Segurança e privacidade para gestão de aplicações no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Utilize as melhores práticas de segurança seguintes para a gestão de aplicações:

Procedimento recomendado de segurança

Mais informações

Configure os pontos do Catálogo de Aplicações para utilizarem ligações HTTPS e informe os utilizadores sobre os perigos dos Web sites maliciosos.

Configure o ponto de Web sites do Catálogo de Aplicações e o ponto de serviço Web do Catálogo de Aplicações para aceitarem ligações HTTPS, por forma a que o servidor seja autenticado para os utilizadores e os dados transmitidos sejam protegidos contra adulteração e visualização. Ajude a evitar ataques de engenharia social ensinando os utilizadores a ligar apenas a Web sites fidedignos.

System_CAPS_noteNota

Não utilize as opções de configuração de imagem corporativa que apresentam o nome da organização no Catálogo de Aplicações como prova de identidade quando não utilizar HTTPS.

Utilize a separação de funções e instale o ponto de Web sites do Catálogo de Aplicações e o ponto de serviço do Catálogo de Aplicações em servidores separados.

Se o ponto de Web sites do Catálogo de Aplicações estiver comprometido, instale-o num servidor separado do ponto de serviço Web do Catálogo de Aplicações. Isto ajudará a proteger os clientes e a infraestrutura do Gestor de configuração. Isto é especialmente importante se o ponto de Web sites do Catálogo de Aplicações aceitar ligações de cliente a partir da Internet, porque esta configuração torna o servidor vulnerável a ataques.

Informe os utilizadores de que devem fechar a janela do browser quando terminarem de utilizar o Catálogo de Aplicações.

Se os utilizadores navegarem para um Web site externo na mesma janela de browser que utilizaram para o Catálogo de Aplicações, o browser continuará a utilizar as definições de segurança adequadas aos sites fidedignos da intranet.

Especifique manualmente a afinidade dispositivo/utilizador em vez de permitir aos utilizadores identificar o respetivo dispositivo primário e não ative a configuração baseada na utilização.

Não considere autoritativas as informações recolhidas junto dos utilizadores ou do dispositivo. Se implementar software utilizando uma afinidade dispositivo/utilizador não especificada por um utilizador administrativo fidedigno, o software poderá ser instalado em computadores e para utilizadores que não têm autorização para receber esse software.

Configure sempre as implementações para transferirem conteúdo a partir de pontos de distribuição em vez de executarem a partir destes.

Quando configura implementações para transferência de conteúdo a partir de um ponto de distribuição e execução local, o cliente do Gestor de configuração verifica o hash do pacote depois de transferir o conteúdo e elimina o pacote se o hash não coincidir com o hash existente na política. Em comparação, se configurar a implementação para execução direta a partir de um ponto de distribuição, o cliente do Gestor de configuração não verificará o hash do pacote, o que significa que o cliente do Gestor de configuração poderá instalar software que tenha sido adulterado.

Se tiver de executar implementações diretamente a partir de pontos de distribuição, utilize o mínimo de permissões de NTFS nos pacotes em pontos de distribuição e utilize IPsec para proteger o canal entre o cliente e os pontos de distribuição e entre estes e o servidor do site.

Não permita que os utilizadores interajam com programas se a opção Executa com direitos de administrador for necessária.

Quando configurar um programa, pode definir a opção Permitir a interação dos utilizadores com este programa para que os utilizadores possam responder a pedidos necessários na interface de utilizador. Se o programa também for configurado com Executa com direitos de administrador, um atacante no computador que executa o programa poderá utilizar a interface de utilizador para aumentar os privilégios no computador cliente.

Utilize programas de configuração baseados no Windows Installer com privilégios elevados por utilizador para implementações de software que necessitem de credenciais administrativas, mas que devam ser executados no contexto de um utilizador que não tenha credenciais administrativas. Os privilégios elevados por utilizador do Windows Installer proporcionam a forma mais segura de implementar aplicações que tenham este requisito.

Restrinja a capacidade de os utilizadores instalarem software interativamente utilizando a definição Permissões de instalação do cliente.

Configure a definição Permissões de instalação do Agente do Computador do dispositivo cliente para restringir os tipos de utilizadores que podem instalar software utilizando o Catálogo de Aplicações ou o Centro de Software. Por exemplo, crie uma definição personalizada de cliente com Permissões de instalação definida como Apenas administradores. Em seguida, aplique esta definição de cliente a uma coleção de servidores para impedir os utilizadores sem permissões administrativas de instalar software nesses computadores.

Em dispositivos móveis, implemente apenas aplicações assinadas.

Implemente aplicações para dispositivos móveis apenas se tiverem o código assinado por uma autoridade de certificação (AC) considerada fidedigna pelo dispositivo móvel. Por exemplo:

  • Uma aplicação de um fornecedor assinada por uma AC conhecida, como a VeriSign.

  • Uma aplicação interna que seja assinada separadamente do Gestor de configuração, utilizando a AC interna.

  • Uma aplicação interna que seja assinada utilizando o Gestor de configuração quando for criado o tipo da aplicação e que utilize um certificado de assinatura.

Se assinar aplicações para dispositivos móveis utilizando o Assistente para Criar Aplicação no Gestor de configuração, proteja a localização do ficheiro do certificado de assinatura e proteja o canal de comunicação.

Para ajudar a proteger contra a elevação de privilégios e ataques man-in-the-middle, guarde o ficheiro do certificado de assinatura numa pasta protegida e utilize IPsec ou SMB entre os seguintes computadores:

  • O computador que executa a consola do Gestor de configuração.

  • O computador que armazena o ficheiro do certificado de assinatura.

  • O computador que armazena os ficheiros de origem da aplicação.

Em alternativa, assine a aplicação separadamente do Gestor de configuração e antes de executar o Assistente para Criar Aplicação.

Implemente controlos de acesso para proteger computadores de referência.

Quando um utilizador administrativo configurar o método de deteção num tipo de implementação navegando para um computador de referência, certifique-se de que esse computador não foi comprometido.

Restrinja e monitorize os utilizadores administrativos a quem sejam concedidas as funções de segurança baseadas em funções relacionadas com gestão de aplicações:

  • Administrador de Aplicações

  • Autor de Aplicações

  • Gestor de Implementação de Aplicações

Mesmo quando configura a administração baseada em funções, os utilizadores administrativos que criem e implementem aplicações poderão ter mais permissões do que pensa. Por exemplo, quando os utilizadores administrativos criam ou modificam uma aplicação, podem selecionar aplicações dependentes não abrangidas pelo seu âmbito de segurança.

System_CAPS_noteNota

Para o System Center 2012 Configuration Manager SP1 e posterior:

Quando configurar ambientes virtuais do Microsoft Application Virtualization (App-V), selecione aplicações do ambiente virtual que tenham o mesmo nível de confiança.

Como as aplicações de um ambiente virtual de App-V podem partilhar recursos, como a área de transferência, configure o ambiente virtual de forma a que as aplicações selecionadas tenham o mesmo nível de confiança.

Para mais informações, consulte Como Criar Ambientes Virtuais do App-V no Configuration Manager.

Caso implemente aplicações para computadores Mac, certifique-se de que os ficheiros de origem são provenientes de uma origem fidedigna.

A ferramenta CMAppUtil não valida a assinatura do pacote de origem, pelo que deve certificar-se de que o pacote provém de uma origem em que confia. A ferramenta CMAppUtil não consegue detetar se os ficheiros foram adulterados.

Se implementar aplicações para computadores Mac, proteja a localização do ficheiro .cmmac e proteja o canal de comunicação quando importar este ficheiro para o Gestor de configuração.

Dado que o ficheiro .cmmac que a ferramenta CMAppUtil gera e que é importado para o Gestor de configuração não é assinado ou validado, para ajudar a impedir a adulteração deste ficheiro, guarde-o numa pasta protegida e utilize IPsec ou SMB entre os seguintes computadores:

  • O computador que executa a consola do Gestor de configuração.

  • O computador que armazena o ficheiro .cmmac.

Para o System Center 2012 R2 Configuration Manager e posterior:

Se configurar um tipo de implementação de aplicações Web, utilize HTTPS em vez de HTTP a fim de proteger a ligação.

Se implementar uma aplicação Web utilizando uma ligação HTTP em vez de HTTPS, o dispositivo poderá ser redirecionado para um servidor não autorizado e os dados transferidos entre o dispositivo e o servidor poderão ser adulterados.

A gestão de aplicações tem os seguintes problemas de segurança:

  • Os utilizadores com direitos restritos podem copiar ficheiros da cache do cliente no computador cliente.

    Os utilizadores podem ler a cache do cliente, mas não conseguem escrever nela. Com permissões de leitura, um utilizador pode copiar ficheiros de instalação de aplicações de um computador para outro.

