設定為需要簽署並使用加密。此外,如果用戶端可以支援 sha-256 演算法,選取 [需要 sha-256 的選項。 |
請勿使用來收集重要的檔案或機密資訊的檔案集合 |
Configuration Manager 軟體清查使用 LocalSystem 帳戶有能力收集重要系統檔案,例如登錄或安全性帳戶資料庫副本的所有權限。這些檔案可在站台伺服器時,擁有讀取資源權限或儲存的檔案位置的 NTFS 權限的人無法分析其內容並進而才能危害其安全性用戶端相關的重要詳細資料。 |
限制用戶端電腦上的本機系統管理權限 |
具有本機系統管理權限的使用者可以傳送無效的資料做為清查資訊。 |
軟體清查的安全性問題
收集的清查會公開潛在的弱點。攻擊者可以執行以下工作:
傳送不正確的資料,將會接受管理點即使當軟體清查用戶端設定已停用並不會啟用檔案集合。
在單一檔案和很多可能會造成阻絕服務的檔案中傳送非常大量的資料。
存取目錄資訊傳輸至 Configuration Manager。
如果使用者知道他們可以建立名為隱藏的檔案 Skpswi.dat 並放在排除軟體清查的用戶端硬碟機的根目錄中,您將無法從該電腦收集軟體清查資料。
因為具有本機系統管理權限的使用者可以傳送任何資訊與清查資料,不會考慮所收集的清查資料 Configuration Manager 為授權。
預設會啟用軟體清查為用戶端設定。
軟體清查的隱私權資訊
| 注意事項 |
|---|
本節提供的資訊也會出現在 硬體清查 Configuration Manager 中的安全性與隱私權. |
硬體清查可讓您擷取儲存在登錄中和在 WMI 的任何資訊 Configuration Manager 用戶端。軟體清查可讓您探索指定之類型的所有檔案或從用戶端收集任何指定的檔案。資產智慧增強的清查功能藉由擴充硬體和軟體清查及加入新的授權管理功能。
預設會啟用硬體清查用戶端設定為與所收集的 WMI 資訊取決於您選取的選項。預設會啟用軟體清查但依預設不會收集檔案。資產智慧資料收集會自動啟用,雖然您可以選取硬體清查報告啟用的類別。
清查資訊不會傳送給 Microsoft。清查資訊會儲存在 Configuration Manager 資料庫。當用戶端使用 HTTPS 連接至管理點時,它們傳送至網站的清查資料是在傳輸期間加密。如果用戶端會使用 HTTP 來連接至管理點,您必須啟用清查加密的選項。清查資料不是在資料庫中的加密格式儲存。資訊保留在資料庫中直到刪除網站的維護工作 刪除過時的庫存記錄 或 刪除過時的收集檔案 每隔 90 天。您可以設定刪除間隔。
設定硬體清查、 軟體清查、 檔案集合或資產智慧資料收集之前,請考慮您隱私權的需求。