Bezpieczeństwo i prywatność zarządzania aplikacjami w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Uwaga
Ten temat występuje w — przewodniki Wdrażanie oprogramowania i systemów operacyjnych w programie System Center 2012 Configuration Manager oraz Bezpieczeństwo i ochrona prywatności w programie System Center 2012 Configuration Manager.
Ten temat zawiera informacje o zabezpieczeniach i prywatności w ramach zarządzania aplikacjami w programie System Center 2012 Configuration Manager. Ten temat dotyczy również katalogu aplikacji i Centrum oprogramowania.
Więcej informacji możesz znaleźć w następujących sekcjach:
Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące zarządzania aplikacjami
- Problemy dotyczące zabezpieczeń w ramach zarządzania aplikacjami
Certyfikaty programu Microsoft Silverlight 5 i tryb podwyższonego zaufania wymagany przez katalog aplikacji
Informacje o prywatności w ramach zarządzania aplikacjami
Koligacja urządzenia użytkownika
Katalog aplikacji
Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące zarządzania aplikacjami
Należy stosować następujące najlepsze rozwiązania w zakresie zabezpieczeń dotyczące zarządzania aplikacjami:
Najlepsze rozwiązanie w zakresie zabezpieczeń |
Więcej informacji |
---|---|
Skonfiguruj punkty katalogu aplikacji, aby używały połączeń przy użyciu protokołu HTTPS, i poinformuj użytkowników o zagrożeniach związanych ze złośliwymi witrynami sieci web. |
Skonfiguruj punkty witryny sieci web oraz usługi sieci web katalogu aplikacji, aby akceptowały połączenia przy użyciu protokołu HTTPS. Pozwoli to na uwierzytelnianie serwera dla użytkowników oraz zapewni ochronę przesyłanych danych przed naruszeniem i wyświetlaniem. Aby zapobiec atakom przy użyciu inżynierii społecznej, należy poinformować użytkowników o konieczności łączenia się tylko z zaufanymi witrynami sieci web. Uwaga Gdy połączenia nie są nawiązywane przy użyciu protokołu HTTPS, nie należy używać opcji konfiguracji znakowania, które powodują wyświetlanie nazwy organizacji w katalogu aplikacji w ramach potwierdzenia tożsamości. |
Zastosuj separację roli i zainstaluj punkty witryny sieci web oraz usługi katalogu aplikacji na oddzielnych serwerach. |
W przypadku naruszenia zabezpieczeń punktu witryny sieci web katalogu aplikacji należy go zainstalować na innym serwerze niż punkt usługi sieci web katalogu aplikacji. Zapewni to ochronę klientów programu Menedżer konfiguracji oraz infrastruktury programu Menedżer konfiguracji. Jest to szczególnie ważne, gdy punkt witryny sieci web katalogu aplikacji akceptuje połączenia przez Internet, ponieważ przy takiej konfiguracji serwer jest narażony na ataki. |
Poinformuj użytkowników o konieczności zamykania okna przeglądarki po zakończeniu korzystania z katalogu aplikacji. |
Jeżeli użytkownicy przeglądają zewnętrzną witrynę sieci web w oknie przeglądarki używanym w ramach katalogu aplikacji, przeglądarka nadal używa ustawień zabezpieczeń odpowiednich do zaufanych witryn w sieci intranet. |
Należy ręcznie określić koligację urządzenia użytkownika zamiast zezwalać użytkownikom na identyfikację ich urządzenia podstawowego; nie należy włączać konfiguracji opartej na użyciu. |
Nie należy traktować jako wiarygodnych informacji zebranych od użytkowników lub z urządzeń. Podczas wdrażania oprogramowania przy użyciu konfiguracji koligacji urządzenia użytkownika,nieokreślonej przez zaufanego użytkownika administracyjnego oprogramowanie może zostać zainstalowane na komputerach oraz dla użytkowników niemających uprawnień do jego otrzymania. |
Wdrożenia należy zawsze konfigurować tak, aby pobierały zawartość z punktów dystrybucji, a nie były uruchamiane z tych punktów. |
