Säkerhet och sekretess för programhantering i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Den här artikeln innehåller information om säkerhet och sekretess för programhantering i System Center 2012 Configuration Manager. Den här artikeln gäller även programkatalogen och Software Center.

I följande avsnitt finns mer information:

  • Rekommenderade säkerhetsmetoder för programhantering

    • Säkerhetsproblem för programhantering
  • Certifikat för Microsoft Silverlight 5 och förhöjt förtroende krävs för programkatalogen

  • Sekretessinformation för programhantering

    • Mappning mellan användare och enhet

    • Programkatalog

Rekommenderade säkerhetsmetoder för programhantering

Följ dessa rekommenderade säkerhetsmetoder för programhantering:

Regelverk för säkerhet

Mer information

Konfigurera programkatalogsplatserna med HTTPS-anslutningar och utbilda användarna om farorna med skadliga webbplatser.

Konfigurera programkatalogens webbplats och webbtjänstplats att acceptera HTTPS-anslutningar så att servern autentiseras för användarna och så att de data som skickas skyddas mot manipulation och insyn. Hjälp till att skydda mot angrepp genom social manipulation genom att instruera användarna att enbart besöka betrodda webbplatser.

System_CAPS_noteInformation

Använd inte möjligheterna att visa upp ditt varumärke, t.ex. organisationens namn, i programkatalogen som ett slags id-handling om du inte använder HTTPS.

Använd rollseparation och installera programkatalogens webbplats och tjänstplats på olika servrar.

Om programkatalogen webbplats har råkat ut för intrång ska du installera den på en annan server än den där programkatalogens webbtjänstplats finns. Detta skyddar Configuration Manager-klienterna och Configuration Manager-infrastrukturen. Det är särskilt viktigt om programkatalogens webbplats tar emot klientanslutningar från internet, eftersom denna konfiguration gör servern sårbar för angrepp.

Instruera användarna att stänga webbläsaren när de är klara med programkatalogen.

Om användarna besöker en extern webbplats i samma webbläsarfönster som de har använt för att besöka programkatalogen, fortsätter webbläsaren att använda säkerhetsinställningarna som är lämpliga för betrodda platser i intranätet.

Ange mappningen mellan användare och enheter manuellt i stället för att tillåta att användarna identifierar sina primära enheter, och aktivera inte någon användningsbaserad konfiguration.

Lita inte på informationen som samlas in från användare eller från enheten. Om du distribuerar program genom att använda en mappning mellan användare och enheter som inte har angetts av en betrodd administratör, kanske programmet installeras på datorer och till användare som inte är behöriga att ta emot programmet.

Konfigurera alltid distributioner så att innehåll laddas ned från distributionsplatser i stället för att köras från distributionsplatser.

När du konfigurerar distributioner så att innehåll laddas ned från en distributionsplats och körs lokalt, verifierar Configuration Manager-klienten paketets hashvärde efter att innehållet har laddats ned, och paketet kastat bort om hashvärdet inte är detsamma som det i principen. Men om du konfigurerar distributionen så att den körs direkt från en distributionsplats, verifierar Configuration Manager-klienten inte paketets hashvärde. Det innebär att Configuration Manager-klienten kan installera program som har manipulerats.

Om du måste köra distributioner direkt från distributionsplatser, ska du använda NTFS-behörigheter på paketet på distributionsplatserna och IPsec för att skydda kanalen mellan klienten och distributionsplatserna och mellan distributionsplatserna och platsservern.

Låt inte användarna göra något med program om alternativet Kör med administrationsbehörighet krävs.

När du konfigurerar ett program, kan du ställa in alternativet Tillåt att användare interagerar med det här programmet så att användarna kan svara på alla meddelanden i användargränssnittet. Om programmet även är konfigurerat med Kör med administrationsbehörighet, skulle an angripare vid datorn där programmets körs kunna använda användargränssnittet för att skaffa sig fler behörigheter på klientdatorn.

Använd installationsprogram som utnyttjar Windows Installer med utökade behörigheter för en viss användare om program behöver distribueras med administrativ behörighet men måste köras av en användare som saknar administrativ behörighet. Utökade behörigheter i Windows Installer per användare är det säkraste sättet att distribuera program med detta krav.

Begränsa huruvida användarna kan installera program interaktivt genom att använda klientinställningen Installationsbehörigheter.

Ange klientenhetsinställningen Installationsbehörigheter för Datoragent så att bara vissa typer av användare kan installera programmet genom att använda programkatalogen eller Software Center. Du kan t.ex. skapa en anpassad klientinställning där Installationsbehörigheter har värdet Bara administratörer. Tillämpa sedan denna klientinställning på en serversamling så att användare utan administrativ behörighet inte kan installera programmet på dessa datorer.

Distribuera bara signerade appar på mobila enheter

Distribuera bara appar för mobila enheter om de är kodsignerade av en certifikatutfärdare som den mobila enheten litar på. Exempel:

  • En app från en leverantör som är signerad av en välkänd certifikatutfärdare, t.ex. VeriSign.

  • En intern app som du signerar oberoende av Configuration Manager genom att använda den interna certifikatutfärdaren.

  • En intern app som du signerar genom att använda Configuration Manager när du skapar apptypen och använder ett signeringscertifikat.

Om du signerar mobilappar genom att använda guiden Skapa program i Configuration Manager måste du skydda den plats där signeringscertifikatfilen finns, och även skydda kommunikationskanalen.

Du kan skydda dig mot rättighetsökning och man-in-the-middle-angrepp genom att lagra signeringscertifikatfilen i en skyddad mapp och använda IPsec eller SMB mellan dessa datorer:

  • Datorn där Configuration Manager-konsolen körs.

  • Datorn där certifikatsigneringsfilen lagras.

  • Datorn där appens källfiler lagras.

Alternativt kan du signera appen oberoende av Configuration Manager och innan du kör guiden Skapa program.

Implementera åtkomstkontroller för att skydda referensdatorer

När en administrativ användare konfigurerar identifieringsmetoden i en distributionstyp genom att bläddra sig fram till en referensdator, får datorn inte ha använts av obehöriga.

Begränsa och övervaka vilka administrativa användare som ges de rollbaserade säkerhetsroller som gäller programhantering:

  • Programadministratör

  • Programförfattare

  • Programdistributionsansvarig

Även om du konfigurerar rollbaserad administration kan administrativa användare som skapar och distribuerar program ha fler behörigheter än du inser. Administrativa användare som skapar eller ändrar ett program kan t.ex. välja beroende program som inte ligger i deras säkerhetsomfång.

System_CAPS_noteInformation

För System Center 2012 Configuration Manager SP1 och senare:

När du konfigurerar virtuella AppV-miljöer (Microsoft Application Virtualization) ska du välja program i den virtuella miljön som har samma behörighetsnivå.

Eftersom program i en virtuell App-V-miljö kan dela resurser, t.ex. Urklipp, ska du konfigurera den virtuella miljön så att de valda programmen har samma behörighetsnivå.

Mer information finns i Skapa App-V-virtuella miljöer i Configuration Manager.

Om du distribuerar program till Macar ska du se till att källfilerna kommer från en tillförlitlig källa.

Verktyget CMAppUtil verifierar inte källpaketets signatur, så se till att det kommer från en källa som du litar på. Verktyget CMAppUtil kan inte identifiera huruvida någon har manipulerat filerna.

Om du distribuerar program till Macar måste du skydda platsen där filen .cmmac finns och skydda kommunikationskanalen när du importerar filen till Configuration Manager.

Eftersom filen .cmmac som verktyget CMAppUtil genererar och som du importerar till Configuration Manager inte är signerad eller verifierad, ska du lagra den i en skyddad mapp och använda IPsec eller SMB mellan de följande datorerna för att förhindra att något ändras i den:

  • Datorn där Configuration Manager-konsolen körs.

  • Datorn där filen .cmmac lagras.

För System Center 2012 R2 Configuration Manager och senare:

Om du konfigurerar en webbprogramsdistributionstyp ska du skyddade anslutningen med HTTPS

Om du distribuerar ett webbprogram via HTTP i stället för HTTPS, skulle enheten kunna omdirigeras till en falsk server, och de data som överförs mellan enheten och servern skulle kunna manipuleras.

