Segurança e privacidade para gerenciamento de aplicativos no Configuration Manager

  • Artigo

Aplica-se a: Gerenciador de Configurações (branch atual)

Diretrizes de segurança

Especificar centralmente a afinidade do dispositivo de usuário

Especifique manualmente a afinidade do dispositivo de usuário em vez de permitir que os usuários identifiquem seu dispositivo principal. Não habilite a configuração baseada em uso.

Não considere que as informações coletadas dos usuários ou do dispositivo sejam autoritativas. Se você implantar o software usando a afinidade do dispositivo de usuário que um administrador confiável não especifica, o software poderá ser instalado em computadores e em usuários que não estão autorizados a receber esse software.

Não execute implantações de pontos de distribuição

Sempre configure implantações para baixar conteúdo de pontos de distribuição em vez de executar de pontos de distribuição. Quando você configura implantações para baixar conteúdo de um ponto de distribuição e executar localmente, o cliente Configuration Manager verifica o hash do pacote após baixar o conteúdo. O cliente descarta o pacote se o hash não corresponder ao hash na política.

Se você configurar a implantação a ser executada diretamente de um ponto de distribuição, o Configuration Manager cliente não verificará o hash do pacote. Esse comportamento significa que o Configuration Manager cliente pode instalar um software que foi adulterado.

Se você precisar executar implantações diretamente dos pontos de distribuição, use permissões mínimas do NTFS nos pacotes nos pontos de distribuição. Use também a segurança do protocolo da Internet (IPsec) para proteger o canal entre o cliente e os pontos de distribuição e entre os pontos de distribuição e o servidor do site.

Não permitir que os usuários interajam com processos elevados

Se você habilitar as opções para Executar com direitos administrativos ou Instalar para o sistema, não permita que os usuários interajam com esses aplicativos. Ao configurar um aplicativo, você pode definir a opção para Permitir que os usuários exibam e interajam com a instalação do programa. Essa configuração permite que os usuários respondam a quaisquer prompts necessários na interface do usuário. Se você também configurar o aplicativo para Executar com direitos administrativos ou Instalar para o sistema, um invasor no computador que executa o programa poderá usar a interface do usuário para escalar privilégios no computador cliente.

Use programas que usam o Windows Installer para instalação e privilégios elevados por usuário para implantações de software que exigem credenciais administrativas. A instalação deve ser executada no contexto de um usuário que não tem credenciais administrativas. Os privilégios elevados do Instalador do Windows por usuário fornecem a maneira mais segura de implantar aplicativos com esse requisito.

Observação

Quando o usuário inicia o processo de instalação do aplicativo do Centro de Software, a opção para permitir que os usuários exibam e interajam com a instalação do programa não pode controlar as interações do usuário com outros processos criados pelo instalador do aplicativo. Devido a esse comportamento, mesmo que você não selecione essa opção, o usuário ainda poderá interagir com um processo elevado. Para evitar esse problema, não implante aplicativos que criem outros processos com interações do usuário. Se você precisar instalar esse tipo de aplicativo, implante-o como Obrigatório e configure a experiência de notificação do usuário para Ocultar no Centro de Software e todas as notificações.

Restringir se os usuários podem instalar o software interativamente

Configure a configuração do cliente Instalar permissões no grupo Agente de Computador . Essa configuração restringe os tipos de usuários que podem instalar software no Centro de Software.

Por exemplo, crie uma configuração de cliente personalizada com permissões de instalação definidascomo Somente administradores. Aplique essa configuração de cliente a uma coleção de servidores. Essa configuração impede que usuários sem permissões administrativas instalem software nesses servidores.

Para obter mais informações, consulte Sobre as configurações do cliente.

Para dispositivos móveis, implante apenas aplicativos assinados

Implante aplicativos de dispositivo móvel somente se eles forem assinados por código por uma autoridade de certificação (AC) em que o dispositivo móvel confia.

Por exemplo:

  • Um aplicativo de um fornecedor, que é assinado por um provedor de certificados público e globalmente confiável.

  • Um aplicativo interno que você assina independente de Configuration Manager usando sua AC interna.

  • Um aplicativo interno que você assina usando Configuration Manager ao criar o tipo de aplicativo e usar um certificado de assinatura.

Proteger o local do certificado de assinatura do aplicativo de dispositivo móvel

Se você assinar aplicativos de dispositivo móvel usando o Assistente de Criar Aplicativo no Configuration Manager, proteja o local do arquivo de certificado de assinatura e proteja o canal de comunicação. Para ajudar a proteger contra a elevação de privilégios e ataques de homem no meio, armazene o arquivo de certificado de assinatura em uma pasta protegida.

Use iPsec entre os seguintes computadores:

  • O computador que executa o console Configuration Manager
  • O computador que armazena o arquivo de assinatura de certificado
  • O computador que armazena os arquivos de origem do aplicativo

Em vez disso, assine o aplicativo independente de Configuration Manager e antes de executar o Assistente de Criar Aplicativo.

Implementar controles de acesso

Para proteger computadores de referência, implemente controles de acesso. Ao configurar o método de detecção em um tipo de implantação navegando até um computador de referência, verifique se o computador não está comprometido.

Restringir e monitorar usuários administrativos

Restrinja e monitore os usuários administrativos que você concede às seguintes funções de segurança baseadas em função de gerenciamento de aplicativos:

  • Administrador de Aplicativos
  • Autor do Aplicativo
  • Gerenciador de Implantação de Aplicativos

Mesmo quando você configura a administração baseada em função, os usuários administrativos que criam e implantam aplicativos podem ter mais permissões do que você imagina. Por exemplo, usuários administrativos que criam ou alteram um aplicativo podem selecionar aplicativos dependentes que não estão em seu escopo de segurança.

Configurar aplicativos App-V em ambientes virtuais com o mesmo nível de confiança

Ao configurar Microsoft ambientes virtuais de Virtualização de Aplicativo (App-V), selecione aplicativos com o mesmo nível de confiança no ambiente virtual. Como os aplicativos em um ambiente virtual do App-V podem compartilhar recursos, como a área de transferência, configure o ambiente virtual para que os aplicativos selecionados tenham o mesmo nível de confiança.

Para obter mais informações, consulte Criar ambientes virtuais do App-V.

Verifique se os aplicativos macOS são de uma fonte confiável

Se você implantar aplicativos para dispositivos macOS, verifique se os arquivos de origem são de uma fonte confiável. A ferramenta CMAppUtil não valida a assinatura do pacote de origem. Verifique se o pacote vem de uma fonte em que você confia. A ferramenta CMAppUtil não pode detectar se os arquivos foram adulterados.

Proteger o arquivo cmmac para aplicativos macOS

Se você implantar aplicativos para computadores macOS, proteja o local do .cmmac arquivo. A ferramenta CMAppUtil gera esse arquivo e, em seguida, você o importa para Configuration Manager. Este arquivo não está assinado nem validado.

Proteja o canal de comunicação ao importar esse arquivo para Configuration Manager. Para ajudar a evitar a adulteração desse arquivo, armazene-o em uma pasta protegida. Use iPsec entre os seguintes computadores:

  • O computador que executa o console Configuration Manager
  • O computador que armazena o .cmmac arquivo

Usar HTTPS para aplicativos Web

Se você configurar um tipo de implantação de aplicativo Web, use HTTPS para proteger a conexão. Se você implantar um aplicativo Web usando um link HTTP em vez de um link HTTPS, o dispositivo poderá ser redirecionado para um servidor desonesto. Os dados transferidos entre o dispositivo e o servidor podem ser adulterados.

Problemas de segurança

  • Usuários com baixos direitos podem alterar arquivos que registram o histórico de implantação de software no computador cliente.

    Como as informações de histórico do aplicativo não estão protegidas, um usuário pode alterar arquivos que relatam se um aplicativo está instalado.

  • Os pacotes app-V não estão assinados.

    Pacotes app-V em Configuration Manager não dão suporte à assinatura. As assinaturas digitais verificam se o conteúdo é de uma fonte confiável e não foi alterado em trânsito. Não há atenuação para esse problema de segurança. Siga as melhores práticas de segurança para baixar o conteúdo de uma origem confiável e de um local seguro.

  • Os aplicativos do App-V publicados podem ser instalados por todos os usuários no computador.

    Quando um aplicativo App-V é publicado em um computador, todos os usuários que entrarem nesse computador podem instalar o aplicativo. Você não pode restringir os usuários que podem instalar o aplicativo após a publicação.

Informações de privacidade

O gerenciamento de aplicativos permite executar qualquer aplicativo, programa ou script em qualquer cliente na hierarquia. Configuration Manager não tem controle sobre os tipos de aplicativos, programas ou scripts executados ou o tipo de informação que eles transmitem. Durante o processo de implantação do aplicativo, Configuration Manager pode transmitir informações que identificam o dispositivo e contas de entrada entre clientes e servidores.

Configuration Manager mantém informações de status sobre o processo de implantação de software. A menos que o cliente se comunique usando HTTPS, as informações de status de implantação de software não são criptografadas durante a transmissão. As informações de status não são armazenadas no formulário criptografado no banco de dados.

O uso de Configuration Manager instalação do aplicativo para instalar software remota, interativa ou silenciosamente nos clientes pode estar sujeito a termos de licença de software para esse software. Esse uso é separado dos Termos de Licença de Software para Configuration Manager. Sempre examine e concorde com os Termos de Licenciamento de Software antes de implantar o software usando Configuration Manager.

Configuration Manager coleta dados de diagnóstico e uso sobre aplicativos, que são usados por Microsoft para melhorar versões futuras. Para obter mais informações, consulte Diagnóstico e dados de uso.

A implantação do aplicativo não acontece por padrão e requer várias etapas de configuração.

Os seguintes recursos ajudam a implantação eficiente de software:

  • A afinidade do dispositivo de usuário mapeia um usuário para dispositivos. Um administrador Configuration Manager implanta software em um usuário. O cliente instala automaticamente o software em um ou mais computadores que o usuário usa com mais frequência.

  • O Centro de Software é instalado automaticamente em um dispositivo quando você instala o Configuration Manager cliente. Os usuários alteram configurações, navegam por software e instalam software no Centro de Software.

Informações de privacidade de afinidade do dispositivo de usuário

  • Configuration Manager pode transmitir informações entre clientes e sistemas de site de ponto de gerenciamento. As informações podem identificar o computador, a conta de entrada e o uso resumido para contas de entrada.

  • A menos que você configure o ponto de gerenciamento para exigir comunicação HTTPS, as informações transmitidas entre o cliente e o servidor não são criptografadas.

  • As informações de uso da conta de entrada e computador são usadas para mapear um usuário para um dispositivo. Configuration Manager armazena essas informações em computadores cliente, envia-as para pontos de gerenciamento e armazena-as no banco de dados do site. Por padrão, o site exclui informações antigas do banco de dados após 90 dias. O comportamento de exclusão é configurável definindo a tarefa de manutenção do site Delete Aged User Device Affinity Data .

  • Configuration Manager mantém informações de status sobre a afinidade do dispositivo de usuário. A menos que você configure clientes para se comunicar com pontos de gerenciamento usando HTTPS, eles não criptografam informações de status durante a transmissão. O site não armazena informações de status no formulário criptografado no banco de dados.

  • As informações de uso de computador e de entrada usadas para estabelecer afinidade entre usuário e dispositivo estão sempre habilitadas. Usuários e usuários administrativos podem fornecer informações de afinidade de dispositivo do usuário.

Informações de privacidade do Centro de Software

  • O Centro de Software permite que o administrador Configuration Manager publique qualquer aplicativo, programa ou script para os usuários executarem. Configuration Manager não tem controle sobre os tipos de programas ou scripts publicados no Centro de Software ou o tipo de informação que eles transmitem.

  • Configuration Manager pode transmitir informações entre clientes e o ponto de gerenciamento. As informações podem identificar o computador e as contas de entrada. A menos que você configure o ponto de gerenciamento para exigir que os clientes se conectem usando HTTPS, as informações transmitidas entre o cliente e os servidores não são criptografadas.

  • As informações sobre a solicitação de aprovação do aplicativo são armazenadas no banco de dados Configuration Manager. Para solicitações canceladas ou negadas, as entradas de histórico de solicitações correspondentes são excluídas após 30 dias por padrão. Você pode configurar esse comportamento de exclusão com a tarefa excluir dados de solicitação de aplicativo antigo da tarefa de manutenção do site. O site nunca exclui solicitações de aprovação de aplicativo que estão em estados aprovados e pendentes.

  • Quando você instala o Configuration Manager cliente em um dispositivo, ele instala automaticamente o Centro de Software.