Po skonfigurowaniu wdrożeń, aby pobierały zawartość z punktu dystrybucji i uruchamiały się lokalnie, klient programu Menedżer konfiguracji weryfikuje skrót pakietu po pobraniu zawartości i odrzuca pakiet, gdy jego skrót nie jest zgodny ze skrótem określonym w zasadach. W odróżnieniu od powyższej konfiguracji, w przypadku skonfigurowania uruchamiania wdrożenia bezpośrednio z punktu dystrybucji klient programu Menedżer konfiguracji nie będzie weryfikował skrótu pakietu, a tym samym istnieje prawdopodobieństwo, że klient programu Menedżer konfiguracji zainstaluje naruszone oprogramowanie. W razie konieczności uruchamiania wdrożeń bezpośrednio z punktów dystrybucji pakietom należy nadać najniższe uprawnienia systemu plików NTFS w tych punktach i zabezpieczyć kanały między klientem a punktami dystrybucji oraz między punktami dystrybucji a serwerem lokacji przy użyciu protokołu IPsec. |
Nie zezwalaj użytkownikom na interakcję z programami, gdy jest wymagana opcja Uruchom z prawami administracyjnymi. |
Podczas konfigurowania programu można wybrać opcję Zezwól użytkownikom na interakcję z tym programem, aby umożliwić użytkownikom reagowanie na wymagane monity w interfejsie użytkownika. Jeżeli w programie skonfigurowano również ustawienie Uruchom z prawami administracyjny, osoba atakująca na komputerze z uruchomionym programem może przy użyciu interfejsu użytkownika eskalować uprawnienia na komputerze klienckim. W ramach wdrożeń oprogramowania wymagających poświadczeń administracyjnych należy używać programów instalacyjnych opartych na Instalatorze systemu Windows z podwyższonym poziomem uprawnień użytkowników. Te programy należy jednak uruchomić w kontekście użytkowników niedysponujących poświadczeniami administracyjnymi. Podwyższony poziom uprawnień użytkowników Instalatora systemu Windows jest najbezpieczniejszą metodą wdrażania aplikacji, które wymagają tej opcji. |
Zdecyduj, czy ograniczyć użytkownikom możliwość interaktywnego instalowania oprogramowania przy użyciu ustawienia klienta Uprawnienia do instalacji. |
Skonfiguruj ustawienie Uprawnienia do instalacji na urządzeniu klienckim Agent komputera, aby określić typy użytkowników, którzy mogą instalować oprogramowanie przy użyciu katalogu aplikacji lub Centrum oprogramowania. Utwórz na przykład niestandardowe ustawienie klienta, wybierając w ustawieniu Uprawnienia do instalacji opcję Tylko administratorzy. Następnie zastosuj to ustawienie w kolekcji serwerów, aby uniemożliwić użytkownikom bez uprawnień administracyjnych instalowanie oprogramowania na tych komputerach. |
Na urządzeniach przenośnych należy wdrażać tylko podpisane aplikacje. |
Wdrażaj tylko aplikacje urządzenia przenośnego z kodem podpisanym przez urząd certyfikacji zaufany przez dane urządzenie. Na przykład:
|
Jeżeli aplikacje urządzenia przenośnego zostały podpisane za pomocą Kreatora tworzenia aplikacji w programie Menedżer konfiguracji, zabezpiecz lokalizację pliku certyfikatu podpisywania oraz kanał komunikacyjny. |
Aby zapewnić ochronę przed podwyższeniem poziomu uprawnień i atakami typu man-in-the-middle, przechowuj plik certyfikatu podpisywania w zabezpieczonym folderze i używaj protokołu IPsec lub bloku SMB do komunikacji między następującymi komputerami:
Alternatywną metodą jest podpisanie aplikacji niezależnie od programu Menedżer konfiguracji przed uruchomieniem Kreatora tworzenia aplikacji. |
Wdróż kontrolę dostępu w celu ochrony komputerów odniesienia. |
Jeżeli użytkownik administracyjny skonfigurował w typie wdrożenia metodę wykrywania przez wskazanie lokalizacji komputera odniesienia, należy się upewnić, że zabezpieczenia tego komputera nie zostały naruszone. |
Ogranicz i monitoruj użytkowników administracyjnych, którym przyznano role zabezpieczeń opartych na rolach w ramach zarządzania aplikacjami:
|
Nawet w przypadku skonfigurowania administracji opartej na rolach użytkownicy administracyjni tworzący i wdrażający aplikacje mogą mieć większe uprawnienia niż zakładane. Gdy na przykład użytkownicy administracyjni tworzą lub modyfikują aplikację, mogą wybrać aplikacje zależne spoza ich zakresu zabezpieczeń. |
Uwaga Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji: Podczas konfigurowania środowisk wirtualnych Microsoft Application Virtualization (App-V) należy wybrać w tym środowisku aplikacje z takim samym poziomem zaufania. |
Ponieważ aplikacje w środowisku wirtualnym App-V mogą udostępniać zasoby, na przykład zawartość schowka, środowisko to należy skonfigurować w taki sposób, aby wybrane aplikacje miały taki sam poziom zaufania. Więcej informacji znajduje się w temacie Jak utworzyć środowiska wirtualne App-V w programie Configuration Manager. |
Podczas wdrażania aplikacji na komputerach Mac należy upewnić się, że pliki źródłowe pochodzą z wiarygodnego źródła. |
Narzędzie CMAppUtil nie weryfikuje podpisu pakietu źródłowego, dlatego należy się upewnić, że pochodzi on z zaufanego źródła. Narzędzie CMAppUtil nie wykrywa naruszeń plików. |
W przypadku wdrażania aplikacji na komputerach Mac należy zabezpieczyć lokalizację pliku .cmmac oraz kanał komunikacyjny używany podczas importowania tego pliku do programu Menedżer konfiguracji. |
Plik .cmmac generowany przez narzędzie CMAppUtil i importowany do programu Menedżer konfiguracji nie został podpisany ani zweryfikowany, dlatego aby zapobiec naruszeniu tego pliku, należy go przechowywać w zabezpieczonym folderze i używać protokołu IPsec lub bloku SMB do komunikacji między następującymi komputerami:
|
Dla programu System Center 2012 R2 Configuration Manager i nowszych wersji: Konfigurując typ wdrożenia aplikacji sieci Web, należy zabezpieczyć połączenie przy użyciu protokołu HTTPS zamiast protokołu HTTP. |
W przypadku wdrożenia aplikacji sieci web przy użyciu łącza HTTP zamiast łącza HTTPS urządzenie może zostać przekierowane na nieautoryzowany serwer, przez co istnieje ryzyko naruszenia danych transferowanych między urządzeniem a serwerem. |
Problemy dotyczące zabezpieczeń w ramach zarządzania aplikacjami
Z zarządzaniem aplikacjami wiążą się następujące problemy dotyczące zabezpieczeń:
Użytkownicy z niskimi uprawnieniami mogą kopiować pliki z pamięci podręcznej klienta na komputer kliencki.
Użytkownicy mogą odczytywać dane w pamięci podręcznej klienta, ale nie mogą w niej zapisywać. Dzięki uprawnieniom do odczytu użytkownik może kopiować pliki instalacyjne aplikacji między komputerami.
Użytkownicy z niskimi uprawnieniami mogą modyfikować pliki służące do rejestrowania historii wdrażania oprogramowania na komputerze klienckim.
Ponieważ informacje o historii aplikacji nie są chronione, użytkownik może modyfikować pliki, które zgłaszają zainstalowanie aplikacji.
Pakiety App-V nie są podpisane.
Pakiety App-V w programie Menedżer konfiguracji nie obsługują podpisywania w celu weryfikacji, czy zawartość pochodzi z zaufanego źródła i czy nie została zmodyfikowana podczas przesyłania. Nie istnieją środki zaradcze dla tego problemu; należy postępować zgodnie z najlepszym rozwiązaniem w zakresie zabezpieczeń dotyczącym pobierania zawartości z zaufanego źródła i z bezpiecznej lokalizacji.
Publikowane aplikacje App-V mogą instalować wszyscy użytkownicy na komputerze.
Jeżeli aplikacja App-V jest publikowana na komputerze, mogą ją zainstalować wszyscy użytkownicy zalogowani na tym komputerze. W związku z tym nie można określić użytkowników, którzy mogą instalować aplikację po jej opublikowania.
Nie można ograniczyć uprawnień do instalacji dla portalu firmy.
Ustawienie klienta można skonfigurować, aby ograniczyć uprawnienia do instalacji na przykład tylko do użytkowników podstawowych urządzenia lub administratorów lokalnych, ale ustawienie to nie obejmuje portalu firmy. Może to oznaczać podwyższenie poziomu uprawnień, ponieważ użytkownik może zainstalować aplikację, której nie powinien instalować.
Certyfikaty programu Microsoft Silverlight 5 i tryb podwyższonego zaufania wymagany przez katalog aplikacji
Uwaga
Dotyczy tylko programów System Center 2012 Configuration Manager SP1 i System Center 2012 R2 Configuration Manager.
