Az alkalmazáskezelés biztonsága és adatvédelme a Configuration Managerben
Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Megjegyzés |
|---|
Ez a témakör itt jelenik meg: a Deploying Software and Operating Systems in System Center 2012 Configuration Manager (Szoftverek és operációs rendszerek telepítése a System Center 2012 Configuration Managerrel) útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban. |
Ez a témakör a System Center 2012 Configuration Manager alkalmazáskezelésével kapcsolatos biztonsági és adatvédelmi tudnivalókat tartalmazza. Ezenkívül az alkalmazáskatalógussal és a Szoftverközponttal is foglalkozik.
További információkat a következő részekben talál:
Ajánlott biztonsági eljárások az alkalmazáskezeléshez
- Az alkalmazáskezelés biztonsági problémái
Az alkalmazáskatalógus Microsoft Silverlight 5-tanúsítványokat és emelt szintű megbízhatóság módot igényel.
Adatvédelmi információ az alkalmazáskezeléshez
Felhasználó-eszköz kapcsolat
Alkalmazáskatalógus
Ajánlott biztonsági eljárások az alkalmazáskezeléshez
Az alkalmazáskezelés biztonsági védelmének következő bevált gyakorlatát használhatja:
Bevált biztonsági gyakorlat |
További információ |
||
|---|---|---|---|
Az alkalmazáskatalógus pontjait állítsa be HTTPS-kapcsolatok használatára, és tájékoztassa a felhasználókat a rosszindulatú webhelyekkel kapcsolatos veszélyekről. |
Az alkalmazáskatalógus weboldal-elérési pontját és az alkalmazáskatalógus webszolgáltatási pontját állítsa be a HTTPS-kapcsolatok fogadására, hogy a kiszolgáló hitelesíthető legyen a felhasználók számára, és hogy az adatok átvitele az illetéktelen hozzáférés és megtekintés ellen védett módon történjen. A pszichológiai manipuláció módszerével végrehajtott támadások megakadályozásához tájékoztassa a felhasználókat arról, hogy csak megbízható webhelyekhez csatlakozzanak.
|
||
Különítse el a szerepköröket, és külön kiszolgálókra telepítse az alkalmazáskatalógus weboldal-elérési pontját és az alkalmazáskatalógus webszolgáltatási pontját. |
Ha az alkalmazáskatalógus weboldal-elérési pontjának biztonsága sérült, telepítse külön kiszolgálóra, amely nem azonos az alkalmazáskatalógus webszolgáltatási pontját tartalmazó kiszolgálóval. Ez hozzájárul a Configuration Manager-ügyfelek és a Configuration Manager-infrastruktúra védelméhez. Ez különösen fontos akkor, ha az alkalmazáskatalógus weboldal-elérési pontja az internetről érkező ügyfélkapcsolatokat fogad, mert ez a konfiguráció védtelenné teszi a kiszolgálót a támadásokkal szemben. |
||
Tájékoztassa a felhasználókat arról, hogy az alkalmazáskatalógus használatának befejezése után be kell zárniuk a böngészőablakot. |
Ha a felhasználók az alkalmazáskatalógushoz használt böngészőablakban keresnek fel külső webhelyeket, a böngésző továbbra is az intraneten lévő megbízható helyekhez megfelelő biztonsági beállításokat fogja használni. |
||
Kézzel adja meg a felhasználó-eszköz kapcsolatot, ne engedélyezze a felhasználóknak az elsődleges eszközük azonosítását. Ne engedélyezze a használatalapú konfigurációt sem. |
Ne tekintse mérvadónak a felhasználóktól vagy az eszköztől begyűjtött adatokat. Ha a központi szoftvertelepítéshez olyan felhasználó-eszköz kapcsolatot használ, amelyet nem megbízható rendszergazda adott meg, előfordulhat, hogy olyan számítógépre vagy olyan felhasználók számára is telepíti a szoftvert, amelyek vagy akik nem jogosultak az adott szoftver használatára. |
||
A központi telepítéseket mindig úgy állítsa be, hogy letöltsék a tartalmat a terjesztési pontokról, és ne futtassák azt a terjesztési pontokról. |
Ha a központi telepítéseket úgy állítja be, hogy a terjesztési pontról csak letöltsék a tartalmat, és helyben futtassák azt, a Configuration Manager-ügyfél a tartalom letöltése után ellenőrzi a csomagkivonatot, és ha a kivonat nem egyezik az irányelvben szereplő kivonattal, akkor figyelmen kívül hagyja a csomagot. Ha azonban a központi telepítést úgy állítja be, hogy közvetlenül a terjesztési pontról fusson, akkor a Configuration Manager-ügyfél nem ellenőrzi a csomagkivonatot, ami azt jelenti, hogy a Configuration Manager-ügyfél esetleg olyan szoftvert is telepíthet, amely illetéktelenül módosítva lett. Ha központi telepítéseket közvetlenül a terjesztési pontokról kell futtatnia, használja a legalacsonyabb NTFS-engedélyeket a terjesztési pontokon lévő csomagokhoz, és használja az IPsec protokollt az ügyfél és a terjesztési pontok, valamint a terjesztési pontok és a helykiszolgáló közötti csatorna biztonságossá tételéhez. |
||
Ne engedélyezze a felhasználóknak a programok kezelését, ha a Futtatás rendszergazdai jogosultságokkal beállítást kell használni. |
A programok konfigurálásakor megadhatja A program kezelésének engedélyezése a felhasználók számára beállítást, hogy a felhasználók válaszolhassanak a felhasználói felületen megjelenített kérdésekre. Ha a programhoz a Futtatás rendszergazdai jogosultságokkal beállítás is meg van adva, a programot futtató számítógépre bejutó támadó a felhasználói felületen továbbíthatja az ügyfélszámítógépen érvényes jogosultságokat. A Windows Installert alkalmazó telepítőprogramokat felhasználónkénti emelt szintű jogosultsággal használja az olyan szoftvertelepítésekhez, amelyek rendszergazdai hitelesítő adatokat igényelnek, de olyan felhasználó környezetében kell futtatni azokat, aki nem rendelkezik rendszergazdai hitelesítő adatokkal. A Windows Installer felhasználónkénti emelt szintű jogosultsága nyújtja a legbiztonságosabb módszert az ezzel a követelménnyel rendelkező alkalmazások központi telepítéséhez. |
||
Határozza meg, hogy a felhasználók telepíthetnek-e szoftvert interaktív módon a Telepítési engedélyek ügyfélbeállítás használatával. |
A Számítógépügynök ügyfélbeállítás Telepítési engedélyek lehetőségét állítsa be úgy, hogy korlátozza azokat a felhasználótípusokat, amelyekkel szoftver telepíthető az alkalmazáskatalógus vagy a Szoftverközpont használatával. Például hozzon létre egy egyéni ügyfélbeállítást, amelynek Telepítési engedélyek lehetőségénél a Csak rendszergazdák értéket adja meg. Ezután alkalmazza ezt az ügyfélbeállítást a kiszolgálók gyűjteményére, amivel megakadályozhatja, hogy a rendszergazdai engedélyekkel nem rendelkező felhasználók szoftvert telepítsenek az adott számítógépeken. |
||
Mobileszközökre csak aláírt alkalmazásokat telepítsen. |
A mobileszközök alkalmazásait csak akkor telepítse, ha rendelkeznek egy hitelesítésszolgáltató kódaláírásával, amelyet a mobileszköz megbízhatónak tekint. Példa:
|
||
Ha a mobileszközök alkalmazásait az Alkalmazás létrehozása varázsló használatával írja alá a Configuration Manager alkalmazásban, gondoskodjon az aláírásitanúsítvány-fájlt tároló hely és a kommunikációs csatorna biztonságáról. |
A jogosultsági szint emelését alkalmazó és a betolakodó illetéktelen személyek általi támadásokkal szembeni védekezésként az aláírásitanúsítvány-fájlt biztonságos mappában tárolja, és használja az IPsec vagy az SMB protokollt a következő számítógépek között:
Másik megoldásként a Configuration Manager alkalmazástól függetlenül és az Alkalmazás létrehozása varázsló futtatása előtt írja alá az alkalmazást. |
||
Alkalmazzon hozzáférés-vezérlést a referencia-számítógépek védelméhez. |
Amikor egy rendszergazda felhasználó a referencia-számítógépet tallózással megkeresve konfigurálja a felderítési módszert egy központi telepítési típusban, győződjön meg arról, hogy nem sérült a számítógép biztonsága. |
||
Korlátozza és figyelje azokat a rendszergazdákat, akik az alkalmazáskezeléssel kapcsolatos következő szerepköralapú biztonsági szerepkörökkel rendelkeznek:
|
Amikor szerepköralapú felügyeletet konfigurál, előfordulhat, hogy az alkalmazásokat létrehozó és telepítő rendszergazdák több engedéllyel rendelkeznek, mint azt feltételezné. Például a rendszergazdák az alkalmazások létrehozásakor vagy módosításakor olyan függő alkalmazásokat is választhatnak, amelyek nem a saját biztonsági hatókörükbe tartoznak. |
||
Amikor Microsoft Application Virtualization (App-V) virtuális környezeteket konfigurál, azonos megbízhatósági szintű alkalmazásokat válasszon a virtuális környezetben. |
Mivel az App-V virtuális környezetben lévő alkalmazások megosztva használhatják az erőforrásokat, például a vágólapot, konfigurálja úgy a virtuális környezetet, hogy a választott alkalmazások azonos megbízhatósági szintűek legyenek. További információ: App-V virtuális környezet létrehozása a Configuration Managerben. |
||
Ha Mac számítógépekhez telepít központilag alkalmazásokat, ellenőrizze, hogy a forrásfájlok megbízható forrásból származnak-e. |
A CMAppUtil eszköz nem érvényesíti a forráscsomagok aláírását, ezért bizonyosodjon meg arról, hogy a fájlok megbízható forrásból származnak. A CMAppUtil eszköz nem tudja megállapítani, hogy történt-e illetéktelen módosítás a fájlokban. |
||
Ha Mac számítógépekre telepít alkalmazásokat, lássa el megfelelő védelemmel a .cmmac-fájl helyét, valamint a kommunikációs csatornát, amikor importálja ezt a fájlt a Configuration Manager alkalmazásba. |
Mivel a CMAppUtil eszközzel előállított és a Configuration Manager alkalmazásba importált .cmmac-fájl nincs aláírva vagy érvényesítve, a fájl illetéktelen módosításának megakadályozásához tárolja védett mappában, és használja az IPsec vagy az SMB protokollt a következő számítógépek között:
|
||
A System Center 2012 R2 Configuration Manager és újabb verziók esetén: Ha webes alkalmazáshoz konfigurál központi telepítést, a kapcsolat biztonságossá tétele érdekében inkább a HTTPS protokollt használja a HTTP helyett. |
Ha webes alkalmazást telepít központilag, és HTTPS-kapcsolat helyett HTTPS-kapcsolatot használ, előfordulhat, hogy az eszköz támadó kiszolgálóra lesz átirányítva, és fennáll az eszköz és a kiszolgáló között átvitt adatok illetéktelen módosításának veszélye. |
Az alkalmazáskezelés biztonsági problémái
Az alkalmazáskezelés a következő biztonsági kérdéseket veti fel:
Az alacsony szintű jogosultsággal rendelkező felhasználók fájlokat másolhatnak az ügyfélszámítógépen lévő gyorsítótárból.
A felhasználók olvashatják az ügyfél gyorsítótárát, de nem írhatnak abba. Olvasási engedély birtokában a felhasználók átmásolhatják egyik számítógépről a másikra az alkalmazások telepítőfájljait.
Az alacsony szintű jogosultsággal rendelkező felhasználók módosíthatják azokat a fájlokat, amelyek a központi szoftvertelepítés előzményadatait tárolják az ügyfélszámítógépen.
Mivel az alkalmazások előzményadatai nem védettek, a felhasználók módosíthatják az alkalmazások telepítési állapotát rögzítő fájlokat.
Az App-V csomagok nincsenek aláírva.
Az App-V csomagok a Configuration Manager alkalmazásban nem támogatják az aláírást annak ellenőrzéséhez, hogy a tartalom megbízható forrásból származik-e, és nem lett-e módosítva az átvitel során. Erre a biztonsági problémára nincs megoldás. Kövesse az ajánlott biztonságos eljárásokat, a tartalmat megbízható forrásból és biztonságos helyről töltse le.
A közzétett App-V alkalmazásokat az összes felhasználó telepítheti a számítógépre.
Amikor egy App-V alkalmazás közzé van téve egy számítógépen, az adott számítógépre bejelentkező összes felhasználó telepítheti az alkalmazást. Ez azt jelenti, hogy nem korlátozhatja, hogy közzététele után mely felhasználók telepíthetik az alkalmazást.
A vállalati portál telepítési engedélyei nem korlátozhatók.
Bár az ügyfélbeállításokat konfigurálhatja a telepítési engedélyek korlátozására, például csak az eszközök elsődleges felhasználóira vagy a helyi rendszergazdákra korlátozhatja a telepítési engedélyeket, azonban ez a beállítás nem működik a vállalati portál esetében. Ez a jogosultsági szint megemelését eredményezheti, mivel a felhasználók olyan alkalmazásokat is telepíthetnek, amelyek telepítésére nem kellene engedélyt kapniuk.
Az alkalmazáskatalógus Microsoft Silverlight 5-tanúsítványokat és emelt szintű megbízhatóság módot igényel.
| Megjegyzés |
|---|
Ez csak a System Center 2012 Configuration Manager SP1 és a System Center 2012 R2 Configuration Manager verzióra vonatkozik. |
A System Center 2012 Configuration Manager SP1 és a System Center 2012 R2 Configuration Manager ügyfelei a Microsoft Silverlight 5 használatát igénylik, amelynek emelt szintű megbízhatóság módban kell futnia, hogy a felhasználók szoftvert tudjanak telepíteni az alkalmazáskatalógusból. Alapértelmezés szerint a Silverlight alkalmazások részleges biztonsági módban futnak, hogy megakadályozzák a felhasználói adatok alkalmazások általi hozzáférését. A Configuration Manager automatikusan telepíti a Microsoft Silverlight 5 verziót az ügyfelekre (ha még nincs telepítve), és alapértelmezés szerint Igen értékűre állítja a Számítógépügynök Az emelt szintű megbízhatóság módban való futás engedélyezése a Silverlight alkalmazások részére ügyfélbeállítását. Ez a beállítás lehetővé teszi, hogy az aláírt és megbízható Silverlight alkalmazások emelt szintű megbízhatósági módot kérjenek.
Amikor telepíti az alkalmazáskatalógus weboldal-elérési pontja helyrendszerszerepkört, az ügyfél egy Microsoft aláírási tanúsítványt is telepít a Megbízható közzétevők tanúsítványtárolóba minden Configuration Manager-ügyfélszámítógépen. Ez a tanúsítvány lehetővé teszi, hogy a használatával aláírt Silverlight alkalmazások emelt szintű megbízhatósági módban fussanak, amelyet a számítógépek igényelnek ahhoz, hogy szoftvert telepíthessenek az alkalmazáskatalógusból. A Configuration Manager automatikusan kezeli ezt az aláírási tanúsítványt. A szolgáltatás folytonosságának biztosításához ne törölje és ne helyezze át kézzel ezt a Microsoft aláírási tanúsítványt.
.jpeg "System_CAPS_warning") Figyelmeztetés |
|---|
Amikor engedélyezve van, Az emelt szintű megbízhatóság módban való futás engedélyezése a Silverlight alkalmazások részére ügyfélbeállítás lehetővé teszi, hogy emelt szintű megbízhatósági módban fusson minden olyan Silverlight alkalmazás, amely alá van írva a Megbízható közzétevők tanúsítványtárolóban (akár a számítógéphez, akár a felhasználókhoz tartozó tárolóban) található tanúsítványokkal. Az ügyfélbeállítás nem tudja engedélyezni az emelt szintű megbízhatósági módot külön a Configuration Manager alkalmazáskatalógusa vagy a számítógépek tárolójához tartozó Megbízható közzétevők tanúsítványtároló számára. Ha egy rosszindulatú program érvénytelen tanúsítványt helyez el a Megbízható közzétevők tanúsítványtárolóban, például a felhasználókhoz tartozó tárolóban, a saját Silverlight alkalmazását használó rosszindulatú program szintén emelt szintű megbízhatósági módban futhat. |
Ha Az emelt szintű megbízhatóság módban való futás engedélyezése a Silverlight alkalmazások részére ügyfélbeállításnál a Nem értéket adja meg, ez nem távolítja el a Microsoft aláírási tanúsítványt az ügyfelekről.
További információ a Silverlight megbízható alkalmazásairól: Megbízható alkalmazások.
Adatvédelmi információ az alkalmazáskezeléshez
Az alkalmazáskezelés lehetővé teszi bármilyen alkalmazás, program vagy parancsfájl futtatását a hierarchiában lévő bármelyik ügyfélszámítógépen vagy mobileszköz típusú ügyfélen. A Configuration Manager nem szabályozza, hogy milyen típusú alkalmazásokat, programok vagy parancsfájlokat futtat, illetve hogy ezek milyen típusú információt továbbítanak. Az alkalmazások központi telepítése során a Configuration Manager olyan információt továbbíthat az ügyfélgépek és a kiszolgálók között, amelyek az eszközt és annak bejelentkezési fiókjait azonosítják.
A Configuration Manager állapotadatokat őriz meg a szoftvertelepítési folyamatról. A rendszer nem titkosítja a szoftvertelepítési állapotadatokat az átvitel során, kivéve, ha a kliensgép HTTPS protokoll használatával kommunikál. Az adatbázis titkosítás nélkül tárolja az állapotadatokat.
Előfordulhat, hogy a szoftverek kliensgépekre való távoli, interaktív vagy csendes telepítésére használt Configuration Manager szoftvertelepítés alkalmazhatósága az adott szoftver licenszfeltételeitől függ, mely feltételek nem azonosak a System Center 2012 Configuration Manager szoftverlicencének feltételeivel. Mindig olvassa és fogadja el a szoftverlicenc-szerződést, mielőtt a Configuration Manager használatával telepítené a szoftvert.
A szoftvertelepítés nem alapértelmezett művelet, és végrehajtása több konfigurációs lépést igényel.
A felhasználó-eszköz kapcsolat és az alkalmazáskatalógus a szoftvertelepítést elősegítő opcionális szolgáltatások.
A felhasználó-eszköz kapcsolat hozzárendeli a felhasználót adott eszközökhöz, lehetővé téve a Configuration Manager rendszergazdák számára, hogy a szoftvereket egy időben telepítse a felhasználó által leggyakrabban használt összes számítógépen.
Az alkalmazáskatalógus egy webhely, melyen a felhasználók kérvényezhetik a kívánt szoftverek telepítését.
Az alábbi szakaszok a felhasználó-eszköz kapcsolat és az alkalmazáskatalógus használatához tartozó adatvédelmi információkat tartalmazzák.
Az alkalmazáskezelés konfigurálása előtt gondolja át az adatvédelmi követelményeit.
Felhasználó-eszköz kapcsolat
Előfordulhat, hogy a Configuration Manager olyan információt továbbít az ügyfélgépek és a felügyeletipont-rendszerek között, amelyek a számítógépet és annak bejelentkezési fiókjait azonosítják, valamint röviden bemutatják azok használatát.
A kliensgép és a kiszolgáló között továbbított adatok nincsenek titkosítva, kivéve, ha a felügyeleti pont úgy van beállítva, hogy HTTPS használatát követelje meg a kliensgépektől.
A rendszer kliensgépeken tárolja a felhasználók adott eszközökhöz való hozzárendelésére használt számítógépek és bejelentkezési fiókok használati adatait, elküldi azokat a felügyeleti pontoknak, majd eltárolja azokat a Configuration Manager adatbázisban. A régi információk alapértelmezés szerint 90 nap után törlődnek az adatbázisból. A törlési beállítás testre szabható a Felhasználó-eszköz kapcsolatra vonatkozó régi adatok törlése helykarbantartási feladat beállításával.
A Configuration Manager megőrzi a felhasználó-eszköz kapcsolatra vonatkozó állapotadatokat. Az állapotadatok nincsenek titkosítva az átvitel során, kivéve, ha a kliensgépek úgy vannak beállítva, hogy HTTPS használatával kommunikáljanak a felügyeleti pontokkal. Az adatbázis titkosítás nélkül tárolja az állapotadatokat.
A rendszer nem küldi el a Microsoftnak a számítógépek és bejelentkezési fiókok használati és állapotadatait.
A felhasználó-eszköz kapcsolat létrehozására használt számítógépek és bejelentkezési fiókok használati adatai mindig engedélyezve vannak. Ezenkívül a felhasználók és rendszergazda felhasználók is megadhatnak a felhasználó-eszköz kapcsolatra vonatkozó információkat.
Alkalmazáskatalógus
Az alkalmazáskatalógus lehetővé teszi a Configuration Manager rendszergazda számára, hogy közzétegye a felhasználók által futtatandó alkalmazásokat, programokat és parancsfájlokat. A Configuration Manager nem rendelkezik befolyással a katalógusban közzétett programok és parancsfájlok, illetve az általuk közvetített információk típusa fölött.
Előfordulhat, hogy a Configuration Manager olyan információt továbbít az ügyfélgépek és az alkalmazáskatalógus helyrendszerszerepkörök között, amelyek a számítógépet és annak bejelentkezési fiókjait azonosítják. A kliensgép és a kiszolgálók között továbbított adatok nincsenek titkosítva, kivéve, ha a helyrendszerszerepkörök úgy vannak beállítva, hogy HTTPS használatát követeljék meg csatlakozáskor a kliensgépektől.
Az alkalmazás-jóváhagyási kérelmekre vonatkozó adatok tárolása a Configuration Manager adatbázisban történik. A törölt vagy visszautasított kérelmek alapértelmezés szerint 30 nap elteltével törlődnek a hozzájuk tartozó kérelemelőzmény-bejegyzésekkel együtt. A törlési beállítás testre szabható az Alkalmazásigénylésekre vonatkozó régi adatok törlése helykarbantartási feladat beállításával. A jóváhagyott és függőben lévő alkalmazás-jóváhagyási kérelmek soha nem kerülnek törlésre.
Az alkalmazáskatalógusba érkező és onnan küldött adatokat a rendszer nem küldi el a Microsoftnak.
A rendszer alapértelmezés szerint nem telepíti az alkalmazáskatalógust. Ez a telepítés több konfigurációs lépést igényel.