Поделиться через


Безопасность и конфиденциальность управления приложением в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

В этой статье содержатся сведения о безопасности и конфиденциальности для управления приложениями в System Center 2012 Configuration Manager. Также описывается каталог приложений и центр программного обеспечения.

Дополнительные сведения см. в следующих разделах:

  • Рекомендации по обеспечению безопасности для управления приложениями

    • Проблемы безопасности при управлении приложениями
  • Сертификаты для Microsoft Silverlight 5 и режим повышенного доверия для каталога приложений

  • Сведения о конфиденциальности для управления приложениями

    • Сопоставление пользователей и устройств

    • Каталог приложений

Рекомендации по обеспечению безопасности для управления приложениями

Используйте следующие рекомендации по безопасности для управления приложениями.

Рекомендация по безопасности

Дополнительные сведения

Настройте точки каталога приложений для использования протокола HTTPS и расскажите пользователям об опасностях вредоносных веб-сайтов.

Настройте точку веб-сайта каталога приложений и точку веб-службы каталога приложений на прием подключений HTTPS, чтобы включить проверку подлинности сервера и защиту передаваемых данных он подмены и несанкционированного просмотра. Чтобы избежать атак, основанных на использовании социотехники, обучите пользователей подключаться только к надежным веб-сайтам.

System_CAPS_noteПримечание

Не используйте параметры конфигурации с фирменной символикой, отображающие название вашей организации в каталоге приложений в качестве удостоверения, если вы не используете протокол HTTPS.

Используйте разделение ролей и установите точку веб-сайта каталога приложений и точку службы каталога приложений на разных серверах.

Если точка веб-сайта каталога приложений подвергается угрозам, установите ее на сервере, отличном от сервера точки веб-службы каталога приложений. Это поможет защитить клиенты Configuration Manager и инфраструктуру Configuration Manager. Это особенно важно, если точка веб-сайта каталога приложений принимает подключения клиентов из Интернета, поскольку такая конфигурация делает сервер уязвимым для атак.

Расскажите пользователям о необходимости закрывать окно браузера по завершении работы с каталогом приложений.

Если пользователи откроют внешний веб-сайт в том же окне браузера, которое использовалось для работы с каталогом приложений, браузер продолжит использовать параметры безопасности, предназначенные для надежных сайтов в интрасети.

Укажите сопоставление пользователей и устройств вручную, не позволяйте пользователям идентифицировать свое основное устройство, не включайте конфигурацию на основе использования.

Не считайте информацию, полученную от пользователей или от устройства, заслуживающей доверия. Если программное обеспечение развертывается путем сопоставления пользователей и устройств, которое указано не доверенным пользователем с правами администратора, то программное обеспечение может быть установлено на те компьютеры и для тех пользователей, которые не авторизованы для получения этого программного обеспечения.

Для развертывания всегда выбирайте загрузку содержимого из точек распространения, а не запуск из точек распространения.

При настройке развертываний для загрузки содержимого из точек распространения с дальнейшим запуском в локальной системе клиент Configuration Manager проверяет хэш пакета после загрузки содержимого и отклоняет пакет, если его хэш не совпадает с хэшем в политике. Если же настроить развертывание напрямую из точек распространения, то клиент Configuration Manager не будет проверять хэш пакета. Это означает, что клиент Configuration Manager может устанавливать подмененное программное обеспечение.

Если необходимо запускать развертывание напрямую из точек распространения, используйте для пакетов наименьший набор разрешений NTFS и используйте протокол IPsec для защиты канала между клиентом и точками распространения, а также между точками распространения и сервером сайта.

Не разрешайте пользователям взаимодействовать с программами, если для требуется запускать их с правами администратора.

При настройке программы можно выбрать параметр Разрешить пользователям взаимодействовать с этой программой, чтобы пользователи могли отвечать на любые запросы пользовательского интерфейса. Если для программы настроен параметр Запустить с правами администратора, злоумышленник на компьютере, где запущена эта программа, может использовать пользовательский интерфейс для повышения прав на клиентском компьютере.

Используйте программы установки на базе установщика Windows с повышением прав отдельно для каждого пользователя для развертываний программного обеспечения, требующего прав администратора. Однако запуск установки должен осуществляться в контексте пользователя, не имеющего прав администратора. Повышение прав установщика Windows отдельно для каждого пользователя представляет собой наиболее безопасный способ развертывания приложений, для которых действует такое требование.

Ограничьте интерактивную установку программ пользователями с помощью параметра клиента Разрешения на установку.

Настройте для агента компьютера параметр Разрешения на установку на клиентском устройстве, чтобы ограничить типы пользователей, которым разрешается устанавливать программное обеспечение с помощью каталога приложений или центра программного обеспечения. Например, можно установить для параметра клиента Разрешения на установку значение Только администраторы. Затем примените этот параметр клиента к коллекции серверов, чтобы запретить пользователям, не имеющим прав администратора, установку программного обеспечения на эти компьютеры.

Для мобильных устройств развертывайте только подписанные приложения

Развертывайте приложения для мобильных устройств только в случае, если эти приложения подписаны доверенным центром сертификации мобильного устройства. Пример.

  • Приложение поставщика, подписанное широко известным центром сертификации, таким как VeriSign.

  • Внутреннее приложение, которое вы подписываете независимо от Configuration Manager с помощью внутреннего ЦС.

  • Внутреннее приложение, которое вы подписываете с помощью Configuration Manager при создании типа приложения с использованием сертификата подписи.

Если вы подписываете приложения для мобильных устройств с помощью мастера создания приложений в Configuration Manager, следует защитить расположение файла сертификата подписи и канал передачи данных.

Для защиты от атак, связанных с повышением прав, и атак типа "злоумышленник в середине" следует хранить файл сертификата в безопасной папке и использовать протокол IPsec либо SMB между следующими компьютерами.

  • Компьютер, на котором запущена консоль Configuration Manager.

  • Компьютер, на котором хранится файл подписи сертификата.

  • Компьютер, на котором хранятся исходные файлы приложения.

Также можно подписать приложение независимо от Configuration Manager перед запуском мастера создания приложений.

Внедряйте средства управления доступом для защиты эталонных компьютеров.

Убедитесь, что при настройке пользователем с правами администратора способа обнаружения в типе развертывания путем указания компьютера-образца этот компьютер не был скомпрометирован.

Ограничьте и отслеживайте действия пользователей с правами администратора, которым предоставлены роли системы безопасности, связанные с управлением приложениями:

  • Администратор приложений

  • Автор приложений

  • Менеджер развертывания приложений

Даже если настроено ролевое администрирование, пользователи с правами администратора, создающие и развертывающие приложения, могут иметь больше разрешений, чем вы себе представляете. Например, когда пользователи с правами администратора создают или изменяют приложение, они могут выбрать зависимые приложения, не входящие в их область безопасности.

System_CAPS_noteПримечание

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

При настройке виртуальной среды Microsoft Application Virtualization (App-V) выбирайте приложения с одинаковым уровнем доверия.

Приложения в виртуальной среде App-V могут совместно использовать ресурсы, такие как буфер обмена, поэтому следует настроить виртуальную среду так. чтобы у выбранных приложени1 был одинаковый уровень доверия.

Дополнительные сведения см. в статье Создание виртуальных сред App-V в Configuration Manager.

При развертывании приложений на компьютерах Mac удостоверьтесь, что исходные файлы берутся из надежного источника.

Средство CMAppUtil не проверяет подпись исходного пакета, поэтому убедитесь, что он поступает из надежного источника. Средство CMAppUtil не может определить вероятность изменения файлов злоумышленниками.

При развертывании приложений для компьютеров Mac следует обеспечить безопасность файла .cmmac и канала передачи данных при импорте этого файла в Configuration Manager.

Поскольку файл .cmmac, создаваемый программой CMAppUtil и импортируемый в Configuration Manager, не подписывается и не проверяется, во избежание его подмены его следует хранить в защищенной папке и использовать протокол IPsec или SMB при передаче данных между следующими компьютерами:

  • Компьютер, на котором запущена консоль Configuration Manager.

  • Компьютер, на котором хранится файл .cmmac.

Для System Center 2012 R2 Configuration Manager и более поздних версий:

При настройке типа развертывания веб-приложения используйте HTTPS вместо HTTP для обеспечения безопасного подключения.

Если веб-приложение развертывается с использованием HTTP-канала, а не HTTPS-канала, устройство может быть перенаправлено на вредоносный сервер, а передаваемые между устройством и сервером данные могут быть изменены злоумышленником.

Проблемы безопасности при управлении приложениями

Управление приложениями связано со следующими проблемами безопасности.

  • Пользователи с ограниченными правами могут копировать файлы из кэша клиента на клиентских компьютерах.

    Пользователи могут читать кэш клиента, но не могут записывать данные в него. При наличии разрешений на чтение пользователь может скопировать установочные файлы приложения с одного компьютера на другой.

  • Пользователи с ограниченными правами могут изменять файлы, в которые записывается история развертывания программ на клиентском компьютере.

    Поскольку данные истории приложения не защищены, пользователь может изменить файлы, которые сообщают о том, установлено ли приложение.

  • Пакеты App-V не подписаны.

    Пакеты App-V в Configuration Manager не поддерживают подпись, подтверждающую, что содержимое получено из надежного источника и не было изменено при передаче. Эту проблему безопасности невозможно устранить. Следуйте рекомендациям по безопасности, чтобы загружать содержимое из доверенных источников и из безопасных мест.

  • Опубликованные приложения App-V могут быть установлены на компьютер всеми пользователями.

    Если приложение App-V опубликовано на компьютере, все пользователи, входящие на этот компьютер, могут установить опубликованное приложение. Это означает, что невозможно ограничить круг пользователей, которые смогут устанавливать приложение после его публикации.

  • Невозможно ограничить разрешения на установку для портала компании.

    Несмотря на то, что параметр клиента можно настроить для ограничения разрешений на установку (например, разрешив установку основным пользователям и устройствам или только локальным администраторам), он не будет работать на портале компании. Это может привести к повышению привилегий, поскольку пользователь может устанавливать приложение, хотя ему это не разрешено.

Сертификаты для Microsoft Silverlight 5 и режим повышенного доверия для каталога приложений

System_CAPS_noteПримечание

Только для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager.

Для клиентов System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager требуется компонент Microsoft Silverlight 5, который должен быть запущен в режиме повышенного доверия, чтобы пользователи могли устанавливать программы из каталога приложений. По умолчанию приложения Silverlight выполняются в режиме частичного доверия. В этом режиме приложения не имеют доступа к данным пользователя. Система Configuration Manager автоматически устанавливает Microsoft Silverlight 5 на клиенты, если этот компонент там отсутствует. По умолчанию для клиентского параметра агента Разрешить приложениям Silverlight работу в режиме повышенного доверия устанавливается значение Да. Это дает возможность подписанным и доверенным приложениям Silverlight запрашивать режим повышенного доверия.

При установке роли точки веб-сайта каталога приложений клиент также устанавливает сертификат подписи Майкрософт в хранилище сертификатов "Доверенные издатели" на каждом клиентском компьютере Configuration Manager. Данный сертификат дает возможность приложениям Silverlight, подписанным этим сертификатом, запускаться в режиме повышенного доверия, который требуется компьютерам для установки программ из каталога приложений.Configuration Manager автоматически управляет этим сертификатом подписи. Чтобы обеспечить непрерывность обслуживания, не следует вручную удалять и перемещать этот сертификат подписи Майкрософт.

System_CAPS_warningПредупреждение

Включенный параметр Разрешить приложениям Silverlight работу в режиме повышенного доверия позволяет всем приложениям Silverlight, подписанным сертификатами из хранилища компьютера или хранилища пользователя "Доверенные издатели", запускаться в режиме повышенного доверия. Этот параметр не позволяет включить режим повышенного доверия только для каталога приложений Configuration Manager или для хранилища сертификатов "Доверенные издатели" на компьютере. Если вредоносная программа добавит посторонний сертификат, например, в хранилище "Доверенные издатели" пользователя, то после этого вредоносная программа, использующая собственное приложение Silverlight, также сможет работать в режиме повышенного доверия.

Если установить для параметра Разрешить приложениям Silverlight работу в режиме повышенного доверия значение Нет, то сертификат подписи Майкрософт не будет удален с клиентов.

Дополнительные сведения о доверенных приложениях в Silverlight см. в разделе Доверенные приложения.

Сведения о конфиденциальности для управления приложениями

Управление приложениями позволяет запускать любое приложение, программу или сценарий на любом клиентском компьютере или мобильном устройстве в иерархии.Configuration Manager не контролирует типы запускаемых приложений, программ и сценариев и передаваемые ими данные. В процессе развертывания приложений Configuration Manager может передавать между клиентами и серверами данные, идентифицирующие устройство и учетные записи.

Configuration Manager сохраняет сведения о состоянии процесса развертывания программ. Сведения о состоянии развертывания программ не шифруются при передаче, если обмен данными с клиентом осуществляется не по протоколу HTTPS. Сведения о состоянии не хранятся в зашифрованном виде в базе данных.

Использование установки программного обеспечения Configuration Manager для удаленной, интерактивной или автоматической установки программного обеспечения на клиентских компьютерах может подпадать под условия лицензионных соглашений этого программного обеспечения, отдельных от условий лицензионного соглашения System Center 2012 Configuration Manager. Всегда читайте и принимайте условия лицензионных соглашений программного обеспечения перед развертыванием программного обеспечения с помощью Configuration Manager.

Развертывание программ не происходит по умолчанию, для него требуется выполнить несколько этапов настройки.

Для эффективного развертывания программ можно использовать два необязательных компонента: сопоставление пользователей и устройств и каталог приложений.

  • Сопоставление пользователей и устройств дает возможность администраторам Configuration Manager развертывать программное обеспечение среди пользователей, и это программное обеспечение будет автоматически установлено на один или несколько компьютеров, наиболее часто используемых данным пользователем.

  • Каталог приложений — это веб-сайт, позволяющий пользователям запрашивать программное обеспечение для установки.

В следующих разделах содержатся сведения о конфиденциальности, касающиеся сопоставления пользователей и устройств и каталога приложений.

Перед настройкой параметров управления приложениями учтите требования к конфиденциальности.

Сопоставление пользователей и устройств

Configuration Manager может передавать между клиентами и системами сайта точек управления информацию, идентифицирующую компьютер и учетную запись входа, а также сводные данные использования учетных записей входа.

Информация, передаваемая между клиентом и сервером, не шифруется, если точка управления не настроена таким образом, чтобы требовать подключения клиентов по протоколу HTTPS.

Сведения об использовании компьютера и учетной записи, используемые для сопоставления пользователей и устройств, хранятся на клиентских компьютерах, отправляются на точки управления, а затем сохраняются в базе данных Configuration Manager. По умолчанию устаревшая информация удаляется из базы данных через 90 дней. Параметры удаления можно настроить с помощью задачи обслуживания сайта Удаление устаревших данных сопоставления пользователей и устройств.

Configuration Manager сохраняет сведения о сопоставлении пользователей и устройств. Сведения о состоянии не шифруются при передаче, если на клиентах не настроено подключение к точкам управления с помощью протокола HTTPS. Сведения о состоянии не хранятся в зашифрованном виде в базе данных.

Сведения об использовании компьютера и учетной записи входа в систему, а также сведения о состоянии не отправляются в корпорацию Майкрософт.

Сведения об использовании компьютера и учетной записи входа в систему, используемые для сопоставления пользователей и устройств, всегда включены. Кроме того, обычные пользователи и пользователи с правами администратора могут предоставлять данные о сопоставлении пользователей и устройств.

Каталог приложений

Каталог приложений позволяет администратору Configuration Manager опубликовать любое приложение, программу или сценарий для запуска пользователями.Configuration Manager не контролирует типы программ и сценариев, опубликованных в каталоге, и типы передаваемых ими данных.

Configuration Manager может передавать между клиентами и системами сайта с ролью каталога приложений информацию, идентифицирующую компьютер и учетные записи входа. Информация, передаваемая между клиентами и серверами, не шифруется, если роли систем сайта не настроены таким образом, чтобы требовать подключения клиентов по протоколу HTTPS.

Информация о запросах одобрения приложений сохраняется в базе данных Configuration Manager. Отмененные и отклоненные запросы по умолчанию удаляются через 30 дней вместе с соответствующими записями журнала. Параметры удаления можно настроить с помощью задачи обслуживания сайта Удаление устаревших данных запросов приложений. Утвержденные и ожидающие утверждения запросы никогда не удаляются.

Информация, принимаемая и отправляемая каталогом приложений, не отправляется в корпорацию Майкрософт.

Каталог приложений не устанавливается по умолчанию. Установка требует выполнения нескольких действий настройки.