Zabezpečení a ochrana dat pro správu aplikací v nástroji Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Toto téma se zobrazuje v příručka Nasazení softwaru a operačních systémů v nástroji System Center 2012 Configuration Manager a v příručce Zabezpečení a ochrana soukromí pro aplikaci System Center 2012 Configuration Manager.
Toto téma obsahuje informace související se zabezpečením a ochranou osobních údajů při správě aplikací v nástroji System Center 2012 Configuration Manager. Toto téma rovněž zahrnuje katalog aplikací a centrum softwaru.
Další informace naleznete v těchto částech
Osvědčené postupy zabezpečení pro správu aplikací
- Problémy se zabezpečením při správě aplikací
Certifikáty pro Microsoft Silverlight 5 a režim zvýšené důvěryhodnosti vyžadované pro katalog aplikací
Ochrana osobních údajů při správě aplikací
Spřažení uživatelských zařízení
Katalog aplikací
Osvědčené postupy zabezpečení pro správu aplikací
Při správě aplikací používejte následující osvědčené postupy zabezpečení:
Doporučené zabezpečení |
Další informace |
|---|---|
Konfigurace bodů katalogu aplikací pro používání připojení prostřednictvím protokolu HTTPS a informování uživatelů o nebezpečích škodlivých webů. |
Proveďte konfiguraci Bod webu Katalog aplikací a Bod služeb webu Katalog aplikací, aby akceptovaly připojení protokolu HTTPS, server byl ověřovaný vůči uživatelům a aby přenášená data byla chráněna před manipulací a prohlížením. Konfigurace pomáhá chránit před útoky sociálního inženýrství tím, že uživatele poučí, aby se připojovali pouze k důvěryhodným webovým stránkám. Poznámka Nepoužívejte možnosti nastavení brandingu, které zobrazuje název vaší organizace v katalogu aplikací jako doklad vaší totožnosti, pokud nepoužíváte protokol HTTPS. |
Použití rozdělení rolí a instalace bodu webu katalogu aplikací a bodu webové služby katalogu aplikací na samostatných serverech. |
Jestliže bod webu katalogu aplikací je ohrožen, instalujte ho na samostatný server do bodu webové služby katalogu aplikací. To vám pomůže chránit klienty nástroje Configuration Manager a infrastrukturu nástroje Configuration Manager. To je zvláště důležité, pokud bod webu katalogu aplikací akceptuje připojení klienta z internetu, neboť tato konfigurace způsobuje, že je server snadno napadnutelný. |
Informování uživatelů, aby po ukončení používání katalogu aplikací zavírali okno prohlížeče |
Jestliže uživatelé procházejí na externí web ve stejném okně prohlížeče, které používali pro katalog aplikací, prohlížeč nadále používá nastavení zabezpečení, která jsou vhodná pro důvěryhodné lokality na intranetu. |
Místo toho, abyste uživatelům povolili identifikaci jejich primárního zařízení, ručně zadejte spřažení uživatelských zařízení; a nepovolujte ani konfiguraci na základě využití. |
Nepovažujte informace shromážděné od uživatelů nebo ze zařízení za směrodatné. Pokud nasadíte software pomocí spřažení uživatelských zařízení, které není specifikováno důvěryhodným správcem, je možné, že se software nainstaluje do počítačů a uživatelům, kteří nemají oprávnění pro přijetí softwaru. |
Vždy konfigurujte nasazení pro stahování obsahu z distribučních bodů a nespouštějte ho z distribučních bodů. |
