Лучшей методикой в сфере безопасности является применение новейших обновлений безопасности. Программа Microsoft System Center Configuration Manager 2007 может упростить применение обновлений программного обеспечения к компьютерам организации. Однако существует также несколько рекомендаций, которые помогут избежать атак на инфраструктуру обновления программного обеспечения со стороны злоумышленников.
Рекомендации по безопасности
Не меняйте заданные по умолчанию разрешения для пакетов обновления программного обеспечения. По умолчанию пакеты обновления программного обеспечения настроены таким образом, что администраторам предоставляется полный доступ, а пользователям – доступ для чтения. Изменения этих разрешений может предоставить злоумышленнику возможность добавления или удаления обновлений программного обеспечения.
Управляйте доступом к месту загрузки обновлений программного обеспечения. Учетной записи компьютера поставщика SMS и пользователю, который будет фактически загружать обновления программного обеспечения в место загрузки, требуется доступ для записи в это расположение. Ограничьте доступ к месту загрузки, чтобы уменьшить риск фальсификации исходных файлов обновлений программного обеспечения злоумышленниками в месте загрузки.
Для определения времени развертывания используйте время в формате UTC. При использовании вместо UTC локального времени пользователи потенциально могут опоздать с установкой обновлений программного обеспечения в результате изменения часового пояса.
Следуйте рекомендациям по обеспечению безопасности WSUS. Сведения о защите WSUS, в том числе добавление проверки подлинности Active Directory и протокол SSL, см. в документе http://go.microsoft.com/fwlink/?LinkId=93170.
Важно! |
---|
Если сайт работает в основном режиме, помимо выполнения обычных действий по настройке SSL на сервере WSUS нужно включить SSL для некоторых дополнительных виртуальных портов, чтобы обеспечить поддержку основного режима Configuration Manager 2007. Дополнительные сведения см. в разделе Планирование установки точки обновления программного обеспечения. |
Включите проверку списка отзыва сертификатов. По умолчанию, при проверке подписи под обновлениями программного обеспечения список отзыва сертификатов не проверяется. Проверка списка отзыва сертификатов при каждом использовании сертификата обеспечивает более надежную защиту от использования отозванных сертификатов, однако приводит к задержкам связи и создает дополнительную нагрузку на вычислительные мощности компьютера, выполняющего такую проверку. Инструкции см. в разделе Включение проверки списка отзыва сертификатов для обновлений программного обеспечения.
Если точка обновления программного обеспечения настроена в демилитаризованной зоне, настройте на сервере сайта извлечение данных из системы сайта. По умолчанию система сайта принудительно возвращает данные серверу сайта. Систему сайта можно настроить так, чтобы вместо этого сервер сайта самостоятельно извлекал эти данные, что позволяет строже контролировать порты и разрешения, необходимые для передачи данных. Параметр Разрешить только инициированные сервером сайта передачи данных из этой системы сайта, применяется ко всей системе сайта и всем настроенным в ней ролям системы сайта.
При необходимости развертывания обновлений программного обеспечения на клиентах SMS 2003 запустите средство инвентаризации для обновлений Microsoft на сервере основного сайта, который находится на верхней ступени иерархии . Хотя средство инвентаризации для обновлений Microsoft на центральном сервере устанавливать не обязательно, его нужно всегда устанавливать на сайте, находящемся на вершине иерархии в системе отчетности клиентов. Если средство сканирования устанавливается на основном сайте, занимающем более низкую ступень в иерархии, сайты на более высоких ступенях не смогут отчитываться об обновлениях программного обеспечения.
Настройте в WSUS использование пользовательского веб-сайта. При установке WSUS в точке обновления программного обеспечения, можно на выбор воспользоваться существующим веб-сайтом IIS по умолчанию или создать пользовательский веб-сайт WSUS 3.0. Следует создать пользовательский веб-сайт для WSUS 3.0, чтобы службы IIS предоставляли удаленный доступ к службам WSUS 3.0 на выделенном виртуальном веб-сайте, а не на общем веб-сайте, используемом другими системами сайта Configuration Manager 2007 или иными приложениями. Дополнительные сведения см. в разделе Планирование установки точки обновления программного обеспечения.
Включите службу BITS 2.5 для сайта и точек распространения. Когда на клиенте устанавливаются обновления программного обеспечения, исходные файлы сначала загружаются в локальный кэш клиентского компьютера, а затем выполняется их установка. Если служба BITS включена в точке распространения, отключение от сети во время загрузки обновлений программного обеспечения не вызывает сбоя процесса развертывания, поскольку когда клиент в следующий раз получает доступ к сети, служба BITS возобновляет загрузку с места, на котором она была прервана. Если служба BITS не включена в точке распространения, и во время загрузки обновления программного обеспечения возникают проблемы в работе сети, происходит сбой установки обновлений программного обеспечения, в результате чего клиент может оказаться уязвимым к атаке.
Сведения о конфиденциальности
Обновления программного обеспечения сканируют клиентский компьютер, определяя необходимые обновления, а затем возвращают эти сведения в базу данных сайта. В процессе обновления программного обеспечения, программа Configuration Manager 2007 может передавать данные между клиентами и серверами, которые позволяют идентифицировать компьютер и определить учетные данные для входа в систему.
Configuration Manager 2007 сохраняет сведения о состоянии, касающиеся процесса распространения программного обеспечения. Сведения о состоянии во время передачи и хранения не шифруются. Они хранится в базе данных сайта и удаляются в рамках задач обслуживания базы данных. Сведения о состоянии в корпорацию Майкрософт не отправляются.
Использование обновлений программного обеспечения Configuration Manager 2007 для установки обновлений программного обеспечения на клиентских компьютерах может подчиняться условиям лицензий на программное обеспечение для этих обновлений, которые излагаются отдельно от условий лицензии на программное обеспечение для программы Configuration Manager 2007. Перед установкой программного обеспечения с помощью Configuration Manager 2007 нужно обязательно ознакомиться с условиями лицензии на программное обеспечение и принять эти условия.
Программа Configuration Manager 2007 не внедряет обновления программного обеспечения по умолчанию, и для сбора информации в ней необходимо выполнить несколько шагов для настройки. Перед настройкой обновлений программного обеспечения следует проанализировать собственные требования к безопасности.