Безопасность и конфиденциальность управления приложениями в Configuration Manager
Относится к Configuration Manager (Current Branch)
Руководство по безопасности
Централизованное определение сопоставления пользователей и устройств
Вручную укажите сопоставление пользователей и устройств вместо того, чтобы позволить пользователям идентифицировать свое основное устройство. Не включайте конфигурацию на основе использования.
Не рассматривайте сведения, собранные от пользователей или устройства, как заслуживающие доверия. Если вы развертываете программное обеспечение с помощью сопоставления пользователей и устройств, которое не указывает доверенный администратор, программное обеспечение может быть установлено на компьютерах и для пользователей, которые не имеют прав на получение этого программного обеспечения.
Не запускайте развертывания из точек распространения
Всегда настраивайте развертывания для загрузки содержимого из точек распространения, а не из точек распространения. При настройке развертываний для загрузки содержимого из точки распространения и локального запуска клиент Configuration Manager проверяет хэш пакета после скачивания содержимого. Клиент удаляет пакет, если хэш не соответствует хэшу в политике.
Если вы настроите развертывание для запуска непосредственно из точки распространения, клиент Configuration Manager не проверяет хэш пакета. Это означает, что клиент Configuration Manager может установить программное обеспечение, которое было изменено.
Если необходимо запускать развертывания непосредственно из точек распространения, используйте минимальные разрешения NTFS для пакетов в точках распространения. Также используйте протокол IPsec для защиты канала между клиентом и точками распространения, а также между точками распространения и сервером сайта.
Не позволяйте пользователям взаимодействовать с процессами с повышенными привилегиями
Если включить параметры Запуска с правами администратора или Установить для системы, не разрешайте пользователям взаимодействовать с этими приложениями. При настройке приложения можно задать параметр Разрешить пользователям просматривать установку программы и взаимодействовать с ней. Этот параметр позволяет пользователям отвечать на все необходимые запросы в пользовательском интерфейсе. Если вы также настроите приложение для запуска с правами администратора или установки для системы, злоумышленник на компьютере, на котором выполняется программа, может использовать пользовательский интерфейс для повышения привилегий на клиентском компьютере.
Используйте программы, использующие установщик Windows для установки, и повышенные привилегии для отдельных пользователей для развертываний программного обеспечения, для которых требуются учетные данные администратора. Программа установки должна выполняться в контексте пользователя, у которого нет учетных данных администратора. Повышенные привилегии установщика Windows для каждого пользователя обеспечивают наиболее безопасный способ развертывания приложений с этим требованием.
Примечание.
Когда пользователь запускает процесс установки приложения из Центра программного обеспечения, параметр Разрешить пользователям просматривать установку программы и взаимодействовать с ним не может управлять взаимодействием пользователя с другими процессами, созданными установщиком приложений. Из-за этого поведения, даже если этот параметр не выбран, пользователь по-прежнему может взаимодействовать с процессом с повышенными привилегиями. Чтобы избежать этой проблемы, не развертывайте приложения, которые создают другие процессы с взаимодействием с пользователем. Если вам нужно установить приложение этого типа, разверните его как обязательное и настройте для пользовательского интерфейса уведомлений скрытие в центре программного обеспечения и всех уведомлений.
Ограничение возможности пользователями устанавливать программное обеспечение в интерактивном режиме
Настройте параметр клиента Установить разрешения в группе Агент компьютера . Этот параметр ограничивает типы пользователей, которые могут устанавливать программное обеспечение в Центре программного обеспечения.
Например, создайте настраиваемый параметр клиента с разрешениями на установку , для которым задано значение Только администраторы. Примените этот параметр клиента к коллекции серверов. Эта конфигурация запрещает пользователям без административных разрешений устанавливать программное обеспечение на этих серверах.
Дополнительные сведения см. в разделе О параметрах клиента.
Для мобильных устройств развертывайте только подписанные приложения.
Развертывайте приложения для мобильных устройств, только если они подписаны центром сертификации (ЦС), которому доверяет мобильное устройство.
Например:
Приложение от поставщика, подписанное общедоступным и глобальным поставщиком сертификатов.
Внутреннее приложение, которое вы подписываете независимо от Configuration Manager с помощью внутреннего ЦС.
Внутреннее приложение, которое вы подписываете с помощью Configuration Manager при создании типа приложения и использовании сертификата подписи.
Защита расположения сертификата для подписи мобильного устройства
Если вы подписываете приложения мобильных устройств с помощью мастера создания приложений в Configuration Manager, защитите расположение файла сертификата подписи и защитите канал связи. Чтобы защититься от повышения привилегий и атак типа "злоумышленник в середине", сохраните файл сертификата подписи в защищенной папке.
Используйте IPsec между следующими компьютерами:
- Компьютер, на котором запущена консоль Configuration Manager
- Компьютер, на котором хранится файл подписи сертификата;
- Компьютер, на котором хранятся исходные файлы приложения;
Вместо этого подпишите приложение независимо от Configuration Manager и перед запуском мастера создания приложений.
Реализация элементов управления доступом
Чтобы защитить эталонные компьютеры, реализуйте элементы управления доступом. При настройке метода обнаружения в типе развертывания путем перехода на эталонный компьютер убедитесь, что компьютер не скомпрометирован.
Ограничение и мониторинг пользователей с правами администратора
Ограничьте и отслеживайте администраторов, которым предоставляются следующие роли безопасности на основе ролей управления приложениями:
- Администратор приложений
- Автор приложения
- Диспетчер развертывания приложений
Даже при настройке ролевого администрирования администраторы, создающие и развертывающие приложения, могут иметь больше разрешений, чем вы понимаете. Например, пользователи с правами администратора, создающие или изменяющие приложение, могут выбирать зависимые приложения, которые не в их области безопасности.
Настройка приложений App-V в виртуальных средах с одинаковым уровнем доверия
При настройке виртуальных сред Майкрософт Application Virtualization (App-V) выберите приложения с одинаковым уровнем доверия в виртуальной среде. Так как приложения в виртуальной среде App-V могут совместно использовать ресурсы, например буфер обмена, настройте виртуальную среду таким образом, чтобы выбранные приложения имели одинаковый уровень доверия.
Дополнительные сведения см. в статье Создание виртуальных сред App-V.
Убедитесь, что приложения macOS из надежного источника
При развертывании приложений для устройств macOS убедитесь, что исходные файлы находятся из надежного источника. Средство CMAppUtil не проверяет сигнатуру исходного пакета. Убедитесь, что пакет поступает из источника, которому вы доверяете. Средство CMAppUtil не может определить, были ли изменены файлы.
Защита файла CMMAC для приложений macOS
При развертывании приложений для компьютеров macOS защитите .cmmac расположение файла. Средство CMAppUtil создает этот файл, а затем импортирует его в Configuration Manager. Этот файл не подписан и не проверен.
Защитите канал связи при импорте этого файла в Configuration Manager. Чтобы предотвратить незаконное изменение этого файла, сохраните его в защищенной папке. Используйте IPsec между следующими компьютерами:
- Компьютер, на котором запущена консоль Configuration Manager
- Компьютер, на котором хранится
.cmmacфайл
Использование HTTPS для веб-приложений
Если вы настроите тип развертывания веб-приложения, используйте ПРОТОКОЛ HTTPS для защиты подключения. Если вы развертываете веб-приложение с помощью HTTP-ссылки, а не HTTPS-ссылки, устройство может быть перенаправлено на сервер-изгоев. Данные, передаваемые между устройством и сервером, могут быть изменены.
Проблемы безопасности
Пользователи с ограниченными правами могут изменять файлы, которые записывают журнал развертывания программного обеспечения на клиентском компьютере.
Так как сведения журнала приложений не защищены, пользователь может изменять файлы, сообщающие о том, установлено ли приложение.
Пакеты App-V не подписаны.
Пакеты App-V в Configuration Manager не поддерживают подписывание. Цифровые подписи проверяют содержимое из надежного источника и не было изменено при передаче. Эта проблема безопасности не устранена. Следуйте рекомендациям по обеспечению безопасности, чтобы скачать содержимое из надежного источника и из безопасного расположения.
Опубликованные приложения App-V могут быть установлены всеми пользователями на компьютере.
Когда приложение App-V публикуется на компьютере, все пользователи, которые входят на этот компьютер, могут установить его. Вы не можете ограничить пользователей, которые могут установить приложение после его публикации.
