Biztonság és adatvédelem az alkalmazáskezeléshez a Configuration Manager

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Biztonsági útmutató

Felhasználói eszköz kapcsolatának központi megadása

Manuálisan adja meg a felhasználói eszköz affinitását ahelyett, hogy lehetővé teszi a felhasználóknak az elsődleges eszköz azonosítását. Ne engedélyezze a használatalapú konfigurációt.

Ne tekintse mérvadónak a felhasználóktól vagy az eszközről gyűjtött információkat. Ha olyan felhasználói eszköz kapcsolattal telepít szoftvert, amelyet egy megbízható rendszergazda nem határoz meg, akkor előfordulhat, hogy a szoftver telepítve lesz a számítógépekre, illetve azokra a felhasználókra, akik nem jogosultak a szoftver fogadására.

Ne futtasson üzemelő példányokat a terjesztési pontokról

Mindig úgy konfigurálja az üzemelő példányokat, hogy a terjesztési pontokról való futtatás helyett tartalmakat töltsenek le a terjesztési pontokról. Amikor úgy konfigurálja az üzemelő példányokat, hogy tartalmat töltsenek le egy terjesztési pontról, és helyileg fussanak, a Configuration Manager-ügyfél ellenőrzi a csomag kivonatát a tartalom letöltése után. Az ügyfél elveti a csomagot, ha a kivonat nem egyezik a szabályzat kivonatával.

Ha úgy konfigurálja az üzemelő példányt, hogy közvetlenül egy terjesztési pontról fusson, a Configuration Manager-ügyfél nem ellenőrzi a csomagkivonatot. Ez a viselkedés azt jelenti, hogy az Configuration Manager-ügyfél telepíthet olyan szoftvereket, amelyeket illetéktelenek módosítottak.

Ha az üzemelő példányokat közvetlenül a terjesztési pontokról kell futtatnia, használjon ntfs-alapú minimális engedélyeket a terjesztési pontokon lévő csomagokhoz. Az internetprotokoll-biztonság (IPsec) használatával is biztonságossá teheti a csatornát az ügyfél és a terjesztési pontok, valamint a terjesztési pontok és a helykiszolgáló között.

Ne engedje, hogy a felhasználók emelt szintű folyamatokat használjanak

Ha engedélyezi a Futtatás rendszergazdai jogosultságokkal vagy a Telepítés a rendszerhez beállítást, ne engedje, hogy a felhasználók használják ezeket az alkalmazásokat. Egy alkalmazás konfigurálásakor beállíthatja A program telepítésének megtekintésének és használatának engedélyezése a felhasználóknak beállítást. Ez a beállítás lehetővé teszi, hogy a felhasználók válaszoljanak a felhasználói felületen a szükséges kérésekre. Ha az alkalmazást úgy is konfigurálja, hogy futtassa rendszergazdai jogosultságokkal vagy a Telepítés a rendszerhez beállítást, a programot futtató számítógép támadója a felhasználói felület használatával eszkalálhatja a jogosultságokat az ügyfélszámítógépen.

Olyan programok használata, amelyek a Windows Installert használják a rendszergazdai hitelesítő adatokat igénylő szoftvertelepítések beállításához és felhasználónkénti emelt szintű jogosultságaihoz. A telepítőt olyan felhasználó környezetében kell futtatni, aki nem rendelkezik rendszergazdai hitelesítő adatokkal. A Windows Installer felhasználónkénti emelt szintű jogosultságai biztosítják a legbiztonságosabb módot az ilyen követelményeknek megfelelő alkalmazások üzembe helyezésére.

Megjegyzés:

Amikor a felhasználó elindítja az alkalmazástelepítési folyamatot a Szoftverközpontból, a Programtelepítés megtekintésének és kezelésének engedélyezése a felhasználóknak beállítás nem szabályozhatja az alkalmazástelepítő által létrehozott egyéb folyamatokkal való felhasználói interakciókat. Emiatt a viselkedés miatt még ha nem is választja ezt a lehetőséget, a felhasználó továbbra is használhat emelt szintű folyamatot. A probléma elkerülése érdekében ne helyezzen üzembe olyan alkalmazásokat, amelyek felhasználói interakciókkal más folyamatokat hoznak létre. Ha ilyen típusú alkalmazást kell telepítenie, telepítse Kötelezőként , és konfigurálja a felhasználói értesítési felületet Elrejtés a Szoftverközpontban és az összes értesítésre.

