Seguridad y privacidad para la administración de aplicaciones en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Guía de seguridad
Especificar de forma centralizada la afinidad de dispositivo de usuario
Especifique manualmente la afinidad de dispositivo de usuario en lugar de permitir que los usuarios identifiquen su dispositivo principal. No habilite la configuración basada en el uso.
No considere que la información recopilada de los usuarios o del dispositivo sea autoritativa. Si implementa software mediante la afinidad de dispositivo de usuario que un administrador de confianza no especifica, es posible que el software se instale en equipos y en usuarios que no estén autorizados para recibir ese software.
No ejecutar implementaciones desde puntos de distribución
Configure siempre las implementaciones para descargar contenido de puntos de distribución en lugar de ejecutarse desde puntos de distribución. Al configurar las implementaciones para descargar contenido de un punto de distribución y ejecutarse localmente, el cliente de Configuration Manager comprueba el hash del paquete después de descargar el contenido. El cliente descarta el paquete si el hash no coincide con el hash de la directiva.
Si configura la implementación para que se ejecute directamente desde un punto de distribución, el cliente Configuration Manager no comprueba el hash del paquete. Este comportamiento significa que el cliente de Configuration Manager puede instalar software que se ha alterado.
Si debe ejecutar implementaciones directamente desde puntos de distribución, use los permisos mínimos ntfs en los paquetes de los puntos de distribución. Use también la seguridad del protocolo de Internet (IPsec) para proteger el canal entre el cliente y los puntos de distribución, y entre los puntos de distribución y el servidor de sitio.
No permitir que los usuarios interactúen con procesos con privilegios elevados
Si habilita las opciones para Ejecutar con derechos administrativos o Instalar para el sistema, no permita que los usuarios interactúen con esas aplicaciones. Al configurar una aplicación, puede establecer la opción permitir que los usuarios vean e interactúen con la instalación del programa. Esta configuración permite a los usuarios responder a los mensajes necesarios en la interfaz de usuario. Si también configura la aplicación para Ejecutar con derechos administrativos o Instalar para el sistema, un atacante en el equipo que ejecuta el programa podría usar la interfaz de usuario para escalar los privilegios en el equipo cliente.
Use programas que usen Windows Installer para la instalación y privilegios elevados por usuario para implementaciones de software que requieran credenciales administrativas. El programa de instalación debe ejecutarse en el contexto de un usuario que no tenga credenciales administrativas. Los privilegios elevados de Windows Installer por usuario proporcionan la manera más segura de implementar aplicaciones que tienen este requisito.
Nota:
Cuando el usuario inicia el proceso de instalación de la aplicación desde el Centro de software, la opción permitir a los usuarios ver e interactuar con la instalación del programa no puede controlar las interacciones del usuario con ningún otro proceso creado por el instalador de la aplicación. Debido a este comportamiento, incluso si no selecciona esta opción, es posible que el usuario pueda interactuar con un proceso con privilegios elevados. Para evitar este problema, no implemente aplicaciones que creen otros procesos con interacciones del usuario. Si tiene que instalar este tipo de aplicación, impleméntela como Requerida y configure la experiencia de notificación de usuario en Ocultar en el Centro de software y todas las notificaciones.
Restringir si los usuarios pueden instalar software de forma interactiva
Configure la opción Instalar el cliente de permisos en el grupo Agente de equipo . Esta configuración restringe los tipos de usuarios que pueden instalar software en el Centro de software.
Por ejemplo, cree una configuración de cliente personalizada con permisos de instalación establecidos en Solo administradores. Aplique esta configuración de cliente a una colección de servidores. Esta configuración impide que los usuarios sin permisos administrativos instalen software en esos servidores.
Para obtener más información, consulte Acerca de la configuración de cliente.
Para dispositivos móviles, solo implemente aplicaciones firmadas
Implemente aplicaciones de dispositivos móviles solo si están firmadas por código por una entidad de certificación (CA) en la que confía el dispositivo móvil.
Por ejemplo:
Una aplicación de un proveedor, que está firmada por un proveedor de certificados público y de confianza global.
Una aplicación interna que se firma independiente de Configuration Manager mediante la ca interna.
Una aplicación interna que se firma mediante Configuration Manager al crear el tipo de aplicación y usar un certificado de firma.
Protección de la ubicación del certificado de firma de la aplicación de dispositivo móvil
Si firma aplicaciones de dispositivos móviles mediante el Asistente para crear aplicaciones en Configuration Manager, proteja la ubicación del archivo de certificado de firma y proteja el canal de comunicación. Para ayudar a protegerse frente a la elevación de privilegios y ataques man-in-the-middle, almacene el archivo de certificado de firma en una carpeta protegida.
Use IPsec entre los siguientes equipos:
- Equipo que ejecuta la consola de Configuration Manager
- Equipo que almacena el archivo de firma de certificados
- Equipo que almacena los archivos de origen de la aplicación
En su lugar, firme la aplicación independientemente de Configuration Manager y antes de ejecutar el Asistente para crear aplicaciones.
Implementación de controles de acceso
Para proteger los equipos de referencia, implemente controles de acceso. Al configurar el método de detección en un tipo de implementación examinando un equipo de referencia, asegúrese de que el equipo no está en peligro.
Restricción y supervisión de usuarios administrativos
Restrinja y supervise los usuarios administrativos a los que concede los siguientes roles de seguridad basados en roles de administración de aplicaciones:
- Administrador de aplicaciones
- Autor de la aplicación
- Administrador de implementación de aplicaciones
Incluso cuando se configura la administración basada en roles, los usuarios administrativos que crean e implementan aplicaciones pueden tener más permisos de los que se dan cuenta. Por ejemplo, los usuarios administrativos que crean o cambian una aplicación pueden seleccionar aplicaciones dependientes que no están en su ámbito de seguridad.
Configuración de aplicaciones de App-V en entornos virtuales con el mismo nivel de confianza
Al configurar Microsoft entornos virtuales de Virtualización de aplicaciones (App-V), seleccione las aplicaciones que tengan el mismo nivel de confianza en el entorno virtual. Dado que las aplicaciones de un entorno virtual de App-V pueden compartir recursos, como el Portapapeles, configure el entorno virtual para que las aplicaciones seleccionadas tengan el mismo nivel de confianza.
Para obtener más información, consulte Creación de entornos virtuales de App-V.
Asegúrese de que las aplicaciones macOS proceden de un origen de confianza.
Si implementa aplicaciones para dispositivos macOS, asegúrese de que los archivos de origen proceden de un origen de confianza. La herramienta CMAppUtil no valida la firma del paquete de origen. Asegúrese de que el paquete procede de un origen en el que confía. La herramienta CMAppUtil no puede detectar si los archivos se han alterado.
Protección del archivo cmmac para aplicaciones macOS
Si implementa aplicaciones para equipos macOS, proteja la ubicación del .cmmac
archivo. La herramienta CMAppUtil genera este archivo y, a continuación, lo importa a Configuration Manager. Este archivo no está firmado ni validado.
Proteja el canal de comunicación al importar este archivo a Configuration Manager. Para evitar la alteración de este archivo, guárdalo en una carpeta protegida. Use IPsec entre los siguientes equipos:
- Equipo que ejecuta la consola de Configuration Manager
- Equipo que almacena el
.cmmac
archivo
Uso de HTTPS para aplicaciones web
Si configura un tipo de implementación de aplicación web, use HTTPS para proteger la conexión. Si implementa una aplicación web mediante un vínculo HTTP en lugar de un vínculo HTTPS, el dispositivo podría redirigirse a un servidor no autorizado. Los datos transferidos entre el dispositivo y el servidor podrían alterarse.
Problemas de seguridad
Los usuarios con derechos bajos pueden cambiar los archivos que registran el historial de implementación de software en el equipo cliente.
Dado que la información del historial de aplicaciones no está protegida, un usuario puede cambiar los archivos que informan de si una aplicación está instalada.
Los paquetes de App-V no están firmados.
Los paquetes de App-V en Configuration Manager no admiten la firma. Las firmas digitales comprueban que el contenido procede de un origen de confianza y no se modificó en tránsito. No hay ninguna mitigación para este problema de seguridad. Siga el procedimiento recomendado de seguridad para descargar el contenido desde un origen de confianza y desde una ubicación segura.
Todos los usuarios del equipo pueden instalar aplicaciones de App-V publicadas.
Cuando se publica una aplicación de App-V en un equipo, todos los usuarios que inician sesión en ese equipo pueden instalar la aplicación. No puede restringir los usuarios que pueden instalar la aplicación después de publicarla.
