Configuration Manager'de uygulama yönetimi için güvenlik ve gizlilik
Uygulama hedefi: Configuration Manager (güncel dalı)
Güvenlik kılavuzu
Kullanıcı cihaz benzitesini merkezi olarak belirtin
Kullanıcıların birincil cihazlarını tanımlamasına izin vermek yerine kullanıcı cihaz benzini el ile belirtin. Kullanım tabanlı yapılandırmayı etkinleştirmeyin.
Kullanıcılardan veya cihazdan toplanan bilgilerin yetkili olduğunu dikkate almayın. Yazılımı, güvenilir bir yöneticinin belirtmediği kullanıcı cihaz benzimi kullanarak dağıtırsanız, yazılım bilgisayarlara ve bu yazılımı alma yetkisi olmayan kullanıcılara yüklenmiş olabilir.
Dağıtım noktalarından dağıtım çalıştırma
Dağıtımları her zaman dağıtım noktalarından çalıştırmak yerine dağıtım noktalarından içerik indirecek şekilde yapılandırın. Dağıtımları bir dağıtım noktasından içerik indirecek ve yerel olarak çalışacak şekilde yapılandırdığınızda, Configuration Manager istemcisi içeriği indirdikten sonra paket karması doğrular. karma ilkedeki karmayla eşleşmiyorsa istemci paketi atar.
Dağıtımı doğrudan bir dağıtım noktasından çalışacak şekilde yapılandırıyorsanız, Configuration Manager istemcisi paket karması doğrulamaz. Bu davranış, Configuration Manager istemcisinin üzerinde oynanmış yazılımları yükleyebileceği anlamına gelir.
Dağıtımları doğrudan dağıtım noktalarından çalıştırmanız gerekiyorsa, dağıtım noktalarındaki paketlerde NTFS en az izinleri kullanın. Ayrıca, istemci ile dağıtım noktaları arasındaki ve dağıtım noktaları ile site sunucusu arasındaki kanalın güvenliğini sağlamak için İnternet protokolü güvenliğini (IPsec) kullanın.
Kullanıcıların yükseltilmiş işlemlerle etkileşim kurmasına izin verme
Yönetim haklarıyla çalıştır veya Sistem için yükle seçeneklerini etkinleştirirseniz, kullanıcıların bu uygulamalarla etkileşim kurmasına izin vermeyin. Bir uygulamayı yapılandırırken, Kullanıcıların program yüklemesini görüntülemesine ve bu yüklemeyle etkileşim kurmasına izin ver seçeneğini ayarlayabilirsiniz. Bu ayar, kullanıcıların kullanıcı arabirimindeki tüm gerekli istemlere yanıt vermelerini sağlar. Uygulamayı yönetim haklarıyla çalıştır veya Sistem için yükle olarak da yapılandırıyorsanız, programı çalıştıran bilgisayardaki bir saldırgan, istemci bilgisayarda ayrıcalıkları yükseltme amacıyla kullanıcı arabirimini kullanabilir.
Kurulum için Windows Installer'ı ve yönetici kimlik bilgileri gerektiren yazılım dağıtımları için kullanıcı başına yükseltilmiş ayrıcalıkları kullanan programları kullanın. Kurulum, yönetici kimlik bilgileri olmayan bir kullanıcı bağlamında çalıştırılmalıdır. Kullanıcı başına Windows Installer yükseltilmiş ayrıcalıkları, bu gereksinime sahip uygulamaları dağıtmak için en güvenli yolu sağlar.
Not
Kullanıcı Yazılım Merkezi'nden uygulama yükleme işlemini başlattığında, Kullanıcıların program yüklemesini görüntülemesine ve bunlarla etkileşim kurmasına izin ver seçeneği, kullanıcı etkileşimlerini uygulama yükleyicisi tarafından oluşturulan diğer işlemlerle denetleyemez. Bu davranış nedeniyle, bu seçeneği belirtmeseniz bile, kullanıcı yükseltilmiş bir işlemle etkileşimde bulunabilir. Bu sorundan kaçınmak için, kullanıcı etkileşimleriyle başka işlemler oluşturan uygulamaları dağıtmayın. Bu tür bir uygulamayı yüklemeniz gerekiyorsa, gerekli olarak dağıtın ve kullanıcı bildirim deneyimini Yazılım Merkezi'nde gizle ve tüm bildirimler olarak yapılandırın.
Kullanıcıların etkileşimli olarak yazılım yükleyip yükleyemeyeceğini kısıtlama
Bilgisayar Aracısı grubunda İzinleri yükle istemci ayarını yapılandırın. Bu ayar, Yazılım Merkezi'ne yazılım yükleyebilen kullanıcı türlerini kısıtlar.
Örneğin, Yükleme izinleriYalnızca yöneticiler olarak ayarlanmış özel bir istemci ayarı oluşturun. Bu istemci ayarını bir sunucu koleksiyonuna uygulayın. Bu yapılandırma, yönetici izinleri olmayan kullanıcıların bu sunuculara yazılım yüklemesini engeller.
Daha fazla bilgi için bkz. İstemci ayarları hakkında.
Mobil cihazlar için yalnızca imzalı uygulamaları dağıtın
Mobil cihaz uygulamalarını yalnızca mobil cihazın güvendiği bir sertifika yetkilisi (CA) tarafından kodla imzalandıklarında dağıtın.
Örneğin:
Genel ve genel olarak güvenilen bir sertifika sağlayıcısı tarafından imzalanan bir satıcının uygulaması.
İç CA'nızı kullanarak Configuration Manager bağımsız olarak imzaladığınız bir iç uygulama.
Uygulama türünü oluştururken ve imzalama sertifikası kullanırken Configuration Manager kullanarak imzaladığınız bir iç uygulama.
Mobil cihaz uygulaması imzalama sertifikasının konumunun güvenliğini sağlama
Configuration Manager'de Uygulama Oluşturma Sihirbazı'nı kullanarak mobil cihaz uygulamalarını imzalarsanız, imzalama sertifikası dosyasının konumunun güvenliğini sağlayın ve iletişim kanalının güvenliğini sağlayın. Ayrıcalıkların yükseltilmesine ve ortadaki adam saldırılarına karşı korunmaya yardımcı olmak için, imzalama sertifikası dosyasını güvenli bir klasörde depolayın.
Aşağıdaki bilgisayarlar arasında IPsec kullanın:
- Configuration Manager konsolunu çalıştıran bilgisayar
- Sertifika imzalama dosyasını depolayan bilgisayar
- Uygulama kaynak dosyalarını depolayan bilgisayar
Bunun yerine, uygulamayı Configuration Manager'lerden bağımsız olarak ve Uygulama Oluşturma Sihirbazı'nı çalıştırmadan önce imzalayın.
Erişim denetimleri uygulama
Başvuru bilgisayarlarını korumak için erişim denetimleri uygulayın. Bir başvuru bilgisayarına göz atarak bir dağıtım türündeki algılama yöntemini yapılandırdığınızda, bilgisayarın güvenliğinin ihlal edildiğinden emin olun.
Yönetici kullanıcıları kısıtlama ve izleme
Aşağıdaki uygulama yönetimi rol tabanlı güvenlik rollerini sağladığınız yönetici kullanıcıları kısıtlayın ve izleyin:
- Uygulama Yöneticisi
- Uygulama Yazarı
- Uygulama Dağıtım Yöneticisi
Rol tabanlı yönetimi yapılandırdığınızda bile, uygulama oluşturan ve dağıtan yönetici kullanıcılar fark ettiğinizden daha fazla izne sahip olabilir. Örneğin, bir uygulama oluşturan veya değiştiren yönetici kullanıcılar, güvenlik kapsamında olmayan bağımlı uygulamaları seçebilir.
Aynı güven düzeyine sahip sanal ortamlarda App-V uygulamalarını yapılandırma
Microsoft Uygulama Sanallaştırma (App-V) sanal ortamlarını yapılandırırken, sanal ortamda aynı güven düzeyine sahip uygulamaları seçin. App-V sanal ortamındaki uygulamalar pano gibi kaynakları paylaşabildiğinden, seçilen uygulamaların aynı güven düzeyine sahip olması için sanal ortamı yapılandırın.