  • Os utilizadores com direitos restritos podem modificar ficheiros que registam o histórico de implementação de software no computador cliente.

    Como as informações de histórico da aplicação não são protegidas, um utilizador pode modificar ficheiros que indicam se uma aplicação foi instalada.

  • Os pacotes de App-V não são assinados.

    Os pacotes de App-V no Gestor de configuração não suportam assinatura para confirmar que o conteúdo é de uma origem fidedigna e que não foi alterado em trânsito. Não existe nenhuma forma de atenuar este problema de segurança, a não ser certificar-se de que segue a melhor prática de segurança para transferir o conteúdo de uma origem fidedigna e a partir de uma localização segura.

  • As aplicações de App-V publicadas podem ser instaladas por todos os utilizadores do computador.

    Quando uma aplicação de App-V é publicada num computador, todos os utilizadores que iniciem sessão nesse computador podem instalar a aplicação. Isto significa que não pode restringir os utilizadores que podem instalar a aplicação depois da sua publicação.

  • Não é possível restringir as permissões de instalação para o portal da empresa.

    Embora seja possível configurar uma definição de cliente para restringir as permissões de instalação, por exemplo, aos utilizadores primários de um dispositivo ou apenas aos administradores locais, esta definição não funciona para o portal da empresa. Isto pode resultar numa elevação de privilégios porque um utilizador pode instalar uma aplicação que não deve ter permissão para instalar.

System_CAPS_noteNota

Aplica-se apenas ao System Center 2012 Configuration Manager SP1 e ao System Center 2012 R2 Configuration Manager:

Os clientes do System Center 2012 Configuration Manager SP1 e do System Center 2012 R2 Configuration Manager necessitam do Microsoft Silverlight 5, que deve ser executado no modo de confiança elevada para que os utilizadores instalem software do Catálogo de Aplicações. Por predefinição, as aplicações Silverlight são executadas no modo de confiança parcial para impedir as aplicações de acederem a dados de utilizador. O Gestor de configuração instala automaticamente o Microsoft Silverlight 5 nos clientes se ainda não estiver instalado e, por predefinição, configura a definição de cliente Permitir que as aplicações Silverlight sejam executadas em modo de confiança elevada do Agente do Computador como Sim. Esta definição permite que aplicações Silverlight assinadas e fidedignas solicitem o modo de confiança elevada.

Quando instala a função de sistema de sites de ponto de Web sites do Catálogo de Aplicações, o cliente também instala um certificado de assinatura da Microsoft no arquivo de certificados Fabricantes Fidedignos de cada computador cliente do Gestor de configuração. Este certificado permite a execução das aplicações Silverlight assinadas por este certificado no modo de confiança elevada de que os computadores necessitam para instalar software do Catálogo de Aplicações. O Gestor de configuração gere automaticamente este certificado de assinatura. Para assegurar a continuidade do serviço, não elimine nem mova manualmente este certificado de assinatura da Microsoft.

System_CAPS_warningAviso

Quando ativada, a definição de cliente Permitir que as aplicações Silverlight sejam executadas em modo de confiança elevada permite a execução no modo de confiança elevada de todas as aplicações Silverlight assinadas por certificados existentes no arquivo de certificados Fabricantes Fidedignos, no arquivo de computador ou de utilizador. A definição de cliente não pode ativar o modo de confiança elevada especificamente para o Catálogo de Aplicações do Gestor de configuração ou para o arquivo de certificados Fabricantes Fidedignos no arquivo de computador. Se for adicionado um certificado não autorizado ao arquivo Fabricantes Fidedignos por software maligno, no arquivo de utilizador por exemplo, o software maligno que utiliza uma aplicação Silverlight própria poderá agora ser executado também no modo de confiança elevada.

Se configurar a definição de cliente Permitir que as aplicações Silverlight sejam executadas em modo de confiança elevada como Não, isto não remove o certificado de assinatura da Microsoft dos clientes.

Para obter mais informações sobre aplicações fidedignas no Silverlight, consulte Trusted Applications (Aplicações Fidedignas).

A gestão de aplicações permite a execução de qualquer aplicação, programa ou script em qualquer computador cliente ou dispositivo móvel cliente da hierarquia. O Gestor de configuração não tem qualquer controlo sobre os tipos de aplicações, programas ou scripts que podem ser executados ou o tipo de informações que eles transmitem. Durante o processo de implementação da aplicação, o Gestor de configuração poderá transmitir informações entre clientes e servidores que identifiquem o dispositivo e as contas de início de sessão.

O Gestor de configuração mantém as informações de estado sobre o processo de implementação de software. As informações do estado de implementação do software não são encriptadas durante a transmissão, a menos que o cliente efetue a comunicação por HTTPS. As informações de estado não são armazenadas em formato encriptado na base de dados.

A utilização da instalação de software do Gestor de configuração para instalar software de modo remoto, interativo ou silencioso em clientes pode estar sujeita aos termos de licenciamento do software, que são separados dos Termos de Licenciamento para Software do System Center 2012 Configuration Manager. Reveja e aceite sempre os Termos de Licenciamento para Software antes de implementar software utilizando o Gestor de configuração.

A implementação de software não acontece por predefinição e requer vários passos de configuração.

Duas funcionalidades que permitem uma implementação eficaz do software são a afinidade dispositivo/utilizador e o Catálogo de Aplicações:

  • A afinidade dispositivo/utilizador mapeia um utilizador para dispositivos de modo a que um administrador do Gestor de configuração possa implementar software num utilizador e o software seja instalado automaticamente num ou mais computadores utilizados pelos utilizadores com mais frequência.

  • O Catálogo de Aplicações é um Web site que permite aos utilizadores solicitarem software para instalação.

Veja as secções seguintes para obter informações de privacidade sobre a afinidade dispositivo/utilizador e o Catálogo de Aplicações.

Antes de configurar a gestão de aplicações, considere os requisitos de privacidade.

O Gestor de configuração pode transmitir informações entre clientes e sistemas de sites do ponto de gestão que identificam o computador e a conta de início de sessão, para além da utilização resumida das contas de início de sessão.

As informações que são transmitidas entre o cliente e o servidor não estão encriptadas, a menos que o ponto de gestão seja configurado para requerer que os clientes comuniquem por HTTPS.

As informações de utilização do computador e da conta de início de sessão utilizadas para mapear um utilizador para um dispositivo são armazenadas nos computadores cliente, enviadas para os pontos de gestão e depois armazenadas na base de dados do Gestor de configuração. Por predefinição, as informações antigas são eliminadas da base de dados após 90 dias. O comportamento de eliminação é configurável através da definição da tarefa de manutenção do site Eliminar Dados de Afinidade Dispositivo/Utilizador Desatualizados.

O Gestor de configuração mantém as informações de estado sobre a afinidade dispositivo/utilizador. As informações de estado não são encriptadas durante a transmissão, a menos que os clientes sejam configurados para comunicar com pontos de gestão por HTTPS. As informações de estado não são armazenadas em formato encriptado na base de dados.

As informações de utilização do computador e da conta de início de sessão e as informações de estado não são enviadas à Microsoft.

As informações de utilização do computador e da conta de início de sessão que são utilizadas para estabelecer a afinidade dispositivo/utilizador estão sempre ativadas. Além disso, os utilizadores e os utilizadores administrativos podem fornecer informações sobre a afinidade dispositivo/utilizador.

O Catálogo de Aplicações permite ao administrador do Gestor de configuração publicar uma aplicação ou um programa ou script para os utilizadores executarem. O Gestor de configuração não controla os tipos de programas ou scripts que são publicados no catálogo ou que tipo de informações transmitem.

O Gestor de configuração pode transmitir informações entre os clientes e as funções do sistema de sites do Catálogo de Aplicações que identificam o computador e as contas de início de sessão. As informações que são transmitidas entre o cliente e os servidores não estão encriptadas, a menos que estas funções do sistema de sites sejam configuradas para requerer que os clientes estabeleçam ligação através do HTTPS.

As informações sobre o pedido de aprovação de aplicações são armazenadas na base de dados do Gestor de configuração. Os pedidos que são cancelados ou negados são eliminados por predefinição após 30 dias, juntamente com as entradas do histórico de pedidos correspondente. O comportamento de eliminação é configurável através da definição da tarefa de manutenção do site Eliminar Dados de Pedidos de Aplicação Desatualizados. Os pedidos de aprovação de aplicações que se encontram nos estados aprovado e pendente nunca são eliminados.

As informações que são enviadas de e para o Catálogo de Aplicações não são enviadas à Microsoft.

Por predefinição, o Catálogo de Aplicações não está instalado. Esta instalação requer vários passos de configuração.

Mostrar: