Beveiliging en privacy voor toepassingsbeheer in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
Dit onderwerp wordt behandeld in de gids Software en besturingssystemen implementeren in System Center 2012 Configuration Manager en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).
Dit onderwerp bevat beveiligings- en privacy-informatie voor toepassingsbeheer in System Center 2012 Configuration Manager. Dit onderwerp bevat tevens de Application Catalog en Software Center.
Gebruik de volgende rubrieken voor meer informatie:
Aanbevolen beveiligingsprocedures voor toepassingsbeheer
- Beveiligingsproblemen voor toepassingsbeheer
Certificaten voor Microsoft Silverlight 5 en verhoogde vertrouwensmodus vereist voor de Application Catalog
Privacyinformatie voor toepassingsbeheer
Gebruikersaffiniteit apparaat
Application Catalog
Aanbevolen beveiligingsprocedures voor toepassingsbeheer
Gebruik de volgende aanbevolen beveiligingsprocedures voor toepassingsbeheer:
Aanbevolen beveiligingsprocedure |
Meer informatie |
---|---|
Configureer de Application Catalog-punten om HTTPS-verbindingen te gebruiken en informeer gebruikers inzake de gevaren van schadelijke websites. |
Configureer de Application Catalog-websitepunt en de Application Catalog-webservicepunt om HTTPS-verbindingen te aanvaarden zodat de server geverifieerd is voor gebruikers en de gegevens die overgedragen worden beveiligd zijn tegen knoeien en weergave. Voorkom aanvallen van sociale technieken door de gebruikers te leren dat ze enkel verbinding moeten maken met vertrouwde websites. Notitie Gebruik geen huismerkconfiguratieopties die de naam van uw organisatie weergeven in de Application Catalog als identiteitsbewijs, als u HTTPS niet gebruikt. |
Gebruik functiescheiding en installeer het Application Catalog-websitepunt en het Application Catalog-servicepunt op verschillende servers. |
Als geknoeid wordt met het Application Catalog-websitepunt, installeert u het op een andere server dan die van het Application Catalog-webservicepunt. Dit draagt bij tot het beveiligen van de Configuration Manager-clients en de Configuration Manager-infrastructuur. Dit is vooral belangrijk als het Application Catalog-websitepunt clientverbindingen van het internet aanvaardt, want deze configuratie maakt de server kwetsbaar voor aanvallen. |
Leer gebruikers om het browservenster te sluiten wanneer ze klaar zijn met het gebruik van de Application Catalog. |
Als gebruikers naar een externe website bladeren in hetzelfde browservenster dat ze gebruikten voor de Application Catalog, dan blijft de browser de beveiligingsinstellingen gebruiken die geschikt zijn voor vertrouwde sites in het intranet. |
Handmatig de gebruikersaffiniteit apparaat opgeven in plaats van gebruikers toe te staan hun primaire apparaat te identificeren en geen op gebruik gebaseerde configuratie inschakelen. |
Beschouw de informatie die verzameld wordt van gebruikers of van het apparaat niet als gezaghebbend. Als u software implementeert met behulp van de gebruikersaffiniteit apparaat die niet door een vertrouwde gebruiker met beheerdersrechten is opgegeven, is het mogelijk dat er software wordt geïnstalleerd op computers en naar gebruikers die geen machtigingen hebben om die software te ontvangen. |
Configureer altijd dat implementaties inhoud downloaden vanaf distributiepunten, in plaats van uitvoeren vanaf distributiepunten. |
Als u implementaties configureert om inhoud te downloaden vanaf een distributiepunt en lokaal uit te voeren, dan verifieert de Configuration Manager-client de pakket-hash na het downloaden van de inhoud en wordt het pakket verwijderd als de hash niet overeenstemt met de hash in het beleid. Als u daarentegen de implementatie configureert om rechtstreeks van een distributiepunt te worden uitgevoerd, verifieert de Configuration Manager-client de pakket-hash niet. Dit houdt in dat de Configuration Manager-client software kan installeren waar mee is geknoeid. Als u implementaties rechtstreeks moet uitvoeren vanaf distributiepunten, gebruikt u machtigingen voor NFS op de pakketten op de distributiepunten en gebruikt u IPsec om het kanaal tussen de client en de distributiepunten en tussen de distributiepunten en de siteserver te beveiligen. |
Gebruikers niet toestaan interacties uit te voeren met programma's als de optie Uitvoeren met beheerdersrechten is vereist. |
Bij het configureren van een programma, kunt u de optie Gebruikers toestaan met dit programma te werken instellen, zodat gebruikers op de vereiste prompts in de gebruikersinterface kunnen reageren. Als het programma ook is geconfigureerd voor Uitvoeren met beheerdersrechten, zou een kwaadwillende persoon op de computer die het programma uitvoert de gebruikersinterface kunnen gebruiken om privileges te escaleren op de clientcomputer. Gebruik setup-programma's van Windows Installer met per gebruiker verhoogde bevoegdheden voor software-implementaties die beheerdersreferenties vereisen, maar die moeten worden uitgevoerd in de context van een gebruiker die geen beheerdersreferenties heeft. Windows Installer met per gebruiker verhoogde bevoegdheden biedt de veiligste wijze om toepassingen met deze vereiste te implementeren. |
Beperk of gebruikers interactief software kunnen installeren met behulp van de clientinstelling Installatiemachtigingen. |
Configureer de Installatiemachtigingen voor clientapparaatinstelling van Computeragent om het type gebruikers te beperken die software kunnen installeren met behulp van de Application Catalog of Software Center. Maak bijvoorbeeld een aangepaste clientinstelling met Installatiemachtigingen ingesteld op Alleen beheerders. Deze clientinstelling vervolgens toepassen op een verzameling servers om te voorkomen dat gebruikers zonder beheerdersrechten software op deze computers kunnen installeren. |
Implementeer voor mobiele apparaten alleen toepassingen die zijn ondertekend |
Implementeer mobiele apparaten enkel als de code is ondertekend door een certificaatsinstantie die wordt vertrouwd door het mobiele apparaat. Bijvoorbeeld:
|
Als u toepassingen voor mobiele apparaten ondertekent met behulp van de Wizard Toepassing maken in Configuration Manager, beveiligt u de locatie van het handtekeningcertificaatbestand en beveiligt u het communicatiekanaal. |
Ter beveiliging tegen verhoging van bevoegdheden en tegen man-in-the-middle-aanvallen, het handtekeningcertificaatbestand opslaan in een beveiligde map en IPsec of SMB tussen de volgende computers gebruiken:
U kunt ook de toepassing ondertekenen onafhankelijk van Configuration Manager voordat u de Wizard Toepassing maken uitvoert. |
Toegangsbeheer implementeren om referentiecomputers te beveiligen. |
Wanneer een gebruiker met beheerdersrechten de detectiemethode in een implementatietype configureert door te bladeren naar een referentiecomputer, moet u er zeker van zijn dat de computer niet is aangetast. |
Beperk en controleer gebruikers met beheerdersrechten waaraan op rollen gebaseerde beveiligingsrollen wordt verleend die verband houden met toepassingsbeheer:
|
Zelfs wanneer u op rollen gebaseerd beheer configureert, is het mogelijk dat gebruikers met beheerdersrechten die toepassingen maken en implementeren meer machtigingen hebben dan u beseft. Als gebruikers met beheerdersrechten bijvoorbeeld een toepassing maken of wijzigen, kunnen ze toepassingen selecteren die ervan afhankelijk zijn, maar die niet onder het beveiligingsbereik vallen. |
Notitie Voor System Center 2012 Configuration Manager SP1 en later: Als u virtuele Microsoft App-V-omgevingen (Application Virtualization) configureert, selecteert u toepassingen in de virtuele omgeving met hetzelfde vertrouwensniveau. |
