Beveiliging en privacy voor toepassingsbeheer in Configuration Manager

  • Artikel

Van toepassing op: Configuration Manager (current branch)

Beveiligingsrichtlijnen

Gebruikersaffiniteit voor apparaten centraal opgeven

Geef handmatig de affiniteit van het gebruikersapparaat op in plaats van gebruikers hun primaire apparaat te laten identificeren. Schakel geen configuratie op basis van gebruik in.

Beschouw informatie die wordt verzameld van gebruikers of van het apparaat niet als gezaghebbend. Als u software implementeert met behulp van gebruikersaffiniteit voor apparaten die een vertrouwde beheerder niet opgeeft, kan de software worden geïnstalleerd op computers en voor gebruikers die niet gemachtigd zijn om die software te ontvangen.

Geen implementaties uitvoeren vanaf distributiepunten

Configureer implementaties altijd om inhoud te downloaden van distributiepunten in plaats van uit te voeren vanaf distributiepunten. Wanneer u implementaties configureert om inhoud van een distributiepunt te downloaden en lokaal uit te voeren, controleert de Configuration Manager-client de pakket-hash nadat de inhoud is gedownload. De client verwijdert het pakket als de hash niet overeenkomt met de hash in het beleid.

Als u de implementatie configureert om rechtstreeks vanaf een distributiepunt te worden uitgevoerd, controleert de Configuration Manager-client de pakket-hash niet. Dit gedrag betekent dat de Configuration Manager-client software kan installeren waarmee is geknoeid.

Als u implementaties rechtstreeks vanaf distributiepunten moet uitvoeren, gebruikt u de minimale NTFS-machtigingen voor de pakketten op de distributiepunten. Gebruik ook IPsec (Internet Protocol Security) om het kanaal te beveiligen tussen de client en de distributiepunten, en tussen de distributiepunten en de siteserver.

Gebruikers niet laten communiceren met verhoogde processen

Als u de opties Uitvoeren met beheerdersrechten of Installeren voor systeem inschakelt, moet u gebruikers niet laten werken met deze toepassingen. Wanneer u een toepassing configureert, kunt u de optie Toestaan dat gebruikers de installatie van het programma bekijken en ermee werken instellen. Met deze instelling kunnen gebruikers reageren op alle vereiste prompts in de gebruikersinterface. Als u de toepassing ook configureert op Uitvoeren met beheerdersrechten of Installeren voor systeem, kan een aanvaller op de computer waarop het programma wordt uitgevoerd, de gebruikersinterface gebruiken om bevoegdheden op de clientcomputer te escaleren.

Gebruik programma's die gebruikmaken van Windows Installer voor installatie en verhoogde bevoegdheden per gebruiker voor software-implementaties waarvoor beheerdersreferenties zijn vereist. De installatie moet worden uitgevoerd in de context van een gebruiker die geen beheerdersreferenties heeft. Verhoogde bevoegdheden van Windows Installer per gebruiker bieden de veiligste manier om toepassingen met deze vereiste te implementeren.

Opmerking

Wanneer de gebruiker het installatieproces van de toepassing start vanuit Software Center, kan de optie Gebruikers toestaan om de installatie van het programma te bekijken en te gebruiken , geen controle hebben over gebruikersinteracties met andere processen die door het installatieprogramma van de toepassing zijn gemaakt. Vanwege dit gedrag kan de gebruiker, zelfs als u deze optie niet selecteert, nog steeds werken met een proces met verhoogde bevoegdheden. U kunt dit probleem voorkomen door geen toepassingen te implementeren die andere processen met gebruikersinteracties maken. Als u dit type toepassing moet installeren, implementeert u deze als Vereist en configureert u de gebruikersmeldingservaring op Verbergen in Software Center en alle meldingen.

Beperken of gebruikers software interactief kunnen installeren

Configureer de clientinstelling Machtigingen installeren in de groep Computeragent . Met deze instelling worden de typen gebruikers beperkt die software kunnen installeren in Software Center.

Maak bijvoorbeeld een aangepaste clientinstelling met Installatiemachtigingen ingesteld op Alleen beheerders. Pas deze clientinstelling toe op een verzameling servers. Deze configuratie voorkomt dat gebruikers zonder beheerdersmachtigingen software op die servers installeren.

Zie Over clientinstellingen voor meer informatie.

Implementeer voor mobiele apparaten alleen ondertekende toepassingen

Implementeer toepassingen voor mobiele apparaten alleen als ze zijn ondertekend door een certificeringsinstantie (CA) die het mobiele apparaat vertrouwt.

Bijvoorbeeld:

  • Een toepassing van een leverancier, die is ondertekend door een openbare en wereldwijd vertrouwde certificaatprovider.

  • Een interne toepassing die u onafhankelijk van Configuration Manager met behulp van uw interne CA.

  • Een interne toepassing die u ondertekent met behulp van Configuration Manager wanneer u het toepassingstype maakt en een handtekeningcertificaat gebruikt.

De locatie van het handtekeningcertificaat van de toepassing voor mobiele apparaten beveiligen

Als u toepassingen voor mobiele apparaten ondertekent met behulp van de wizard Toepassing maken in Configuration Manager, beveiligt u de locatie van het handtekeningcertificaatbestand en beveiligt u het communicatiekanaal. Ter bescherming tegen uitbreiding van bevoegdheden en man-in-the-middle-aanvallen slaat u het handtekeningcertificaatbestand op in een beveiligde map.

IPsec gebruiken tussen de volgende computers:

  • De computer waarop de Configuration Manager-console wordt uitgevoerd
  • De computer waarop het certificaatondertekeningsbestand wordt opgeslagen
  • De computer waarop de bronbestanden van de toepassing worden opgeslagen

In plaats daarvan ondertekent u de toepassing onafhankelijk van Configuration Manager en voordat u de wizard Toepassing maken uitvoert.

Toegangsbeheer implementeren

Als u referentiecomputers wilt beveiligen, implementeert u toegangsbeheer. Wanneer u de detectiemethode in een implementatietype configureert door naar een referentiecomputer te bladeren, controleert u of de computer niet is gecompromitteerd.

Gebruikers met beheerdersrechten beperken en bewaken

Beperk en bewaak de gebruikers met beheerdersrechten die u de volgende op rollen gebaseerde beveiligingsrollen voor toepassingsbeheer verleent:

  • Toepassingsbeheerder
  • Toepassingsauteur
  • Application Deployment Manager

Zelfs wanneer u op rollen gebaseerd beheer configureert, hebben gebruikers met beheerdersrechten die toepassingen maken en implementeren mogelijk meer machtigingen dan u zich realiseert. Gebruikers met beheerdersrechten die een toepassing maken of wijzigen, kunnen bijvoorbeeld afhankelijke toepassingen selecteren die niet binnen hun beveiligingsbereik vallen.

App-V-apps configureren in virtuele omgevingen met hetzelfde vertrouwensniveau

Wanneer u Microsoft virtuele app-V-omgevingen (Application Virtualization) configureert, selecteert u toepassingen met hetzelfde vertrouwensniveau in de virtuele omgeving. Omdat toepassingen in een virtuele App-V-omgeving resources kunnen delen, zoals het klembord, configureert u de virtuele omgeving zo dat de geselecteerde toepassingen hetzelfde vertrouwensniveau hebben.

Zie Virtuele App-V-omgevingen maken voor meer informatie.

Zorg ervoor dat macOS-apps afkomstig zijn van een betrouwbare bron

Als u toepassingen voor macOS-apparaten implementeert, moet u ervoor zorgen dat de bronbestanden afkomstig zijn van een betrouwbare bron. Het hulpprogramma CMAppUtil valideert de handtekening van het bronpakket niet. Zorg ervoor dat het pakket afkomstig is van een bron die u vertrouwt. Het hulpprogramma CMAppUtil kan niet detecteren of er met de bestanden is geknoeid.

Het cmmac-bestand voor macOS-apps beveiligen

Als u toepassingen voor macOS-computers implementeert, beveiligt u de locatie van het .cmmac bestand. Het hulpprogramma CMAppUtil genereert dit bestand en vervolgens importeert u het in Configuration Manager. Dit bestand is niet ondertekend of gevalideerd.

Beveilig het communicatiekanaal wanneer u dit bestand importeert in Configuration Manager. Sla het bestand op in een beveiligde map om manipulatie met dit bestand te voorkomen. IPsec gebruiken tussen de volgende computers:

  • De computer waarop de Configuration Manager-console wordt uitgevoerd
  • De computer waarop het .cmmac bestand wordt opgeslagen

HTTPS gebruiken voor webtoepassingen

Als u een implementatietype voor een webtoepassing configureert, gebruikt u HTTPS om de verbinding te beveiligen. Als u een webtoepassing implementeert met behulp van een HTTP-koppeling in plaats van een HTTPS-koppeling, kan het apparaat worden omgeleid naar een rogue server. Er kan worden geknoeid met gegevens die worden overgedragen tussen het apparaat en de server.

Beveiligingsproblemen

  • Gebruikers met lage rechten kunnen bestanden wijzigen die de software-implementatiegeschiedenis op de clientcomputer vastleggen.

    Omdat de informatie over de toepassingsgeschiedenis niet is beveiligd, kan een gebruiker bestanden wijzigen die aangeven of een toepassing is geïnstalleerd.

  • App-V-pakketten zijn niet ondertekend.

    App-V-pakketten in Configuration Manager bieden geen ondersteuning voor ondertekening. Digitale handtekeningen controleren of de inhoud afkomstig is van een vertrouwde bron en niet is gewijzigd tijdens de overdracht. Er is geen beperking voor dit beveiligingsprobleem. Volg de best practice voor beveiliging om de inhoud te downloaden van een vertrouwde bron en van een veilige locatie.

  • Gepubliceerde App-V-toepassingen kunnen door alle gebruikers op de computer worden geïnstalleerd.

    Wanneer een App-V-toepassing op een computer wordt gepubliceerd, kunnen alle gebruikers die zich aanmelden bij die computer de toepassing installeren. U kunt de gebruikers die de toepassing kunnen installeren niet beperken nadat deze is gepubliceerd.

