В процессе инвентаризации могут возникать уязвимости. Злоумышленники могут:
- отправить неправильные данные;
- отправить данные чрезвычайно большого
объема;
- Иметь доступ к данным инвентаризации во время
их передачи на системы сайта.
Злоумышленников, которые пытаются воспользоваться данными инвентаризации, обычно опасаются меньше, чем тех, которые способны принудительно распространять неавторизованное программное обеспечение, поскольку к данным инвентаризации можно получить доступ и другими средствами.
Рекомендации по инвентаризации
Включите шифрование данных инвентаризации В основном режиме Microsoft System Center Configuration Manager 2007 данные, которыми клиент обменивается с точкой управления, шифруются с помощью протокола SSL. В смешанном режиме по умолчанию отчеты с данными инвентаризации собранные файлы отправляются в точки управления и подписываются, но не шифруются. Дополнительные сведения о шифровании отчетов об инвентаризации, которые отправляются в точки управления, см. в разделе Шифрование отчетов инвентаризации клиентов.
В средах с повышенными требованиями к безопасности отключите коллекцию IDMIF и NOIDMIF С помощью коллекции IDMIF и NOIDMIF можно расширять коллекцию средств оборудования. При необходимости в продукте Configuration Manager 2007 создаются новые или изменяются имеющиеся таблицы в базе данных сайтов в соответствии со свойствами файлов IDMIF и NOIDMIF. Однако файлы IDMIF и NOIDMIF не проверены и могут быть использованы для изменения таблиц, которые не требуется изменять. Возможна замена верных данных неверными. Могут загружаться большие объемы данных, вызывая задержки в выполнении всех функций Configuration Manager 2007. Чтобы уменьшить этот риск, можно отключить коллекцию IDMIF и NOIDMIF в свойствах агента клиента инвентаризации оборудования.
Примечание |
---|
Расширение коллекции инвентаризации оборудования с помощью файла SMS_def.mof не связано с такими проблемами безопасности. Все расширения SMS_def.mof должны выполняться на стороне сервера, а для этого требуются права администратора. |
Не собирайте критические файлы или конфиденциальную информацию с помощью коллекции файлов В Configuration Manager 2007 данные инвентаризации собираются с помощью всех прав учетной записи LocalSystem, которая может собирать копии критических системных файлов, таких как база данных учетных записей реестра или системы безопасности. Когда эти файлы станут доступны на сервере сайта, пользователь с правами на чтение ресурса или с правами доступа к файловой системе NTFS, где хранятся файлы, сможет проанализировать их содержимое и, возможно, извлечь важные подробности, касающиеся клиентского компьютера, которые позволяют скомпрометировать его систему безопасности.
Конфиденциальная информация
Инвентаризация оборудования позволяет извлечь всю информацию, которая хранится в инструментарии WMI на клиентах Configuration Manager 2007. Инвентаризация программного обеспечения позволяет обнаружить все файлы определенного типа или собрать на клиентах все указанные файлы. Средство Aналитика активов улучшает возможности инвентаризации, расширяя инвентаризацию оборудования и программного обеспечения и добавляя функциональность управления лицензиями.
По умолчанию инвентаризация оборудования включена, а то, какая информация WMI собирается, определяется в файле SMS_def.mof. Изменяя файл MOF, можно собирать информацию в большем или меньшем объеме. По умолчанию инвентаризация программного обеспечения и сбор файлов отключены. Сбор данных Аналитики активов в новых установках по умолчанию не включается, но если он ранее был включен для SMS 2003 SP3, то будет оставаться включенным и после обновления.
Данные инвентаризации не отсылаются обратно в корпорацию Майкрософт. Они хранятся в базе данных сайтов. В основном режиме данные инвентаризации при передаче в точку управления шифруются. В этом режиме есть возможность включать шифрование данных инвентаризации. Ни в одном режиме данные не хранятся в базе данных в зашифрованном виде. Информация хранится в базе данных, пока не удалится в результате выполнения задач по обслуживанию сайта Удалить устаревшие данные журнала инвентаризации или Удалить устаревшие собранные файлы, которые выполняются через каждые 90 дней. Можно настроить интервал удаления.
Прежде чем настраивать инвентаризацию оборудования, инвентаризацию программного обеспечения, сбор файлов или сбор данных Аналитики активов, следует рассмотреть требования к конфиденциальности.