Toepassingen in een App-V virtuele omgeving kunnen bronnen delen, zoals het klembord. Daarom configureert u de virtuele omgeving zodat de geselecteerde toepassingen hetzelfde vertrouwensniveau hebben. Zie Hoe virtuele omgevingen van App-V in Configuration Manager creëren voor meer informatie. |
Zorg ervoor dat de bronbestanden afkomstig zijn van een betrouwbare bron als u toepassingen implementeert voor Mac-computers. |
Het hulpprogramma CMAppUtil valideert de handtekening van het bronpakket niet, zorg daarom dat het afkomstig is van een bron die u vertrouwt. Het hulpprogramma CMAppUtil kan niet detecteren of er werd geknoeid met de bestanden. |
Als u toepassingen implementeert voor Mac-computers, beveilig de locatie van het .cmmac-bestand en beveilig het communicatiekanaal bij het importeren van dit bestand in Configuration Manager. |
U slaat het niet ondertekende of gevalideerde .cmmac-bestand op dat het hulpprogramma CMAppUtil genereert en dat u importeert in Configuration Manager, om geknoei aan dit bestand te voorkomen, in een beveiligde map en u gebruikt IPsec of SMB tussen de volgende computers:
|
Voor System Center 2012 R2 Configuration Manager en later: Als u een implementatietype van de webtoepassing configureert, gebruikt u HTTPS in plaats van HTTP om de verbinding te beveiligen |
Als u een webtoepassing implementeert met behulp van een HTTP-koppeling in plaats van een HTTPS-koppeling, kan het apparaat worden doorgestuurd naar een rogue server en kan worden geknoeid met gegevens die overgedragen worden tussen het apparaat en de server. |
Beveiligingsproblemen voor toepassingsbeheer
Toepassingsbeheer heeft de volgende beveiligingsproblemen:
Gebruikers met beperkte rechten kunnen bestanden van de clientcache naar de clientcomputer kopiëren .
Gebruikers kunnen de clientcache lezen, maar er niet op schrijven. Met leesmachtigingen kan een gebruiker toepassingsinstallatiebestanden van een computer naar een andere computer kopiëren.
Gebruikers met beperkte rechten kunnen bestanden wijzigen die de geschiedenis van de software-implementatie op de clientcomputer opnemen.
De informatie van toepassingsgeschiedenis is niet beveiligd en dus kan een gebruiker bestanden wijzigen die rapporteren of een toepassing geïnstalleerd is.
App-V-pakketten zijn niet ondertekend.
App-V-pakketten in Configuration Manager ondersteunen geen ondertekening om te controleren dat de inhoud afkomstig is van een vertrouwde bron en dat die niet in overdracht is gewijzigd. Er is geen beperking op dit beveiligingsprobleem. Zorg dat u de aanbevolen beveiligingsprocedure opvolgt om de inhoud van een vertrouwde bron en van een veilige locatie te downloaden.
Gepubliceerde App-V-toepassingen kunnen door alle gebruikers op de computer worden geïnstalleerd.
Als een App-V-toepassing op een computer is gepubliceerd, kunnen alle gebruikers die zich aanmelden op deze computer de toepassing installeren. Dit betekent dat u niet kunt beperken welke gebruikers de toepassingen kunnen installeren na de publicatie.
U kunt installatiemachtigingen voor de bedrijfsportal niet beperken
U kunt een clientinstelling configureren om installatiemachtigingen te beperken, bijvoorbeeld tot primaire gebruikers van een apparaat of tot lokale beheerders enkel, niettemin werkt deze instelling niet voor de bedrijfsportal. Dit zou kunnen leiden tot verhoging van bevoegdheden want een gebruiker zou een app kunnen installeren die niet zou mogen worden geïnstalleerd.
Certificaten voor Microsoft Silverlight 5 en verhoogde vertrouwensmodus vereist voor de Application Catalog
Notitie
Alleen voor System Center 2012 Configuration Manager SP1 en System Center 2012 R2 Configuration Manager.