Privacy-informatie

Met toepassingsbeheer kunt u elke toepassing, programma of script uitvoeren op elke client in de hiërarchie. Configuration Manager heeft geen controle over de typen toepassingen, programma's of scripts die u uitvoert of het type informatie dat ze verzenden. Tijdens het implementatieproces van de toepassing verzendt Configuration Manager mogelijk informatie die het apparaat en de aanmeldingsaccounts identificeert tussen clients en servers.

Configuration Manager onderhoudt statusinformatie over het software-implementatieproces. Tenzij de client communiceert via HTTPS, wordt de informatie over de status van de software-implementatie niet versleuteld tijdens de overdracht. De statusgegevens worden niet versleuteld opgeslagen in de database.

Het gebruik van Configuration Manager toepassingsinstallatie om software op afstand, interactief of op de achtergrond te installeren op clients, kan onderhevig zijn aan softwarelicentievoorwaarden voor die software. Dit gebruik staat los van de softwarelicentievoorwaarden voor Configuration Manager. Controleer en ga altijd akkoord met de softwarelicentievoorwaarden voordat u software implementeert met behulp van Configuration Manager.

Configuration Manager verzamelt diagnostische gegevens en gebruiksgegevens over toepassingen, die door Microsoft worden gebruikt om toekomstige releases te verbeteren. Zie Diagnostische gegevens en gebruiksgegevens voor meer informatie.

Toepassingsimplementatie vindt niet standaard plaats en vereist verschillende configuratiestappen.

De volgende functies helpen bij een efficiënte software-implementatie:

  • Gebruikersaffiniteit met apparaat wijst een gebruiker toe aan apparaten. Een Configuration Manager-beheerder implementeert software voor een gebruiker. De client installeert de software automatisch op een of meer computers die de gebruiker het vaakst gebruikt.

  • Software Center wordt automatisch geïnstalleerd op een apparaat wanneer u de Configuration Manager-client installeert. Gebruikers wijzigen instellingen, zoeken naar software en installeren software vanuit Software Center.

Privacy-informatie over gebruikersaffiniteit met apparaat

  • Configuration Manager kan informatie verzenden tussen clients en beheerpuntsitesystemen. De informatie kan de computer, het aanmeldingsaccount en het samengevatte gebruik voor aanmeldingsaccounts identificeren.

  • Tenzij u het beheerpunt configureert om HTTPS-communicatie te vereisen, wordt de informatie die wordt verzonden tussen de client en de server niet versleuteld.

  • De gebruiksgegevens van de computer en het aanmeldingsaccount worden gebruikt om een gebruiker toe te wijzen aan een apparaat. Configuration Manager deze informatie op clientcomputers opslaat, verzendt deze naar beheerpunten en slaat deze vervolgens op in de sitedatabase. De site verwijdert standaard na 90 dagen oude gegevens uit de database. Het verwijderingsgedrag kan worden geconfigureerd door de siteonderhoudstaak Verouderde gebruikersaffiniteitsgegevens voor apparaataffiniteitsgegevens verwijderen in te stellen.

  • Configuration Manager onderhoudt statusinformatie over affiniteit van gebruikersapparaten. Tenzij u clients configureert om te communiceren met beheerpunten via HTTPS, versleutelen ze de statusgegevens niet tijdens de overdracht. De site slaat statusgegevens niet in versleutelde vorm op in de database.

  • Informatie over computer- en aanmeldingsgebruik die wordt gebruikt om gebruikers- en apparaataffiniteit tot stand te brengen, is altijd ingeschakeld. Gebruikers en gebruikers met beheerdersrechten kunnen informatie over apparaataffiniteit van gebruikers opgeven.

Privacy-informatie over Software Center

  • Met Software Center kan de Configuration Manager-beheerder elke toepassing, programma of script publiceren die gebruikers kunnen uitvoeren. Configuration Manager heeft geen controle over de typen programma's of scripts die worden gepubliceerd in Software Center of het type informatie dat ze verzenden.

  • Configuration Manager kan informatie verzenden tussen clients en het beheerpunt. De informatie kan de computer- en aanmeldingsaccounts identificeren. Tenzij u het beheerpunt configureert om te vereisen dat clients verbinding maken via HTTPS, wordt de informatie die wordt verzonden tussen de client en servers niet versleuteld.

  • De informatie over de aanvraag voor goedkeuring van de toepassing wordt opgeslagen in de Configuration Manager-database. Voor aanvragen die worden geannuleerd of geweigerd, worden de bijbehorende vermeldingen in de aanvraaggeschiedenis standaard na 30 dagen verwijderd. U kunt dit verwijderingsgedrag configureren met de siteonderhoudstaak Verouderde toepassingsaanvraaggegevens verwijderen . De site verwijdert nooit goedkeuringsaanvragen voor toepassingen die zijn goedgekeurd en in behandeling zijn.

  • Wanneer u de Configuration Manager-client op een apparaat installeert, wordt Software Center automatisch geïnstalleerd.