Zabezpieczenia i prywatność na potrzeby zarządzania aplikacjami w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Wskazówki dotyczące zabezpieczeń
Centralne określanie koligacji urządzenia użytkownika
Ręcznie określ koligację urządzenia użytkownika, zamiast zezwalać użytkownikom na identyfikowanie ich urządzenia podstawowego. Nie włączaj konfiguracji opartej na użyciu.
Nie należy traktować informacji zebranych od użytkowników lub z urządzenia jako autorytatywnych. Jeśli wdrażasz oprogramowanie przy użyciu koligacji urządzenia użytkownika, której nie określa zaufany administrator, oprogramowanie może zostać zainstalowane na komputerach i dla użytkowników, którzy nie mają uprawnień do odbierania tego oprogramowania.
Nie uruchamiaj wdrożeń z punktów dystrybucji
Zawsze konfiguruj wdrożenia, aby pobierać zawartość z punktów dystrybucji, a nie uruchamiać z punktów dystrybucji. Podczas konfigurowania wdrożeń w celu pobierania zawartości z punktu dystrybucji i uruchamiania lokalnego klient Configuration Manager weryfikuje skrót pakietu po pobraniu zawartości. Klient odrzuca pakiet, jeśli skrót nie jest zgodny z wartością skrótu w zasadach.
Jeśli skonfigurujesz wdrożenie do uruchamiania bezpośrednio z punktu dystrybucji, klient Configuration Manager nie zweryfikuje skrótu pakietu. To zachowanie oznacza, że klient Configuration Manager może zainstalować oprogramowanie, które zostało naruszone.
Jeśli musisz uruchamiać wdrożenia bezpośrednio z punktów dystrybucji, użyj najmniejszych uprawnień ntfs w pakietach w punktach dystrybucji. Użyj również zabezpieczeń protokołu internetowego (IPsec), aby zabezpieczyć kanał między klientem a punktami dystrybucji oraz między punktami dystrybucji a serwerem lokacji.
Nie zezwalaj użytkownikom na interakcję z procesami z podwyższonym poziomem poziomu
Jeśli włączysz opcję Uruchom z uprawnieniami administracyjnymi lub Zainstaluj dla systemu, nie zezwalaj użytkownikom na interakcję z tymi aplikacjami. Podczas konfigurowania aplikacji można ustawić opcję Zezwalaj użytkownikom na wyświetlanie instalacji programu i interakcję z nią. To ustawienie umożliwia użytkownikom odpowiadanie na wszelkie wymagane monity w interfejsie użytkownika. Jeśli skonfigurujesz również aplikację do uruchamiania z uprawnieniami administracyjnymi lub Zainstaluj dla systemu, osoba atakująca na komputerze z uruchomionym programem może użyć interfejsu użytkownika do eskalowania uprawnień na komputerze klienckim.
Używaj programów, które używają Instalatora Windows do konfigurowania i uprawnień z podwyższonym poziomem uprawnień dla poszczególnych użytkowników w przypadku wdrożeń oprogramowania, które wymagają poświadczeń administracyjnych. Instalator musi być uruchamiany w kontekście użytkownika, który nie ma poświadczeń administracyjnych. Uprawnienia na użytkownika z podwyższonym poziomem uprawnień instalatora Windows zapewniają najbezpieczniejszy sposób wdrażania aplikacji, które mają to wymaganie.
Uwaga
Gdy użytkownik uruchamia proces instalacji aplikacji z Centrum oprogramowania, opcja Zezwalaj użytkownikom na wyświetlanie instalacji programu i interakcję z nią nie może kontrolować interakcji użytkownika z innymi procesami utworzonymi przez instalatora aplikacji. Z powodu tego zachowania, nawet jeśli nie wybierzesz tej opcji, użytkownik może nadal mieć możliwość interakcji z procesem z podwyższonym poziomem uprawnień. Aby uniknąć tego problemu, nie wdrażaj aplikacji, które tworzą inne procesy z interakcjami z użytkownikiem. Jeśli musisz zainstalować aplikację tego typu, wdróż ją jako wymaganą i skonfiguruj środowisko powiadomień użytkownika tak, aby ukryło się w Programie Software Center i wszystkie powiadomienia.