System Center 2012 Configuration Manager SP1 en System Center 2012 R2 Configuration Manager-clients vereisen Microsoft Silverlight 5, die moet worden uitgevoerd in verhoogde vertrouwensmodus voor gebruikers om software te installeren uit de Application Catalog. Silverlight-toepassingen worden standaard uitgevoerd in gedeeltelijke vertrouwensmodus om te verhinderen dat toepassingen toegang zouden krijgen tot gebruikersgegevens. Configuration Manager installeert automatisch Microsoft Silverlight 5 op clients indien dit nog niet is geïnstalleerd en configureert standaard de computeragent-clientinstelling Toestaan dat Silverlight-toepassingen worden uitgevoerd in verhoogde vertrouwde modus in Ja. Deze instelling staat ondertekende en vertrouwde Silverlight-toepassingen toe om een verhoogde vertrouwensmodus aan te vragen.
Als u de sitesysteemrol Application Catalog-websitepunt installeert, dan installeert de client eveneens een Microsoft-handtekeningcertificaat in het certificaatarchief Vertrouwde uitgevers van de computer op elke Configuration Manager-clientcomputer. Met dit certificaat kan Silverlight toepassingen uitvoeren die ondertekend zijn in dit certificaat, in de verhoogde vertrouwensmodus die de computers vereisen om software te installeren vanuit de Application Catalog. Configuration Manager beheert automatisch dit handtekeningcertificaat. Dit Microsoft-handtekeningcertificaat niet handmatig verwijderen of verplaatsen om te zorgen voor de continuïteit van de service.
Waarschuwing |
---|
Als de clientinstelling Toestaan dat Silverlight-toepassingen worden uitgevoerd in verhoogde vertrouwde modus is ingeschakeld is, wordt toegestaan om alle Silverlight-toepassingen die zijn ondertekend door certificaten in het certificaatarchief van Vertrouwde uitgevers in het computerarchief of gebruikersarchief, in verhoogde vertrouwensmodus uit te voeren. De clientinstelling kan verhoogde vertrouwensmodus niet speciaal inschakelen voor de Configuration Manager Application Catalog of voor het certificaatarchief van Vertrouwde uitgevers in het computerarchief. Als malware een rogue certificaat toevoegt aan het Vertrouwde uitgeversarchief, bijvoorbeeld in het gebruikersarchief, kan malware met eigen Silverlight-toepassing nu ook in verhoogde vertrouwensmodus uitgevoerd worden. |
Als u de clientinstelling Toestaan dat Silverlight-toepassingen worden uitgevoerd in verhoogde vertrouwde modus configureert als Nee dan wordt het Microsoft-handtekeningcertificaat niet van clients verwijderd.
Zie Trusted Applications (Vertrouwde toepassingen) voor meer informatie inzake vertrouwde toepassingen in Silverlight.
Privacyinformatie voor toepassingsbeheer
Toepassingsbeheer staat toe elke toepassing, programma of script uit te voeren op elke clientcomputer of mobiel apparaat van de client in de hiërarchie. Configuration Manager heeft geen controle over de typen toepassingen, programma's of scripts die u uitvoert of over het type informatie die deze overdragen. Tijdens het toepassingsimplementatieproces, kan Configuration Manager mogelijk informatie overdragen tussen clients en servers, waarmee het apparaat en de aanmeldingsaccounts worden geïdentificeerd.
Configuration Manager houdt de statusinformatie bij over het software-implementatieproces. De statusinformatie van de software-implementatie wordt tijdens de verzending niet versleuteld, tenzij de client via HTTPS communiceert. De statusinformatie wordt niet in een versleutelde vorm opgeslagen in de database.
Het gebruik van Configuration Manager-software-installatie om de installatie vanaf een externe bron, interactief of op de achtergrond op clients te laten plaatsvinden, is misschien onderworpen aan softwarelicentievoorwaarden voor die software, en maakt geen deel uit van de licentievoorwaarden voor software voor System Center 2012 Configuration Manager. Controleer altijd of u met de licentievoorwaarden voor software kunt instemmen voor u software implementeert via Configuration Manager.
