Sdílet prostřednictvím


Zabezpečení a ochrana osobních údajů pro správu aplikací v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Doprovodné materiály k zabezpečení

Centrální určení spřažení uživatelských zařízení

Místo toho, abyste uživatelům umožnili identifikovat primární zařízení, zadejte ručně spřažení zařízení uživatele. Nepovolujte konfiguraci na základě využití.

Informace shromážděné od uživatelů nebo ze zařízení nepovažujte za autoritativní. Pokud nasadíte software pomocí spřažení uživatelských zařízení, které nezadá důvěryhodný správce, může se software nainstalovat do počítačů a uživatelům, kteří nemají oprávnění tento software přijímat.

Nespoutávejte nasazení z distribučních bodů.

Vždy nakonfigurujte nasazení tak, aby stahovali obsah z distribučních bodů a nespouštět z distribučních bodů. Když nakonfigurujete nasazení pro stahování obsahu z distribučního bodu a spuštění místně, klient Configuration Manager po stažení obsahu ověří hodnotu hash balíčku. Pokud hodnota hash neodpovídá hodnotě hash v zásadách, klient balíček zahodí.

Pokud nakonfigurujete nasazení tak, aby se spouštěla přímo z distribučního bodu, klient Configuration Manager neověří hodnotu hash balíčku. Toto chování znamená, že klient Configuration Manager může nainstalovat software, se kterým bylo manipulováno.

Pokud musíte spouštět nasazení přímo z distribučních bodů, použijte pro balíčky v distribučních bodech nejnižší oprávnění NTFS. K zabezpečení kanálu mezi klientem a distribučními body a mezi distribučními body a mezi distribučními body a serverem lokality použijte také protokol IPsec (Internet Protocol Security).

Nepovolovat uživatelům pracovat s procesy se zvýšenými oprávněními

Pokud povolíte možnosti Spustit s právy správce nebo Instalovat pro systém, neumožněte uživatelům interakci s těmito aplikacemi. Při konfiguraci aplikace můžete nastavit možnost Povolit uživatelům zobrazit instalaci programu a pracovat s ní. Toto nastavení umožňuje uživatelům reagovat na všechny požadované výzvy v uživatelském rozhraní. Pokud také aplikaci nakonfigurujete tak, aby běžela s právy správce nebo Instalovat pro systém, útočník v počítači, na kterém program běží, mohl pomocí uživatelského rozhraní eskalovat oprávnění na klientském počítači.

Používejte programy, které používají Instalační službu systému Windows pro instalaci a zvýšená oprávnění pro jednotlivé uživatele pro nasazení softwaru, která vyžadují pověření správce. Instalace se musí spustit v kontextu uživatele, který nemá přihlašovací údaje správce. Služba Windows Installer se zvýšenými oprávněními jednotlivých uživatelů poskytuje nejbezpečnější způsob nasazení aplikací, které mají tento požadavek.

Poznámka

Když uživatel spustí proces instalace aplikace z Centra softwaru, možnost Povolit uživatelům zobrazit instalaci programu a interakci s ní nemůže řídit interakce uživatelů s žádnými jinými procesy vytvořenými instalačním programem aplikace. Kvůli tomuto chování může uživatel pracovat s procesem se zvýšenými oprávněními, i když tuto možnost nevyberete. Abyste se tomuto problému vyhnuli, nenasazujte aplikace, které vytvářejí jiné procesy s interakcemi uživatelů. Pokud potřebujete nainstalovat tento typ aplikace, nasaďte ji jako Povinná a nakonfigurujte uživatelské prostředí oznámení tak, aby se v Centru softwaru a všech oznámeních skrývala.

Omezení toho, jestli uživatelé můžou instalovat software interaktivně

Nakonfigurujte nastavení klienta Instalovat oprávnění ve skupině Počítačový agent . Toto nastavení omezuje typy uživatelů, kteří můžou instalovat software v Centru softwaru.

Vytvořte například vlastní nastavení klienta s oprávněními k instalaci nastavenými na Pouze správci. Použijte toto nastavení klienta na kolekci serverů. Tato konfigurace brání uživatelům bez oprávnění správce v instalaci softwaru na tyto servery.

Další informace najdete v tématu Informace o nastavení klienta.

U mobilních zařízení nasaďte jenom podepsané aplikace.

Aplikace mobilních zařízení nasaďte jenom v případě, že jsou podepsané kódem certifikační autoritou (CA), které mobilní zařízení důvěřuje.

Příklad:

  • Aplikace od dodavatele, která je podepsaná veřejným a globálně důvěryhodným poskytovatelem certifikátů.

  • Interní aplikace, kterou podepisujete nezávisle na Configuration Manager pomocí interní certifikační autority.

  • Interní aplikace, kterou podepisujete pomocí Configuration Manager při vytváření typu aplikace a použití podpisového certifikátu.