Annak korlátozása, hogy a felhasználók telepíthetnek-e szoftvereket interaktívan

Konfigurálja a Telepítési engedélyek ügyfélbeállítást a Számítógépügynök csoportban. Ez a beállítás korlátozza azokat a felhasználókat, akik szoftvereket telepíthetnek a Szoftverközpontban.

Hozzon létre például egy egyéni ügyfélbeállítást, amelynek Telepítési engedélyek beállítása Csak rendszergazdák. Alkalmazza ezt az ügyfélbeállítást egy kiszolgálógyűjteményre. Ez a konfiguráció megakadályozza, hogy rendszergazdai engedélyekkel nem rendelkező felhasználók szoftvereket telepítsenek ezekre a kiszolgálókra.

További információ: Tudnivalók az ügyfélbeállításokról.

Mobileszközök esetén csak aláírt alkalmazások telepítése

Csak akkor telepítsen mobileszköz-alkalmazásokat, ha a kódot a mobileszköz által megbízhatónak minősítő hitelesítésszolgáltató (CA) írta alá.

Például:

  • Egy szállítótól származó alkalmazás, amelyet egy nyilvános és globálisan megbízható tanúsítványszolgáltató írt alá.

  • Belső alkalmazás, amelyet a belső hitelesítésszolgáltatóval Configuration Manager-től függetlenül ír alá.

  • Belső alkalmazás, amelyet az Configuration Manager használatával ír alá az alkalmazástípus létrehozásakor és aláíró tanúsítvány használatakor.

A mobileszköz-alkalmazásaláíró tanúsítvány helyének védelme

Ha mobileszköz-alkalmazásokat ír alá az Configuration Manager Alkalmazás létrehozása varázslójának használatával, biztonságossá teheti az aláíró tanúsítványfájl helyét, és biztonságossá teheti a kommunikációs csatornát. A jogosultságok emelése és a közbeékelt támadások elleni védelem érdekében tárolja az aláíró tanúsítványfájlt egy biztonságos mappában.

Használja az IPsec protokollt a következő számítógépek között:

  • A Configuration Manager-konzolt futtató számítógép
  • A tanúsítvány-aláíró fájlt tároló számítógép
  • Az alkalmazás forrásfájljait tároló számítógép

Ehelyett írja alá az alkalmazást a Configuration Manager és az Alkalmazás létrehozása varázsló futtatása előtt.

Hozzáférés-vezérlés implementálása

A referenciaszámítógépek védelméhez implementáljon hozzáférés-vezérlést. Ha egy központi telepítési típusban konfigurálja az észlelési módszert egy referencia-számítógép tallózásával, győződjön meg arról, hogy a számítógép biztonsága nem sérült.

Rendszergazda felhasználók korlátozása és figyelése

Korlátozza és monitorozza azokat a rendszergazda felhasználókat, akiknek a következő alkalmazáskezelési szerepköralapú biztonsági szerepköröket adja meg:

  • Alkalmazásadminisztrátor
  • Alkalmazás szerzője
  • Alkalmazástelepítés-kezelő

Még ha szerepköralapú felügyeletet is konfigurál, előfordulhat, hogy az alkalmazásokat létrehozó és üzembe helyező rendszergazda felhasználók több engedéllyel rendelkeznek, mint amennyit észrevesz. Az alkalmazásokat létrehozó vagy módosító rendszergazda felhasználók például kiválaszthatják azokat a függő alkalmazásokat, amelyek nem tartoznak a biztonsági hatókörükbe.

App-V-alkalmazások konfigurálása azonos megbízhatósági szinttel rendelkező virtuális környezetekben

Ha Microsoft Application Virtualization (App-V) virtuális környezeteket konfigurál, válassza ki azokat az alkalmazásokat, amelyek a virtuális környezetben azonos megbízhatósági szinttel rendelkeznek. Mivel az App-V virtuális környezetben lévő alkalmazások megoszthatnak erőforrásokat, például a vágólapon, konfigurálja úgy a virtuális környezetet, hogy a kiválasztott alkalmazások megbízhatósági szintje azonos legyen.