Klienci programów System Center 2012 Configuration Manager SP1 i System Center 2012 R2 Configuration Manager wymagają programu Microsoft Silverlight 5 uruchomionego w trybie podwyższonego zaufania, aby umożliwić użytkownikom instalowanie oprogramowania z katalogu aplikacji. Aplikacje Silverlight domyślnie działają w trybie częściowego zaufania, aby uniemożliwić aplikacjom uzyskanie dostępu do danych użytkownika. Program Menedżer konfiguracji automatycznie instaluje na klientach program Microsoft Silverlight 5 (jeśli nie jest zainstalowany) i domyślnie konfiguruje w ustawieniu klienta Agent komputera Pozwól na uruchamianie aplikacji Silverlight w trybie podwyższonego zaufania wartość Tak. To ustawienie zezwala podpisanym i zaufanym aplikacjom Silverlight na żądanie trybu podwyższonego zaufania.
Podczas instalowania roli systemu lokacji punktu witryny sieci web katalogu aplikacji klient instaluje również certyfikat podpisywania firmy Microsoft w magazynie certyfikatów zaufanych wydawców na każdym komputerze klienckim programu Menedżer konfiguracji. Ten certyfikat umożliwia uruchamianie podpisanych przez niego aplikacji Silverlight w trybie podwyższonego zaufania, wymaganym przez komputery do zainstalowania oprogramowania z katalogu aplikacji. Program Menedżer konfiguracji automatycznie zarządza tym certyfikatem podpisywania. Aby zapewnić ciągłość działania usługi, nie należy ręcznie usuwać ani przenosić tego certyfikatu podpisywania firmy Microsoft.
Ostrzeżenie |
---|
Po włączeniu ustawienia klienta Pozwól na uruchamianie aplikacji Silverlight w trybie podwyższonego zaufania wszystkie aplikacje Silverlight podpisane przez certyfikaty zaufanych wydawców znajdujące się w magazynie komputera lub użytkownika mogą być uruchamiane w trybie podwyższonego zaufania. To ustawienie klienta nie umożliwia włączenia trybu podwyższonego zaufania tylko w ramach katalogu aplikacji programu Menedżer konfiguracji lub magazynu certyfikatów zaufanych wydawców w magazynie komputera. Jeżeli złośliwe oprogramowanie korzystające z własnej aplikacji Silverlight doda nieautoryzowany certyfikat do magazynu zaufanych wydawców, na przykład w magazynie użytkownika, to oprogramowanie również będzie mogło uruchamiać się w trybie podwyższonego zaufania. |
Konfigurowanie w ustawieniu klienta Pozwól na uruchamianie aplikacji Silverlight w trybie podwyższonego zaufania wartości Nie nie powoduje usunięcia certyfikatu podpisywania firmy Microsoft z klientów.
Więcej informacji o zaufanych aplikacjach w programie Silverlight znajduje się w temacie Trusted Applications (Zaufane aplikacje).
Informacje o prywatności w ramach zarządzania aplikacjami
Funkcja zarządzania aplikacjami umożliwia uruchamianie dowolnych aplikacji, programów lub skryptów na każdym komputerze klienckim albo urządzeniu przenośnym w hierarchii. Program Menedżer konfiguracji nie może kontrolować typów aplikacji, programów i skryptów uruchamianych przez użytkownika ani przesyłanych za ich pośrednictwem informacji. Podczas procesu wdrażania aplikacji program Menedżer konfiguracji może przesyłać informacje między klientami a serwerami, które identyfikują urządzenie i konta logowania.
Program Menedżer konfiguracji zarządza informacjami o stanie procesu wdrażania oprogramowania. Informacje o stanie wdrażania oprogramowania nie są szyfrowane podczas przesyłania z wyjątkiem sytuacji, w której klient komunikuje się za pomocą protokołu HTTPS. Informacje o stanie nie są przechowywane w zaszyfrowanym formacie w bazie danych.
Używanie programu Menedżer konfiguracji do zdalnego, interakcyjnego lub cichego instalowania oprogramowania na klientach może podlegać postanowieniom licencyjnym dotyczącym tego oprogramowania, które są oddzielne od postanowień licencyjnych dotyczących programu System Center 2012 Configuration Manager. Przed wdrożeniem oprogramowania za pomocą programu Menedżer konfiguracji zawsze należy przeczytać i zaakceptować postanowienia licencyjne dotyczące oprogramowania.
