Configuration Manager でのアプリケーション管理のセキュリティとプライバシー
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
[!メモ]
このトピックは次の場所に表示されます:「System Center 2012 Configuration Manager でのソフトウェアとオペレーティング システムの展開」ガイドおよび「System Center 2012 Configuration Manager のセキュリティとプライバシー」ガイド
ここでは、System Center 2012 Configuration Manager のアプリケーション管理に関するセキュリティとプライバシーについて説明します。 また、アプリケーション カタログとソフトウェア センターについても説明します。
詳細については、次のセクションを参照してください。
アプリケーション管理のセキュリティ ベスト プラクティス
- アプリケーション管理に関するセキュリティの問題
Microsoft Silverlight 5 用の証明書、およびアプリケーション カタログに必要な管理者特権での信頼モード
アプリケーション管理に関するプライバシー情報
ユーザーとデバイスのアフィニティ
アプリケーション カタログ
アプリケーション管理のセキュリティ ベスト プラクティス
以下に、アプリケーション管理のセキュリティ ベスト プラクティスを示します。
セキュリティのベスト プラクティス |
説明 |
|---|---|
HTTPS 接続を使用するようにアプリケーション カタログ ポイントを構成し、悪意のある Web サイトの危険性についてユーザーを教育する |
HTTPS 接続を受け入れるようにアプリケーション カタログ Web サイト ポイントとアプリケーション カタログ Web サービス ポイントを構成して、サーバーがユーザーに認証され、転送されるデータが改ざんと表示から保護されるようにします。 信頼されている Web サイトにのみ接続するようにユーザーを教育し、ソーシャル エンジニアリング攻撃を防ぎます。
|
役割の分離を使用して、アプリケーション カタログ Web サイト ポイントとアプリケーション カタログ サービス ポイントを別々のサーバーにインストールする |
アプリケーション カタログ Web サイト ポイントが侵害される場合、アプリケーション カタログ Web サービス ポイントとは別のサーバーにインストールします。 こうすることで、Configuration Manager クライアントと Configuration Manager インフラストラクチャを保護できます。 これは、アプリケーション カタログ Web サイト ポイントがインターネットからのクライアント接続を受け入れている場合は、この構成によってサーバーが攻撃の危険にさらされるため、特に重要です。 |
アプリケーション カタログの使用が終了したらブラウザー ウィンドウを閉じるようにユーザーを教育する |
ユーザーがアプリケーション カタログに使用したのと同じブラウザー ウィンドウで外部 Web サイトを参照する場合、ブラウザーでは、イントラネット内の信頼されているサイト用のセキュリティ設定が引き続き使用されます。 |
プライマリ デバイスをユーザーが判断できるようにせずに、ユーザーとデバイスのアフィニティを手動で指定して、使用状況に基づいた構成を有効にしない |
ユーザーまたはデバイスから収集された情報を信頼できるとは見なさないでください。 信頼されている管理ユーザーによって指定されたのではないユーザーとデバイスのアフィニティを使用してソフトウェアを展開すると、対象のソフトウェアを受け取ることが承認されていないコンピューターとユーザー向けにそのソフトウェアがインストールされる可能性があります。 |
配布ポイントから実行するのではなく、常に、配布ポイントからコンテンツをダウンロードするように展開を構成する |
配布ポイントからコンテンツをダウンロードしてローカルで実行するように展開を構成すると、Configuration Manager クライアントは、コンテンツをダウンロードした後でパッケージ ハッシュを検証し、ハッシュがポリシーのハッシュと一致しない場合はパッケージを破棄します。 これに対して、配布ポイントから直接実行するように展開を構成すると、Configuration Manager クライアントはパッケージ ハッシュを検証しません。つまり、Configuration Manager クライアントが改ざんされたソフトウェアをインストールする可能性があります。 配布ポイントから展開を直接実行する必要がある場合は、配布ポイントのパッケージに対して NTFS の最低限のアクセス許可を使用し、IPsec を使用してクライアントと配布ポイントの間および配布ポイントとサイト サーバーの間のチャネルをセキュリティで保護します。 |
[管理者権限で実行する] オプションが必要な場合は、プログラムとの対話をユーザーに許可しない |
プログラムを構成するときに、[プログラムとの対話をユーザーに許可する] オプションを設定して、ユーザーがユーザー インターフェイスで必要なプロンプトに対応できるようにすることができます。 プログラムを [管理者権限で実行する] にも構成した場合、プログラムを実行するコンピューターを操作している攻撃者は、ユーザー インターフェイスを使用してクライアント コンピューターに対する権限を昇格する可能性があります。 管理者資格情報が必要であるが、管理者資格情報がないユーザーのコンテキストで実行しなければならないソフトウェア展開には、ユーザーごとに昇格した権限で Windows インストーラー ベースのセットアップ プログラムを使用します。 Windows インストーラーのユーザーごとに昇格した権限を使用すると、この要件を持つアプリケーションを最も安全に展開できます。 |
[インストール権限] クライアント設定を使用して、対話方式でソフトウェアをユーザーがインストールできるかどうかを制限する |
アプリケーション カタログまたはソフトウェア センターを使用してソフトウェアをインストールできるユーザーの種類を制限するように、[コンピューター エージェント] クライアント デバイス設定の [インストール権限] を構成します。 たとえば、[インストール権限] が [管理者のみ] に設定されたカスタムのクライアント設定を作成します。 このクライアント設定をサーバーのコレクションに適用して、管理者権限のないユーザーがこれらのコンピューターにソフトウェアをインストールできないようにします。 |
モバイル デバイスの場合、署名されたアプリケーションのみを展開する |
モバイル デバイスで信頼された証明機関 (CA) がコード署名している場合にのみ、モバイル デバイス アプリケーションのみを展開します。 たとえば、
|
Configuration Manager の [アプリケーションの作成ウィザード] を使用してモバイル デバイス アプリケーションに署名する場合、署名証明書ファイルの場所と通信チャネルをセキュリティで保護します。 |
特権の昇格と中間者攻撃から保護するため、署名証明書ファイルをセキュリティで保護されたフォルダーに保存し、次のコンピューター間で IPsec または SMB を 使用します。
または、Configuration Manager とは別に、[アプリケーションの作成ウィザード] を実行する前に、アプリケーションに署名します。 |
アクセス制御を実装して参照コンピューターを保護する |
管理ユーザーが参照コンピューターを参照して展開の種類で検出方法を構成する前に、そのコンピューターが侵害されないようにします。 |
次の、アプリケーション管理に関連する役割に基づいたセキュリティ ロールが付与されている管理ユーザーを制限および監視する
|
役割に基づいた管理を構成している場合でも、アプリケーションを作成および展開する管理ユーザーに期待されるアクセス許可以上の権限がある可能性があります。 たとえば、管理ユーザーは、アプリケーションを作成または変更するときに、自身のセキュリティ スコープに含まれていない依存アプリケーションを選択できます。 |
Microsoft Application Virtualization (App-V) 仮想環境を構成する場合、同じ信頼レベルの仮想環境にあるアプリケーションを選択します。 |
App-V 仮想環境内のアプリケーションは、クリップボードなどのリソースを共有できるため、選択したアプリケーションが同じ信頼レベルになるように仮想環境を構成します。 詳細については、「Configuration Manager で App-V 仮想環境を作成する方法」をご覧ください。 |
Mac コンピューター用アプリケーションを展開する場合、信頼できる発行元のソース ファイルであることを確認します。 |
CMAppUtil では、ソース パッケージの署名を検証しません。このため、信頼できるソースのものであることを確認してください。 CMAppUtil ツールは、ファイルが改ざんされたかどうかを検出できません。 |
Mac コンピューター用アプリケーションを展開する場合、.cmmac ファイルの場所を保護し、このファイルを Configuration Manager にインポートするときに通信チャネルを保護します。 |
CMAppUtil ツールが生成し、.cmmac にインポートする Configuration Manager は署名または検証されていないため、このファイルの改ざんを防ぐために、保護されたフォルダーに保存し、次のコンピューター間で IPsec または SMB を使用します。
|
System Center 2012 R2 Configuration Manager 以降: Web アプリケーションの展開の種類を構成する場合、HTTP ではなく HTTPS を使用して、接続を保護する |
HTTPS リンクではなく、HTTP リンクを使用して Web アプリケーションを展開すると、デバイスが偽のサーバーにリダイレクトされる可能性があり、デバイスとサーバー間で転送されるデータが改ざんされることがあります。 |
アプリケーション管理に関するセキュリティの問題
アプリケーション管理には、次のようなセキュリティの問題が伴います。
権限の低いユーザーが、クライアント コンピューター上のクライアント キャッシュからファイルをコピーすることができる。
ユーザーは、クライアント キャッシュを読み取ることができますが、書き込むことはできません。 読み取りアクセス許可により、ユーザーは、別のコンピューターにアプリケーション インストール ファイルをコピーすることができます。
権限の低いユーザーが、クライアント コンピューターのソフトウェア展開履歴が記録されているファイルを変更することができる。
アプリケーション履歴情報は保護されないため、ユーザーは、アプリケーションがインストールされているかどうかをレポートするファイルを変更することができます。
App-V パッケージが署名されない
Configuration Manager の App-V パッケージは、信頼できる発行元のコンテンツであること、および送信中に改ざんされていないことを確認する署名をサポートしていません。 このセキュリティの問題を軽減する方法はありません。セキュリティのベスト プラクティスに従い、信頼できる発行元および保護された場所のコンテンツをダウンロードしてください。
コンピューターのすべてのユーザーが公開済みの App-V アプリケーションをインストールできる
App-V アプリケーションがコンピューターに公開されると、そのコンピューターにログオンしているすべてのユーザーがそのアプリケーションをインストールできます。 つまり、アプリケーションの公開後にアプリケーションをインストールできるユーザーを制限することはできません。
会社ポータルのインストール権限は制限できない
デバイスのプライマリ ユーザーや、ローカル管理者のみなどにインストール権限を制限するクライアント設定を構成できますが、この設定は、会社ポータルでは機能しません。 ユーザーにインストールを許可するべきではないアプリケーションをユーザーがインストールできるようになると、特権の昇格が発生する可能性があります。
Microsoft Silverlight 5 用の証明書、およびアプリケーション カタログに必要な管理者特権での信頼モード
[!メモ]
System Center 2012 Configuration Manager SP1 と System Center 2012 R2 Configuration Manager にのみ適用されます。
System Center 2012 Configuration Manager SP1 と System Center 2012 R2 Configuration Manager クライアントには、Microsoft Silverlight 5 が必要です。また、ユーザーがアプリケーション カタログからソフトウェアをインストールするには、管理者特権での信頼モードで Silverlight 5 を実行する必要があります。 Silverlight アプリケーションの既定では、アプリケーションからユーザー データにアクセスできないように部分的な信頼モードで実行されます。 Microsoft Silverlight 5 がまだインストールされていない場合、Configuration Manager はそれをクライアントに自動的にインストールします。また、既定で、[コンピューター エージェント] クライアント設定の [Silverlight アプリケーションが管理者特権での信頼モードで実行されることを許可する] を [はい] に構成します。 この設定によって、署名され、信頼されている Silverlight アプリケーションは管理者特権での信頼モードを要求できます。
アプリケーション カタログ Web サイト ポイントをインストールすると、クライアントは、各 Configuration Manager クライアント コンピューターの信頼される発行元の証明書ストアに Microsoft 署名証明書もインストールします。 この証明書によって署名されている Silverlight アプリケーションは、コンピューターがアプリケーション カタログからソフトウェアをインストールする必要がある、管理者特権での信頼モードで実行できるようになります。Configuration Manager はこの署名証明書を自動的に管理します。 サービスの継続性を確保するために、この Microsoft 署名証明書を手動で削除または移動しないでください。
.jpeg "System_CAPS_warning"){kind=icon} 警告 |
|---|
クライアント設定 [Silverlight アプリケーションが管理者特権での信頼モードで実行されることを許可する] が有効な場合、コンピューター ストアまたはユーザー ストアの信頼される発行元の証明書ストアの証明書で Silverlight アプリケーションが署名されていれば、管理者特権での信頼モードで実行できます。 このクライアント設定は、Configuration Manager アプリケーション カタログのため、またはコンピューター ストアの信頼される発行元の証明書ストアのためにのみ、管理者特権での信頼モードを有効にすることができません。 マルウェアによって、信頼される発行元のストア (ユーザー ストアなど) に不正な証明書が追加されると、Silverlight アプリケーションを所有し、使用するマルウェアが、管理者特権での信頼モードで実行される可能性があります。 |
クライアント設定 [Silverlight アプリケーションが管理者特権での信頼モードで実行されることを許可する] を [いいえ] に構成しても、クライアントから Microsoft 署名証明書は削除されません。
Silverlight の信頼されるアプリケーションの詳細については、「Trusted Applications (信頼されるアプリケーション)」を参照してください。
アプリケーション管理に関するプライバシー情報
アプリケーション管理を使用して、階層内の任意のクライアント コンピューターまたはクライアント モバイル デバイスで、任意のアプリケーション、プログラム、またはスクリプトを実行することができます。Configuration Manager は、ユーザーが実行するアプリケーション、プログラム、またはスクリプトについても、送信する情報の種類についても制御しません。 アプリケーションの展開プロセス中、Configuration Manager は、デバイス アカウントとログオン アカウントを識別する情報をクライアントとサーバーの間で送信することがあります。
Configuration Manager は、ソフトウェアの展開プロセスに関するステータス情報を維持します。 クライアントが HTTPS を使用して通信する場合を除き、ソフトウェア展開のステータス情報は送信時に暗号化されません。 ステータス情報は、暗号化された形式でデータベースに格納されるわけではありません。
クライアントへのソフトウェアのリモート インストール、対話型インストール、およびサイレント インストールを行うために Configuration Manager ソフトウェア インストールを使用することは、そのソフトウェアのソフトウェア ライセンス条項に従うものであり、System Center 2012 Configuration Manager のソフトウェア ライセンス条項とは別です。Configuration Manager を使用してソフトウェアを展開する前に、常にソフトウェア ライセンス条項を確認して同意してください。
ソフトウェアの展開は、既定で行われることはなく、いくつかの構成手順を実行する必要があります。
効率的なソフトウェア展開に役立つ 2 つのオプション機能として、ユーザーとデバイスのアフィニティとアプリケーション カタログを利用できます。
ユーザーとデバイスのアフィニティは、Configuration Manager 管理者がユーザーに対してソフトウェアを展開してユーザーが最も頻繁に使用する 1 つまたは複数のコンピューターにソフトウェアが自動的にインストールされるように、ユーザーをデバイスにマップします。
アプリケーション カタログは、インストールするソフトウェアをユーザーが要求できる Web サイトです。
ユーザーとデバイスのアフィニティおよびアプリケーション カタログのプライバシー情報については、以降のセクションを参照してください。
アプリケーション管理を構成する前に、プライバシー要件について検討してください。
ユーザーとデバイスのアフィニティ
Configuration Manager は、コンピューター アカウントとログオン アカウントを識別する情報、およびログオン アカウントの使用状況概要を、クライアントと管理ポイント サイト システムの間で送信することがあります。
HTTPS を使用してクライアントが通信するように管理ポイントが構成されている場合を除き、クライアントとサーバーの間で送信される情報は暗号化されません。
ユーザーをデバイスにマップするために使用されるコンピューター アカウントとログオン アカウントの使用状況情報は、クライアント コンピューターに保存され、管理ポイントに送信されてから Configuration Manager データベースに保存されます。 古い情報は、既定では 90 日後にデータベースから削除されます。 削除動作を構成するには、[期限切れのユーザーとデバイスのアフィニティ データを削除] サイトのメンテナンス タスクを設定します。
Configuration Manager は、ユーザーとデバイスのアフィニティに関するステータス情報を維持します。 HTTPS を使用して管理ポイントと通信するようにクライアントが構成されている場合を除き、ステータス情報は送信時に暗号化されません。 ステータス情報は、暗号化された形式でデータベースに格納されるわけではありません。
コンピューター アカウントとログオン アカウントの使用状況情報、およびステータス情報は、マイクロソフトには送信されません。
コンピューターとログオンの使用状況情報は、ユーザーとデバイスのアフィニティを確立するために使用されるため、常に有効になっています。 また、ユーザーと管理ユーザーは、ユーザーとデバイスのアフィニティ情報を提供できます。
アプリケーション カタログ
アプリケーション カタログを使用して、Configuration Manager 管理者はユーザーが実行する任意のアプリケーションやプログラム、またはスクリプトを公開できます。Configuration Manager は、カタログで公開されるプログラムやスクリプトの種類についても、送信する情報の種類についても制御しません。
Configuration Manager は、コンピューター アカウントとログオン アカウントを識別する情報をクライアントとアプリケーション カタログ サイト システムの役割の間で送信することがあります。 HTTPS を使用してクライアントが接続するようにサイト システムの役割が構成されている場合を除き、クライアントとサーバーの間で送信される情報は暗号化されません。
アプリケーション承認要求に関する情報は、Configuration Manager データベースに保存されます。 取り消されたか拒否された要求は、対応する要求の履歴エントリと共に、既定で 30 日後に削除されます。 削除動作を構成するには、[期限切れのアプリケーション要求データの削除] サイトのメンテナンス タスクを設定します。 承認済み状態または保留状態のアプリケーション承認要求は削除されません。
アプリケーション カタログで送受信される情報は、マイクロソフトには送信されません。
既定では、アプリケーション カタログはインストールされません。 インストールにはいくつかの構成手順が必要です。