Сведения о конфиденциальности
Управление приложениями позволяет запускать любое приложение, программу или скрипт на любом клиенте в иерархии. Configuration Manager не контролирует типы выполняемых приложений, программ или скриптов, а также тип передаваемых ими данных. Во время развертывания приложения Configuration Manager могут передавать сведения, определяющие устройство и учетные записи входа, между клиентами и серверами.
Configuration Manager сохраняет сведения о состоянии процесса развертывания программного обеспечения. Если клиент не обменивается данными по протоколу HTTPS, сведения о состоянии развертывания программного обеспечения не шифруются во время передачи. Сведения о состоянии не хранятся в зашифрованном виде в базе данных.
Использование Configuration Manager установки приложений для удаленной, интерактивной или автоматической установки программного обеспечения на клиентах может регулироваться условиями лицензионного соглашения на это программное обеспечение. Это использование отличается от условий лицензионного соглашения на использование программного обеспечения для Configuration Manager. Прежде чем развертывать программное обеспечение с помощью Configuration Manager, всегда проверяйте условия лицензирования программного обеспечения и примите их.
Configuration Manager собирает данные диагностики и использования приложений, которые используются Майкрософт для улучшения будущих выпусков. Дополнительные сведения см. в разделе Данные о диагностике и использовании.
Развертывание приложения не выполняется по умолчанию и требует нескольких действий по настройке.
Следующие функции помогают эффективному развертыванию программного обеспечения:
Сопоставление пользователей и устройств сопоставляет пользователя с устройствами. Администратор Configuration Manager развертывает программное обеспечение для пользователя. Клиент автоматически устанавливает программное обеспечение на одном или нескольких компьютерах, которые пользователь чаще всего использует.
Центр программного обеспечения автоматически устанавливается на устройстве при установке клиента Configuration Manager. Пользователи изменяют параметры, просматривают программное обеспечение и устанавливают программное обеспечение из Центра программного обеспечения.
Сведения о конфиденциальности сопоставления пользователей и устройств
Configuration Manager может передавать информацию между клиентами и системами сайта точек управления. Эти сведения могут идентифицировать компьютер, учетную запись входа и сводные данные об использовании учетных записей входа.
Если для точки управления не требуется обмен данными по протоколу HTTPS, данные, передаваемые между клиентом и сервером, не шифруются.
Сведения об использовании компьютера и учетной записи входа используются для сопоставления пользователя с устройством. Configuration Manager хранит эти сведения на клиентских компьютерах, отправляет их в точки управления, а затем сохраняет в базе данных сайта. По умолчанию сайт удаляет старые сведения из базы данных через 90 дней. Поведение удаления можно настроить, задав задачу обслуживания сайта "Удалить устаревшие данные с сопоставлением пользователей ".
Configuration Manager сохраняет сведения о сходстве пользователей с устройствами. Если клиенты не настроены для взаимодействия с точками управления по протоколу HTTPS, они не шифруют сведения о состоянии во время передачи. Сайт не хранит сведения о состоянии в зашифрованном виде в базе данных.
Сведения об использовании компьютера и входа, используемые для установления сходства пользователей и устройств, всегда включены. Пользователи и администраторы могут предоставлять сведения о сопоставлении пользователей с устройствами.
Сведения о конфиденциальности Центра программного обеспечения
Центр программного обеспечения позволяет администратору Configuration Manager публиковать любое приложение, программу или скрипт для запуска пользователей. Configuration Manager не контролирует типы программ или скриптов, опубликованные в Центре программного обеспечения, или тип передаваемых ими данных.
Configuration Manager может передавать информацию между клиентами и точкой управления. Эти сведения могут идентифицировать компьютер и учетные записи входа. Если в точке управления не настроено требование подключения клиентов по протоколу HTTPS, данные, передаваемые между клиентом и серверами, не шифруются.
Сведения о запросе на утверждение приложения хранятся в базе данных Configuration Manager. Для отмененных или отклоненных запросов соответствующие записи журнала запросов по умолчанию удаляются через 30 дней. Это поведение удаления можно настроить с помощью задачи обслуживания сайта удаления устаревших данных запроса приложения . Сайт никогда не удаляет запросы на утверждение приложений, которые находятся в утвержденном и ожидающих состоянии.
При установке клиента Configuration Manager на устройстве он автоматически устанавливает Центр программного обеспечения.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по