Sicurezza e privacy per la gestione delle applicazioni in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Linee guida per la sicurezza
Specificare centralmente l'affinità utente-dispositivo
Specificare manualmente l'affinità utente-dispositivo anziché consentire agli utenti di identificare il dispositivo primario. Non abilitare la configurazione basata sull'utilizzo.
Non considerare autorevoli le informazioni raccolte dagli utenti o dal dispositivo. Se si distribuisce il software usando l'affinità utente-dispositivo non specificata da un amministratore attendibile, il software potrebbe essere installato nei computer e agli utenti che non sono autorizzati a ricevere tale software.
Non eseguire distribuzioni dai punti di distribuzione
Configurare sempre le distribuzioni per scaricare il contenuto dai punti di distribuzione anziché eseguirlo dai punti di distribuzione. Quando si configurano le distribuzioni per scaricare il contenuto da un punto di distribuzione ed eseguirlo in locale, il client Configuration Manager verifica l'hash del pacchetto dopo il download del contenuto. Il client elimina il pacchetto se l'hash non corrisponde all'hash nei criteri.
Se si configura la distribuzione per l'esecuzione direttamente da un punto di distribuzione, il client Configuration Manager non verifica l'hash del pacchetto. Questo comportamento significa che il client Configuration Manager può installare software manomesso.
Se è necessario eseguire le distribuzioni direttamente dai punti di distribuzione, usare le autorizzazioni NTFS minimi per i pacchetti nei punti di distribuzione. Usare anche internet protocol security (IPsec) per proteggere il canale tra il client e i punti di distribuzione e tra i punti di distribuzione e il server del sito.
Non consentire agli utenti di interagire con processi con privilegi elevati
Se si abilitano le opzioni Esegui con diritti amministrativi o Installa per il sistema, non consentire agli utenti di interagire con tali applicazioni. Quando si configura un'applicazione, è possibile impostare l'opzione su Consenti agli utenti di visualizzare e interagire con l'installazione del programma. Questa impostazione consente agli utenti di rispondere alle richieste necessarie nell'interfaccia utente. Se si configura anche l'applicazione per l'esecuzione con diritti amministrativi o installa per il sistema, un utente malintenzionato nel computer che esegue il programma potrebbe usare l'interfaccia utente per inoltrare i privilegi nel computer client.
Usare programmi che usano Windows Installer per l'installazione e privilegi elevati per utente per le distribuzioni software che richiedono credenziali amministrative. Il programma di installazione deve essere eseguito nel contesto di un utente che non dispone di credenziali amministrative. I privilegi elevati per utente di Windows Installer offrono il modo più sicuro per distribuire applicazioni con questo requisito.
Nota
Quando l'utente avvia il processo di installazione dell'applicazione da Software Center, l'opzione Consenti agli utenti di visualizzare e interagire con l'installazione del programma non può controllare le interazioni degli utenti con altri processi creati dal programma di installazione dell'applicazione. A causa di questo comportamento, anche se non si seleziona questa opzione, l'utente potrebbe comunque essere in grado di interagire con un processo con privilegi elevati. Per evitare questo problema, non distribuire applicazioni che creano altri processi con interazioni utente. Se è necessario installare questo tipo di applicazione, distribuirlo come Obbligatorio e configurare l'esperienza di notifica utente in Nascondi in Software Center e tutte le notifiche.
Limitare se gli utenti possono installare il software in modo interattivo
Configurare l'impostazione del client Install permissions nel gruppo Agente computer . Questa impostazione limita i tipi di utenti che possono installare software in Software Center.
Ad esempio, creare un'impostazione client personalizzata con autorizzazioni di installazione impostate su Solo amministratori. Applicare questa impostazione client a una raccolta di server. Questa configurazione impedisce agli utenti senza autorizzazioni amministrative di installare software in tali server.
Per altre informazioni, vedere Informazioni sulle impostazioni client.
Per i dispositivi mobili, distribuire solo le applicazioni firmate
Distribuire le applicazioni per dispositivi mobili solo se sono firmate dal codice da un'autorità di certificazione che il dispositivo mobile considera attendibile.
Ad esempio:
Un'applicazione di un fornitore, firmata da un provider di certificati pubblico e attendibile a livello globale.
Un'applicazione interna che si firma indipendentemente da Configuration Manager usando la CA interna.
Applicazione interna che viene eseguita tramite Configuration Manager quando si crea il tipo di applicazione e si usa un certificato di firma.
Proteggere la posizione del certificato di firma dell'applicazione per dispositivi mobili
Se si firmano applicazioni per dispositivi mobili tramite la Creazione guidata applicazione in Configuration Manager, proteggere il percorso del file del certificato di firma e proteggere il canale di comunicazione. Per proteggersi dall'elevazione dei privilegi e dagli attacchi man-in-the-middle, archiviare il file del certificato di firma in una cartella protetta.
Usare IPsec tra i computer seguenti:
- Il computer che esegue la console Configuration Manager
- Il computer che archivia il file di firma del certificato
- Il computer che archivia i file di origine dell'applicazione
Firmare invece l'applicazione indipendentemente da Configuration Manager e prima di eseguire la Creazione guidata applicazione.
Implementare i controlli di accesso
Per proteggere i computer di riferimento, implementare i controlli di accesso. Quando si configura il metodo di rilevamento in un tipo di distribuzione passando a un computer di riferimento, assicurarsi che il computer non sia compromesso.
Limitare e monitorare gli utenti amministrativi
Limitare e monitorare gli utenti amministratori a cui si concedono i ruoli di sicurezza basati sui ruoli di gestione delle applicazioni seguenti:
- Amministratore dell'applicazione
- Autore dell'applicazione
- Gestione distribuzione applicazioni
Anche quando si configura l'amministrazione basata sui ruoli, gli utenti amministratori che creano e distribuiscono applicazioni potrebbero avere più autorizzazioni di quanto si crei. Ad esempio, gli utenti amministratori che creano o modificano un'applicazione possono selezionare applicazioni dipendenti che non rientrano nell'ambito di sicurezza.
Configurare app App-V in ambienti virtuali con lo stesso livello di attendibilità
Quando si configura Microsoft ambienti virtuali Application Virtualization (App-V), selezionare le applicazioni con lo stesso livello di attendibilità nell'ambiente virtuale. Poiché le applicazioni in un ambiente virtuale App-V possono condividere risorse, come gli Appunti, configurare l'ambiente virtuale in modo che le applicazioni selezionate abbiano lo stesso livello di attendibilità.
Per altre informazioni, vedere Creare ambienti virtuali App-V.
Assicurarsi che le app macOS proveniano da un'origine attendibile
Se si distribuiscono applicazioni per dispositivi macOS, assicurarsi che i file di origine provenissero da un'origine attendibile. Lo strumento CMAppUtil non convalida la firma del pacchetto di origine. Assicurarsi che il pacchetto provenga da un'origine attendibile. Lo strumento CMAppUtil non è in grado di rilevare se i file sono stati manomessi.
Proteggere il file cmmac per le app macOS
Se si distribuiscono applicazioni per computer macOS, proteggere il percorso del .cmmac file. Lo strumento CMAppUtil genera questo file e quindi lo si importa in Configuration Manager. Questo file non è firmato o convalidato.
Proteggere il canale di comunicazione quando si importa il file in Configuration Manager. Per evitare manomissioni di questo file, archiviarlo in una cartella protetta. Usare IPsec tra i computer seguenti:
- Il computer che esegue la console Configuration Manager
- Il computer che archivia il
.cmmacfile
Usare HTTPS per le applicazioni Web
Se si configura un tipo di distribuzione di un'applicazione Web, usare HTTPS per proteggere la connessione. Se si distribuisce un'applicazione Web usando un collegamento HTTP anziché un collegamento HTTPS, il dispositivo potrebbe essere reindirizzato a un server non autorizzato. I dati trasferiti tra il dispositivo e il server potrebbero essere manomessi.
Problemi di sicurezza
Gli utenti con diritti limitati possono modificare i file che registrano la cronologia di distribuzione software nel computer client.
Poiché le informazioni sulla cronologia dell'applicazione non sono protette, un utente può modificare i file che segnalano se un'applicazione è installata.
I pacchetti App-V non sono firmati.
I pacchetti App-V in Configuration Manager non supportano la firma. Le firme digitali verificano che il contenuto proveni da un'origine attendibile e non sia stato modificato in transito. Non esiste alcuna mitigazione per questo problema di sicurezza. Seguire la procedura consigliata per la sicurezza per scaricare il contenuto da un'origine attendibile e da un percorso sicuro.
Le applicazioni App-V pubblicate possono essere installate da tutti gli utenti nel computer.
Quando un'applicazione App-V viene pubblicata in un computer, tutti gli utenti che accedono a tale computer possono installare l'applicazione. Non è possibile limitare gli utenti che possono installare l'applicazione dopo la pubblicazione.
Informazioni sulla privacy
La gestione delle applicazioni consente di eseguire qualsiasi applicazione, programma o script in qualsiasi client nella gerarchia. Configuration Manager non ha alcun controllo sui tipi di applicazioni, programmi o script eseguiti o sul tipo di informazioni che trasmettono. Durante il processo di distribuzione dell'applicazione, Configuration Manager potrebbero trasmettere informazioni che identificano il dispositivo e gli account di accesso tra client e server.
Configuration Manager mantiene le informazioni sullo stato del processo di distribuzione software. A meno che il client non comunichi tramite HTTPS, le informazioni sullo stato della distribuzione software non vengono crittografate durante la trasmissione. Le informazioni sullo stato non vengono archiviate in formato crittografato nel database.
L'uso di Configuration Manager'installazione dell'applicazione per installare software in modalità remota, interattiva o invisibile all'utente nei client potrebbe essere soggetto alle condizioni di licenza software per tale software. Questo uso è separato dalle Condizioni di licenza software per Configuration Manager. Esaminare e accettare sempre le Condizioni di licenza software prima di distribuire il software usando Configuration Manager.
Configuration Manager raccoglie dati di diagnostica e utilizzo sulle applicazioni, che vengono usati da Microsoft per migliorare le versioni future. Per altre informazioni, vedere Dati di diagnostica e utilizzo.
La distribuzione dell'applicazione non viene eseguita per impostazione predefinita e richiede diversi passaggi di configurazione.
Le funzionalità seguenti consentono una distribuzione efficiente del software:
L'affinità utente-dispositivo esegue il mapping di un utente ai dispositivi. Un amministratore Configuration Manager distribuisce il software a un utente. Il client installa automaticamente il software in uno o più computer usati più spesso dall'utente.
Software Center viene installato automaticamente in un dispositivo quando si installa il client Configuration Manager. Gli utenti modificano le impostazioni, cercano il software e installano il software da Software Center.
Informazioni sulla privacy dell'affinità utente-dispositivo
Configuration Manager potrebbero trasmettere informazioni tra i client e i sistemi del sito del punto di gestione. Le informazioni potrebbero identificare il computer, l'account di accesso e l'utilizzo riepilogato per gli account di accesso.
A meno che non si configuri il punto di gestione per richiedere la comunicazione HTTPS, le informazioni trasmesse tra il client e il server non vengono crittografate.
Le informazioni sull'utilizzo del computer e dell'account di accesso vengono usate per eseguire il mapping di un utente a un dispositivo. Configuration Manager archivia queste informazioni nei computer client, le invia ai punti di gestione e quindi le archivia nel database del sito. Per impostazione predefinita, il sito elimina le informazioni precedenti dal database dopo 90 giorni. Il comportamento di eliminazione è configurabile impostando l'attività di manutenzione del sito Delete Aged User Device Affinity Data .The deletion behavior is configurable by setting the Delete Aged User Device Affinity Data site maintenance.
Configuration Manager mantiene le informazioni sullo stato dell'affinità utente-dispositivo. A meno che i client non configurino la comunicazione con i punti di gestione tramite HTTPS, non crittografano le informazioni sullo stato durante la trasmissione. Il sito non archivia le informazioni sullo stato in formato crittografato nel database.
Le informazioni sull'utilizzo del computer e dell'accesso usate per stabilire l'affinità utente e dispositivo sono sempre abilitate. Gli utenti e gli utenti amministratori possono fornire informazioni sull'affinità utente-dispositivo.
Informazioni sulla privacy di Software Center
Software Center consente all'amministratore Configuration Manager di pubblicare qualsiasi applicazione, programma o script da eseguire per gli utenti. Configuration Manager non ha alcun controllo sui tipi di programmi o script pubblicati in Software Center o sul tipo di informazioni che trasmettono.
Configuration Manager potrebbero trasmettere informazioni tra i client e il punto di gestione. Le informazioni potrebbero identificare il computer e gli account di accesso. A meno che non si configuri il punto di gestione per richiedere la connessione dei client tramite HTTPS, le informazioni trasmesse tra il client e i server non vengono crittografate.
Le informazioni sulla richiesta di approvazione dell'applicazione vengono archiviate nel database Configuration Manager. Per le richieste annullate o negate, le voci della cronologia richieste corrispondenti vengono eliminate dopo 30 giorni per impostazione predefinita. È possibile configurare questo comportamento di eliminazione con l'attività di manutenzione del sito Delete Aged Application Request Data.You can configure this deletion behavior with the Delete Aged Application Request Data site maintenance task. Il sito non elimina mai le richieste di approvazione dell'applicazione in stati approvati e in sospeso.
Quando si installa il client Configuration Manager in un dispositivo, viene installato automaticamente Software Center.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per