Pokud nakonfigurujete nasazení, aby stáhlo obsah z distribučního bodu a spustilo ho místně, klient nástroje Configuration Manager po stažení obsahu ověří hodnotu hash balíčku a balíček zahodí, pokud hodnota hash neodpovídá hodnotě hash v zásadách. Pro srovnání – pokud nakonfigurujete nasazení, aby obsah spustilo přímo z distribučního bodu, klient nástroje Configuration Manager hodnotu hash balíčku neověřuje, což znamená, že klient nástroje Configuration Manager může nainstalovat software, se kterým bylo manipulováno. Pokud chcete spouštět nasazení přímo z distribučních bodů, u balíčků v distribučních bodech používejte nejnižší oprávnění NTFS a používejte protokol IPsec pro zabezpečení kanálu mezi klientem a distribučními body a mezi distribučními body a serverem lokality. |
Nepovolte uživatelům, aby komunikovali s programy, pokud je vyžadována možnost Spustit s právy správce. |
Pokud konfigurujete program, můžete nastavit možnost Povolit uživatelům, aby komunikovali s tímto programem, aby uživatelé mohli odpovídat na požadované výzvy v uživatelském rozhraní. Jestliže je program nastaven také na možnost Spustit s právy správce, útočník v počítači, který spouští program, by mohl použít uživatelské rozhraní pro zvýšení oprávnění na klientském počítači. Pro nasazení softwaru, který vyžaduje pověření správce, ale který se musí spouštět v kontextu uživatele, který pověření správce nemá, použijte instalační programy instalované pomocí instalační služby systému Windows se zvýšenými oprávněními vázanými na uživatele. Instalační služba systému Windows se zvýšenými oprávněními vázanými na uživatele poskytuje nejbezpečnější způsob nasazení aplikací se zmíněnými požadavky. |
Omezte, zda uživatelé mohou instalovat software interaktivně pomocí nastavení klienta Oprávnění pro instalaci. |
Proveďte konfiguraci nastavení Počítačový agent klientského zařízení Oprávnění k instalaci, abyste omezili typy uživatelů, kteří mohou instalovat software pomocí katalogu aplikací nebo centra softwaru. Vytvořte například vlastní nastavení klienta s položkou Oprávnění k instalaci nastavenou na Pouze správci. Pak použijte toto nastavení klienta pro kolekci serverů, abyste uživatelům bez oprávnění správce zabránili v instalaci software na tyto počítače. |
U mobilních zařízení nasazujte pouze podepsané aplikace |
Aplikace mobilních zařízení nasazujte pouze v případě, pokud jsou opatřeny kódem podepsaným certifikační autoritou (CA), která je důvěryhodná pro mobilní zařízení. Například:
|
Pokud podepíšete aplikace mobilních zařízení pomocí Průvodce vytvořením aplikace v nástroji Configuration Manager, zabezpečte umístění souboru podpisového certifikátu a zabezpečte komunikační kanál. |
Aby byla lépe zajištěna ochrana proti zvýšení oprávnění a proti útoku prostředníkem, soubor podpisového certifikátu uložte do zabezpečené složky a používejte protokol IPsec nebo podepisování SMB mezi následujícími počítači:
Případně podepište aplikaci nezávisle na nástroji Configuration Manager a před spuštěním Průvodce vytvořením aplikace. |
Implementujte řízení přístupu, čímž ochráníte referenčního počítače. |
Pokud správce konfiguruje metodu detekce v typu nasazení tak, že přejde na referenční počítač, zkontrolujte, zda počítač není ohrožen. |
Omezte a sledujte správce, kterým jsou uděleny role zabezpečení na základě rolí souvisejících se správou aplikací:
|
I když konfigurujete správu na základě rolí, správci, kteří vytvářejí a nasazují aplikace, mohou mít větší oprávnění než si myslíte. Pokud například správci vytvoří nebo upraví aplikaci, mohou vybrat závislé aplikace, které nejsou v jejich oboru zabezpečení. |
Poznámka Pro System Center 2012 Configuration Manager SP1 a novější: Pokud konfigurujete virtuální prostředí Microsoft Application Virtualization (App-V), ve virtuálním prostředí vyberte aplikace, které mají stejnou úroveň důvěryhodnosti. |