További információ: App-V virtuális környezetek létrehozása.

Győződjön meg arról, hogy a macOS-alkalmazások megbízható forrásból származnak

Ha macOS-eszközökhöz telepít alkalmazásokat, győződjön meg arról, hogy a forrásfájlok megbízható forrásból származnak. A CMAppUtil eszköz nem ellenőrzi a forráscsomag aláírását. Győződjön meg arról, hogy a csomag megbízható forrásból származik. A CMAppUtil eszköz nem tudja észlelni, hogy a fájlokat illetéktelenek módosították-e.

A cmmac-fájl védelme macOS-alkalmazásokhoz

Ha macOS rendszerű számítógépekre telepít alkalmazásokat, gondoskodjon a fájl helyének védelméről .cmmac . A CMAppUtil eszköz létrehozza a fájlt, majd importálja a Configuration Manager. Ez a fájl nincs aláírva vagy érvényesítve.

Biztonságossá teheti a kommunikációs csatornát, amikor importálja ezt a fájlt a Configuration Manager. A fájl illetéktelen módosításának megakadályozása érdekében tárolja biztonságos mappában. Használja az IPsec protokollt a következő számítógépek között:

  • A Configuration Manager-konzolt futtató számítógép
  • A fájlt tároló .cmmac számítógép

HTTPS használata webalkalmazásokhoz

Ha webalkalmazás-telepítési típust konfigurál, https használatával biztonságossá teheti a kapcsolatot. Ha egy webalkalmazást HTTPS-hivatkozás helyett HTTP-hivatkozással helyez üzembe, az eszköz átirányítható egy rosszindulatú kiszolgálóra. Az eszköz és a kiszolgáló között átvitt adatok illetéktelenek lehetnek.

Biztonsági problémák

  • Az alacsony jogosultságú felhasználók módosíthatják azokat a fájlokat, amelyek a szoftvertelepítési előzményeket rögzítik az ügyfélszámítógépen.

    Mivel az alkalmazáselőzmények adatai nem védettek, a felhasználók módosíthatják azokat a fájlokat, amelyek jelzik, hogy telepítve van-e egy alkalmazás.

  • Az App-V csomagok nincsenek aláírva.

    A Configuration Manager app-V csomagjai nem támogatják az aláírást. A digitális aláírások ellenőrzik, hogy a tartalom megbízható forrásból származik-e, és nem módosult az átvitel során. Nincs megoldás erre a biztonsági problémára. Kövesse az ajánlott biztonsági eljárásokat a tartalom megbízható forrásból és biztonságos helyről történő letöltéséhez.

  • A közzétett App-V-alkalmazásokat a számítógép összes felhasználója telepítheti.

    Ha egy App-V alkalmazás közzé van téve egy számítógépen, az adott számítógépre bejelentkező összes felhasználó telepítheti az alkalmazást. A közzététel után nem korlátozhatja azokat a felhasználókat, akik telepíthetik az alkalmazást.

Adatvédelmi információk

Az alkalmazáskezeléssel bármilyen alkalmazást, programot vagy szkriptet futtathat a hierarchia bármely ügyfélén. Configuration Manager nincs szabályozva a futtatott alkalmazások, programok vagy szkriptek típusa, illetve az általuk továbbított információk típusa. Az alkalmazástelepítési folyamat során Configuration Manager továbbíthatnak az eszközt azonosító információkat, valamint az ügyfelek és a kiszolgálók közötti bejelentkezési fiókokat.

Configuration Manager fenntartja a szoftvertelepítési folyamat állapotinformációit. Hacsak az ügyfél nem HTTPS-kapcsolaton keresztül kommunikál, a szoftvertelepítés állapotinformációi nem lesznek titkosítva az átvitel során. Az állapotinformációkat a rendszer nem titkosított formában tárolja az adatbázisban.

Az Configuration Manager alkalmazás telepítésének távoli, interaktív vagy csendes telepítésére az adott szoftver szoftverlicenc-szerződése vonatkozhat. Ez a használat eltér a Configuration Manager szoftverlicenc-feltételeitől. Mielőtt szoftvereket telepít a Configuration Manager használatával, mindig tekintse át és fogadja el a szoftverlicencelési feltételeket.

Configuration Manager diagnosztikai és használati adatokat gyűjt az alkalmazásokról, amelyeket a Microsoft a jövőbeli kiadások javítására használ. További információ: Diagnosztikai és használati adatok.

Az alkalmazás üzembe helyezése alapértelmezés szerint nem történik meg, és több konfigurációs lépést igényel.

A következő funkciók segítik a hatékony szoftvertelepítést:

  • A felhasználó-eszköz affinitás a felhasználót eszközökhöz rendeli. A Configuration Manager rendszergazdája szoftvereket telepít egy felhasználónak. Az ügyfél automatikusan telepíti a szoftvert egy vagy több számítógépre, amelyet a felhasználó leggyakrabban használ.

  • A Configuration Manager-ügyfél telepítésekor a szoftverközpont automatikusan települ az eszközön. A felhasználók módosíthatják a beállításokat, szoftvereket kereshetnek, és szoftvereket telepíthetnek a Szoftverközpontból.

A felhasználó-eszköz kapcsolat adatvédelmi információi

  • Configuration Manager adatokat továbbíthat az ügyfelek és a felügyeleti pont helyrendszere között. Az információk azonosíthatják a számítógépet, a bejelentkezési fiókot és a bejelentkezési fiókok összesített használatát.

  • Ha nem konfigurálja úgy a felügyeleti pontot, hogy HTTPS-kommunikációt igényeljen, az ügyfél és a kiszolgáló között továbbított információk nem lesznek titkosítva.

  • A számítógép és a bejelentkezési fiók használati adatai a felhasználó eszközre való leképezésére szolgálnak. Configuration Manager tárolja ezeket az információkat az ügyfélszámítógépeken, elküldi azokat a felügyeleti pontoknak, majd a helyadatbázisban tárolja. Alapértelmezés szerint a webhely 90 nap elteltével törli a régi adatokat az adatbázisból. A törlési viselkedés az Elavult felhasználó-eszköz kapcsolati adatok törlése helykarbantartási feladat beállításával konfigurálható.

  • Configuration Manager fenntartja a felhasználói eszköz kapcsolatára vonatkozó állapotinformációkat. Hacsak nem konfigurálja az ügyfeleket arra, hogy HTTPS használatával kommunikáljanak a felügyeleti pontokkal, nem titkosítják az állapotinformációkat az átvitel során. A webhely nem tárolja az állapotadatokat titkosított formában az adatbázisban.

  • A felhasználó- és eszközaffinitás létrehozásához használt számítógép- és bejelentkezési használati adatok mindig engedélyezve lesznek. A felhasználók és a rendszergazda felhasználók megadhatjak a felhasználó-eszköz kapcsolatára vonatkozó információkat.

A Szoftverközpont adatvédelmi információi

  • A Szoftverközpont lehetővé teszi, hogy a Configuration Manager rendszergazda bármilyen alkalmazást, programot vagy szkriptet közzétegyen a felhasználók számára. Configuration Manager nem szabályozhatja a Szoftverközpontban közzétett programok vagy szkriptek típusát, illetve az általuk továbbított információk típusát.

  • Configuration Manager adatokat továbbíthat az ügyfelek és a felügyeleti pont között. Az adatok azonosíthatják a számítógépet és a bejelentkezési fiókokat. Ha nem konfigurálja úgy a felügyeleti pontot, hogy az ügyfelek HTTPS-kapcsolattal csatlakozzanak, az ügyfél és a kiszolgálók között továbbított információk nem lesznek titkosítva.

  • Az alkalmazás-jóváhagyási kérelem adatait a rendszer a Configuration Manager adatbázisban tárolja. A visszavont vagy elutasított kérelmek esetében a vonatkozó korábbi kérelmek alapértelmezés szerint 30 nap elteltével törlődnek. Ezt a törlési viselkedést az Elavult alkalmazáskérési adatok törlése helykarbantartási feladattal konfigurálhatja. A webhely soha nem törli a jóváhagyott és függő állapotú alkalmazás-jóváhagyási kérelmeket.

  • Amikor telepíti a Configuration Manager-ügyfelet egy eszközre, az automatikusan telepíti a Szoftverközpontot.