Az alkalmazáskezelés biztonsága és adatvédelme a Configuration Managerben
Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
![]() |
---|
Ez a témakör itt jelenik meg: a Deploying Software and Operating Systems in System Center 2012 Configuration Manager (Szoftverek és operációs rendszerek telepítése a System Center 2012 Configuration Managerrel) útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban. |
Ez a témakör a System Center 2012 Configuration Manager alkalmazáskezelésével kapcsolatos biztonsági és adatvédelmi tudnivalókat tartalmazza. Ezenkívül az alkalmazáskatalógussal és a Szoftverközponttal is foglalkozik.
További információkat a következő részekben talál:
Ajánlott biztonsági eljárások az alkalmazáskezeléshez
- Az alkalmazáskezelés biztonsági problémái
Az alkalmazáskatalógus Microsoft Silverlight 5-tanúsítványokat és emelt szintű megbízhatóság módot igényel.
Adatvédelmi információ az alkalmazáskezeléshez
Felhasználó-eszköz kapcsolat
Alkalmazáskatalógus
Ajánlott biztonsági eljárások az alkalmazáskezeléshez
Az alkalmazáskezelés biztonsági védelmének következő bevált gyakorlatát használhatja:
Bevált biztonsági gyakorlat |
További információ |
||
---|---|---|---|
Az alkalmazáskatalógus pontjait állítsa be HTTPS-kapcsolatok használatára, és tájékoztassa a felhasználókat a rosszindulatú webhelyekkel kapcsolatos veszélyekről. |
Az alkalmazáskatalógus weboldal-elérési pontját és az alkalmazáskatalógus webszolgáltatási pontját állítsa be a HTTPS-kapcsolatok fogadására, hogy a kiszolgáló hitelesíthető legyen a felhasználók számára, és hogy az adatok átvitele az illetéktelen hozzáférés és megtekintés ellen védett módon történjen. A pszichológiai manipuláció módszerével végrehajtott támadások megakadályozásához tájékoztassa a felhasználókat arról, hogy csak megbízható webhelyekhez csatlakozzanak.
|
||
Különítse el a szerepköröket, és külön kiszolgálókra telepítse az alkalmazáskatalógus weboldal-elérési pontját és az alkalmazáskatalógus webszolgáltatási pontját. |
Ha az alkalmazáskatalógus weboldal-elérési pontjának biztonsága sérült, telepítse külön kiszolgálóra, amely nem azonos az alkalmazáskatalógus webszolgáltatási pontját tartalmazó kiszolgálóval. Ez hozzájárul a Configuration Manager-ügyfelek és a Configuration Manager-infrastruktúra védelméhez. Ez különösen fontos akkor, ha az alkalmazáskatalógus weboldal-elérési pontja az internetről érkező ügyfélkapcsolatokat fogad, mert ez a konfiguráció védtelenné teszi a kiszolgálót a támadásokkal szemben. |
||
Tájékoztassa a felhasználókat arról, hogy az alkalmazáskatalógus használatának befejezése után be kell zárniuk a böngészőablakot. |
Ha a felhasználók az alkalmazáskatalógushoz használt böngészőablakban keresnek fel külső webhelyeket, a böngésző továbbra is az intraneten lévő megbízható helyekhez megfelelő biztonsági beállításokat fogja használni. |
||
Kézzel adja meg a felhasználó-eszköz kapcsolatot, ne engedélyezze a felhasználóknak az elsődleges eszközük azonosítását. Ne engedélyezze a használatalapú konfigurációt sem. |
Ne tekintse mérvadónak a felhasználóktól vagy az eszköztől begyűjtött adatokat. Ha a központi szoftvertelepítéshez olyan felhasználó-eszköz kapcsolatot használ, amelyet nem megbízható rendszergazda adott meg, előfordulhat, hogy olyan számítógépre vagy olyan felhasználók számára is telepíti a szoftvert, amelyek vagy akik nem jogosultak az adott szoftver használatára. |
||
A központi telepítéseket mindig úgy állítsa be, hogy letöltsék a tartalmat a terjesztési pontokról, és ne futtassák azt a terjesztési pontokról. |
Ha a központi telepítéseket úgy állítja be, hogy a terjesztési pontról csak letöltsék a tartalmat, és helyben futtassák azt, a Configuration Manager-ügyfél a tartalom letöltése után ellenőrzi a csomagkivonatot, és ha a kivonat nem egyezik az irányelvben szereplő kivonattal, akkor figyelmen kívül hagyja a csomagot. Ha azonban a központi telepítést úgy állítja be, hogy közvetlenül a terjesztési pontról fusson, akkor a Configuration Manager-ügyfél nem ellenőrzi a csomagkivonatot, ami azt jelenti, hogy a Configuration Manager-ügyfél esetleg olyan szoftvert is telepíthet, amely illetéktelenül módosítva lett. Ha központi telepítéseket közvetlenül a terjesztési pontokról kell futtatnia, használja a legalacsonyabb NTFS-engedélyeket a terjesztési pontokon lévő csomagokhoz, és használja az IPsec protokollt az ügyfél és a terjesztési pontok, valamint a terjesztési pontok és a helykiszolgáló közötti csatorna biztonságossá tételéhez. |
||
Ne engedélyezze a felhasználóknak a programok kezelését, ha a Futtatás rendszergazdai jogosultságokkal beállítást kell használni. |
A programok konfigurálásakor megadhatja A program kezelésének engedélyezése a felhasználók számára beállítást, hogy a felhasználók válaszolhassanak a felhasználói felületen megjelenített kérdésekre. Ha a programhoz a Futtatás rendszergazdai jogosultságokkal beállítás is meg van adva, a programot futtató számítógépre bejutó támadó a felhasználói felületen továbbíthatja az ügyfélszámítógépen érvényes jogosultságokat. A Windows Installert alkalmazó telepítőprogramokat felhasználónkénti emelt szintű jogosultsággal használja az olyan szoftvertelepítésekhez, amelyek rendszergazdai hitelesítő adatokat igényelnek, de olyan felhasználó környezetében kell futtatni azokat, aki nem rendelkezik rendszergazdai hitelesítő adatokkal. A Windows Installer felhasználónkénti emelt szintű jogosultsága nyújtja a legbiztonságosabb módszert az ezzel a követelménnyel rendelkező alkalmazások központi telepítéséhez. |
||
Határozza meg, hogy a felhasználók telepíthetnek-e szoftvert interaktív módon a Telepítési engedélyek ügyfélbeállítás használatával. |
A Számítógépügynök ügyfélbeállítás Telepítési engedélyek lehetőségét állítsa be úgy, hogy korlátozza azokat a felhasználótípusokat, amelyekkel szoftver telepíthető az alkalmazáskatalógus vagy a Szoftverközpont használatával. Például hozzon létre egy egyéni ügyfélbeállítást, amelynek Telepítési engedélyek lehetőségénél a Csak rendszergazdák értéket adja meg. Ezután alkalmazza ezt az ügyfélbeállítást a kiszolgálók gyűjteményére, amivel megakadályozhatja, hogy a rendszergazdai engedélyekkel nem rendelkező felhasználók szoftvert telepítsenek az adott számítógépeken. |
||
Mobileszközökre csak aláírt alkalmazásokat telepítsen. |
A mobileszközök alkalmazásait csak akkor telepítse, ha rendelkeznek egy hitelesítésszolgáltató kódaláírásával, amelyet a mobileszköz megbízhatónak tekint. Példa:
|
||
Ha a mobileszközök alkalmazásait az Alkalmazás létrehozása varázsló használatával írja alá a Configuration Manager alkalmazásban, gondoskodjon az aláírásitanúsítvány-fájlt tároló hely és a kommunikációs csatorna biztonságáról. |
A jogosultsági szint emelését alkalmazó és a betolakodó illetéktelen személyek általi támadásokkal szembeni védekezésként az aláírásitanúsítvány-fájlt biztonságos mappában tárolja, és használja az IPsec vagy az SMB protokollt a következő számítógépek között:
Másik megoldásként a Configuration Manager alkalmazástól függetlenül és az Alkalmazás létrehozása varázsló futtatása előtt írja alá az alkalmazást. |
||
Alkalmazzon hozzáférés-vezérlést a referencia-számítógépek védelméhez. |
Amikor egy rendszergazda felhasználó a referencia-számítógépet tallózással megkeresve konfigurálja a felderítési módszert egy központi telepítési típusban, győződjön meg arról, hogy nem sérült a számítógép biztonsága. |
||
Korlátozza és figyelje azokat a rendszergazdákat, akik az alkalmazáskezeléssel kapcsolatos következő szerepköralapú biztonsági szerepkörökkel rendelkeznek:
|
Amikor szerepköralapú felügyeletet konfigurál, előfordulhat, hogy az alkalmazásokat létrehozó és telepítő rendszergazdák több engedéllyel rendelkeznek, mint azt feltételezné. Például a rendszergazdák az alkalmazások létrehozásakor vagy módosításakor olyan függő alkalmazásokat is választhatnak, amelyek nem a saját biztonsági hatókörükbe tartoznak. |
||
Amikor Microsoft Application Virtualization (App-V) virtuális környezeteket konfigurál, azonos megbízhatósági szintű alkalmazásokat válasszon a virtuális környezetben. |
Mivel az App-V virtuális környezetben lévő alkalmazások megosztva használhatják az erőforrásokat, például a vágólapot, konfigurálja úgy a virtuális környezetet, hogy a választott alkalmazások azonos megbízhatósági szintűek legyenek. További információ: App-V virtuális környezet létrehozása a Configuration Managerben. |
||
Ha Mac számítógépekhez telepít központilag alkalmazásokat, ellenőrizze, hogy a forrásfájlok megbízható forrásból származnak-e. |
A CMAppUtil eszköz nem érvényesíti a forráscsomagok aláírását, ezért bizonyosodjon meg arról, hogy a fájlok megbízható forrásból származnak. A CMAppUtil eszköz nem tudja megállapítani, hogy történt-e illetéktelen módosítás a fájlokban. |
||
Ha Mac számítógépekre telepít alkalmazásokat, lássa el megfelelő védelemmel a .cmmac-fájl helyét, valamint a kommunikációs csatornát, amikor importálja ezt a fájlt a Configuration Manager alkalmazásba. |
Mivel a CMAppUtil eszközzel előállított és a Configuration Manager alkalmazásba importált .cmmac-fájl nincs aláírva vagy érvényesítve, a fájl illetéktelen módosításának megakadályozásához tárolja védett mappában, és használja az IPsec vagy az SMB protokollt a következő számítógépek között:
|
||
A System Center 2012 R2 Configuration Manager és újabb verziók esetén: Ha webes alkalmazáshoz konfigurál központi telepítést, a kapcsolat biztonságossá tétele érdekében inkább a HTTPS protokollt használja a HTTP helyett. |
Ha webes alkalmazást telepít központilag, és HTTPS-kapcsolat helyett HTTPS-kapcsolatot használ, előfordulhat, hogy az eszköz támadó kiszolgálóra lesz átirányítva, és fennáll az eszköz és a kiszolgáló között átvitt adatok illetéktelen módosításának veszélye. |
Az alkalmazáskezelés biztonsági problémái
Az alkalmazáskezelés a következő biztonsági kérdéseket veti fel:
Az alacsony szintű jogosultsággal rendelkező felhasználók fájlokat másolhatnak az ügyfélszámítógépen lévő gyorsítótárból.
A felhasználók olvashatják az ügyfél gyorsítótárát, de nem írhatnak abba. Olvasási engedély birtokában a felhasználók átmásolhatják egyik számítógépről a másikra az alkalmazások telepítőfájljait.
Az alacsony szintű jogosultsággal rendelkező felhasználók módosíthatják azokat a fájlokat, amelyek a központi szoftvertelepítés előzményadatait tárolják az ügyfélszámítógépen.
Mivel az alkalmazások előzményadatai nem védettek, a felhasználók módosíthatják az alkalmazások telepítési állapotát rögzítő fájlokat.
Az App-V csomagok nincsenek aláírva.
Az App-V csomagok a Configuration Manager alkalmazásban nem támogatják az aláírást annak ellenőrzéséhez, hogy a tartalom megbízható forrásból származik-e, és nem lett-e módosítva az átvitel során. Erre a biztonsági problémára nincs megoldás. Kövesse az ajánlott biztonságos eljárásokat, a tartalmat megbízható forrásból és biztonságos helyről töltse le.
A közzétett App-V alkalmazásokat az összes felhasználó telepítheti a számítógépre.
Amikor egy App-V alkalmazás közzé van téve egy számítógépen, az adott számítógépre bejelentkező összes felhasználó telepítheti az alkalmazást. Ez azt jelenti, hogy nem korlátozhatja, hogy közzététele után mely felhasználók telepíthetik az alkalmazást.
A vállalati portál telepítési engedélyei nem korlátozhatók.
Bár az ügyfélbeállításokat konfigurálhatja a telepítési engedélyek korlátozására, például csak az eszközök elsődleges felhasználóira vagy a helyi rendszergazdákra korlátozhatja a telepítési engedélyeket, azonban ez a beállítás nem működik a vállalati portál esetében. Ez a jogosultsági szint megemelését eredményezheti, mivel a felhasználók olyan alkalmazásokat is telepíthetnek, amelyek telepítésére nem kellene engedélyt kapniuk.
Az alkalmazáskatalógus Microsoft Silverlight 5-tanúsítványokat és emelt szintű megbízhatóság módot igényel.
