Segurança e privacidade para a gestão de aplicações no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Orientações de segurança
Especificar centralmente a afinidade dispositivo/utilizador
Especifique manualmente a afinidade dispositivo/utilizador em vez de permitir que os utilizadores identifiquem o dispositivo primário. Não ative a configuração baseada na utilização.
Não considere autoritativas as informações recolhidas dos utilizadores ou do dispositivo. Se implementar software através da afinidade de dispositivo do utilizador que um administrador fidedigno não especifica, o software poderá ser instalado em computadores e para utilizadores que não estão autorizados a receber esse software.
Não executar implementações a partir de pontos de distribuição
Configure sempre implementações para transferir conteúdos de pontos de distribuição em vez de serem executados a partir de pontos de distribuição. Quando configura implementações para transferir conteúdo de um ponto de distribuição e executar localmente, o cliente Configuration Manager verifica o hash do pacote depois de transferir o conteúdo. O cliente elimina o pacote se o hash não corresponder ao hash na política.
Se configurar a implementação para ser executada diretamente a partir de um ponto de distribuição, o cliente Configuration Manager não verificará o hash do pacote. Este comportamento significa que o cliente Configuration Manager pode instalar software que foi adulterado.
Se tiver de executar implementações diretamente a partir de pontos de distribuição, utilize menos permissões NTFS nos pacotes nos pontos de distribuição. Utilize também a segurança do protocolo internet (IPsec) para proteger o canal entre o cliente e os pontos de distribuição e entre os pontos de distribuição e o servidor do site.
Não permitir que os utilizadores interajam com processos elevados
Se ativar as opções para Executar com direitos administrativos ou Instalar para o sistema, não permita que os utilizadores interajam com essas aplicações. Quando configura uma aplicação, pode definir a opção para Permitir que os utilizadores vejam e interajam com a instalação do programa. Esta definição permite que os utilizadores respondam a quaisquer pedidos necessários na interface de utilizador. Se também configurar a aplicação para Executar com direitos administrativos ou Instalar para o sistema, um atacante no computador que executa o programa poderá utilizar a interface de utilizador para escalar privilégios no computador cliente.
Utilize programas que utilizem o Windows Installer para configuração e privilégios elevados por utilizador para implementações de software que necessitem de credenciais administrativas. A configuração tem de ser executada no contexto de um utilizador que não tenha credenciais administrativas. Os privilégios elevados do Windows Installer por utilizador fornecem a forma mais segura de implementar aplicações com este requisito.
Observação
Quando o utilizador inicia o processo de instalação da aplicação a partir do Centro de Software, a opção para Permitir que os utilizadores vejam e interajam com a instalação do programa não pode controlar as interações do utilizador com quaisquer outros processos criados pelo instalador da aplicação. Devido a este comportamento, mesmo que não selecione esta opção, o utilizador ainda poderá interagir com um processo elevado. Para evitar este problema, não implemente aplicações que criem outros processos com interações do utilizador. Se tiver de instalar este tipo de aplicação, implemente-o como Necessário e configure a experiência de notificação do utilizador para Ocultar no Centro de Software e todas as notificações.
Restringir se os utilizadores podem instalar software interativamente
Configure a definição Instalar permissões de cliente no grupo Agente do Computador . Esta definição restringe os tipos de utilizadores que podem instalar software no Centro de Software.
Por exemplo, crie uma definição de cliente personalizada com Permissões de instalação definidas como Apenas administradores. Aplique esta definição de cliente a uma coleção de servidores. Esta configuração impede que os utilizadores sem permissões administrativas instalem software nesses servidores.
Para obter mais informações, veja Acerca das definições do cliente.
Para dispositivos móveis, implementar apenas aplicações assinadas
Implemente aplicações de dispositivos móveis apenas se tiverem a assinatura de código por uma autoridade de certificação (AC) em que o dispositivo móvel confie.
Por exemplo:
Uma aplicação de um fornecedor, assinada por um fornecedor de certificados público e globalmente fidedigno.
Uma aplicação interna que assine independentemente do Configuration Manager através da sua AC interna.
Uma aplicação interna que inicia sessão com Configuration Manager quando cria o tipo de aplicação e utiliza um certificado de assinatura.
Proteger a localização do certificado de assinatura da aplicação de dispositivo móvel
Se assinar aplicações de dispositivos móveis com o Assistente para Criar Aplicação no Configuration Manager, proteja a localização do ficheiro de certificado de assinatura e proteja o canal de comunicação. Para ajudar a proteger contra a elevação de privilégios e ataques man-in-the-middle, armazene o ficheiro de certificado de assinatura numa pasta protegida.
Utilize IPsec entre os seguintes computadores:
- O computador que executa a consola do Configuration Manager
- O computador que armazena o ficheiro de assinatura do certificado
- O computador que armazena os ficheiros de origem da aplicação
Em vez disso, assine a aplicação independentemente do Configuration Manager e antes de executar o Assistente para Criar Aplicação.
Implementar controlos de acesso
Para proteger computadores de referência, implemente controlos de acesso. Quando configurar o método de deteção num tipo de implementação ao navegar para um computador de referência, certifique-se de que o computador não está comprometido.
Restringir e monitorizar utilizadores administrativos
Restringir e monitorizar os utilizadores administrativos aos quais concede as seguintes funções de segurança baseadas em funções de gestão de aplicações:
- Administrador de Aplicações
- Autor da Aplicação
- Gestor de Implementação de Aplicações
Mesmo quando configura a administração baseada em funções, os utilizadores administrativos que criam e implementam aplicações podem ter mais permissões do que imagina. Por exemplo, os utilizadores administrativos que criam ou alteram uma aplicação podem selecionar aplicações dependentes que não estão no âmbito de segurança.
Configurar aplicações App-V em ambientes virtuais com o mesmo nível de confiança
Quando configurar ambientes virtuais do Microsoft Application Virtualization (App-V), selecione aplicações que tenham o mesmo nível de confiança no ambiente virtual. Uma vez que as aplicações num ambiente virtual app-V podem partilhar recursos, como a área de transferência, configure o ambiente virtual para que as aplicações selecionadas tenham o mesmo nível de confiança.
Para obter mais informações, veja Criar ambientes virtuais app-V.
Certifique-se de que as aplicações macOS provêm de uma origem fidedigna
Se implementar aplicações para dispositivos macOS, certifique-se de que os ficheiros de origem provêm de uma origem fidedigna. A ferramenta CMAppUtil não valida a assinatura do pacote de origem. Certifique-se de que o pacote provém de uma origem em que confia. A ferramenta CMAppUtil não consegue detetar se os ficheiros foram adulterados.
Proteger o ficheiro cmmac para aplicações macOS
Se implementar aplicações para computadores macOS, proteja a localização do .cmmac ficheiro. A ferramenta CMAppUtil gera este ficheiro e, em seguida, importa-o para Configuration Manager. Este ficheiro não está assinado ou validado.
Proteja o canal de comunicação quando importar este ficheiro para Configuration Manager. Para ajudar a impedir a adulteração deste ficheiro, armazene-o numa pasta protegida. Utilize IPsec entre os seguintes computadores:
- O computador que executa a consola do Configuration Manager
- O computador que armazena o
.cmmacficheiro
Utilizar HTTPS para aplicações Web
Se configurar um tipo de implementação de aplicação Web, utilize HTTPS para proteger a ligação. Se implementar uma aplicação Web através de uma ligação HTTP em vez de uma ligação HTTPS, o dispositivo poderá ser redirecionado para um servidor não autorizado. Os dados transferidos entre o dispositivo e o servidor podem ser adulterados.
Problemas de segurança
Os utilizadores com direitos baixos podem alterar ficheiros que registam o histórico de implementação de software no computador cliente.
Uma vez que as informações do histórico de aplicações não estão protegidas, um utilizador pode alterar os ficheiros que comunicam se uma aplicação está instalada.
Os pacotes App-V não estão assinados.
Os pacotes App-V no Configuration Manager não suportam a assinatura. As assinaturas digitais verificam se o conteúdo é de uma origem fidedigna e não foi alterado em trânsito. Não existe nenhuma mitigação para este problema de segurança. Siga a melhor prática de segurança para transferir o conteúdo de uma origem fidedigna e de uma localização segura.
As aplicações App-V publicadas podem ser instaladas por todos os utilizadores no computador.
Quando uma aplicação App-V é publicada num computador, todos os utilizadores que iniciarem sessão nesse computador podem instalar a aplicação. Não pode restringir os utilizadores que podem instalar a aplicação depois de esta ser publicada.
Informações de privacidade
A gestão de aplicações permite-lhe executar qualquer aplicação, programa ou script em qualquer cliente na hierarquia. Configuration Manager não tem controlo sobre os tipos de aplicações, programas ou scripts que executa ou o tipo de informação que transmitem. Durante o processo de implementação da aplicação, Configuration Manager podem transmitir informações que identificam o dispositivo e contas de início de sessão entre clientes e servidores.
Configuration Manager mantém status informações sobre o processo de implementação de software. A menos que o cliente comunique através de HTTPS, a implementação de software status informações não é encriptada durante a transmissão. As informações status não são armazenadas de forma encriptada na base de dados.
A utilização de Configuration Manager instalação de aplicações para instalar software remotamente, interativa ou silenciosamente em clientes pode estar sujeita a termos de licenciamento de software para esse software. Esta utilização é separada dos Termos de Licenciamento para Software para Configuration Manager. Reveja e aceite sempre os Termos de Licenciamento de Software antes de implementar software com Configuration Manager.
Configuration Manager recolhe dados de utilização e diagnóstico sobre aplicações, que são utilizados pela Microsoft para melhorar as versões futuras. Para obter mais informações, veja Dados de diagnóstico e utilização.
A implementação de aplicações não ocorre por predefinição e requer vários passos de configuração.
As seguintes funcionalidades ajudam a implementar software eficiente:
A afinidade dispositivo/utilizador mapeia um utilizador para dispositivos. Um administrador Configuration Manager implementa software num utilizador. O cliente instala automaticamente o software num ou mais computadores que o utilizador utiliza com mais frequência.
O Centro de Software é instalado automaticamente num dispositivo quando instala o cliente Configuration Manager. Os utilizadores alteram as definições, procuram software e instalam software a partir do Centro de Software.
Informações de privacidade da afinidade dispositivo/utilizador
Configuration Manager podem transmitir informações entre clientes e sistemas de sites de ponto de gestão. As informações podem identificar o computador, a conta de início de sessão e a utilização resumida para contas de início de sessão.
A menos que configure o ponto de gestão para exigir comunicação HTTPS, as informações transmitidas entre o cliente e o servidor não são encriptadas.
As informações de utilização do computador e da conta de início de sessão são utilizadas para mapear um utilizador para um dispositivo. Configuration Manager armazena estas informações em computadores cliente, envia-as para pontos de gestão e, em seguida, armazena-as na base de dados do site. Por predefinição, o site elimina informações antigas da base de dados após 90 dias. O comportamento de eliminação é configurável ao definir a tarefa de manutenção do site Eliminar Dados de Afinidade Dispositivo/Utilizador Desatuosos.
Configuration Manager mantém status informações sobre a afinidade dispositivo/utilizador. A menos que configure clientes para comunicar com pontos de gestão através de HTTPS, estes não encriptam status informações durante a transmissão. O site não armazena status informações na forma encriptada na base de dados.
As informações de utilização do computador e do início de sessão utilizadas para estabelecer a afinidade entre utilizadores e dispositivos estão sempre ativadas. Os utilizadores e utilizadores administrativos podem fornecer informações de afinidade dispositivo/utilizador.
Informações de privacidade do Centro de Software
O Centro de Software permite ao administrador Configuration Manager publicar qualquer aplicação, programa ou script para os utilizadores executarem. Configuration Manager não tem controlo sobre os tipos de programas ou scripts publicados no Centro de Software ou o tipo de informação que transmitem.
Configuration Manager podem transmitir informações entre os clientes e o ponto de gestão. As informações podem identificar o computador e as contas de início de sessão. A menos que configure o ponto de gestão para exigir que os clientes se liguem através de HTTPS, as informações transmitidas entre o cliente e os servidores não são encriptadas.
As informações sobre o pedido de aprovação da aplicação são armazenadas na base de dados Configuration Manager. Para pedidos cancelados ou negados, as entradas do histórico de pedidos correspondentes são eliminadas após 30 dias por predefinição. Pode configurar este comportamento de eliminação com a tarefa de manutenção Eliminar Site de Dados de Pedidos de Aplicação Desatuários . O site nunca elimina pedidos de aprovação de aplicações que estejam em estados aprovados e pendentes.
Quando instala o cliente Configuration Manager num dispositivo, este instala automaticamente o Centro de Software.