Wdrażanie oprogramowania nie jest realizowane domyślnie i wymaga wykonania kilku czynności konfiguracyjnych.
Dwie opcjonalne funkcje, które ułatwiają efektywne wdrażanie oprogramowania, to koligacja urządzenia użytkownika i katalog aplikacji:
Koligacja urządzenia użytkownika pozwala mapować użytkowników na urządzenia, tak aby podczas wdrażania oprogramowania użytkownikowi administrator programu Menedżer konfiguracji mógł automatycznie instalować to oprogramowanie na wszystkich komputerach najczęściej używanych przez tego użytkownika.
Katalog aplikacji to witryna sieci web, do której użytkownicy mogą wysyłać żądania instalacji oprogramowania.
W poniższych sekcjach znajdują się informacje o ochronie prywatności związane z funkcją koligacji urządzenia użytkownika oraz z katalogiem aplikacji.
Przed skonfigurowaniem zarządzania aplikacjami należy wziąć pod uwagę wymogi związane z ochroną prywatności.
Koligacja urządzenia użytkownika
Program Menedżer konfiguracji może przesyłać informacje między klientami i systemami lokacji punktu zarządzania, które identyfikują komputer i konta logowania oraz podsumowują wykorzystanie kont logowania.
Informacje przesyłane między klientem i serwerem nie są szyfrowane, chyba że punkt zarządzania jest skonfigurowany do żądania od klientów komunikowania sie za pomocą protokołu HTTPS.
Informacje o komputerze i wykorzystaniu konta logowania, które są używane do mapowania użytkownika na urządzenie, są przechowywane na komputerach klienckich, wysyłane do punktów zarządzania, a następnie przechowywane w bazie danych programu Menedżer konfiguracji. Stare informacje są usuwane z bazy danych domyślnie po 90 dniach. Sposób usuwania można skonfigurować za pomocą zadania konserwacji lokacji Usuń przestarzałe dane koligacji urządzenia użytkownika.
Program Menedżer konfiguracji obsługuje informacje o stanie związane z koligacją urządzenia użytkownika. Informacje o stanie nie są szyfrowane podczas przesyłania z wyjątkiem sytuacji, w której klienci są skonfigurowani do komunikowania się z punktami zarządzania za pomocą protokołu HTTPS. Informacje o stanie nie są przechowywane w zaszyfrowanym formacie w bazie danych.
Informacje o komputerze, o stanie oraz o wykorzystaniu konta logowania nie są wysyłane do firmy Microsoft.
Informacje o komputerze i o wykorzystaniu logowania, które są używane do ustanawiania koligacji użytkownika i urządzenia, są zawsze włączone. Ponadto informacje o koligacji urządzenia użytkownika mogą być dostarczane przez użytkowników i użytkowników administracyjnych.
Katalog aplikacji
Katalog aplikacji pozwala administratorowi programu Menedżer konfiguracji publikować dowolne aplikacje, programy i skrypty w celu ich uruchamiania przez użytkowników. Program Menedżer konfiguracji nie kontroluje, jakie typy programów i skryptów są publikowane w katalogu ani jakiego typu informacje są przez nie przesyłane.
Program Menedżer konfiguracji może przesyłać między klientami i rolami systemu lokacji typu katalog aplikacji informacje, które identyfikują komputer i konta logowania. Informacje przesyłane między klientem i serwerami nie są szyfrowane, chyba że te role systemu lokacji są skonfigurowane do żądania od klientów nawiązywania połączenia za pomocą protokołu HTTPS.
Informacje o żądaniu zatwierdzenia aplikacji są przechowywane w bazie danych programu Menedżer konfiguracji. Żądania, które są anulowane lub odrzucane, są domyślnie usuwane po 30 dniach razem z odnośnymi wpisami historii żądań. Sposób usuwania można skonfigurować za pomocą zadania konserwacji lokacji Usuń przestarzałe dane żądania aplikacji. Żądania zatwierdzenia aplikacji, które mają stan zatwierdzony lub oczekujący, nigdy nie są usuwane.
Informacje wysyłane do katalogu aplikacji oraz z niego nie są wysyłane do firmy Microsoft.
Katalog aplikacji nie jest instalowany domyślnie. Jego instalacja wymaga wykonania kilku czynności konfiguracyjnych.