Ograniczanie możliwości interaktywnego instalowania oprogramowania przez użytkowników
Skonfiguruj ustawienie klienta Uprawnienia instalacji w grupie Agent komputera . To ustawienie ogranicza typy użytkowników, którzy mogą instalować oprogramowanie w Programie Software Center.
Na przykład utwórz niestandardowe ustawienie klienta z uprawnieniami instalacji ustawionymi na tylko administratorzy. Zastosuj to ustawienie klienta do kolekcji serwerów. Ta konfiguracja uniemożliwia użytkownikom bez uprawnień administracyjnych instalowanie oprogramowania na tych serwerach.
Aby uzyskać więcej informacji, zobacz Informacje o ustawieniach klienta.
W przypadku urządzeń przenośnych wdrażaj tylko podpisane aplikacje
Wdrażanie aplikacji urządzeń przenośnych tylko wtedy, gdy są podpisane kodem przez urząd certyfikacji (CA), któremu ufa urządzenie przenośne.
Przykład:
Aplikacja od dostawcy podpisana przez publicznego i globalnie zaufanego dostawcę certyfikatów.
Aplikacja wewnętrzna, którą podpisujesz niezależnie od Configuration Manager przy użyciu wewnętrznego urzędu certyfikacji.
Aplikacja wewnętrzna, którą podpisujesz przy użyciu Configuration Manager podczas tworzenia typu aplikacji i używania certyfikatu podpisywania.
Zabezpieczanie lokalizacji certyfikatu podpisywania aplikacji urządzeń przenośnych
Jeśli podpisujesz aplikacje urządzeń przenośnych przy użyciu Kreatora tworzenia aplikacji w Configuration Manager, zabezpiecz lokalizację pliku certyfikatu podpisywania i zabezpiecz kanał komunikacyjny. Aby chronić przed podniesieniem uprawnień i atakami typu man-in-the-middle, zapisz plik certyfikatu podpisywania w zabezpieczonym folderze.
Użyj protokołu IPsec między następującymi komputerami:
- Komputer z uruchomioną konsolą Configuration Manager
- Komputer, na który jest przechowywany plik podpisywania certyfikatu
- Komputer, na który są przechowywane pliki źródłowe aplikacji
Zamiast tego podpisz aplikację niezależnie od Configuration Manager i przed uruchomieniem Kreatora tworzenia aplikacji.
Implementowanie kontroli dostępu
Aby chronić komputery odniesienia, zaimplementuj mechanizmy kontroli dostępu. Podczas konfigurowania metody wykrywania w typie wdrożenia, przechodząc do komputera odniesienia, upewnij się, że komputer nie jest naruszona.
Ograniczanie i monitorowanie użytkowników administracyjnych
Ogranicz i monitoruj użytkowników administracyjnych, którzy przyznają następujące role zabezpieczeń oparte na rolach zarządzania aplikacjami:
- Administrator aplikacji
- Autor aplikacji
- Menedżer wdrażania aplikacji
Nawet podczas konfigurowania administracji opartej na rolach użytkownicy administracyjni, którzy tworzą i wdrażają aplikacje, mogą mieć więcej uprawnień, niż zdajesz sobie sprawę. Na przykład użytkownicy administracyjni, którzy tworzą lub zmieniają aplikację, mogą wybierać aplikacje zależne, które nie znajdują się w ich zakresie zabezpieczeń.
Konfigurowanie aplikacji App-V w środowiskach wirtualnych na tym samym poziomie zaufania
Podczas konfigurowania środowisk wirtualnych Microsoft application virtualization (App-V) wybierz aplikacje, które mają ten sam poziom zaufania w środowisku wirtualnym. Ponieważ aplikacje w środowisku wirtualnym App-V mogą udostępniać zasoby, takie jak schowek, skonfiguruj środowisko wirtualne tak, aby wybrane aplikacje miały ten sam poziom zaufania.
Aby uzyskać więcej informacji, zobacz Tworzenie środowisk wirtualnych App-V.