![]() |
---|
Ez csak a System Center 2012 Configuration Manager SP1 és a System Center 2012 R2 Configuration Manager verzióra vonatkozik. |
A System Center 2012 Configuration Manager SP1 és a System Center 2012 R2 Configuration Manager ügyfelei a Microsoft Silverlight 5 használatát igénylik, amelynek emelt szintű megbízhatóság módban kell futnia, hogy a felhasználók szoftvert tudjanak telepíteni az alkalmazáskatalógusból. Alapértelmezés szerint a Silverlight alkalmazások részleges biztonsági módban futnak, hogy megakadályozzák a felhasználói adatok alkalmazások általi hozzáférését. A Configuration Manager automatikusan telepíti a Microsoft Silverlight 5 verziót az ügyfelekre (ha még nincs telepítve), és alapértelmezés szerint Igen értékűre állítja a Számítógépügynök Az emelt szintű megbízhatóság módban való futás engedélyezése a Silverlight alkalmazások részére ügyfélbeállítását. Ez a beállítás lehetővé teszi, hogy az aláírt és megbízható Silverlight alkalmazások emelt szintű megbízhatósági módot kérjenek.
Amikor telepíti az alkalmazáskatalógus weboldal-elérési pontja helyrendszerszerepkört, az ügyfél egy Microsoft aláírási tanúsítványt is telepít a Megbízható közzétevők tanúsítványtárolóba minden Configuration Manager-ügyfélszámítógépen. Ez a tanúsítvány lehetővé teszi, hogy a használatával aláírt Silverlight alkalmazások emelt szintű megbízhatósági módban fussanak, amelyet a számítógépek igényelnek ahhoz, hogy szoftvert telepíthessenek az alkalmazáskatalógusból. A Configuration Manager automatikusan kezeli ezt az aláírási tanúsítványt. A szolgáltatás folytonosságának biztosításához ne törölje és ne helyezze át kézzel ezt a Microsoft aláírási tanúsítványt.
![]() |
---|
Amikor engedélyezve van, Az emelt szintű megbízhatóság módban való futás engedélyezése a Silverlight alkalmazások részére ügyfélbeállítás lehetővé teszi, hogy emelt szintű megbízhatósági módban fusson minden olyan Silverlight alkalmazás, amely alá van írva a Megbízható közzétevők tanúsítványtárolóban (akár a számítógéphez, akár a felhasználókhoz tartozó tárolóban) található tanúsítványokkal. Az ügyfélbeállítás nem tudja engedélyezni az emelt szintű megbízhatósági módot külön a Configuration Manager alkalmazáskatalógusa vagy a számítógépek tárolójához tartozó Megbízható közzétevők tanúsítványtároló számára. Ha egy rosszindulatú program érvénytelen tanúsítványt helyez el a Megbízható közzétevők tanúsítványtárolóban, például a felhasználókhoz tartozó tárolóban, a saját Silverlight alkalmazását használó rosszindulatú program szintén emelt szintű megbízhatósági módban futhat. |
Ha Az emelt szintű megbízhatóság módban való futás engedélyezése a Silverlight alkalmazások részére ügyfélbeállításnál a Nem értéket adja meg, ez nem távolítja el a Microsoft aláírási tanúsítványt az ügyfelekről.
További információ a Silverlight megbízható alkalmazásairól: Megbízható alkalmazások.
Adatvédelmi információ az alkalmazáskezeléshez
Az alkalmazáskezelés lehetővé teszi bármilyen alkalmazás, program vagy parancsfájl futtatását a hierarchiában lévő bármelyik ügyfélszámítógépen vagy mobileszköz típusú ügyfélen. A Configuration Manager nem szabályozza, hogy milyen típusú alkalmazásokat, programok vagy parancsfájlokat futtat, illetve hogy ezek milyen típusú információt továbbítanak. Az alkalmazások központi telepítése során a Configuration Manager olyan információt továbbíthat az ügyfélgépek és a kiszolgálók között, amelyek az eszközt és annak bejelentkezési fiókjait azonosítják.
A Configuration Manager állapotadatokat őriz meg a szoftvertelepítési folyamatról. A rendszer nem titkosítja a szoftvertelepítési állapotadatokat az átvitel során, kivéve, ha a kliensgép HTTPS protokoll használatával kommunikál. Az adatbázis titkosítás nélkül tárolja az állapotadatokat.
Előfordulhat, hogy a szoftverek kliensgépekre való távoli, interaktív vagy csendes telepítésére használt Configuration Manager szoftvertelepítés alkalmazhatósága az adott szoftver licenszfeltételeitől függ, mely feltételek nem azonosak a System Center 2012 Configuration Manager szoftverlicencének feltételeivel. Mindig olvassa és fogadja el a szoftverlicenc-szerződést, mielőtt a Configuration Manager használatával telepítené a szoftvert.