Daha fazla bilgi için bkz. App-V sanal ortamları oluşturma.
macOS uygulamalarının güvenilir bir kaynaktan olduğundan emin olun
macOS cihazları için uygulama dağıtırsanız, kaynak dosyaların güvenilir bir kaynaktan olduğundan emin olun. CMAppUtil aracı kaynak paketin imzasını doğrulamaz. Paketin güvendiğiniz bir kaynaktan geldiğinden emin olun. CMAppUtil aracı, dosyaların üzerinde oynanıp oynanmadığını algılayamaz.
macOS uygulamaları için cmmac dosyasının güvenliğini sağlama
macOS bilgisayarlar için uygulama dağıtırsanız dosyanın konumunun .cmmac güvenliğini sağlayın. CMAppUtil aracı bu dosyayı oluşturur ve ardından Configuration Manager içeri aktarırsınız. Bu dosya imzalanmamış veya doğrulanmamış.
Bu dosyayı Configuration Manager'a aktarırken iletişim kanalının güvenliğini sağlayın. Bu dosyayla oynanmasını önlemeye yardımcı olmak için dosyayı güvenli bir klasörde depolayın. Aşağıdaki bilgisayarlar arasında IPsec kullanın:
- Configuration Manager konsolunu çalıştıran bilgisayar
- Dosyayı depolayan
.cmmacbilgisayar
Web uygulamaları için HTTPS kullanma
Web uygulaması dağıtım türünü yapılandırdıysanız, bağlantının güvenliğini sağlamak için HTTPS kullanın. Bir web uygulamasını HTTPS bağlantısı yerine HTTP bağlantısı kullanarak dağıtırsanız, cihaz sahte bir sunucuya yönlendirilebilir. Cihaz ve sunucu arasında aktarılan veriler üzerinde oynanabilir.
Güvenlik sorunları
Düşük haklara sahip kullanıcılar, istemci bilgisayara yazılım dağıtım geçmişini kaydeden dosyaları değiştirebilir.
Uygulama geçmişi bilgileri korunmadığından, kullanıcı bir uygulamanın yüklü olup olmadığını bildiren dosyaları değiştirebilir.
App-V paketleri imzalı değil.
Configuration Manager'daki App-V paketleri imzalamayı desteklemez. Dijital imzalar, içeriğin güvenilir bir kaynaktan olduğunu ve aktarım sırasında değiştirilmediğini doğrular. Bu güvenlik sorunu için bir azaltma yoktur. İçeriği güvenilir bir kaynaktan ve güvenli bir konumdan indirmek için en iyi güvenlik uygulamasını izleyin.
Yayımlanan App-V uygulamaları bilgisayardaki tüm kullanıcılar tarafından yüklenebilir.
Bir App-V uygulaması bir bilgisayarda yayımlandığında, o bilgisayarda oturum açan tüm kullanıcılar uygulamayı yükleyebilir. Uygulamayı yayımladıktan sonra yükleyebilen kullanıcıları kısıtlayamazsınız.
Gizlilik bilgileri
Uygulama yönetimi, hiyerarşideki herhangi bir istemcide herhangi bir uygulamayı, programı veya betiği çalıştırmanıza olanak tanır. Configuration Manager çalıştırdığınız uygulama, program veya betik türleri veya ilettikleri bilgi türleri üzerinde hiçbir denetime sahip değildir. Uygulama dağıtım işlemi sırasında Configuration Manager, istemciler ve sunucular arasında cihazı ve oturum açma hesaplarını tanımlayan bilgileri iletebilir.
Configuration Manager, yazılım dağıtım işlemiyle ilgili durum bilgilerini korur. İstemci HTTPS kullanarak iletişim kurmadığı sürece, yazılım dağıtım durumu bilgileri iletim sırasında şifrelenmez. Durum bilgileri veritabanında şifrelenmiş biçimde depolanmaz.
İstemcilere uzaktan, etkileşimli olarak veya sessizce yazılım yüklemek için Configuration Manager uygulama yüklemesinin kullanılması, söz konusu yazılımın yazılım lisans koşullarına tabi olabilir. Bu kullanım, Configuration Manager için Yazılım Lisans Koşulları'ndan ayrıdır. Configuration Manager kullanarak yazılım dağıtmadan önce yazılım Lisanslama Koşulları'nı her zaman gözden geçirin ve kabul edin.