Información de privacidad
La administración de aplicaciones le permite ejecutar cualquier aplicación, programa o script en cualquier cliente de la jerarquía. Configuration Manager no tiene control sobre los tipos de aplicaciones, programas o scripts que se ejecutan ni sobre el tipo de información que transmiten. Durante el proceso de implementación de la aplicación, Configuration Manager puede transmitir información que identifique las cuentas de dispositivo e inicio de sesión entre clientes y servidores.
Configuration Manager mantiene información de estado sobre el proceso de implementación de software. A menos que el cliente se comunique mediante HTTPS, la información de estado de implementación de software no se cifra durante la transmisión. La información de estado no se almacena en forma cifrada en la base de datos.
El uso de Configuration Manager instalación de aplicaciones para instalar software de forma remota, interactiva o silenciosa en clientes podría estar sujeto a términos de licencia de software para ese software. Este uso es independiente de los Términos de licencia de software para Configuration Manager. Revise y acepte siempre los Términos de licencia de software antes de implementar software mediante Configuration Manager.
Configuration Manager recopila datos de diagnóstico y uso sobre las aplicaciones, que usa Microsoft para mejorar las versiones futuras. Para obtener más información, consulte Diagnósticos y datos de uso.
La implementación de aplicaciones no se produce de forma predeterminada y requiere varios pasos de configuración.
Las siguientes características ayudan a una implementación eficaz de software:
La afinidad de dispositivo de usuario asigna un usuario a los dispositivos. Un administrador de Configuration Manager implementa software en un usuario. El cliente instala automáticamente el software en uno o varios equipos que el usuario usa con más frecuencia.
El Centro de software se instala automáticamente en un dispositivo al instalar el cliente de Configuration Manager. Los usuarios cambian la configuración, buscan software e instalan software desde el Centro de software.
Información de privacidad de afinidad de dispositivo de usuario
Configuration Manager puede transmitir información entre clientes y sistemas de sitio de punto de administración. La información podría identificar el equipo, la cuenta de inicio de sesión y el uso resumido de las cuentas de inicio de sesión.
A menos que configure el punto de administración para que requiera comunicación HTTPS, la información que se transmite entre el cliente y el servidor no se cifra.
La información de uso del equipo y de la cuenta de inicio de sesión se usa para asignar un usuario a un dispositivo. Configuration Manager almacena esta información en los equipos cliente, la envía a los puntos de administración y, a continuación, la almacena en la base de datos del sitio. De forma predeterminada, el sitio elimina información antigua de la base de datos después de 90 días. El comportamiento de eliminación se puede configurar estableciendo la tarea de mantenimiento eliminar datos antiguos de afinidad de dispositivo de usuario .
Configuration Manager mantiene información de estado sobre la afinidad de dispositivo de usuario. A menos que configure los clientes para que se comuniquen con puntos de administración mediante HTTPS, no cifran la información de estado durante la transmisión. El sitio no almacena información de estado en forma cifrada en la base de datos.
La información de uso del equipo y el inicio de sesión que se usa para establecer la afinidad de usuario y dispositivo siempre está habilitada. Los usuarios y los usuarios administrativos pueden proporcionar información de afinidad de dispositivo de usuario.
Información de privacidad del Centro de software
El Centro de software permite al administrador de Configuration Manager publicar cualquier aplicación, programa o script para que los usuarios se ejecuten. Configuration Manager no tiene control sobre los tipos de programas o scripts que se publican en el Centro de software ni sobre el tipo de información que transmiten.
Configuration Manager puede transmitir información entre los clientes y el punto de administración. La información podría identificar el equipo y las cuentas de inicio de sesión. A menos que configure el punto de administración para requerir que los clientes se conecten mediante HTTPS, la información que se transmite entre el cliente y los servidores no se cifra.
La información sobre la solicitud de aprobación de la aplicación se almacena en la base de datos de Configuration Manager. Para las solicitudes que se cancelan o deniegan, las entradas del historial de solicitudes correspondientes se eliminan después de 30 días de forma predeterminada. Puede configurar este comportamiento de eliminación con la tarea de mantenimiento Eliminar datos antiguos de solicitud de aplicación del sitio. El sitio nunca elimina las solicitudes de aprobación de aplicaciones que están en estados aprobados y pendientes.
Al instalar el cliente Configuration Manager en un dispositivo, se instala automáticamente el Centro de software.