Sécurité et confidentialité pour la gestion des applications dans Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Conseils de sécurité
Spécifier de manière centralisée l’affinité entre l’utilisateur et l’appareil
Spécifiez manuellement l’affinité entre l’appareil utilisateur au lieu de laisser les utilisateurs identifier leur appareil principal. N’activez pas la configuration basée sur l’utilisation.
Ne considérez pas les informations collectées auprès des utilisateurs ou de l’appareil comme faisant autorité. Si vous déployez un logiciel à l’aide de l’affinité utilisateur-appareil qu’un administrateur approuvé ne spécifie pas, le logiciel peut être installé sur des ordinateurs et pour les utilisateurs qui ne sont pas autorisés à recevoir ce logiciel.
N’exécutez pas de déploiements à partir de points de distribution
Configurez toujours les déploiements pour télécharger le contenu à partir de points de distribution plutôt que de les exécuter à partir de points de distribution. Lorsque vous configurez des déploiements pour télécharger du contenu à partir d’un point de distribution et s’exécuter localement, le client Configuration Manager vérifie le hachage du package après avoir téléchargé le contenu. Le client ignore le package si le hachage ne correspond pas au hachage dans la stratégie.
Si vous configurez le déploiement pour qu’il s’exécute directement à partir d’un point de distribution, le client Configuration Manager ne vérifie pas le hachage du package. Ce comportement signifie que le client Configuration Manager peut installer des logiciels qui ont été falsifiés.
Si vous devez exécuter des déploiements directement à partir de points de distribution, utilisez les autorisations NTFS minimales sur les packages sur les points de distribution. Utilisez également la sécurité du protocole Internet (IPsec) pour sécuriser le canal entre le client et les points de distribution, et entre les points de distribution et le serveur de site.
Ne pas laisser les utilisateurs interagir avec des processus élevés
Si vous activez les options Exécuter avec des droits d’administration ou Installer pour le système, ne laissez pas les utilisateurs interagir avec ces applications. Lorsque vous configurez une application, vous pouvez définir l’option Autoriser les utilisateurs à afficher et à interagir avec l’installation du programme. Ce paramètre permet aux utilisateurs de répondre aux invites requises dans l’interface utilisateur. Si vous configurez également l’application pour Exécuter avec des droits d’administration ou Installer pour le système, un attaquant sur l’ordinateur qui exécute le programme peut utiliser l’interface utilisateur pour remonter les privilèges sur l’ordinateur client.
Utilisez des programmes qui utilisent Windows Installer pour l’installation et des privilèges élevés par utilisateur pour les déploiements de logiciels qui nécessitent des informations d’identification d’administration. Le programme d’installation doit être exécuté dans le contexte d’un utilisateur qui ne dispose pas d’informations d’identification d’administration. Les privilèges élevés windows Installer par utilisateur offrent le moyen le plus sécurisé de déployer des applications qui ont cette exigence.
Remarque
Lorsque l’utilisateur démarre le processus d’installation de l’application à partir du Centre logiciel, l’option Autoriser les utilisateurs à afficher et à interagir avec l’installation du programme ne peut pas contrôler les interactions de l’utilisateur avec d’autres processus créés par le programme d’installation de l’application. En raison de ce comportement, même si vous ne sélectionnez pas cette option, l’utilisateur peut toujours interagir avec un processus avec élévation de privilèges. Pour éviter ce problème, ne déployez pas d’applications qui créent d’autres processus avec des interactions utilisateur. Si vous devez installer ce type d’application, déployez-la comme Obligatoire et configurez l’expérience de notification utilisateur sur Masquer dans le Centre logiciel et toutes les notifications.
Restreindre la possibilité pour les utilisateurs d’installer des logiciels de manière interactive
Configurez le paramètre client Autorisations d’installation dans le groupe Agent ordinateur . Ce paramètre limite les types d’utilisateurs qui peuvent installer des logiciels dans le Centre logiciel.
Par exemple, créez un paramètre client personnalisé avec les autorisations d’installation définies sur Administrateurs uniquement. Appliquez ce paramètre client à une collection de serveurs. Cette configuration empêche les utilisateurs sans autorisations administratives d’installer des logiciels sur ces serveurs.
Pour plus d’informations, consultez À propos des paramètres client.
Pour les appareils mobiles, déployez uniquement les applications signées
Déployez des applications d’appareil mobile uniquement si elles sont signées par code par une autorité de certification approuvée par l’appareil mobile.
Par exemple :
Application d’un fournisseur, signée par un fournisseur de certificats public et de confiance mondiale.
Une application interne que vous signez indépendamment de Configuration Manager à l’aide de votre autorité de certification interne.
Une application interne que vous signez à l’aide de Configuration Manager lorsque vous créez le type d’application et utilisez un certificat de signature.
Sécuriser l’emplacement du certificat de signature d’application d’appareil mobile
Si vous signez des applications d’appareil mobile à l’aide de l’Assistant Création d’une application dans Configuration Manager, sécurisez l’emplacement du fichier de certificat de signature et sécurisez le canal de communication. Pour vous protéger contre l’élévation de privilèges et les attaques de l’intercepteur, stockez le fichier de certificat de signature dans un dossier sécurisé.
Utilisez IPsec entre les ordinateurs suivants :
- Ordinateur qui exécute la console Configuration Manager
- Ordinateur qui stocke le fichier de signature de certificat
- Ordinateur qui stocke les fichiers sources de l’application
Au lieu de cela, signez l’application indépendamment de Configuration Manager et avant d’exécuter l’Assistant Création d’une application.
Implémenter des contrôles d’accès
Pour protéger les ordinateurs de référence, implémentez des contrôles d’accès. Lorsque vous configurez la méthode de détection dans un type de déploiement en accédant à un ordinateur de référence, assurez-vous que l’ordinateur n’est pas compromis.
Restreindre et surveiller les utilisateurs administratifs
Limitez et surveillez les utilisateurs administratifs auxquels vous accordez les rôles de sécurité en fonction du rôle de gestion des applications suivants :
- Administrateur d’application
- Auteur de l’application
- Gestionnaire de déploiement d’applications
Même lorsque vous configurez l’administration basée sur les rôles, les utilisateurs administratifs qui créent et déploient des applications peuvent avoir plus d’autorisations que vous ne le pensez. Par exemple, les utilisateurs administratifs qui créent ou modifient une application peuvent sélectionner des applications dépendantes qui ne sont pas dans leur étendue de sécurité.
Configurer des applications App-V dans des environnements virtuels avec le même niveau de confiance
Lorsque vous configurez Microsoft environnements virtuels Application Virtualization (App-V), sélectionnez les applications qui ont le même niveau de confiance dans l’environnement virtuel. Étant donné que les applications d’un environnement virtuel App-V peuvent partager des ressources, comme le Presse-papiers, configurez l’environnement virtuel afin que les applications sélectionnées aient le même niveau de confiance.
Pour plus d’informations, consultez Créer des environnements virtuels App-V.
Vérifiez que les applications macOS proviennent d’une source digne de confiance
Si vous déployez des applications pour des appareils macOS, assurez-vous que les fichiers sources proviennent d’une source digne de confiance. L’outil CMAppUtil ne valide pas la signature du package source. Assurez-vous que le package provient d’une source de confiance. L’outil CMAppUtil ne peut pas détecter si les fichiers ont été falsifiés.
Sécuriser le fichier cmmac pour les applications macOS
Si vous déployez des applications pour des ordinateurs macOS, sécurisez l’emplacement du .cmmac fichier. L’outil CMAppUtil génère ce fichier, puis vous l’importez dans Configuration Manager. Ce fichier n’est pas signé ou validé.
Sécurisez le canal de communication lorsque vous importez ce fichier dans Configuration Manager. Pour éviter toute falsification de ce fichier, stockez-le dans un dossier sécurisé. Utilisez IPsec entre les ordinateurs suivants :
- Ordinateur qui exécute la console Configuration Manager
- L’ordinateur qui stocke le
.cmmacfichier
Utiliser HTTPS pour les applications web
Si vous configurez un type de déploiement d’application web, utilisez HTTPS pour sécuriser la connexion. Si vous déployez une application web à l’aide d’un lien HTTP plutôt que d’un lien HTTPS, l’appareil peut être redirigé vers un serveur non autorisé. Les données transférées entre l’appareil et le serveur peuvent être falsifiées.
Problèmes de sécurité
Les utilisateurs disposant de droits faibles peuvent modifier les fichiers qui enregistrent l’historique de déploiement de logiciels sur l’ordinateur client.
Étant donné que les informations de l’historique des applications ne sont pas protégées, un utilisateur peut modifier les fichiers qui indiquent si une application est installée.
Les packages App-V ne sont pas signés.
Les packages App-V dans Configuration Manager ne prennent pas en charge la signature. Les signatures numériques vérifient que le contenu provient d’une source approuvée et n’a pas été modifié en transit. Il n’existe aucune atténuation pour ce problème de sécurité. Suivez les bonnes pratiques de sécurité pour télécharger le contenu à partir d’une source approuvée et d’un emplacement sécurisé.
Les applications App-V publiées peuvent être installées par tous les utilisateurs sur l’ordinateur.
Lorsqu’une application App-V est publiée sur un ordinateur, tous les utilisateurs qui se connectent à cet ordinateur peuvent installer l’application. Vous ne pouvez pas restreindre les utilisateurs qui peuvent installer l’application après sa publication.
Informations sur la confidentialité
La gestion des applications vous permet d’exécuter n’importe quelle application, programme ou script sur n’importe quel client de la hiérarchie. Configuration Manager n’a aucun contrôle sur les types d’applications, de programmes ou de scripts que vous exécutez, ni sur le type d’informations qu’ils transmettent. Pendant le processus de déploiement de l’application, Configuration Manager peut transmettre des informations qui identifient les comptes d’appareil et de connexion entre les clients et les serveurs.
Configuration Manager conserve les informations d’état sur le processus de déploiement de logiciels. Sauf si le client communique à l’aide du protocole HTTPS, les informations d’état du déploiement logiciel ne sont pas chiffrées pendant la transmission. Les informations d’état ne sont pas stockées sous forme chiffrée dans la base de données.
L’utilisation de Configuration Manager’installation d’applications pour installer des logiciels à distance, de manière interactive ou silencieuse sur les clients peut être soumise aux termes du contrat de licence logiciel pour ce logiciel. Cette utilisation est distincte des termes du contrat de licence logiciel pour Configuration Manager. Passez toujours en revue et acceptez les Conditions du contrat de licence logiciel avant de déployer des logiciels à l’aide de Configuration Manager.
Configuration Manager collecte des données de diagnostic et d’utilisation sur les applications, qui sont utilisées par Microsoft pour améliorer les versions futures. Pour plus d’informations, consultez Données de diagnostic et d’utilisation.
Le déploiement d’application ne se produit pas par défaut et nécessite plusieurs étapes de configuration.
Les fonctionnalités suivantes permettent un déploiement de logiciels efficace :
L’affinité entre l’utilisateur et l’appareil mappe un utilisateur aux appareils. Un administrateur Configuration Manager déploie des logiciels sur un utilisateur. Le client installe automatiquement le logiciel sur un ou plusieurs ordinateurs que l’utilisateur utilise le plus souvent.
Le Centre logiciel est installé automatiquement sur un appareil lorsque vous installez le client Configuration Manager. Les utilisateurs modifient les paramètres, recherchent les logiciels et installent des logiciels à partir du Centre logiciel.
Informations de confidentialité relatives à l’affinité entre utilisateur et appareil
Configuration Manager peuvent transmettre des informations entre les clients et les systèmes de site de point de gestion. Les informations peuvent identifier l’ordinateur, le compte de connexion et l’utilisation résumée des comptes de connexion.
Sauf si vous configurez le point de gestion pour exiger une communication HTTPS, les informations transmises entre le client et le serveur ne sont pas chiffrées.
Les informations d’utilisation de l’ordinateur et du compte de connexion sont utilisées pour mapper un utilisateur à un appareil. Configuration Manager stocke ces informations sur les ordinateurs clients, les envoie aux points de gestion, puis les stocke dans la base de données du site. Par défaut, le site supprime les anciennes informations de la base de données après 90 jours. Le comportement de suppression est configurable en définissant la tâche de maintenance du site Supprimer les données d’affinité d’appareil utilisateur anciennes .
Configuration Manager conserve les informations d’état sur l’affinité entre utilisateur et appareil. Sauf si vous configurez les clients pour qu’ils communiquent avec les points de gestion à l’aide du protocole HTTPS, ils ne chiffrent pas les informations d’état pendant la transmission. Le site ne stocke pas les informations d’état sous forme chiffrée dans la base de données.
Les informations d’utilisation de l’ordinateur et de la connexion utilisées pour établir l’affinité entre l’utilisateur et l’appareil sont toujours activées. Les utilisateurs et les utilisateurs administratifs peuvent fournir des informations d’affinité entre utilisateurs et appareils.
Informations de confidentialité du Centre logiciel
Le Centre logiciel permet à l’administrateur Configuration Manager de publier n’importe quelle application, programme ou script à exécuter par les utilisateurs. Configuration Manager n’a aucun contrôle sur les types de programmes ou de scripts publiés dans le Centre logiciel ou sur le type d’informations qu’ils transmettent.
Configuration Manager peuvent transmettre des informations entre les clients et le point de gestion. Les informations peuvent identifier l’ordinateur et les comptes de connexion. Sauf si vous configurez le point de gestion pour exiger que les clients se connectent à l’aide du protocole HTTPS, les informations transmises entre le client et les serveurs ne sont pas chiffrées.
Les informations relatives à la demande d’approbation d’application sont stockées dans la base de données Configuration Manager. Pour les demandes annulées ou refusées, les entrées d’historique des requêtes correspondantes sont supprimées après 30 jours par défaut. Vous pouvez configurer ce comportement de suppression avec la tâche de maintenance du site Supprimer les données de demande d’application anciennes . Le site ne supprime jamais les demandes d’approbation d’application qui sont dans des états approuvés et en attente.
Lorsque vous installez le client Configuration Manager sur un appareil, il installe automatiquement le Centre logiciel.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour