Configuration Manager中应用程序管理的安全性和隐私性

适用于: Configuration Manager(current branch)

安全指南

集中指定用户设备相关性

手动指定用户设备相关性,而不是让用户标识其主设备。 不要启用基于使用情况的配置。

不要认为从用户或设备收集的信息具有权威性。 如果使用受信任的管理员未指定的用户设备相关性来部署软件,则软件可能安装在计算机和无权接收该软件的用户。

不要从分发点运行部署

始终将部署配置为从分发点下载内容,而不是从分发点运行。 将部署配置为从分发点下载内容并在本地运行时,Configuration Manager客户端会在下载内容后验证包哈希。 如果哈希与策略中的哈希不匹配,则客户端将放弃包。

如果将部署配置为直接从分发点运行,则 Configuration Manager 客户端不会验证包哈希。 此行为意味着Configuration Manager客户端可以安装被篡改的软件。

如果必须直接从分发点运行部署,请对分发点上的包使用 NTFS 最低权限。 此外,使用 Internet 协议安全性 (IPsec) 来保护客户端与分发点之间以及分发点与站点服务器之间的通道。

不允许用户与提升的进程交互

如果启用“ 使用管理权限运行”“为系统安装”选项,请不要让用户与这些应用程序交互。 配置应用程序时,可以将选项设置为 “允许用户查看程序安装并与之交互”。 此设置允许用户响应用户界面中的任何所需提示。 如果同时将应用程序配置为 “使用管理权限运行 ”或 “为系统安装”,则运行该程序的计算机的攻击者可以使用用户界面升级客户端计算机上的特权。

对于需要管理凭据的软件部署,请使用使用 Windows Installer 进行安装和按用户提升的权限的程序。 安装程序必须在没有管理凭据的用户的上下文中运行。 Windows Installer 每个用户提升的权限提供了部署具有此要求的应用程序的最安全方式。

注意

当用户从软件中心启动应用程序安装过程时, “允许用户查看程序安装并与之交互 ”选项无法控制用户与应用程序安装程序创建的任何其他进程的交互。 由于此行为,即使未选择此选项,用户仍可能能够与提升的进程交互。 若要避免此问题,请不要部署使用用户交互创建其他进程的应用程序。 如果必须安装此类型的应用程序,请将其部署为 “必需” ,并将用户通知体验配置为 在软件中心和所有通知中隐藏

限制用户是否可以以交互方式安装软件

“计算机代理”组中配置“安装权限”客户端设置。 此设置限制可在软件中心安装软件的用户的类型。

例如,创建一个自定义客户端设置,将 “安装权限 ”设置为“ 仅管理员”。 将此客户端设置应用于服务器的集合。 此配置可防止没有管理权限的用户在这些服务器上安装软件。

有关详细信息,请参阅 关于客户端设置

对于移动设备,仅部署已签名的应用程序

仅当移动设备应用程序由移动设备信任的证书颁发机构 (CA) 进行代码签名时,才部署它们。

例如:

  • 供应商提供的应用程序,由公共且全局受信任的证书提供程序签名。

  • 使用内部 CA 独立于 Configuration Manager 进行签名的内部应用程序。

  • 创建应用程序类型并使用签名证书时,使用 Configuration Manager 进行签名的内部应用程序。

保护移动设备应用程序签名证书的位置

如果使用 Configuration Manager 中的“创建应用程序向导”对移动设备应用程序进行签名,请保护签名证书文件的位置,并保护信道。 为了帮助防止特权提升和中间人攻击,请将签名证书文件存储在安全文件夹中。

在以下计算机之间使用 IPsec:

  • 运行Configuration Manager控制台的计算机
  • 存储证书签名文件的计算机
  • 存储应用程序源文件的计算机

相反,在运行“创建应用程序向导”之前,请独立于 Configuration Manager 对应用程序进行签名。

实现访问控制

若要保护引用计算机,请实现访问控制。 通过浏览到引用计算机在部署类型中配置检测方法时,请确保计算机未受到威胁。

限制和监视管理用户

限制和监视授予以下基于应用程序管理角色的安全角色的管理用户:

  • 应用程序管理员
  • 应用程序作者
  • 应用程序部署管理器

即使 配置基于角色的管理,创建和部署应用程序的管理用户可能拥有的权限可能比你想象的要多。 例如,创建或更改应用程序的管理用户可以选择不在安全范围内的依赖应用程序。

在虚拟环境中使用相同的信任级别配置 App-V 应用

配置 Microsoft Application Virtualization (App-V) 虚拟环境时,请选择在虚拟环境中具有相同信任级别的应用程序。 由于 App-V 虚拟环境中的应用程序可以共享资源(如剪贴板),因此请配置虚拟环境,使所选应用程序具有相同的信任级别。

有关详细信息,请参阅 创建 App-V 虚拟环境

确保 macOS 应用来自可信源

如果为 macOS 设备部署应用程序,请确保源文件来自可信源。 CMAppUtil 工具不会验证源包的签名。 确保包来自你信任的源。 CMAppUtil 工具无法检测文件是否已被篡改。

保护 macOS 应用的 cmmac 文件

如果为 macOS 计算机部署应用程序,请保护文件的位置 .cmmac 。 CMAppUtil 工具生成此文件,然后将其导入Configuration Manager。 此文件未签名或验证。

将此文件导入到 Configuration Manager 时,保护信道的安全。 为了帮助防止篡改此文件,请将其存储在安全文件夹中。 在以下计算机之间使用 IPsec:

  • 运行Configuration Manager控制台的计算机
  • 存储 .cmmac 文件的计算机

将 HTTPS 用于 Web 应用程序

如果配置 Web 应用程序部署类型,请使用 HTTPS 来保护连接。 如果使用 HTTP 链接而不是 HTTPS 链接部署 Web 应用程序,则设备可能会重定向到恶意服务器。 在设备和服务器之间传输的数据可能会被篡改。

安全问题

  • 低权限用户可以更改在客户端计算机上记录软件部署历史记录的文件。

    由于应用程序历史记录信息不受保护,因此用户可以更改报告是否安装了应用程序的文件。

  • App-V 包未签名。

    Configuration Manager 中的 App-V 包不支持签名。 数字签名验证内容是否来自受信任的源,且传输过程中未发生更改。 此安全问题没有缓解措施。 遵循安全最佳做法,从受信任的源和安全位置下载内容。

  • 计算机上的所有用户都可以安装已发布的 App-V 应用程序。

    在计算机上发布 App-V 应用程序时,登录到该计算机的所有用户都可以安装该应用程序。 无法限制在应用程序发布后可以安装该应用程序的用户。

隐私信息

应用程序管理允许在层次结构中的任何客户端上运行任何应用程序、程序或脚本。 Configuration Manager无法控制你运行的应用程序、程序或脚本的类型,也无法控制它们传输的信息类型。 在应用程序部署过程中,Configuration Manager可能会在客户端和服务器之间传输标识设备和登录帐户的信息。

Configuration Manager维护有关软件部署过程的状态信息。 除非客户端使用 HTTPS 进行通信,否则在传输过程中不会加密软件部署状态信息。 状态信息不以加密形式存储在数据库中。

使用Configuration Manager应用程序安装在客户端上远程、以交互方式或无提示方式安装软件可能受该软件的软件许可条款的约束。 此用法与 Configuration Manager 的软件许可条款不同。 在使用 Configuration Manager 部署软件之前,请务必查看并同意软件许可条款。

Configuration Manager收集有关应用程序的诊断和使用情况数据,供Microsoft用于改进将来的版本。 有关详细信息,请参阅 诊断和使用情况数据

默认情况下,应用程序部署不会发生,需要执行多个配置步骤。

以下功能有助于高效部署软件:

  • 用户设备相关性 将用户映射到设备。 Configuration Manager管理员将软件部署到用户。 客户端会自动在用户最常使用的一个或多个计算机上安装软件。

  • 安装 Configuration Manager 客户端时,软件中心会自动安装在设备上。 用户从软件中心更改设置、浏览软件并安装软件。

用户设备相关性隐私信息

  • Configuration Manager可能会在客户端和管理点站点系统之间传输信息。 这些信息可以标识计算机、登录帐户和登录帐户的汇总使用情况。

  • 除非将管理点配置为要求 HTTPS 通信,否则在客户端和服务器之间传输的信息不会加密。

  • 计算机和登录帐户使用情况信息用于将用户映射到设备。 Configuration Manager将此信息存储在客户端计算机上,将其发送到管理点,然后将其存储在站点数据库中。 默认情况下,站点在 90 天后从数据库中删除旧信息。 可以通过设置“ 删除过期的用户设备相关性数据 ”站点维护任务来配置删除行为。

  • Configuration Manager维护有关用户设备相关性的状态信息。 除非将 客户端配置为 使用 HTTPS 与管理点通信,否则它们不会在传输过程中加密状态信息。 站点不会在数据库中以加密形式存储状态信息。

  • 始终启用用于建立用户和设备相关性的计算机和登录使用情况信息。 用户和管理用户可以提供用户设备相关性信息。

软件中心隐私信息

  • 软件中心允许Configuration Manager管理员发布用户运行的任何应用程序、程序或脚本。 Configuration Manager无法控制软件中心中发布的程序或脚本类型或其传输的信息类型。

  • Configuration Manager可能会在客户端和管理点之间传输信息。 该信息可能标识计算机和登录帐户。 除非将管理点配置为要求客户端使用 HTTPS 进行连接,否则在客户端和服务器之间传输的信息不会加密。

  • 有关应用程序审批请求的信息存储在 Configuration Manager 数据库中。 对于取消或拒绝的请求,默认在 30 天后删除相应的请求历史记录条目。 可以使用 “删除过期的应用程序请求数据” 站点维护任务配置此删除行为。 站点永远不会删除处于“已批准”和“挂起”状态的应用程序审批请求。

  • 在设备上安装 Configuration Manager 客户端时,它会自动安装软件中心。