Zabezpečení umístění podpisového certifikátu aplikace mobilního zařízení

Pokud podepisujete aplikace mobilních zařízení pomocí Průvodce vytvořením aplikace v Configuration Manager, zabezpečte umístění souboru podpisového certifikátu a zabezpečte komunikační kanál. Pokud chcete pomoct chránit před zvýšením oprávnění a útoky man-in-the-middle, uložte soubor podpisového certifikátu do zabezpečené složky.

Používejte protokol IPsec mezi následujícími počítači:

  • Počítač, na kterém běží konzola Configuration Manager
  • Počítač, ve kterém je uložený podpisový soubor certifikátu
  • Počítač, ve kterém jsou uložené zdrojové soubory aplikace

Místo toho podepište aplikaci nezávisle na Configuration Manager a před spuštěním Průvodce vytvořením aplikace.

Implementace řízení přístupu

Pokud chcete chránit referenční počítače, implementujte řízení přístupu. Když konfigurujete metodu detekce v typu nasazení tak, že přejdete na referenční počítač, ujistěte se, že počítač není napadený.

Omezení a monitorování správců

Omezte a monitorujte administrativní uživatele, kterým udělíte následující role zabezpečení na základě rolí pro správu aplikací:

  • Správce aplikací
  • Autor aplikace
  • Správce nasazení aplikací

I když nakonfigurujete správu na základě rolí, správci, kteří vytvářejí a nasazují aplikace, můžou mít více oprávnění, než si uvědomujete. Například administrativní uživatelé, kteří vytvářejí nebo mění aplikaci, můžou vybrat závislé aplikace, které nejsou v jejich oboru zabezpečení.

Konfigurace aplikací App-V ve virtuálních prostředích se stejnou úrovní důvěryhodnosti

Při konfiguraci virtuálních prostředí Microsoft Application Virtualization (App-V) vyberte aplikace, které mají ve virtuálním prostředí stejnou úroveň důvěryhodnosti. Vzhledem k tomu, že aplikace ve virtuálním prostředí App-V můžou sdílet prostředky, jako je schránka, nakonfigurujte virtuální prostředí tak, aby vybrané aplikace měly stejnou úroveň důvěryhodnosti.

Další informace najdete v tématu Vytvoření virtuálních prostředí App-V.

Ujistěte se, že aplikace pro macOS pocházejí z důvěryhodného zdroje.

Pokud nasazujete aplikace pro zařízení s macOS, ujistěte se, že zdrojové soubory pocházejí z důvěryhodného zdroje. Nástroj CMAppUtil neověřuje podpis zdrojového balíčku. Ujistěte se, že balíček pochází ze zdroje, kterému důvěřujete. Nástroj CMAppUtil nemůže zjistit, jestli byly se soubory manipulovány.

Zabezpečení souboru cmmac pro aplikace pro macOS

Pokud nasazujete aplikace pro počítače s macOS, zabezpečte umístění .cmmac souboru. Nástroj CMAppUtil vygeneruje tento soubor a pak ho naimportujete do Configuration Manager. Tento soubor není podepsaný ani ověřený.

Při importu tohoto souboru do Configuration Manager zabezpečte komunikační kanál. Pokud chcete zabránit manipulaci s tímto souborem, uložte ho do zabezpečené složky. Používejte protokol IPsec mezi následujícími počítači:

  • Počítač, na kterém běží konzola Configuration Manager
  • Počítač, ve kterém je .cmmac soubor uložen

Použití HTTPS pro webové aplikace

Pokud nakonfigurujete typ nasazení webové aplikace, zabezpečte připojení pomocí protokolu HTTPS. Pokud nasadíte webovou aplikaci pomocí odkazu HTTP místo odkazu HTTPS, může být zařízení přesměrováno na podvodný server. S daty přenášenými mezi zařízením a serverem je možné manipulovat.

Problémy se zabezpečením

  • Uživatelé s nízkými právy můžou měnit soubory, které zaznamenávají historii nasazení softwaru v klientském počítači.

    Vzhledem k tomu, že informace o historii aplikací nejsou chráněné, může uživatel změnit soubory, které hlásí, jestli je aplikace nainstalovaná.

  • Balíčky App-V nejsou podepsané.

    Balíčky App-V v Configuration Manager nepodporují podepisování. Digitální podpisy ověřují, že obsah pochází z důvěryhodného zdroje a při přenosu nebyl změněn. Pro tento problém se zabezpečením neexistuje žádné zmírnění. Při stahování obsahu z důvěryhodného zdroje a ze zabezpečeného umístění postupujte podle osvědčených postupů zabezpečení.

  • Publikované aplikace App-V můžou nainstalovat všichni uživatelé v počítači.

    Když je aplikace App-V publikovaná na počítači, můžou ji nainstalovat všichni uživatelé, kteří se k ho počítači přihlásí. Uživatele, kteří můžou aplikaci po publikování nainstalovat, nemůžete omezit.

Informace o ochraně osobních údajů

Správa aplikací umožňuje spustit libovolnou aplikaci, program nebo skript na libovolném klientovi v hierarchii. Configuration Manager nemá žádnou kontrolu nad typy aplikací, programů nebo skriptů, které spouštíte, ani nad typem přenášených informací. Během procesu nasazení aplikace může Configuration Manager přenášet informace, které identifikují zařízení a přihlašovací účty mezi klienty a servery.

Configuration Manager udržuje informace o stavu procesu nasazení softwaru. Pokud klient nekomunikuje pomocí protokolu HTTPS, informace o stavu nasazení softwaru se během přenosu nešifrují. Informace o stavu se v databázi neukládají v šifrované podobě.

Použití instalace Configuration Manager aplikace ke vzdálené, interaktivní nebo tiché instalaci softwaru na klientech může podléhat licenčním podmínkám pro tento software. Toto použití je oddělené od licenčních podmínek pro software pro Configuration Manager. Před nasazením softwaru pomocí Configuration Manager si vždy přečtěte licenční podmínky pro software a přijměte s nimi souhlas.

Configuration Manager shromažďuje diagnostická data a data o využití aplikací, která používají Microsoft k vylepšování budoucích verzí. Další informace najdete v tématu Diagnostika a data o využití.

Nasazení aplikace se ve výchozím nastavení neprovádí a vyžaduje několik kroků konfigurace.

Následující funkce pomáhají s efektivním nasazením softwaru:

  • Spřažení zařízení uživatele mapuje uživatele na zařízení. Správce Configuration Manager nasadí software uživateli. Klient automaticky nainstaluje software na jeden nebo více počítačů, které uživatel používá nejčastěji.

  • Centrum softwaru se na zařízení nainstaluje automaticky při instalaci klienta Configuration Manager. Uživatelé mění nastavení, hledají software a instalují software z Centra softwaru.

Informace o ochraně osobních údajů o spřažení uživatelských zařízení

  • Configuration Manager mohou přenášet informace mezi klienty a systémy lokality bodu správy. Informace můžou identifikovat počítač, přihlašovací účet a souhrnné využití přihlašovacích účtů.

  • Pokud nenakonfigurujete bod správy tak, aby vyžadoval komunikaci přes protokol HTTPS, nebudou informace přenášené mezi klientem a serverem šifrovány.

  • Informace o využití počítače a přihlašovacího účtu slouží k mapování uživatele na zařízení. Configuration Manager uloží tyto informace do klientských počítačů, odešle je do bodů správy a pak je uloží do databáze lokality. Ve výchozím nastavení web odstraní staré informace z databáze po 90 dnech. Chování při odstraňování je možné konfigurovat nastavením úlohy údržby lokality Odstranit stará data o spřažení uživatelských zařízení .

  • Configuration Manager udržuje informace o stavu spřažení uživatelských zařízení. Pokud nenakonfigurujete klienty pro komunikaci s body správy pomocí protokolu HTTPS, nešifrují během přenosu informace o stavu. Web neukládá informace o stavu v zašifrované podobě v databázi.

  • Informace o využití počítače a přihlašování, které se používají k vytvoření spřažení uživatele a zařízení, jsou vždy povolené. Uživatelé a správci můžou poskytovat informace o spřažení uživatelských zařízení.

Informace o ochraně osobních údajů v Centru softwaru

  • Centrum softwaru umožňuje správci Configuration Manager publikovat libovolnou aplikaci, program nebo skript pro spuštění uživatelů. Configuration Manager nemá žádnou kontrolu nad typy programů nebo skriptů, které jsou publikovány v Centru softwaru, ani nad typem informací, které přenášejí.

  • Configuration Manager mohou přenášet informace mezi klienty a bodem správy. Informace můžou identifikovat počítač a přihlašovací účty. Pokud nenakonfigurujete bod správy tak, aby vyžadoval připojení klientů pomocí protokolu HTTPS, nebudou informace přenášené mezi klientem a servery šifrovány.

  • Informace o žádosti o schválení aplikace jsou uloženy v databázi Configuration Manager. U zrušených nebo zamítnutých žádostí se odpovídající položky historie žádostí ve výchozím nastavení po 30 dnech odstraní. Toto chování při odstraňování můžete nakonfigurovat pomocí úlohy údržby lokality Odstranit zastaralá data žádostí o aplikaci . Web nikdy neodstraní žádosti o schválení aplikace, které jsou ve schváleném stavu a čekajících na vyřízení.

  • Když nainstalujete klienta Configuration Manager na zařízení, automaticky se nainstaluje Centrum softwaru.