Vzhledem k tomu, že aplikace ve virtuálním prostředí App-V mohou sdílet zdroje, jako např. schránku, nakonfigurujte virtuální prostředí tak, aby vybrané aplikace měly stejnou úroveň důvěryhodnosti. Další informace naleznete v tématu Vytvoření virtuálních prostředí App-V v nástroji Configuration Manager. |
Pokud nasazujete aplikace na počítače Mac, ujistěte se, že jsou zdrojové soubory z důvěryhodného zdroje. |
Nástroj CMAppUtil neověřuje podpis zdrojového balíčku, proto nezapomeňte ověřit, zda pochází ze zdroje, kterému důvěřujete. Nástroj CMAppUtil tool nedokáže zjistit, zda soubory nebyly úmyslně poškozeny. |
Jestliže nasadíte aplikace pro počítače se systémem Mac, při importování tohoto souboru do nástroje Configuration Manager zabezpečte umístění souboru nástroje .cmmac a zabezpečte komunikační kanál. |
Vzhledem k tomu, že soubor nástroje .cmmac, který nástroj CMAppUtil generuje a který importujete do nástroje Configuration Manager, není podepsán ani ověřen, chcete-li zabránit manipulaci s tímto souborem, uložte ho do zabezpečené složky a používejte protokol IPsec nebo podepisování SMB mezi následujícími počítači:
|
Pro System Center 2012 R2 Configuration Manager a novější: Pokud konfigurujete typ nasazení webové aplikace, použijte k zabezpečení připojení protokol HTTPS, nikoli protokol HTTP. |
Pokud nasazujete webovou aplikaci pomocí připojení HTTP, a ne pomocí připojení HTTPS, zařízení by mohlo být přesměrováno na podvodný server a data přenesená mezi zařízením a serverem by mohla být úmyslně poškozena. |
Problémy se zabezpečením při správě aplikací
Při správě aplikací se vyskytují následující problémy se zabezpečením:
Uživatelé s nízkými právy mohou kopírovat soubory z mezipaměti klienta na klientský počítač.
Uživatelé mohou číst z mezipaměti klienta, ale nemohou do ní zapisovat. S oprávněními ke čtení může uživatel kopírovat instalační soubory aplikace z jednoho počítače na druhý.
Uživatelé s nízkými právy mohou upravovat soubory, které zaznamenávají historii nasazení softwaru na klientském počítači.
Vzhledem k tomu, že informace o historii aplikací nejsou chráněny, uživatel může soubory, které oznamují, zda byla aplikace nainstalována, upravovat.
Balíčky sady App-V nejsou podepsány.
Balíčky sady App-V v nástroji Configuration Manager nepodporují podepisování, které by ověřovalo, zda je obsah z důvěryhodného zdroje a zda při přenosu nebyl změněn. K tomuto problému se zabezpečením neexistuje žádné zmírňující opatření; zkontrolujte, zda při stahování obsahu z důvěryhodného zdroje a ze zabezpečeného umístění dodržujete doporučené postupy zabezpečení.
Publikované aplikace sady App-V mohou instalovat na počítač všichni uživatelé.
Pokud je aplikace sady App-V publikovaná na počítači, všichni uživatelé, kteří se přihlásí k tomuto počítači, mohou aplikaci nainstalovat. To znamená, že nemůžete omezit, kteří uživatelé mohou instalovat aplikaci poté, co byla publikovaná.
Nelze omezit oprávnění k instalaci pro firemní portál
I když lze nakonfigurovat nastavení klienta, aby se omezila oprávnění k instalaci, například na primární uživatele zařízení, nebo pouze na místní správce, toto nastavení nefunguje pro firemní portál. V důsledku toho může dojít ke zvýšení oprávnění, neboť uživatel by si mohl nainstalovat aplikaci, pro jejíž instalaci by neměl mít oprávnění.
Certifikáty pro Microsoft Silverlight 5 a režim zvýšené důvěryhodnosti vyžadované pro katalog aplikací
Poznámka
Platí pouze pro verze System Center 2012 Configuration Manager SP1 a System Center 2012 R2 Configuration Manager.