Configuration Manager, Microsoft tarafından gelecekteki sürümleri geliştirmek için kullanılan uygulamalarla ilgili tanılama ve kullanım verilerini toplar. Daha fazla bilgi için bkz. Tanılama ve kullanım verileri.
Uygulama dağıtımı varsayılan olarak gerçekleşmez ve birkaç yapılandırma adımı gerektirir.
Aşağıdaki özellikler verimli yazılım dağıtımına yardımcı olur:
Kullanıcı cihaz benzitesi , bir kullanıcıyı cihazlara eşler. Configuration Manager yöneticisi kullanıcıya yazılım dağıtır. İstemci, yazılımı kullanıcının en sık kullandığı bir veya daha fazla bilgisayara otomatik olarak yükler.
Yazılım Merkezi, Configuration Manager istemcisini yüklediğinizde cihaza otomatik olarak yüklenir. Kullanıcılar ayarları değiştirir, yazılıma göz atar ve Yazılım Merkezi'nden yazılım yükler.
Kullanıcı cihaz benzitesi gizlilik bilgileri
Configuration Manager, istemciler ve yönetim noktası site sistemleri arasında bilgi aktarabilir. Bilgiler bilgisayarı, oturum açma hesabını ve oturum açma hesapları için özetlenmiş kullanımı tanımlayabilir.
Yönetim noktasını HTTPS iletişimi gerektirecek şekilde yapılandırmadığınız sürece, istemci ve sunucu arasında iletilen bilgiler şifrelenmez.
Bir kullanıcıyı bir cihaza eşlemek için bilgisayar ve oturum açma hesabı kullanım bilgileri kullanılır. Configuration Manager bu bilgileri istemci bilgisayarlarda depolar, yönetim noktalarına gönderir ve ardından site veritabanında depolar. Varsayılan olarak, site eski bilgileri 90 gün sonra veritabanından siler. Silme davranışı, Eski Kullanıcı Cihazı Benzşimi Verilerini Sil site bakım görevi ayarlanarak yapılandırılabilir.
Configuration Manager, kullanıcı cihaz benzitesi hakkındaki durum bilgilerini korur. İstemcileri HTTPS kullanarak yönetim noktalarıyla iletişim kuracak şekilde yapılandırmadığınız sürece, iletim sırasında durum bilgilerini şifrelemez. Site, durum bilgilerini veritabanında şifrelenmiş biçimde depolamaz.
Kullanıcı ve cihaz benzimi oluşturmak için kullanılan bilgisayar ve oturum açma kullanım bilgileri her zaman etkindir. Kullanıcılar ve yönetici kullanıcılar, kullanıcı cihaz benzinim bilgilerini sağlayabilir.
Yazılım Merkezi gizlilik bilgileri
Yazılım Merkezi, Configuration Manager yöneticisinin kullanıcıların çalıştırabilecekleri herhangi bir uygulamayı, programı veya betiği yayımlamasına olanak tanır. Configuration Manager, Yazılım Merkezi'nde yayımlanan program veya betik türleri veya ilettikleri bilgi türleri üzerinde denetime sahip değildir.
Configuration Manager, istemciler ile yönetim noktası arasında bilgi aktarabilir. Bilgiler bilgisayar ve oturum açma hesaplarını tanımlayabilir. Yönetim noktasını istemcilerin HTTPS kullanarak bağlanmasını gerektirecek şekilde yapılandırmadığınız sürece, istemci ile sunucular arasında iletilen bilgiler şifrelenmez.
Uygulama onay isteği hakkındaki bilgiler Configuration Manager veritabanında depolanır. İptal edilen veya reddedilen istekler için, karşılık gelen istek geçmişi girişleri varsayılan olarak 30 gün sonra silinir. Bu silme davranışını Eski Uygulama İsteği Verilerini Sil site bakım göreviyle yapılandırabilirsiniz. Site, onaylanan ve bekleyen durumlardaki uygulama onay isteklerini hiçbir zaman silmez.
Configuration Manager istemcisini bir cihaza yüklediğinizde, yazılım merkezi otomatik olarak yüklenir.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin