Sicherheit und Datenschutz für die Anwendungsverwaltung in Configuration Manager

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Sicherheitsleitfaden

Zentrales Angeben der Affinität zwischen Benutzer und Gerät

Geben Sie die Affinität zwischen Benutzer und Gerät manuell an, anstatt benutzern die Identifizierung ihres primären Geräts zu erlauben. Aktivieren Sie keine nutzungsbasierte Konfiguration.

Betrachten Sie informationen, die von Benutzern oder vom Gerät gesammelt werden, nicht als autoritativ. Wenn Sie Software mithilfe der Affinität zwischen Benutzer und Gerät bereitstellen, die von einem vertrauenswürdigen Administrator nicht angegeben wird, wird die Software möglicherweise auf Computern und für Benutzer installiert, die nicht berechtigt sind, diese Software zu erhalten.

Keine Bereitstellungen über Verteilungspunkte ausführen

Konfigurieren Sie Bereitstellungen immer so, dass Inhalte von Verteilungspunkten heruntergeladen werden, anstatt sie über Verteilungspunkte auszuführen. Wenn Sie Bereitstellungen so konfigurieren, dass Inhalte von einem Verteilungspunkt heruntergeladen und lokal ausgeführt werden, überprüft der Configuration Manager Client den Pakethash, nachdem er den Inhalt heruntergeladen hat. Der Client verwirft das Paket, wenn der Hash nicht mit dem Hash in der Richtlinie übereinstimmt.

Wenn Sie die Bereitstellung so konfigurieren, dass sie direkt von einem Verteilungspunkt aus ausgeführt wird, überprüft der Configuration Manager Client den Pakethash nicht. Dieses Verhalten bedeutet, dass der Configuration Manager Client manipulierte Software installieren kann.

Wenn Sie Bereitstellungen direkt über Verteilungspunkte ausführen müssen, verwenden Sie NTFS-Geringste Berechtigungen für die Pakete auf den Verteilungspunkten. Verwenden Sie außerdem Internetprotokollsicherheit (Internet Protocol Security, IPsec), um den Kanal zwischen dem Client und den Verteilungspunkten sowie zwischen den Verteilungspunkten und dem Standortserver zu schützen.

Zulassen, dass Benutzer nicht mit Prozessen mit erhöhten Rechten interagieren

Wenn Sie die Optionen Mit Administratorrechten ausführen oder Für System installieren aktivieren, lassen Sie Benutzer nicht mit diesen Anwendungen interagieren. Wenn Sie eine Anwendung konfigurieren, können Sie die Option Benutzern das Anzeigen und Interagieren mit der Programminstallation erlauben festlegen. Mit dieser Einstellung können Benutzer auf alle erforderlichen Eingabeaufforderungen auf der Benutzeroberfläche reagieren. Wenn Sie die Anwendung auch auf Mit Administratorrechten ausführen oder Für System installieren konfigurieren, könnte ein Angreifer auf dem Computer, auf dem das Programm ausgeführt wird, die Benutzeroberfläche verwenden, um Berechtigungen auf dem Clientcomputer zu eskalieren.

Verwenden Sie Programme, die Windows Installer für die Einrichtung verwenden, und erhöhte Berechtigungen pro Benutzer für Softwarebereitstellungen, die Administratoranmeldeinformationen erfordern. Setup muss im Kontext eines Benutzers ohne Administratoranmeldeinformationen ausgeführt werden. Erhöhte Berechtigungen für Windows Installer pro Benutzer bieten die sicherste Möglichkeit zum Bereitstellen von Anwendungen, die diese Anforderung erfüllen.

Hinweis

Wenn der Benutzer den Anwendungsinstallationsprozess über das Softwarecenter startet, kann die Option Benutzern das Anzeigen und Interagieren mit der Programminstallation erlauben keine Benutzerinteraktionen mit anderen Prozessen steuern, die vom Anwendungsinstallationsprogramm erstellt wurden. Aufgrund dieses Verhaltens kann der Benutzer möglicherweise trotzdem mit einem Prozess mit erhöhten Rechten interagieren, auch wenn Sie diese Option nicht auswählen. Um dieses Problem zu vermeiden, stellen Sie keine Anwendungen bereit, die andere Prozesse mit Benutzerinteraktionen erstellen. Wenn Sie diese Art von Anwendung installieren müssen, stellen Sie ihn als Erforderlich bereit, und konfigurieren Sie die Benutzerbenachrichtigungsoberfläche so, dass sie im Softwarecenter und in allen Benachrichtigungen ausblenden.

Einschränken, ob Benutzer Software interaktiv installieren können

Konfigurieren Sie die Clienteinstellung Installationsberechtigungen in der Gruppe Computer-Agent . Diese Einstellung schränkt die Benutzertypen ein, die Software im Softwarecenter installieren können.

Erstellen Sie beispielsweise eine benutzerdefinierte Clienteinstellung mit Installationsberechtigungen , die auf Nur Administratoren festgelegt sind. Wenden Sie diese Clienteinstellung auf eine Auflistung von Servern an. Diese Konfiguration verhindert, dass Benutzer ohne Administratorberechtigungen Software auf diesen Servern installieren.

Weitere Informationen finden Sie unter Informationen zu Clienteinstellungen.

Für mobile Geräte nur signierte Anwendungen bereitstellen

Stellen Sie Anwendungen für mobile Geräte nur bereit, wenn sie von einer Zertifizierungsstelle (CA) mit Codesign versehen sind, der das mobile Gerät vertraut.

Zum Beispiel:

  • Eine Anwendung eines Anbieters, die von einem öffentlichen und global vertrauenswürdigen Zertifikatanbieter signiert wird.

  • Eine interne Anwendung, die Sie unabhängig von Configuration Manager mit Ihrer internen Zertifizierungsstelle signieren.

  • Eine interne Anwendung, die Sie mit Configuration Manager signieren, wenn Sie den Anwendungstyp erstellen und ein Signaturzertifikat verwenden.

Sichern des Speicherorts des Signaturzertifikats der mobilen Geräteanwendung

Wenn Sie Anwendungen für mobile Geräte mithilfe des Assistenten zum Erstellen von Anwendungen in Configuration Manager signieren, sichern Sie den Speicherort der Signaturzertifikatdatei, und sichern Sie den Kommunikationskanal. Speichern Sie die Signaturzertifikatdatei in einem geschützten Ordner, um sich vor Rechteerweiterungen und Man-in-the-Middle-Angriffen zu schützen.

Verwenden Sie IPsec zwischen den folgenden Computern:

  • Der Computer, auf dem die Configuration Manager-Konsole ausgeführt wird
  • Der Computer, auf dem die Zertifikatsignierdatei gespeichert wird.
  • Der Computer, auf dem die Anwendungsquelldateien gespeichert werden.

Signieren Sie die Anwendung stattdessen unabhängig von Configuration Manager und bevor Sie den Assistenten zum Erstellen von Anwendungen ausführen.

Implementieren von Zugriffssteuerungen

Implementieren Sie Zugriffssteuerungen, um Referenzcomputer zu schützen. Wenn Sie die Erkennungsmethode in einem Bereitstellungstyp konfigurieren, indem Sie zu einem Referenzcomputer navigieren, stellen Sie sicher, dass der Computer nicht kompromittiert ist.

Einschränken und Überwachen administrativer Benutzer

Beschränken und überwachen Sie die Administratorbenutzer, denen Sie die folgenden rollenbasierten Sicherheitsrollen für die Anwendungsverwaltung gewähren:

  • Anwendungsadministrator
  • Anwendungsautor
  • Anwendungsbereitstellungs-Manager

Selbst wenn Sie die rollenbasierte Verwaltung konfigurieren, verfügen Administratoren, die Anwendungen erstellen und bereitstellen, möglicherweise über mehr Berechtigungen als Sie sich bewusst sind. Beispielsweise können Administratoren, die eine Anwendung erstellen oder ändern, abhängige Anwendungen auswählen, die sich nicht in ihrem Sicherheitsbereich befinden.

Konfigurieren von App-V-Apps in virtuellen Umgebungen mit der gleichen Vertrauensstufe

Wenn Sie Microsoft virtuellen Application Virtualization-Umgebungen (App-V) konfigurieren, wählen Sie Anwendungen aus, die die gleiche Vertrauensstufe in der virtuellen Umgebung aufweisen. Da Anwendungen in einer virtuellen App-V-Umgebung Ressourcen wie die Zwischenablage gemeinsam nutzen können, konfigurieren Sie die virtuelle Umgebung so, dass die ausgewählten Anwendungen die gleiche Vertrauensstufe haben.

Weitere Informationen finden Sie unter Erstellen virtueller App-V-Umgebungen.

Sicherstellen, dass macOS-Apps aus einer vertrauenswürdigen Quelle stammen

Wenn Sie Anwendungen für macOS-Geräte bereitstellen, stellen Sie sicher, dass die Quelldateien aus einer vertrauenswürdigen Quelle stammen. Das CMAppUtil-Tool überprüft die Signatur des Quellpakets nicht. Stellen Sie sicher, dass das Paket aus einer Quelle stammt, der Sie vertrauen. Das CMAppUtil-Tool kann nicht erkennen, ob die Dateien manipuliert wurden.

Schützen der cmmac-Datei für macOS-Apps

Wenn Sie Anwendungen für macOS-Computer bereitstellen, sichern Sie den Speicherort der .cmmac Datei. Diese Datei wird vom CMAppUtil-Tool generiert und anschließend in Configuration Manager importiert. Diese Datei ist nicht signiert oder überprüft.

Schützen Sie den Kommunikationskanal, wenn Sie diese Datei in Configuration Manager importieren. Um Manipulationen an dieser Datei zu verhindern, speichern Sie sie in einem geschützten Ordner. Verwenden Sie IPsec zwischen den folgenden Computern:

  • Der Computer, auf dem die Configuration Manager-Konsole ausgeführt wird
  • Der Computer, auf dem die Datei gespeichert wird .cmmac

Verwenden von HTTPS für Webanwendungen

Wenn Sie einen Webanwendungsbereitstellungstyp konfigurieren, verwenden Sie HTTPS, um die Verbindung zu schützen. Wenn Sie eine Webanwendung mithilfe eines HTTP-Links anstelle eines HTTPS-Links bereitstellen, kann das Gerät an einen nicht autorisierten Server umgeleitet werden. Daten, die zwischen dem Gerät und dem Server übertragen werden, können manipuliert werden.

Überlegungen zur Sicherheit

  • Benutzer mit geringen Rechten können Dateien ändern, die den Softwarebereitstellungsverlauf auf dem Clientcomputer aufzeichnen.

    Da die Anwendungsverlaufsinformationen nicht geschützt sind, kann ein Benutzer Dateien ändern, die melden, ob eine Anwendung installiert ist.

  • App-V-Pakete sind nicht signiert.

    App-V-Pakete in Configuration Manager unterstützen das Signieren nicht. Digitale Signaturen stellen sicher, dass der Inhalt von einer vertrauenswürdigen Quelle stammt und während der Übertragung nicht geändert wurde. Es gibt keine Lösung für dieses Sicherheitsproblem. Befolgen Sie die bewährte Sicherheitsmethode, um den Inhalt aus einer vertrauenswürdigen Quelle und von einem sicheren Speicherort herunterzuladen.

  • Veröffentlichte App-V-Anwendungen können von allen Benutzern auf dem Computer installiert werden.

    Wenn eine App-V-Anwendung auf einem Computer veröffentlicht wird, können alle Benutzer, die sich bei diesem Computer anmelden, die Anwendung installieren. Sie können die Benutzer, die die Anwendung nach der Veröffentlichung installieren können, nicht einschränken.

Datenschutzinformationen

Mit der Anwendungsverwaltung können Sie beliebige Anwendungen, Programme oder Skripts auf einem beliebigen Client in der Hierarchie ausführen. Configuration Manager hat keine Kontrolle über die Typen von Anwendungen, Programmen oder Skripts, die Sie ausführen, oder die Art der Informationen, die sie übertragen. Während des Anwendungsbereitstellungsprozesses übertragen Configuration Manager möglicherweise Informationen, die das Gerät und die Anmeldekonten zwischen Clients und Servern identifizieren.

Configuration Manager verwaltet Statusinformationen zum Softwarebereitstellungsprozess. Sofern der Client nicht über HTTPS kommuniziert, werden die Statusinformationen der Softwarebereitstellung während der Übertragung nicht verschlüsselt. Die Statusinformationen werden nicht verschlüsselt in der Datenbank gespeichert.

Die Verwendung von Configuration Manager Anwendungsinstallation, um Software remote, interaktiv oder im Hintergrund auf Clients zu installieren, unterliegt möglicherweise den Softwarelizenzbedingungen für diese Software. Diese Verwendung erfolgt getrennt von den Software-Lizenzbedingungen für Configuration Manager. Überprüfen Sie die Softwarelizenzbedingungen immer, und stimmen Sie diesen zu, bevor Sie Software mithilfe von Configuration Manager bereitstellen.

Configuration Manager sammelt Diagnose- und Nutzungsdaten zu Anwendungen, die von Microsoft verwendet werden, um zukünftige Releases zu verbessern. Weitere Informationen finden Sie unter Diagnose- und Nutzungsdaten.

Die Anwendungsbereitstellung erfolgt standardmäßig nicht und erfordert mehrere Konfigurationsschritte.

Die folgenden Features helfen bei der effizienten Softwarebereitstellung:

  • Die Affinität zwischen Benutzer und Gerät ordnet einen Benutzer geräten zu. Ein Configuration Manager Administrator stellt Software für einen Benutzer bereit. Der Client installiert die Software automatisch auf einem oder mehreren Computern, die der Benutzer am häufigsten verwendet.

  • Das Softwarecenter wird automatisch auf einem Gerät installiert, wenn Sie den Configuration Manager-Client installieren. Benutzer ändern Einstellungen, suchen nach Software und installieren Software im Softwarecenter.

Datenschutzinformationen zur Affinität zwischen Benutzer und Gerät

  • Configuration Manager können Informationen zwischen Clients und Verwaltungspunktstandortsystemen übertragen. Die Informationen können den Computer, das Anmeldekonto und die zusammengefasste Nutzung für Anmeldekonten identifizieren.

  • Sofern Sie den Verwaltungspunkt nicht so konfigurieren, dass die HTTPS-Kommunikation erforderlich ist, werden die zwischen Client und Server übertragenen Informationen nicht verschlüsselt.

  • Die Computer- und Anmeldekontonutzungsinformationen werden verwendet, um einen Benutzer einem Gerät zuzuordnen. Configuration Manager speichert diese Informationen auf Clientcomputern, sendet sie an Verwaltungspunkte und speichert sie dann in der Standortdatenbank. Standardmäßig löscht der Standort alte Informationen nach 90 Tagen aus der Datenbank. Das Löschverhalten kann durch Festlegen des Standortwartungstasks Veraltete Benutzergeräteaffinität Daten konfiguriert werden.

  • Configuration Manager verwaltet Statusinformationen zur Affinität zwischen Benutzer und Gerät. Sofern Sie Clients nicht für die Kommunikation mit Verwaltungspunkten über HTTPS konfigurieren, verschlüsseln sie während der Übertragung keine Statusinformationen. Die Website speichert keine Statusinformationen in verschlüsselter Form in der Datenbank.

  • Computer- und Anmeldenutzungsinformationen, die zum Einrichten von Benutzer- und Geräteaffinität verwendet werden, sind immer aktiviert. Benutzer und Administratoren können Informationen zur Affinität zwischen Benutzer und Gerät bereitstellen.

Datenschutzinformationen zum Softwarecenter

  • Im Softwarecenter kann der Configuration Manager Administrator alle Anwendungen, Programme oder Skripts veröffentlichen, die benutzer ausführen können. Configuration Manager hat keine Kontrolle über die Typen von Programmen oder Skripts, die im Softwarecenter veröffentlicht werden, oder die Art der Informationen, die sie übertragen.

  • Configuration Manager können Informationen zwischen Clients und dem Verwaltungspunkt übertragen. Die Informationen können den Computer und die Anmeldekonten identifizieren. Sofern Sie den Verwaltungspunkt nicht so konfigurieren, dass Clients eine Verbindung mithilfe von HTTPS herstellen müssen, werden die zwischen Client und Server übertragenen Informationen nicht verschlüsselt.

  • Die Informationen zur Anwendungsgenehmigungsanforderung werden in der datenbank Configuration Manager gespeichert. Bei Anforderungen, die abgebrochen oder abgelehnt werden, werden die entsprechenden Anforderungsverlaufseinträge standardmäßig nach 30 Tagen gelöscht. Sie können dieses Löschverhalten mit dem Standortwartungstask Veraltete Anwendungsanforderungsdaten löschen konfigurieren. Der Standort löscht niemals Anwendungsgenehmigungsanforderungen, die sich im Status "Genehmigt" und "Ausstehend" befinden.

  • Wenn Sie den Configuration Manager-Client auf einem Gerät installieren, wird automatisch das Softwarecenter installiert.