Klienti nástrojů System Center 2012 Configuration Manager SP1 a System Center 2012 R2 Configuration Manager vyžadují program Microsoft Silverlight 5, který musí být spuštěn v režimu zvýšené důvěryhodnosti, aby si uživatelé mohli nainstalovat software z katalogu aplikací. Ve výchozím nastavení se aplikace Silverlight spouští v režimu částečně zvýšené důvěryhodnosti, aby aplikace nemohly přistupovat k datům uživatele. Nástroj Configuration Manager automaticky instaluje program Microsoft Silverlight 5 na klienty, pokud zde není již nainstalován, a ve výchozím nastavení konfiguruje nastavení klienta Počítačový agent Povolit aplikacím Silverlight spouštění v režimu zvýšené důvěryhodnosti na Ano. Toto nastavení povoluje podepsaným a důvěryhodným aplikacím Silverlight požádat o režim zvýšené důvěryhodnosti.
Pokud instalujete roli systému bodu webu katalogu aplikací, klient současně na každý klientský počítač nástroje Configuration Manager v úložišti certifikátů důvěryhodných vydavatelů nainstaluje certifikát pro podpis od společnosti Microsoft. Tento certifikát umožňuje aplikacím Silverlight podepsaným tímto certifikátem, aby byly spuštěny v režimu zvýšené důvěryhodnosti, který počítače vyžadují pro instalaci softwaru z katalogu aplikací. Nástroj Configuration Manager automaticky tento podpisový certifikát spravuje. Chcete-li zajistit kontinuitu služeb, tento certifikát pro podpis od společnosti Microsoft ručně neodstraňujte ani nepřesunujte.
.jpeg "System_CAPS_warning") Upozornění |
|---|
Pokud je klientské nastavení Povolit aplikacím Silverlight spouštění v režimu zvýšené důvěryhodnosti povoleno, umožňuje všem aplikacím Silverlight, které jsou podepsány certifikáty v úložišti certifikátů důvěryhodných vydavatelů, a to buď v úložišti počítače nebo úložišti uživatele, aby mohly být spuštěny v režimu zvýšené důvěryhodnosti. Nastavení klienta nemůže povolit režim zvýšené důvěryhodnosti pouze pro katalog aplikací nástroje Configuration Manager nebo pro úložiště certifikátů důvěryhodných vydavatelů v úložišti počítače. Jestliže malware přidá do úložiště důvěryhodných vydavatelů podvodný certifikát, například do úložiště uživatele, malware, který používá svou vlastní aplikaci Silverlight, se nyní může také v režimu zvýšené důvěryhodnosti spustit. |
Pokud nakonfigurujete, aby nastavení klienta Povolit aplikacím Silverlight spouštění v režimu zvýšené důvěryhodnosti bylo Ne, certifikát pro podpis od společnosti Microsoft nebude z klientů odstraněn.
Další informace o důvěryhodných aplikacích Silverlight naleznete v části Důvěryhodné aplikace.
Ochrana osobních údajů při správě aplikací
Správa aplikací vám umožňuje spuštění jakékoli aplikace, programu nebo skriptu na libovolném počítači klienta nebo mobilním zařízení klienta v hierarchii. Nástroj Configuration Manager nemá žádnou kontrolu nad tím, jaké typy aplikací, programů nebo skriptů spouštíte, nebo jaké typy informací odesílají. Nástroj Configuration Manager může při nasazení aplikací přenášet mezi klienty a servery informace, které identifikují účty zařízení a přihlašovací účty.
Aplikace Configuration Manager uchovává informace o stavu procesu nasazení softwaru. Informace o stavu nasazení softwaru nejsou během přenosu zašifrované, pokud klient nekomunikuje pomocí protokolu HTTPS. Informace o stavu v databázi nejsou uloženy v šifrovaném tvaru.
Použití aplikace Configuration Manager ke vzdálené, interaktivní nebo tiché instalaci softwaru do klientských počítačů může podléhat licenčním podmínkám daného softwaru a je oddělené od licenčních podmínek pro aplikaci System Center 2012 Configuration Manager. Před nasazením softwaru s použitím aplikace Configuration Manager si vždy přečtěte licenční podmínky pro software a vyjádřete s nimi souhlas.
Nasazení softwaru není standardní a vyžaduje několik kroků konfigurace.
Dvě volitelné funkce, které pomáhají efektivnímu nasazení softwaru je spřažení uživatelských zařízení a Katalog aplikací:
Spřažení uživatelských zařízení mapuje uživatele na zařízení tak, že správce Configuration Manager může nasadit software u uživatele a software se automaticky instaluje na jeden nebo několik počítačů, které uživatel používá nejčastěji.
Katalog aplikací představuje web umožňující uživatelům vyžádat software pro instalaci.
Prostudujte si následující části s informace o ochraně osobních údajů, které souvisejí se spřažením uživatelských zařízení a Katalogem aplikací.
Před konfigurací správy aplikace zvažte své požadavky na ochranu osobních údajů.
Spřažení uživatelských zařízení
Aplikace Configuration Manager může přenášet informace mezi klienty a systémy lokality bodu správy, které identifikují počítač a účet přihlášení a souhrnné využití při účty přihlášení.
Informace přenesené mezi klientem a serverem nejsou zašifrované, pokud není bod správy nakonfigurován tak, aby po klientech požadoval komunikaci pomocí protokolu HTTPS.
Informace o využití počítače a účtu přihlášení, které se používají pro mapování uživatele na zařízení, jsou uloženy v klientských počítačích, odeslány do bodů správy a pak uloženy v databázi aplikace Configuration Manager. Zastaralé informace jsou ve výchozím nastavení z databáze odstraněny po 90 dnech. Chování při odstranění je konfigurovatelné nastavením úkolu údržby lokality Odstranit zastaralá data o spřažení uživatelských zařízení.
Aplikace Configuration Manager uchovává stavové informace o spřažení uživatelských zařízení. Stavové informace nejsou během přenosu šifrovány, pokud klienti nejsou nakonfigurováni tak, aby komunikovali s body správy pomocí protokolu HTTPS. Informace o stavu v databázi nejsou uloženy v šifrovaném tvaru.
Informace o počítači, o využití účtu přihlášení a stavové informace nejsou odesílány společnosti Microsoft.
Informace o počítači a o využití účtu přihlášení používané pro stanovené spřažení uživatele a zařízení jsou povoleny vždy. Kromě toho mohou informace o spřažení uživatelských zařízení poskytovat uživatelé a uživatelé s právy pro správu.
Katalog aplikací
Katalog aplikací umožňuje správci aplikace Configuration Manager publikovat jakoukoliv aplikaci nebo program nebo skript spustitelný uživateli. Aplikace Configuration Manager nemá žádnou kontrolu nad tím, jaké typy programů nebo skriptů jsou v katalogu publikovány, nebo jaké typy informací odesílají.
Aplikace Configuration Manager může přenášet informace mezi klienty a rolemi systému lokality Katalog aplikace, které identifikují počítač a účty přihlášení. Informace přenesené mezi klientem a servery nejsou zašifrované, pokud tyto role systému lokality nejsou nakonfigurovány tak, aby po klientech požadovaly připojení pomocí protokolu HTTPS.
Informace o požadavku schválení aplikace jsou uloženy v databázi aplikace Configuration Manager. Zrušené nebo odmítnuté požadavky jsou odstraněny standardně po 30 dnech, společně s odpovídajícími záznamy historie požadavků. Chování při odstranění je konfigurovatelné nastavením úkolu údržby lokality Odstranit zastaralá data o požadavcích aplikace. Požadavky schválení aplikace, které jsou ve stavu schváleno a probíhá, nejsou odstraněny nikdy.
Informace odesílané do Katalogu aplikací a z něj nejsou odesílány společnosti Microsoft.
Katalog aplikací není ve výchozím nastavení nainstalován. Tato instalace vyžaduje několik kroků konfigurování.