Sicurezza e privacy per gli aggiornamenti software in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Questo argomento contiene informazioni sulla sicurezza e sulla privacy per gli aggiornamenti software in Configuration Manager.
Procedure consigliate per la sicurezza per gli aggiornamenti software
Quando si distribuiscono gli aggiornamenti software ai client, usare le procedure consigliate di sicurezza seguenti:
Non modificare le autorizzazioni predefinite per i pacchetti di aggiornamento software.
Per impostazione predefinita, i pacchetti di aggiornamento software sono impostati per consentire agli amministratori controllo completo e agli utenti di avere accesso in lettura . Se si modificano queste autorizzazioni, potrebbe consentire a un utente malintenzionato di aggiungere, rimuovere o eliminare gli aggiornamenti software.
Controllare l'accesso al percorso di download per gli aggiornamenti software.
Gli account del computer per il provider SMS, il server del sito e l'utente amministratore che scaricherà effettivamente gli aggiornamenti software nel percorso di download richiedono l'accesso in scrittura al percorso di download. Limitare l'accesso al percorso di download per ridurre il rischio di manomissione degli utenti malintenzionati con i file di origine degli aggiornamenti software nel percorso di download.
Inoltre, se si usa una condivisione UNC per il percorso di download, proteggere il canale di rete usando la firma IPsec o SMB per impedire la manomissione dei file di origine degli aggiornamenti software quando vengono trasferiti in rete.
Usare UTC per valutare i tempi di distribuzione.
Se si usa l'ora locale anziché UTC, gli utenti potrebbero ritardare l'installazione degli aggiornamenti software modificando il fuso orario nei computer
Abilitare SSL in WSUS e seguire le procedure consigliate per la protezione di Windows Server Update Services (WSUS).
Identificare e seguire le procedure consigliate per la sicurezza per la versione di WSUS usata con Configuration Manager.
Per altre informazioni sull'abilitazione di SSL, vedere l'esercitazione Configurare un punto di aggiornamento software per l'uso di TLS/SSL con un certificato PKI.
Importante
Se si configura il punto di aggiornamento software per abilitare le comunicazioni SSL per il server WSUS, è necessario configurare le radici virtuali per SSL nel server WSUS.
Abilitare il controllo CRL.
Per impostazione predefinita, Configuration Manager non controlla l'elenco di revoche di certificati (CRL) per verificare la firma sugli aggiornamenti software prima che vengano distribuiti nei computer. Il controllo dell'elenco CRL ogni volta che viene usato un certificato offre maggiore sicurezza rispetto all'uso di un certificato revocato, ma introduce un ritardo di connessione e comporta un'elaborazione aggiuntiva nel computer che esegue il controllo CRL.
Per altre informazioni su come abilitare il controllo CRL per gli aggiornamenti software, vedere Come abilitare il controllo CRL per gli aggiornamenti software.
Configurare WSUS per l'uso di un sito Web personalizzato.
Quando si installa WSUS nel punto di aggiornamento software, è possibile usare il sito Web predefinito IIS esistente o creare un sito Web WSUS personalizzato. Creare un sito Web personalizzato per WSUS in modo che IIS ospiti i servizi WSUS in un sito Web virtuale dedicato anziché condividere lo stesso sito Web usato dagli altri sistemi del sito Configuration Manager o da altre applicazioni.
Per altre informazioni, vedere Configurare WSUS per l'uso di un sito Web personalizzato.
Informazioni sulla privacy per gli aggiornamenti software
Gli aggiornamenti software analizzano i computer client per determinare gli aggiornamenti software necessari e quindi inviano tali informazioni al database del sito. Durante il processo di aggiornamento software, Configuration Manager potrebbero trasmettere informazioni tra client e server che identificano il computer e gli account di accesso.
Configuration Manager mantiene le informazioni sullo stato sul processo di distribuzione software. Le informazioni sullo stato non vengono crittografate durante la trasmissione o l'archiviazione. Le informazioni sullo stato vengono archiviate nel database Configuration Manager ed eliminate dalle attività di manutenzione del database. Nessuna informazione sullo stato viene inviata a Microsoft.
L'uso di Configuration Manager aggiornamenti software per installare gli aggiornamenti software nei computer client potrebbe essere soggetto alle condizioni di licenza software per tali aggiornamenti, che è separato dalle Condizioni di licenza software per Configuration Manager. Esaminare e accettare sempre le Condizioni di licenza software prima di installare gli aggiornamenti software usando Configuration Manager.
Configuration Manager non implementa gli aggiornamenti software per impostazione predefinita e richiede diversi passaggi di configurazione prima della raccolta delle informazioni.
Prima di configurare gli aggiornamenti software, considerare i requisiti di privacy.