分享方式:

Configuration Manager中應用程式管理的安全性和隱私權

  • 文章

適用於:Configuration Manager (目前的分支)

安全性指引

集中指定使用者裝置親和性

手動指定使用者裝置親和性,而不是讓使用者識別其主要裝置。 請勿啟用以使用量為基礎的設定。

請勿將從使用者或裝置收集的資訊視為授權資訊。 如果您使用受信任的系統管理員未指定的使用者裝置親和性來部署軟體,則軟體可能會安裝在電腦上,以及未獲授權接收該軟體的使用者。

不要從發佈點執行部署

一律將部署設定為從發佈點下載內容,而不是從發佈點執行。 當您將部署設定為從發佈點下載內容並在本機執行時,Configuration Manager用戶端會在下載內容之後驗證套件雜湊。 如果雜湊不符合原則中的雜湊,用戶端會捨棄套件。

如果您將部署設定為直接從發佈點執行,Configuration Manager用戶端不會驗證套件雜湊。 此行為表示Configuration Manager用戶端可以安裝遭到竄改的軟體。

如果您必須直接從發佈點執行部署,請對發佈點上的套件使用 NTFS 最低許可權。 也請使用網際網路通訊協定安全性 (IPsec) 來保護用戶端與發佈點之間的通道,以及發佈點與月臺伺服器之間的通道。

不要讓使用者與提升許可權的進程互動

如果您啟 用 [以系統管理許可權 執行] 或 [ 為系統安裝] 選項,請勿讓使用者與這些應用程式互動。 當您設定應用程式時,可以將選項設定為 [ 允許使用者檢視程式安裝並與其互動]。 此設定可讓使用者回應使用者介面中的任何必要提示。 如果您同時將應用程式設定為 [ 以系統管理許可權 執行] 或 [ 安裝系統],則執行程式之電腦上的攻擊者可能會使用使用者介面來提升用戶端電腦上的許可權。

針對需要系統管理認證的軟體部署,使用 Windows Installer 進行安裝和個別使用者提升許可權的程式。 安裝程式必須在沒有系統管理認證的使用者內容中執行。 Windows Installer 每位使用者提高的許可權提供最安全的方式來部署具有此需求的應用程式。

注意事項

當使用者從軟體中心啟動應用程式安裝程式時, [允許使用者檢視程式安裝並與其互動 ] 選項無法控制使用者與應用程式安裝程式所建立之任何其他進程的互動。 由於此行為,即使您未選取此選項,使用者仍可與提升許可權的進程互動。 若要避免此問題,請勿部署使用使用者互動建立其他進程的應用程式。 如果您必須安裝這種類型的應用程式,請將它部署為 [必要] ,並將使用者通知體驗設定 為 [在軟體中心內隱藏] 和所有通知

限制使用者是否可以互動方式安裝軟體

電腦代理程式群組中設定安裝許可權用戶端設定。 此設定會限制可在軟體中心安裝軟體的使用者類型。

例如,建立自訂用戶端設定,並將 [安裝] 許可權設定為 [僅限系統管理員]。 將此用戶端設定套用至伺服器集合。 此設定可防止沒有系統管理許可權的使用者在這些伺服器上安裝軟體。

如需詳細資訊,請 參閱關於用戶端設定

針對行動裝置,僅部署已簽署的應用程式

只有當行動裝置應用程式是由憑證授權單位單位 (CA) 所信任時,才部署行動裝置應用程式。

例如:

  • 來自廠商的應用程式,由公用和全域信任的憑證提供者簽署。

  • 您使用內部 CA 與Configuration Manager獨立簽署的內部應用程式。

  • 當您建立應用程式類型並使用簽署憑證時,使用 Configuration Manager 登入的內部應用程式。

保護行動裝置應用程式簽署憑證的位置

如果您在Configuration Manager中使用 [建立應用程式精靈] 來簽署行動裝置應用程式,請保護簽署憑證檔案的位置,並保護通道。 若要協助防範權限提高和攔截式攻擊,請將簽署憑證檔案儲存在受保護的資料夾中。

在下列電腦之間使用 IPsec:

  • 執行 Configuration Manager 主控台的電腦
  • 儲存憑證簽署檔案的電腦
  • 儲存應用程式來源檔案的電腦

相反地,請在執行 [建立應用程式精靈] 之前,先簽署與Configuration Manager無關的應用程式

實作存取控制

若要保護參照電腦,請實作存取控制。 當您流覽至參照電腦,在部署類型中設定偵測方法時,請確定電腦未遭入侵。

限制和監視系統管理使用者

限制和監視您授與下列應用程式管理角色型安全性角色的系統管理使用者:

  • 應用程式管理員
  • 應用程式作者
  • 應用程式部署管理員

即使您 設定以角色為基礎的系統管理,建立和部署應用程式的系統管理使用者可能擁有比您所瞭解更多的許可權。 例如,建立或變更應用程式的系統管理使用者可以選取不在其安全性範圍內的相依應用程式。

在具有相同信任層級的虛擬環境中設定 App-V 應用程式

當您設定 Microsoft Application Virtualization (App-V) 虛擬環境時,請選取虛擬環境中具有相同信任層級的應用程式。 因為 App-V 虛擬環境中的應用程式可以共用資源,例如剪貼簿,所以請設定虛擬環境,讓選取的應用程式具有相同的信任層級。

如需詳細資訊,請 參閱建立 App-V 虛擬環境

確定 macOS 應用程式來自可信任的來源

如果您部署 macOS 裝置的應用程式,請確定來源檔案來自可信任的來源。 CMAppUtil 工具不會驗證來源套件的簽章。 請確定套件來自您信任的來源。 CMAppUtil 工具無法偵測檔案是否遭到竄改。

保護 macOS 應用程式的 cmmac 檔案

如果您部署 macOS 電腦的應用程式,請保護檔案的位置 .cmmac 。 CMAppUtil 工具會產生此檔案,然後將它匯入Configuration Manager。 此檔案未簽署或驗證。

當您將此檔案匯入至 Configuration Manager 時,請保護通道。 若要協助防止竄改此檔案,請將它儲存在安全的資料夾中。 在下列電腦之間使用 IPsec:

  • 執行 Configuration Manager 主控台的電腦
  • 儲存檔案的 .cmmac 電腦

針對 Web 應用程式使用 HTTPS

如果您設定 Web 應用程式部署類型,請使用 HTTPS 來保護連線。 如果您使用 HTTP 連結而不是 HTTPS 連結來部署 Web 應用程式,則裝置可能會重新導向至 Rogue 伺服器。 在裝置與伺服器之間傳輸的資料可能會遭到竄改。

安全性問題

  • 低許可權的使用者可以變更記錄用戶端電腦上軟體部署歷程記錄的檔案。

    因為應用程式歷程記錄資訊不受保護,所以使用者可以變更報告是否已安裝應用程式的檔案。

  • 未簽署 App-V 套件。

    Configuration Manager中的 App-V 套件不支援簽署。 數位簽章會確認內容來自受信任的來源,且在傳輸過程中並未變更。 此安全性問題沒有緩和措施。 請遵循安全性最佳做法,從信任的來源和安全的位置下載內容。

  • 電腦上的所有使用者都可以安裝已發佈的 App-V 應用程式。

    在電腦上發佈 App-V 應用程式時,所有登入該電腦的使用者都可以安裝應用程式。 您無法限制可在應用程式發佈後安裝應用程式的使用者。

隱私權資訊

應用程式管理可讓您在階層中的任何用戶端上執行任何應用程式、程式或腳本。 Configuration Manager無法控制您執行的應用程式、程式或腳本類型,或它們所傳輸的資訊類型。 在應用程式部署程式期間,Configuration Manager可能會在用戶端和伺服器之間傳輸識別裝置和登入帳戶的資訊。

Configuration Manager維護軟體部署程式的狀態資訊。 除非用戶端使用 HTTPS 進行通訊,否則軟體部署狀態資訊不會在傳輸期間加密。 狀態資訊不會以加密形式儲存在資料庫中。

使用Configuration Manager應用程式安裝,以遠端、互動方式或無訊息方式在用戶端上安裝軟體,可能會受限於該軟體的軟體授權條款。 此使用方式與Configuration Manager的軟體授權條款不同。 使用 Configuration Manager 部署軟體之前,請務必檢閱並同意軟體授權條款。

Configuration Manager收集應用程式的診斷和使用方式資料,Microsoft會使用這些資料來改善未來的版本。 如需詳細資訊,請參閱 診斷和使用方式資料

應用程式部署預設不會發生,而且需要數個設定步驟。

下列功能有助於有效率的軟體部署:

  • 使用者裝置親和性會 將使用者對應至裝置。 Configuration Manager系統管理員會將軟體部署給使用者。 用戶端會自動在使用者最常使用的一或多部電腦上安裝軟體。

  • 當您安裝Configuration Manager用戶端時,軟體中心會自動安裝在裝置上。 使用者變更設定、流覽軟體,以及從軟體中心安裝軟體。

使用者裝置親和性隱私權資訊

  • Configuration Manager可能會在用戶端與管理點月臺系統之間傳輸資訊。 這些資訊可能會識別電腦、登入帳戶,以及登入帳戶的摘要使用方式。

  • 除非您將管理點設定為需要 HTTPS 通訊,否則不會加密用戶端與伺服器之間傳輸的資訊。

  • 電腦和登入帳戶使用量資訊是用來將使用者對應至裝置。 Configuration Manager將此資訊儲存在用戶端電腦上、將它傳送至管理點,然後將它儲存在月臺資料庫中。 根據預設,月臺會在 90 天后從資料庫中刪除舊資訊。 您可以藉由設定刪除 過時使用者裝置親和性資料 月臺維護工作來設定刪除行為。

  • Configuration Manager維護使用者裝置親和性的狀態資訊。 除非您 設定客戶 端使用 HTTPS 與管理點通訊,否則它們不會在傳輸期間加密狀態資訊。 月臺不會以加密形式將狀態資訊儲存在資料庫中。

  • 一律會啟用用來建立使用者和裝置親和性的電腦和登入使用方式資訊。 使用者和系統管理使用者可以提供使用者裝置親和性資訊。

軟體中心隱私權資訊

  • 軟體中心可讓Configuration Manager系統管理員發佈任何應用程式、程式或腳本,讓使用者執行。 Configuration Manager無法控制在軟體中心發佈的程式或腳本類型,或它們所傳輸的資訊類型。

  • Configuration Manager可能會在用戶端與管理點之間傳輸資訊。 這些資訊可能會識別電腦和登入帳戶。 除非您將管理點設定為要求用戶端使用 HTTPS 進行連線,否則不會加密用戶端與伺服器之間傳輸的資訊。

  • 應用程式核准要求的相關資訊會儲存在 Configuration Manager 資料庫中。 對於已取消或拒絕的要求,預設會在 30 天后刪除對應的要求歷程記錄專案。 您可以使用 刪除過時應用程式要求資料 月臺維護工作來設定此刪除行為。 月臺永遠不會刪除處於核准和擱置狀態的應用程式核准要求。

  • 當您在裝置上安裝Configuration Manager用戶端時,它會自動安裝軟體中心。