Säkerhetsproblem för programhantering

Följande säkerhetsproblem föreligger vid programhantering:

  • Användare med begränsade rättigheter kan kopiera filer från klientcachen på klientdatorn.

    Användare kan läsa men inte skriva till klientcachen. Med läsbehörighet kan en användare kopiera ett programs installationsfiler från en dator till en annan.

  • Användare med begränsade rättigheter kan ändra filer med information om distributionshistoriken för program på klientdatorn.

    Eftersom programhistoriken inte är skyddad, kan en användare modifiera filer som visar om ett program är installerat eller inte.

  • App-V-paket signeras inte.

    App-V-paket i Configuration Manager stöder inte signering för att visa att innehållet kommer från en betrodd källa och att det inte har manipulerats under överföringen. Det går inte att komma runt detta säkerhetsproblem. Se till att du följer den rekommenderade säkerhetsmetoden och ladda ned innehållet från en betrodd källa och från en säker plats.

  • Publicerade App-V-program går att installera av alla användare på datorn.

    När ett App-V-program publiceras på en dator, kan alla användare som loggar in på den installera det. Detta innebär att du inte kan begränsa vilka användare som kan installera programmet när det har publicerats.

  • Du kan inte begränsa installationsbehörigheterna för företagsportalen

    Även om du kan konfigurera en klientinställning så att installationsbehörigheterna är begränsade, t.ex. till primära användare av en enhet, eller endast till lokala administratörer, fungerar denna inställning inte för företagsportalen. Detta kan leda till rättighetsökning, eftersom en användare skulle kunna installera ett program som han eller hon inte bör tillåtas installera.

Certifikat för Microsoft Silverlight 5 och förhöjt förtroende krävs för programkatalogen

System_CAPS_noteInformation

Detta gäller endast System Center 2012 Configuration Manager SP1 och System Center 2012 R2 Configuration Manager.

System Center 2012 Configuration Manager SP1- och System Center 2012 R2 Configuration Manager-klienter måste ha Microsoft Silverlight 5, som måste köras med förhöjt förtroende om användarna ska kunna installera program från programkatalogen. Som standard körs Silverlight-program med partiellt förtroende för att hindra program från att komma åt användarnas data. Configuration Manager installerar automatiskt Microsoft Silverlight 5 på klienterna om det inte redan är installerat, och som standard ges klientinställningen Tillåt att Silverlight-program körs med förhöjt förtroende för Datoragent värdet JA. Den här inställningen tillåter att signerade och betrodda Silverlight-program begär förhöjt förtroende.

När du installerar programkatalogens webbplats platssystemsroll, installerar klienten även ett signeringscertifikat från Microsoft i certifikatarkivet Betrodda utgivare på varje Configuration Manager-klientdator. Med detta certifikat kan Silverlight-program som har signerats med detta certifikat köras med det förhöjda förtroende som datorerna kräver för att installera program från programkatalogen. Configuration Manager hanterar detta signeringscertifikat automatiskt. Ta inte bort eller flytta detta signeringscertifikat från Microsoft manuellt. Annars kan det bli avbrott i tjänsten.

System_CAPS_warningVarning

När klientinställningen Tillåt att Silverlight-program körs med förhöjt förtroende är valt kan alla Silverlight-program som har signerats med certfikat i certifikatarkivet Betrodda utgivare antingen i datorarkivet eller i användararkivet köras med förhöjt förtroende. Det går inte att aktivera förhöjt förtroende enbart för programkatalogen i Configuration Manager eller certifikatarkivet Betrodda utgivare i datorarkivet med denna klientinställning. Om ett skadligt program lägger till ett falskt certifikat i arkivet Betrodda utgivare, t.ex. i användararkivet, kan skadliga program som utnyttjar ett eget Silverlight-program också köras med förhöjt förtroende.

Om du ger klientinställningen Tillåt att Silverlight-program körs med förhöjt förtroende värdet Nej tas Microsofts signeringscertifikat inte bort från klienterna.

Mer information om betrodda program i Silverlight finns i Trusted Applications (Betrodda program).

Sekretessinformation för programhantering

Genom programhantering kan du köra valfria program eller skript på en klientdator eller en mobil klientenhet i hierarkin. Configuration Manager har ingen kontroll över vilka typer av program eller skript som du kör, eller vilken information som de skickar. När programmet distribueras kan Configuration Manager överföra information mellan klienter och servrar som identifierar enheten och inloggningskonton.

Configuration Manager har statusinformation om programdistributionsprocessen. Programdistributionens statusinformation är inte krypterad vid överföringen, om inte klienten kommunicerar med hjälp av HTTPS. Informationen lagras inte i krypterad form i databasen.

Om du fjärrstyrt, interaktivt eller obevakat installerar programvara på klienter med Configuration Manager-programinstallationen kan det omfattas av licensvillkor för den aktuella programvaran, som inte är desamma som licensvillkoren för System Center 2012 Configuration Manager-programvaran. Läs alltid och godkänn programvarans licensvillkor innan du distribuerar den med hjälp av Configuration Manager.

Programdistribution sker inte som standard och kräver fler konfigurationssteg.

Två valfria funktioner som underlättar effektiv programdistribution är mappning mellan användare och enhet samt programkatalogen:

  • Mappningen mellan användare och enhet sker så att en Configuration Manager-administratör kan distribuera programvara till en användare, och programvaran installeras automatiskt på en eller flera datorer som användaren oftast använder.

  • Programkatalogen är en webbplats där användare kan begära installation av programvara.

Följande avsnitt innehåller sekretessinformation om mappning mellan användare och enhet samt programkatalogen.

Innan du konfigurerar programhantering bör du tänka igenom dina sekretesskrav.

Mappning mellan användare och enhet

Configuration Manager kan överföra information mellan klienter och hanteringsplatssystem som identifierar datorn och inloggningskontot samt den sammanfattade användningen av inloggningskonton.

Informationen som överförs mellan klienten och servern är inte krypterad, om inte hanteringspunkten konfigureras så att det krävs att klienter kommunicerar med hjälp av HTTPS.

Datorn och inloggningskontots användningsinformation som används för att mappa till en enhet lagras på klientdatorer, skickas till hanteringsplatser och lagras sedan i Configuration Manager-databasen. Den gamla informationen tas som standard bort från databasen efter 90 dagar. Borttagningsbeteendet kan konfigureras genom att ange platshanteringsuppgiften Ta bort föråldrade tillhörighetsdata för användarenhet.

Configuration Manager har statusinformation om mappning mellan användare och enhet. Statusinformationen är inte krypterad vid överföringen, om inte klienter har konfigurerats att kommunicera med hanteringsplatser med hjälp av HTTPS. Statusinformationen lagras inte i krypterad form i databasen.

Datorns och inloggningskontots användningsinformation samt statusinformationen skickas inte till Microsoft.

Användningsinformationen för datorn och inloggningen som används för att etablera mappning mellan användare och enhet är alltid aktiverade. Dessutom kan användare och administrativa användare ange information om mappning mellan användare och enhet.

Programkatalog

Med programkatalogen kan en Configuration Manager-administratör publicera vilket program eller skript som helst så att användare kan köra dem. Configuration Manager har ingen kontroll över vilka typer av program eller skript som publiceras i katalogen, eller vilken typ av information de överför.

Configuration Manager kan överföra information mellan klienter och programkatalogens platssystemroller som identifierar datorn och inloggningskonton. Informationen som överförs mellan klienten och servrarna är inte krypterad, om inte platssystemrollerna konfigureras så att de kräver att klienter ansluter med hjälp av HTTPS.

Informationen om begäran om godkännande av programmet lagras i Configuration Manager-databasen. Begäranden som avbryts eller nekas tas som standard bort efter 30 dagar, tillsammans med motsvarande begäranhistorikposter. Borttagningsbeteendet kan konfigureras genom att ange platshanteringsuppgiften Ta bort föråldrade data för programbegäranden. Begäranden om programgodkännande som har statusen Godkänd eller Väntar tas aldrig bort.

Information som skickas till och från programkatalogen skickas inte till Microsoft.

Programkatalogen installeras inte som standard. Installationen kräver flera konfigurationssteg.