Upewnij się, że aplikacje systemu macOS pochodzą z zaufanego źródła
Jeśli wdrażasz aplikacje dla urządzeń z systemem macOS, upewnij się, że pliki źródłowe pochodzą z zaufanego źródła. Narzędzie CMAppUtil nie weryfikuje podpisu pakietu źródłowego. Upewnij się, że pakiet pochodzi z zaufanego źródła. Narzędzie CMAppUtil nie może wykryć, czy pliki zostały naruszone.
Zabezpieczanie pliku cmmac dla aplikacji systemu macOS
Jeśli wdrażasz aplikacje dla komputerów z systemem macOS, zabezpiecz lokalizację .cmmac
pliku. Narzędzie CMAppUtil generuje ten plik, a następnie importuje go do Configuration Manager. Ten plik nie jest podpisany ani zweryfikowany.
Zabezpieczanie kanału komunikacyjnego podczas importowania tego pliku do Configuration Manager. Aby zapobiec naruszeniu tego pliku, zapisz go w zabezpieczonym folderze. Użyj protokołu IPsec między następującymi komputerami:
- Komputer z uruchomioną konsolą Configuration Manager
- Komputer, na który jest przechowywany
.cmmac
plik
Używanie protokołu HTTPS dla aplikacji internetowych
Jeśli skonfigurujesz typ wdrożenia aplikacji internetowej, użyj protokołu HTTPS, aby zabezpieczyć połączenie. Jeśli wdrożysz aplikację internetową przy użyciu linku HTTP, a nie linku HTTPS, urządzenie może zostać przekierowane do nieautoryzowanego serwera. Dane przesyłane między urządzeniem a serwerem mogą zostać naruszone.
Problemy z zabezpieczeniami
Użytkownicy o niskich prawach mogą zmieniać pliki, które rejestrują historię wdrażania oprogramowania na komputerze klienckim.
Ponieważ informacje o historii aplikacji nie są chronione, użytkownik może zmieniać pliki, które zgłaszają, czy aplikacja jest zainstalowana.
Pakiety App-V nie są podpisane.
Pakiety App-V w Configuration Manager nie obsługują podpisywania. Podpisy cyfrowe sprawdzają, czy zawartość pochodzi z zaufanego źródła i nie została zmieniona podczas przesyłania. Nie ma środków zaradczych dla tego problemu z zabezpieczeniami. Postępuj zgodnie z najlepszym rozwiązaniem w zakresie zabezpieczeń, aby pobrać zawartość z zaufanego źródła i z bezpiecznej lokalizacji.
Opublikowane aplikacje App-V mogą być instalowane przez wszystkich użytkowników na komputerze.
Po opublikowaniu aplikacji App-V na komputerze wszyscy użytkownicy, którzy logują się na tym komputerze, mogą zainstalować aplikację. Nie można ograniczyć użytkowników, którzy mogą zainstalować aplikację po jej opublikowaniu.
Informacje o ochronie prywatności
Zarządzanie aplikacjami umożliwia uruchamianie dowolnej aplikacji, programu lub skryptu na dowolnym kliencie w hierarchii. Configuration Manager nie ma kontroli nad typami aplikacji, programów lub skryptów, które uruchamiasz, ani nad typem przesyłanych informacji. Podczas procesu wdrażania aplikacji Configuration Manager mogą przesyłać informacje identyfikujące urządzenie i konta logowania między klientami i serwerami.
Configuration Manager przechowuje informacje o stanie procesu wdrażania oprogramowania. Jeśli klient nie komunikuje się przy użyciu protokołu HTTPS, informacje o stanie wdrożenia oprogramowania nie są szyfrowane podczas transmisji. Informacje o stanie nie są przechowywane w postaci zaszyfrowanej w bazie danych.
Korzystanie z Configuration Manager instalacji aplikacji w celu zdalnego, interaktywnego lub dyskretnego instalowania oprogramowania na klientach może podlegać postanowień licencyjnych dotyczących oprogramowania dla tego oprogramowania. To użycie jest niezależne od postanowień licencyjnych dotyczących oprogramowania dla Configuration Manager. Przed wdrożeniem oprogramowania przy użyciu Configuration Manager należy zawsze przeglądać i wyrażać zgodę na postanowienia licencyjne dotyczące oprogramowania.
Configuration Manager zbiera dane diagnostyczne i dane użycia dotyczące aplikacji, które są używane przez Microsoft do ulepszania przyszłych wersji. Aby uzyskać więcej informacji, zobacz Diagnostyka i dane użycia.
Wdrażanie aplikacji nie odbywa się domyślnie i wymaga kilku kroków konfiguracji.
Następujące funkcje ułatwiają wydajne wdrażanie oprogramowania:
Koligacja urządzenia użytkownika mapuje użytkownika na urządzenia. Administrator Configuration Manager wdraża oprogramowanie dla użytkownika. Klient automatycznie instaluje oprogramowanie na co najmniej jednym komputerze, z których użytkownik korzysta najczęściej.
Program Software Center jest instalowany automatycznie na urządzeniu podczas instalowania klienta Configuration Manager. Użytkownicy zmieniają ustawienia, przeglądają oprogramowanie i instalują oprogramowanie z Centrum oprogramowania.
Informacje o prywatności koligacji urządzenia użytkownika
Configuration Manager mogą przesyłać informacje między klientami a systemami lokacji punktu zarządzania. Informacje mogą identyfikować komputer, konto logowania i podsumowane użycie kont logowania.
Jeśli punkt zarządzania nie zostanie skonfigurowany tak, aby wymagał komunikacji HTTPS, informacje przesyłane między klientem a serwerem nie są szyfrowane.
Informacje o użyciu komputera i konta logowania służą do mapowania użytkownika na urządzenie. Configuration Manager przechowuje te informacje na komputerach klienckich, wysyła je do punktów zarządzania, a następnie przechowuje je w bazie danych lokacji. Domyślnie witryna usuwa stare informacje z bazy danych po 90 dniach. Zachowanie usuwania można skonfigurować, ustawiając zadanie konserwacji lokacji usuń przestarzałe urządzenie użytkownika koligacja danych .
Configuration Manager przechowuje informacje o stanie koligacji urządzenia użytkownika. Jeśli nie skonfigurujesz klientów do komunikowania się z punktami zarządzania przy użyciu protokołu HTTPS, nie szyfrują informacji o stanie podczas transmisji. Witryna nie przechowuje informacji o stanie w postaci zaszyfrowanej w bazie danych.
Informacje o użyciu komputera i logowania używane do ustanawiania koligacji użytkowników i urządzeń są zawsze włączone. Użytkownicy i użytkownicy administracyjni mogą podać informacje o koligacji urządzenia użytkownika.
Informacje o ochronie prywatności centrum oprogramowania
Centrum oprogramowania umożliwia administratorowi Configuration Manager publikowanie dowolnej aplikacji, programu lub skryptu do uruchomienia przez użytkowników. Configuration Manager nie ma kontroli nad typami programów lub skryptów publikowanych w Centrum oprogramowania ani typem przesyłanych informacji.
Configuration Manager mogą przesyłać informacje między klientami a punktem zarządzania. Informacje mogą identyfikować komputer i konta logowania. Jeśli punkt zarządzania nie zostanie skonfigurowany tak, aby wymagać od klientów połączenia przy użyciu protokołu HTTPS, informacje przesyłane między klientem a serwerami nie są szyfrowane.
Informacje o żądaniu zatwierdzenia aplikacji są przechowywane w bazie danych Configuration Manager. W przypadku żądań, które zostały anulowane lub odrzucone, odpowiednie wpisy historii żądań są domyślnie usuwane po 30 dniach. To zachowanie usuwania można skonfigurować za pomocą zadania konserwacji lokacji Usuń przestarzałe dane żądania aplikacji . Witryna nigdy nie usuwa żądań zatwierdzenia aplikacji, które są w zatwierdzonych i oczekujących stanach.
Po zainstalowaniu klienta Configuration Manager na urządzeniu program automatycznie instaluje program Software Center.