Säkerhet och sekretess för programhantering i Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Säkerhetsvägledning
Ange mappning mellan användare och enhet centralt
Ange mappningen mellan användare och enhet manuellt i stället för att låta användarna identifiera sin primära enhet. Aktivera inte användningsbaserad konfiguration.
Tänk inte på att information som samlas in från användare eller från enheten är auktoritativ. Om du distribuerar programvara med hjälp av mappning mellan användare och enheter som en betrodd administratör inte anger, kan programvaran installeras på datorer och till användare som inte har behörighet att ta emot programvaran.
Kör inte distributioner från distributionsplatser
Konfigurera alltid distributioner för att ladda ned innehåll från distributionsplatser i stället för att köras från distributionsplatser. När du konfigurerar distributioner för att ladda ned innehåll från en distributionsplats och köra lokalt verifierar Configuration Manager-klienten paketets hash när innehållet har laddats ned. Klienten tar bort paketet om hashen inte matchar hashen i principen.
Om du konfigurerar distributionen så att den körs direkt från en distributionsplats verifierar inte Configuration Manager-klienten pakethashen. Det här beteendet innebär att Configuration Manager-klienten kan installera programvara som har manipulerats.
Om du måste köra distributioner direkt från distributionsplatser använder du minst NTFS-behörigheter för paketen på distributionsplatserna. Använd även IPsec (Internet Protocol Security) för att skydda kanalen mellan klienten och distributionsplatserna samt mellan distributionsplatserna och platsservern.
Låt inte användare interagera med förhöjda processer
Om du aktiverar alternativen för att köra med administrativa rättigheter eller Installera för systemet ska du inte låta användarna interagera med dessa program. När du konfigurerar ett program kan du ange alternativet Tillåt användare att visa och interagera med programinstallationen. Med den här inställningen kan användarna svara på alla nödvändiga frågor i användargränssnittet. Om du även konfigurerar programmet att köras med administrativa rättigheter eller Installera för systemet kan en angripare på datorn som kör programmet använda användargränssnittet för att eskalera behörigheterna på klientdatorn.
Använd program som använder Windows Installer för installation och utökade behörigheter per användare för programvarudistributioner som kräver administrativa autentiseringsuppgifter. Installationen måste köras i kontexten för en användare som inte har administrativa autentiseringsuppgifter. Utökade privilegier för Windows Installer per användare är det säkraste sättet att distribuera program som har det här kravet.
Obs!
När användaren startar programinstallationsprocessen från Software Center kan alternativet Tillåt användare att visa och interagera med programinstallationen inte styra användarinteraktioner med andra processer som skapats av programinstallationsprogrammet. På grund av det här beteendet kan användaren fortfarande interagera med en upphöjd process även om du inte väljer det här alternativet. Undvik det här problemet genom att inte distribuera program som skapar andra processer med användarinteraktioner. Om du måste installera den här typen av program distribuerar du det som Obligatoriskt och konfigurerar användarmeddelandeupplevelsen till Dölj i Software Center och alla meddelanden.
Begränsa om användare kan installera programvara interaktivt
Konfigurera klientinställningen Installera behörigheter i gruppen Datoragent . Den här inställningen begränsar vilka typer av användare som kan installera programvara i Software Center.
Skapa till exempel en anpassad klientinställning med Installationsbehörigheter inställda på Endast administratörer. Använd den här klientinställningen på en samling servrar. Den här konfigurationen hindrar användare utan administratörsbehörighet från att installera programvara på dessa servrar.
Mer information finns i Om klientinställningar.
För mobila enheter distribuerar du endast signerade program
Distribuera endast mobila enhetsprogram om de är kodsignerade av en certifikatutfärdare (CA) som den mobila enheten litar på.
Till exempel:
Ett program från en leverantör som är signerat av en offentlig och globalt betrodd certifikatleverantör.
Ett internt program som du signerar oberoende av Configuration Manager med hjälp av din interna certifikatavfärdarorganisation.
Ett internt program som du loggar in med hjälp av Configuration Manager när du skapar programtypen och använder ett signeringscertifikat.
Skydda platsen för signeringscertifikatet för mobilenhetsprogrammet
Om du signerar mobila enhetsprogram med hjälp av guiden Skapa program i Configuration Manager skyddar du platsen för signeringscertifikatfilen och skyddar kommunikationskanalen. För att skydda mot utökade privilegier och man-in-the-middle-attacker lagrar du signeringscertifikatfilen i en skyddad mapp.
Använd IPsec mellan följande datorer:
- Datorn som kör Configuration Manager-konsolen
- Datorn som lagrar certifikatsigneringsfilen
- Den dator som lagrar programkällans filer
Signera i stället programmet oberoende av Configuration Manager och innan du kör guiden Skapa program.
Implementera åtkomstkontroller
Om du vill skydda referensdatorer implementerar du åtkomstkontroller. När du konfigurerar identifieringsmetoden i en distributionstyp genom att bläddra till en referensdator kontrollerar du att datorn inte är komprometterad.
Begränsa och övervaka administrativa användare
Begränsa och övervaka de administrativa användare som du beviljar följande rollbaserade säkerhetsroller för programhantering:
- Programadministratör
- Programförfattare
- Programdistributionshanteraren
Även när du konfigurerar rollbaserad administration kan administrativa användare som skapar och distribuerar program ha fler behörigheter än du inser. Administrativa användare som skapar eller ändrar ett program kan till exempel välja beroende program som inte ingår i deras säkerhetsomfång.
Konfigurera App-V-appar i virtuella miljöer med samma förtroendenivå
När du konfigurerar Microsoft virtuella appvirtualiseringsmiljöer (App-V) väljer du program som har samma förtroendenivå i den virtuella miljön. Eftersom program i en virtuell App-V-miljö kan dela resurser, till exempel Urklipp, konfigurerar du den virtuella miljön så att de valda programmen har samma förtroendenivå.
Mer information finns i Skapa virtuella App-V-miljöer.
Kontrollera att macOS-appar kommer från en tillförlitlig källa
Om du distribuerar program för macOS-enheter kontrollerar du att källfilerna kommer från en tillförlitlig källa. Verktyget CMAppUtil verifierar inte källpaketets signatur. Kontrollera att paketet kommer från en källa som du litar på. Verktyget CMAppUtil kan inte identifiera om filerna har manipulerats.
Skydda cmmac-filen för macOS-appar
Om du distribuerar program för macOS-datorer ska du skydda filens .cmmac
plats. Verktyget CMAppUtil genererar den här filen och sedan importerar du den till Configuration Manager. Den här filen är inte signerad eller verifierad.
Skydda kommunikationskanalen när du importerar den här filen till Configuration Manager. För att förhindra manipulering av den här filen lagrar du den i en skyddad mapp. Använd IPsec mellan följande datorer:
- Datorn som kör Configuration Manager-konsolen
- Datorn som lagrar
.cmmac
filen
Använda HTTPS för webbprogram
Om du konfigurerar en typ av webbprogramdistribution använder du HTTPS för att skydda anslutningen. Om du distribuerar en webbapp med hjälp av en HTTP-länk i stället för en HTTPS-länk kan enheten omdirigeras till en falsk server. Data som överförs mellan enheten och servern kan manipuleras.
Säkerhetsproblem
Användare med låg behörighet kan ändra filer som registrerar programdistributionshistorik på klientdatorn.
Eftersom programhistorikinformationen inte är skyddad kan en användare ändra filer som rapporterar om ett program är installerat.
App-V-paket signeras inte.
App-V-paket i Configuration Manager stöder inte signering. Digitala signaturer kontrollerar att innehållet kommer från en betrodd källa och inte har ändrats under överföringen. Det finns ingen risk för det här säkerhetsproblemet. Följ rekommenderade säkerhetsmetoder för att ladda ned innehållet från en betrodd källa och från en säker plats.
Publicerade App-V-program kan installeras av alla användare på datorn.
När ett App-V-program publiceras på en dator kan alla användare som loggar in på den datorn installera programmet. Du kan inte begränsa vilka användare som kan installera programmet när det har publicerats.
Sekretessinformation
Med programhantering kan du köra alla program, program eller skript på valfri klient i hierarkin. Configuration Manager har ingen kontroll över vilka typer av program, program eller skript som du kör eller vilken typ av information de skickar. Under programdistributionsprocessen kan Configuration Manager överföra information som identifierar enhets- och inloggningskonton mellan klienter och servrar.
Configuration Manager behåller statusinformation om programdistributionsprocessen. Såvida inte klienten kommunicerar med https krypteras inte information om programdistributionsstatus under överföringen. Statusinformationen lagras inte i krypterad form i databasen.
Användningen av Configuration Manager programinstallation för fjärrinstallation, interaktivt eller tyst installation av programvara på klienter kan omfattas av licensvillkor för programvaran. Den här användningen är separat från licensvillkoren för programvara för Configuration Manager. Granska och godkänn alltid villkoren för programvarulicensiering innan du distribuerar programvara med hjälp av Configuration Manager.
Configuration Manager samlar in diagnostik- och användningsdata om program, som används av Microsoft för att förbättra framtida versioner. Mer information finns i Diagnostik och användningsdata.
Programdistribution sker inte som standard och kräver flera konfigurationssteg.
Följande funktioner hjälper till att effektivt distribuera programvara:
Mappning mellan användare och enhet mappar en användare till enheter. En Configuration Manager-administratör distribuerar programvara till en användare. Klienten installerar automatiskt programvaran på en eller flera datorer som användaren använder oftast.
Software Center installeras automatiskt på en enhet när du installerar Configuration Manager-klienten. Användare ändrar inställningar, bläddrar efter programvara och installerar programvara från Software Center.
Sekretessinformation om mappning mellan användare och enhet
Configuration Manager kan överföra information mellan klienter och hanteringsplatssystem. Informationen kan identifiera datorn, inloggningskontot och den sammanfattade användningen för inloggningskonton.
Om du inte konfigurerar hanteringsplatsen för att kräva HTTPS-kommunikation krypteras inte informationen som överförs mellan klienten och servern.
Användningsinformationen för dator- och inloggningskontot används för att mappa en användare till en enhet. Configuration Manager lagrar den här informationen på klientdatorer, skickar den till hanteringsplatser och lagrar den sedan i platsdatabasen. Som standard tar webbplatsen bort gammal information från databasen efter 90 dagar. Borttagningsbeteendet kan konfigureras genom att ange underhållsaktiviteten Ta bort föråldrade användares enhetstillhörighetsdatawebbplats .
Configuration Manager behåller statusinformation om mappning mellan användare och enhet. Om du inte konfigurerar klienter att kommunicera med hanteringsplatser med hjälp av HTTPS krypterar de inte statusinformationen under överföringen. Webbplatsen lagrar inte statusinformation i krypterad form i databasen.
Information om dator- och inloggningsanvändning som används för att upprätta användar- och enhetstillhörighet är alltid aktiverad. Användare och administrativa användare kan ange tillhörighetsinformation för användare.
Sekretessinformation för Software Center
Med Software Center kan Configuration Manager administratör publicera program, program eller skript som användarna kan köra. Configuration Manager har ingen kontroll över vilka typer av program eller skript som publiceras i Software Center eller vilken typ av information de skickar.
Configuration Manager kan överföra information mellan klienter och hanteringsplatsen. Informationen kan identifiera dator- och inloggningskontona. Såvida du inte konfigurerar hanteringsplatsen för att kräva att klienter ansluter med https krypteras inte informationen som överförs mellan klienten och servrarna.
Informationen om begäran om programgodkännande lagras i Configuration Manager-databasen. För begäranden som avbryts eller nekas tas motsvarande poster i historiken för begäran bort efter 30 dagar som standard. Du kan konfigurera det här borttagningsbeteendet med underhållsaktiviteten Ta bort föråldrade programbegärandedatawebbplatser . Webbplatsen tar aldrig bort begäranden om programgodkännande som är i godkända och väntande tillstånd.
När du installerar Configuration Manager-klienten på en enhet installeras Software Center automatiskt.