A szoftvertelepítés nem alapértelmezett művelet, és végrehajtása több konfigurációs lépést igényel.
A felhasználó-eszköz kapcsolat és az alkalmazáskatalógus a szoftvertelepítést elősegítő opcionális szolgáltatások.
A felhasználó-eszköz kapcsolat hozzárendeli a felhasználót adott eszközökhöz, lehetővé téve a Configuration Manager rendszergazdák számára, hogy a szoftvereket egy időben telepítse a felhasználó által leggyakrabban használt összes számítógépen.
Az alkalmazáskatalógus egy webhely, melyen a felhasználók kérvényezhetik a kívánt szoftverek telepítését.
Az alábbi szakaszok a felhasználó-eszköz kapcsolat és az alkalmazáskatalógus használatához tartozó adatvédelmi információkat tartalmazzák.
Az alkalmazáskezelés konfigurálása előtt gondolja át az adatvédelmi követelményeit.
Felhasználó-eszköz kapcsolat
Előfordulhat, hogy a Configuration Manager olyan információt továbbít az ügyfélgépek és a felügyeletipont-rendszerek között, amelyek a számítógépet és annak bejelentkezési fiókjait azonosítják, valamint röviden bemutatják azok használatát.
A kliensgép és a kiszolgáló között továbbított adatok nincsenek titkosítva, kivéve, ha a felügyeleti pont úgy van beállítva, hogy HTTPS használatát követelje meg a kliensgépektől.
A rendszer kliensgépeken tárolja a felhasználók adott eszközökhöz való hozzárendelésére használt számítógépek és bejelentkezési fiókok használati adatait, elküldi azokat a felügyeleti pontoknak, majd eltárolja azokat a Configuration Manager adatbázisban. A régi információk alapértelmezés szerint 90 nap után törlődnek az adatbázisból. A törlési beállítás testre szabható a Felhasználó-eszköz kapcsolatra vonatkozó régi adatok törlése helykarbantartási feladat beállításával.
A Configuration Manager megőrzi a felhasználó-eszköz kapcsolatra vonatkozó állapotadatokat. Az állapotadatok nincsenek titkosítva az átvitel során, kivéve, ha a kliensgépek úgy vannak beállítva, hogy HTTPS használatával kommunikáljanak a felügyeleti pontokkal. Az adatbázis titkosítás nélkül tárolja az állapotadatokat.
A rendszer nem küldi el a Microsoftnak a számítógépek és bejelentkezési fiókok használati és állapotadatait.
A felhasználó-eszköz kapcsolat létrehozására használt számítógépek és bejelentkezési fiókok használati adatai mindig engedélyezve vannak. Ezenkívül a felhasználók és rendszergazda felhasználók is megadhatnak a felhasználó-eszköz kapcsolatra vonatkozó információkat.
Alkalmazáskatalógus
Az alkalmazáskatalógus lehetővé teszi a Configuration Manager rendszergazda számára, hogy közzétegye a felhasználók által futtatandó alkalmazásokat, programokat és parancsfájlokat. A Configuration Manager nem rendelkezik befolyással a katalógusban közzétett programok és parancsfájlok, illetve az általuk közvetített információk típusa fölött.
Előfordulhat, hogy a Configuration Manager olyan információt továbbít az ügyfélgépek és az alkalmazáskatalógus helyrendszerszerepkörök között, amelyek a számítógépet és annak bejelentkezési fiókjait azonosítják. A kliensgép és a kiszolgálók között továbbított adatok nincsenek titkosítva, kivéve, ha a helyrendszerszerepkörök úgy vannak beállítva, hogy HTTPS használatát követeljék meg csatlakozáskor a kliensgépektől.
Az alkalmazás-jóváhagyási kérelmekre vonatkozó adatok tárolása a Configuration Manager adatbázisban történik. A törölt vagy visszautasított kérelmek alapértelmezés szerint 30 nap elteltével törlődnek a hozzájuk tartozó kérelemelőzmény-bejegyzésekkel együtt. A törlési beállítás testre szabható az Alkalmazásigénylésekre vonatkozó régi adatok törlése helykarbantartási feladat beállításával. A jóváhagyott és függőben lévő alkalmazás-jóváhagyási kérelmek soha nem kerülnek törlésre.
Az alkalmazáskatalógusba érkező és onnan küldött adatokat a rendszer nem küldi el a Microsoftnak.
A rendszer alapértelmezés szerint nem telepíti az alkalmazáskatalógust. Ez a telepítés több konfigurációs lépést igényel.