Implementatie van software vindt niet standaard plaats en vereist verschillende configuratiestappen.
De twee optionele functies die een hulpmiddel zijn voor een efficiënte software-implementatie zijn apparaataffiniteit van gebruikers en de toepassingscatalogus:
Apparaataffiniteit van gebruikers wijst een gebruiker toe aan apparaten, zodat een Configuration Manager-beheerder software op een gebruiker kan implementeren; de software wordt dan automatisch op een of meer computers geïnstalleerd die de gebruiker het meest gebruikt.
De toepassingscatalogus is een website via welke gebruikers software aanvragen die zij willen installeren.
Bekijk de volgende secties voor privacyinformatie over apparaataffiniteit van gebruikers en de toepassingscatalogus.
Bedenk wat uw privacyvereisten zijn voordat u toepassingsbeheer configureert.
Gebruikersaffiniteit apparaat
Configuration Manager verzendt mogelijk informatie tussen clients en beheerpuntsitesystemen die de computer, het aanmeldingsaccount en het samengevatte gebruik van aanmeldingsaccounts identificeert.
De informatie die tussen de client en server wordt verzonden, is niet versleuteld, tenzij het beheerpunt geconfigureerd is om clients te verplichten te communiceren via HTTPS.
De gebruiksgegevens van de computer en het aanmeldingsaccount waarmee een gebruiker aan een apparaat wordt toegewezen, wordt opgeslagen op clientcomputers, verzonden naar beheerpunten en daarna in de Configuration Manager-database opgeslagen. De oude informatie wordt standaard na 90 dagen van de database verwijderd. U kunt het verwijderingsgedrag configureren door de siteonderhoudstaak Verouderde gegevens apparaataffiniteit voor gebruikers verwijderen in te stellen.
Configuration Manager houdt de statusinformatie bij over apparaataffiniteit van gebruikers. De statusinformatie is tijdens de verzending niet versleuteld, tenzij client zijn geconfigureerd om via HTTPS met beheerpunten te communiceren. De statusinformatie wordt niet in een versleutelde vorm opgeslagen in de database.
De gebruiksgegevens van de computer en het aanmeldingsaccount en de statusinformatie wordt niet naar Microsoft verzonden.
De gebruikersgegevens van de computer en aanmelding waarmee de affiniteit tussen gebruiker en apparaat wordt vastgesteld, is altijd ingeschakeld. Bovendien kunnen gebruikers en gebruikers met beheerdersrechten voorzien in informatie over apparaataffiniteit van gebruikers.
Application Catalog
Via de toepassingscatalogus kan de Configuration Manager-beheerder een toepassing, programma of script publiceren die gebruikers kunnen uitvoeren. Configuration Manager heeft geen controle over het type programma's of scripts in de catalogus worden gepubliceerd of het type informatie dat wordt verzonden.
Configuration Manager kan informatie verzenden tussen clients en de sitesysteemrollen van de toepassingscatalogus die de computer en het aanmeldingsaccount identificeren. De informatie die tussen de client en server wordt verzonden, is niet versleuteld, tenzij deze sitesysteemrollen worden geconfigureerd om clients verplicht verbinding te laten maken via HTTPS.
De informatie over de goedkeuringsaanvraag voor toepassingen wordt in de Configuration Manager-database opgeslagen. De geannuleerde of afgewezen aanvragen worden standaard na 30 dagen verwijderd, samen met de daarmee samenhangende geschiedenisvermeldingen. U kunt het verwijderingsgedrag configureren door de siteonderhoudstaak Verouderde gegevens toepassingsaanvraag verwijderen in te stellen. De goedkeuringsaanvragen voor toepassingen die de status Goedgekeurd en In behandeling hebben, worden nooit verwijderd.
Informatie die is verzonden van of naar de toepassingscatalogus wordt niet naar Microsoft verzonden.
De toepassingscatalogus is niet standaard geïnstalleerd. Deze installatie vereist verschillende configuratiestappen.