Configuration Manager'da Uygulama Yönetimi İçin Güvenlik ve Gizlilik

 

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Bu konu, System Center 2012 Configuration Manager'te uygulama yönetimiyle ilgili güvenlik ve gizlilik hakkında bilgi içerir. Ayrıca bu konu, Uygulama Kataloğu'nu ve Yazılım Merkezi'ni de içerir.

Daha fazla bilgi edinmek için aşağıdaki bölümleri kullanın:

  • Uygulama yönetimi için en iyi güvenlik uygulamaları

    • Uygulama yönetimiyle ilgili güvenlik sorunları
  • Microsoft Silverlight 5 sertifikaları ve Uygulama Kataloğu için gereken yükseltilmiş güven modu

  • Uygulama yönetimi için gizlilik bilgileri

    • Kullanıcı aygıtı benzeşimi

    • Uygulama Kataloğu

Uygulama yönetimi için en iyi güvenlik uygulamaları

Uygulama yönetimi için aşağıdaki en iyi güvenlik uygulamalarını kullanın:

En iyi güvenlik yöntemi

Daha fazla bilgi

Uygulama Kataloğu noktalarını HTTPS bağlantıları kullanılacak şekilde yapılandırın ve kullanıcıları kötü amaçlı web sitelerinin tehlikeleri konusunda bilgilendirin.

Uygulama Kataloğu web sitesi noktasını ve Uygulama Kataloğu web hizmeti noktasını, HTTPS bağlantılarını kabul edecek şekilde yapılandırın; böylece sunucunun kimliği kullanıcılar için doğrulanır ve iletilen verilerin üzerinde oynanması ve bu verilerin görüntülenmesi engellenir. Kullanıcıları yalnızca güvenilen web sitelerine bağlanma konusunda eğiterek sosyal mühendislik saldırılarını önlemeye yardımcı olun.

Not

HTTPS kullanmadığınızda, kimlik kanıtı olarak Uygulama Kataloğu'nda kuruluşunuzun adını gösteren markalama yapılandırma seçeneklerini kullanmayın.

Rol ayrımı kullanın ve Uygulama Kataloğu web sitesi noktasını ve Uygulama Kataloğu hizmet noktasını ayrı sunuculara yükleyin.

Uygulama Kataloğu web sitesi noktası tehlikedeyse, onu ayrı bir sunucuya, Uygulama Kataloğu web hizmeti noktasına yükleyin. Bu, Configuration Manager istemcilerinin ve Configuration Manager altyapısının korunmasına yardımcı olur. Bu, özellikle, Uygulama Kataloğu web sitesi noktası Internet'ten istemci bağlantılarını kabul ediyorsa önemlidir; çünkü bu yapılandırma, sunucuyu saldırılara açık hale getirir.

Kullanıcılara, Uygulama Kataloğu'nu kullanmayı bitirdiklerinde tarayıcı penceresini kapatmaları gerektiğini anlatın.

Kullanıcılar, Uygulama Kataloğu için kullandıkları tarayıcı penceresinde bir dış web sitesine giderlerse, tarayıcı, intranet'teki güvenilen siteler için uygun olan güvenlik ayarlarını kullanmaya devam eder.

Kullanıcıların kendi birincil aygıtlarını tanımlamalarına izin vermek yerine kullanıcı aygıtı benzeşimini el ile belirtin ve kullanıcı tabanlı yapılandırmayı etkinleştirmeyin.

Kullanıcılardan veya cihazdan toplanan bilgilerin onay anlamına gelmediğini unutmayın. Güvenilen bir yönetim kullanıcısı tarafından belirtilmemiş kullanıcı aygıtı benzeşimini kullanarak yazılım dağıtırsanız, yazılım, bu yazılımı alma yetkisi olmayan bilgisayarlara ve kullanıcılara yüklenebilir.

Dağıtımları daima dağıtım noktalarından çalışmak yerine dağıtım noktalarından içerik indirecek şekilde yapılandırın.

Dağıtımları bir dağıtım noktasından içerik indirip yerel olarak çalışacak şekilde yapılandırdığınızda, Configuration Manager istemcisi içeriği indirdikten sonra paket karmasını doğrular ve bu karma ilkedeki karmayla eşleşmiyorsa paketi atar. Öte yandan, dağıtımı doğrudan bir dağıtım noktasından çalışacak şekilde yapılandırırsanız Configuration Manager istemcisi paket karmasını doğrulamaz, ki bu da Configuration Manager istemcisinin üzerinde oynanmış yazılımı yükleyebileceği anlamına gelir.

Dağıtımları doğrudan dağıtım noktalarından çalıştırmanız gerekiyorsa, dağıtım noktalarındaki paketlerde en düşük NTFS izinlerini kullanın ve istemci ile dağıtım noktaları ve dağıtım noktaları ile site sunucusu arasındaki kanalı korumak için IPsec kullanın.

Yönetici haklarıyla çalıştır seçeneği gerekiyorsa kullanıcıların programlarla etkileşime girmesine izin vermeyin.

Bir programı yapılandırırken, Kullanıcıların bu programla etkileşim kurmasına izin ver seçeneğini belirleyerek kullanıcıların, kullanıcı arabirimindeki gerekli komut istemlerine yanıt vermesini sağlayabilirsiniz. Program, Yönetici haklarıyla çalıştır ayarı uygulanacak şekilde yapılandırıldıysa, programı çalıştıran bilgisayardaki bir saldırgan, kullanıcı arabirimini kullanarak istemci bilgisayardaki ayrıcalıkları ilerletebilir.

Yönetimsel kimlik bilgileri gerektiren; ancak yönetimsel kimlik bilgilerine sahip olmayan bir kullanıcı bağlamında çalıştırılması gereken yazılım dağıtımları için kullanıcı başına yükseltilmiş ayrıcalıkları olan Windows Installer tabanlı kurulum programları kullanın. Windows Installer kullanıcı başına yükseltilmiş ayrıcalıkları, bu gereksinime sahip olan uygulamaları dağıtmak için en güvenli yolu sağlar.

Kullanıcıların etkileşimli olarak yazılım yükleyip yükleyemeyeceğini Yükleme izinleri istemci ayarını kullanarak belirleyin.

İzinleri yükleBilgisayar Aracısı istemci cihaz ayarını, Uygulama Kataloğu'nu veya Yazılım Merkezi'ni kullanarak yazılım yükleyebilecek kullanıcı türlerini kısıtlayacak şekilde yapılandırın. Örneğin, İzinleri yükle'yi Yalnızca yöneticiler olarak ayarlayarak özel bir istemci ayarı oluşturun. Ardından, yönetim izinlerine sahip olmayan kullanıcıların bu bilgisayarlara yazılım yüklemesini önlemek için bu istemci ayarını bir sunucu koleksiyonuna uygulayın.

Mobil cihazlar söz konusu olduğunda, yalnızca imzalı uygulamaları dağıtın

Mobil cihaz uygulamalarını yalnızca, bu uygulamalar mobil cihaz tarafından güvenilen bir sertifika yetkilisi (CA) tarafından kodla imzalanmışsa dağıtın. Örneğin:

  • Bir satıcıdan alınan ve VeriSign gibi tanınmış bir CA tarafından imzalanmış olan bir uygulama.

  • İç CA'nızı kullanarak, Configuration Manager'den bağımsız olarak imzaladığınız bir iç uygulama.

  • Uygulama türünü oluştururken imzalama sertifikası kullandığınızda Configuration Manager kullanarak imzaladığınız bir iç uygulama.

Mobil cihaz uygulamalarını Configuration Manager'deki Uygulama Sihirbazı Oluştur'u kullanarak imzalarsanız, imza sertifikası dosyasının konumunun ve iletişim kanalının güvenliğini sağlayın.

Ayrıcalıkların yükseltilmesi ve ortadaki adam saldırılarına karşı önlem olarak, imza sertifikası dosyasını güvenli bir klasörde saklayın ve aşağıdaki bilgisayarlar arasında IPsec veya SMB kullanın:

  • Configuration Manager konsolunu çalıştıran bilgisayar.

  • Sertifika imzalama dosyasının depolandığı bilgisayar.

  • Uygulama kaynağı dosyalarının depolandığı bilgisayar.

Alternatif olarak, uygulamayı, Configuration Manager'den bağımsız olarak ve Uygulama Sihirbazı Oluştur'u çalıştırmadan önce imzalayabilirsiniz.

Başvuru bilgisayarlarını korumak için erişim denetimleri uygulayın.

Bir yönetim kullanıcısı, başvuru bilgisayarına giderek bir dağıtım türündeki algılama yöntemini yapılandırdığında, bilgisayarın tehlikede olmadığından emin olun.

Uygulama yönetimiyle ilgili rol tabanlı güvenlik rolleri verilen yönetim kullanıcılarını kısıtlayın ve izleyin:

  • Uygulama Yöneticisi

  • Uygulama Yazarı

  • Uygulama Dağıtım Yöneticisi

Rol tabanlı yönetimi yapılandırırken bile, uygulamaları oluşturup dağıtan yönetim kullanıcıları sizin fark ettiğinizden çok daha fazla izne sahip olabilir. Örneğin, yönetim kullanıcıları bir uygulama oluştururken veya uygulamada değişiklik yaparken, kendi güvenlik kapsamlarında olmayan bağımlı uygulamaları seçebilirler.

Not

System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için:

Microsoft Application Virtualization (App-V) sanal ortamlarını yapılandırırken, aynı güven düzeyine sahip olan sanal ortamdaki uygulamaları seçin.

App-V sanal ortamındaki uygulamalar kaynakları paylaşabildiğinden (örneğin, pano), sanal ortamı, seçilen uygulamalar aynı güven düzeyine sahip olacak şekilde yapılandırın.

Daha fazla bilgi için, bkz. Configuration Manager'da App-V Sanal Ortamları Oluşturma.

Mac bilgisayarlar için uygulama dağıtıyorsanız kaynak dosyaların güvenilir bir kaynaktan geldiğinden emin olun.

CMAppUtil aracı kaynak paketin imzasını doğrulamaz; bu yüzden paketin güvendiğiniz bir kaynaktan geldiğinden emin olun. CMAppUtil aracı, dosyaların üzerinde oynanıp oynanmadığını algılayamaz.

Mac bilgisayarlar için uygulama dağıtıyorsanız, .cmmac dosyasını Configuration Manager'ye aktarırken bu dosyanın konumunun ve iletişim kanalının güvenliğini sağlayın.

CMAppUtil aracının oluşturduğu ve sizin .cmmac'ye aktardığınız Configuration Manager dosyası imzalanmamış veya doğrulanmamış olduğundan, bu dosya üzerinde oynama yapılmasını önlemeye yardımcı olmak için dosyayı güvenli bir klasörde saklayın ve aşağıdaki bilgisayarlar arasında IPsec veya SMB kullanın:

  • Configuration Manager konsolunu çalıştıran bilgisayar.

  • .cmmac dosyasını çalıştıran bilgisayar.

Yalnızca System Center 2012 R2 Configuration Manager ve sonraki sürümleri için:

Bir web uygulaması dağıtım türünü yapılandırıyorsanız bağlantının güvenliğini sağlamak için HTTP yerine HTTPS kullanın

Bir web uygulamasını HTTPS bağlantısı yerine HTTP bağlantısı kullanarak dağıtırsanız, cihaz standart dışı bir sunucuya yeniden yönlendirilebilir ve cihazla sunucu arasında aktarılan verilerin üzerinde oynanabilir.

Uygulama yönetimiyle ilgili güvenlik sorunları

Uygulama yönetiminde aşağıdaki güvenlik sorunlarıyla karşılaşılır:

  • Düşük haklara sahip olan kullanıcılar, istemci bilgisayarındaki istemci önbelleğinden dosya kopyalayabilirler.

    Kullanıcılar istemci önbelleğini okuyabilir; ancak bu önbelleğe yazamazlar. Okuma izinleri olan bir kullanıcı, uygulama yükleme dosyalarını bir bilgisayardan başka bir bilgisayara kopyalayabilir.

  • Düşük haklara sahip olan kullanıcılar, istemci bilgisayarında yazılım dağıtımı geçmişini kaydeden dosyalarda değişiklik yapabilir.

    Uygulama geçmişi bilgileri korunmadığından, kullanıcılar bir uygulamanın yüklenip yüklenmediğini rapor eden dosyalarda değişiklik yapabilir.

  • App-V paketleri imzalı değildir.

    Configuration Manager'deki App-V paketleri, içeriğin güvenilen bir kaynaktan geldiğini ve iletim sırasında değiştirilmediğini doğrulamak için imzalamayı desteklemez. Bu güvenlik sorununu ortadan kaldırmak mümkün değildir; içeriği güvenilen bir kaynaktan ve güvenli bir konumdan indirmek için en iyi güvenlik uygulamalarını takip ettiğinizden emin olun.

  • Yayımlanan App-V uygulamaları bilgisayardaki tüm kullanıcılar tarafından yüklenebilir.

    App-V uygulaması bir bilgisayarda yayımlandığında, o bilgisayarda oturum açan kullanıcıların tümü uygulamayı yükleyebilir. Bu, uygulama yayımlandıktan sonra uygulamayı yükleyebilecek kullanıcıları kısıtlayamayacağınız anlamına gelir.

  • Şirket portalı için yükleme izinlerini kısıtlayamazsınız

    Yükleme izinlerini kısıtlamak (örneğin, bir cihazın birincil kullanıcılarıyla veya yalnızca yerel yöneticilerle) için bir istemci ayarı yapılandırabilirsiniz; ancak bu ayar şirket portalı için işe yaramaz. Bu, ayrıcalıkların yükseltilmesine neden olabilir; çünkü kullanıcı, yüklemesine izin verilmemesi gereken bir uygulamayı yükleyebilir.

Microsoft Silverlight 5 sertifikaları ve Uygulama Kataloğu için gereken yükseltilmiş güven modu

Not

Yalnızca System Center 2012 Configuration Manager SP1 ve System Center 2012 R2 Configuration Manager için geçerlidir.

System Center 2012 Configuration Manager SP1 ve System Center 2012 R2 Configuration Manager istemcileri Microsoft Silverlight 5 gerektirir, ve bunun, kullanıcıların Uygulama Kataloğu'ndan yazılım yükleyebilmesi için yükseltilmiş güven modunda çalıştırılması gerekir. Varsayılan olarak, Silverlight uygulamaları, uygulamaların kullanıcı verilerine erişmesini engelleyen kısmi güven modunda çalışır.Configuration Manager, henüz yüklenmemişse Microsoft Silverlight 5’i istemcilere yükler ve varsayılan olarak, Bilgisayar Aracısı istemci ayarı Silverlight uygulamalarının yükseltilmiş güven modunda çalışmasına izin ver değerini Evet olarak yapılandırır. Bu ayar, imzalı ve güvenilen Silverlight uygulamalarının yükseltilmiş güven modunu istemesine olanak sağlar.

Uygulama Kataloğu web sitesi noktası site sistemi rolünü yüklediğinizde, istemci, her bir Configuration Manager istemci bilgisayarındaki Güvenilen Yayımcılar bilgisayar sertifikası deposuna bir Microsoft imza sertifikası da yükler. Bu sertifika, bu sertifika tarafından imzalanmış Silverlight uygulamalarının, bilgisayarların Uygulama Kataloğu'ndan yazılım yüklemek için ihtiyaç duyduğu yükseltilmiş güven modunda çalışmasına olanak sağlar.Configuration Manager bu imza sertifikasını otomatik olarak yönetir. Hizmet sürekliliği sağlamak için, bu Microsoft imza sertifikasını el ile silmeyin veya taşımayın.

System_CAPS_warningUyarı

Silverlight uygulamalarının yükseltilmiş güven modunda çalışmasına izin ver istemci ayarı etkinleştirildiğinde, bu ayar, bilgisayar deposunda ya da kullanıcı deposunda yer alan Güvenilen Yayımcılar sertifika deposundaki sertifikalar tarafından imzalanan tüm Silverlight uygulamalarının yükseltilmiş güven modunda çalışmasına izin verir. Bu istemci ayarı, yükseltilmiş güven modunu Configuration Manager Uygulama Kataloğu veya bilgisayar deposundaki Güvenilen Yayımcılar sertifika deposu için özel olarak etkinleştiremez. Kötü amaçlı yazılım, Güvenilen Yayımcılar deposuna (örneğin, kullanıcı deposunda) standart dışı bir sertifika eklerse, kendi Silverlight uygulamasını kullanan kötü amaçlı yazılım artık yükseltilmiş güven modunda da çalışabilir.

Silverlight uygulamalarının yükseltilmiş güven modunda çalışmasına izin ver istemci ayarını Hayır olarak yapılandırırsanız, bu, Microsoft imza sertifikasını istemcilerden kaldırmaz.

Silverlight'taki güvenilen uygulamalar hakkında daha fazla bilgi için bkz. Trusted Applications.

Uygulama yönetimi için gizlilik bilgileri

Uygulama yönetimi, hiyerarşideki herhangi bir istemci bilgisayarda veya istemci mobil cihazında herhangi bir uygulama, program veya komut dosyasını çalıştırmanıza olanak sağlar.Configuration Manager hangi tür uygulama, program veya komut dosyasını çalıştırdığınızı veya bunların hangi tür bilgileri aktardığını denetleyemez. Uygulama dağıtımı işlemi sırasında, Configuration Manager, istemcilerle sunucular arasında cihaz ve oturum açma hesaplarını tanımlayan bilgilerin iletimini yapabilir.

Configuration Manager yazılım dağıtım işlemiyle ilgili durum bilgilerini tutar. İstemci HTTPS kullanarak bağlanmazsa yazılım dağıtımı durum bilgisi aktarım sırasında şifrelenmez. Durum bilgileri veritabanında şifreli biçimde depolanmaz.

Yazılımın istemcilere uzaktan, etkileşimli ve sessiz bir şekilde yüklenmesi için Configuration Manager yazılım yüklemesinin kullanımı, bu yazılıma ait yazılım lisans koşullarına bağlı olabilir ve System Center 2012 Configuration Manageriçin Yazılım Lisans Koşulları'ndan ayrıdır.Configuration Manager kullanarak yazılımı dağıtmadan önce her zaman Yazılım Lisans Koşullarını gözden geçirin ve kabul edin.

Yazılım dağıtımı varsayılan olarak gerçekleşmez ve birkaç yapılandırma adımı gerektirir.

Etkili yazılım dağıtımı sağlayan isteğe bağlı iki özellik kullanıcı aygıt benzeşimi ve Uygulama Kataloğu'dur:

  • Kullanıcı aygıt benzeşimi, bir Configuration Manager yöneticisinin bir kullanıcıya yazılım dağıtabilmesi için bir kullanıcıyı aygıtlarla eşleştirir ve yazılım, kullanıcının en sık kullandığı bir veya daha fazla bilgisayara otomatik olarak yüklenir.

  • Uygulama Kataloğu kullanıcıların yüklenecek yazılımları istemelerini sağlayan bir web sitesidir.

Kullanıcı aygıt benzeşimi ve Uygulama Kataloğu ile ilgili gizlilik bilgileri için aşağıdaki bölümlere bakın.

Uygulama yönetimini yapılandırmadan önce gizlilik gereksinimlerinizi gözden geçirin.

Kullanıcı aygıtı benzeşimi

Configuration Manager istemcilerle bilgisayarı tanımlayan yönetim noktası site sistemleri arasında ve oturum açma hesabıyla oturum açma hesapları için özetlenmiş kullanım arasında bilgi aktarabilir.

Yönetim noktası istemcilerin HTTPS kullanarak bağlanmasını gerektirecek şekilde yapılandırılmamışsa istemci ve sunucu arasında aktarılan bilgiler şifrelenmez.

Bilgisayar ve bir kullanıcıyla bir aygıtın eşlenmesi için kullanılan oturum açma hesabı kullanım bilgileri istemci bilgisayarlarında depolanır, yönetim noktalarına gönderilir ve daha sonra Configuration Manager veritabanında depolanır. Eski bilgiler veritabanından varsayılan olarak 90 gün sonra silinir. Silme davranışı, Eski Kullanıcı Aygıtı Benzeşimi Verilerini Sil site bakım görevi ayarlanarak yapılandırılabilir.

Configuration Manager kullanıcı aygıt benzeşimi ile ilgili durum bilgilerini tutar. İstemciler yönetim noktalarına HTTPS kullanarak bağlanmak üzere yapılandırılmamışsa aktarım sırasında durum bilgileri şifrelenmez. Durum bilgileri veritabanında şifreli biçimde depolanmaz.

Bilgisayar, oturum açma hesabı kullanım bilgileri ve durum bilgileri Microsoft'a gönderilmez.

Kullanıcı ve aygıt benzeşimini kurmak için kullanılan bilgisayar ve oturum açma kullanım bilgileri her zaman etkindir. Ayrıca kullanıcılar ve yönetici kullanıcılar, kullanıcı aygıt benzeşimi bilgilerini sağlayabilir.

Uygulama Kataloğu

Bu Uygulama Kataloğu, Configuration Manager yöneticisinin kullanıcıların çalıştırması için herhangi bir uygulama, program veya komut dosyasını yayınlamasını sağlar.Configuration Manager katalogda hangi tür programların veya komut dosyalarının yayınlandığı veya bunların hangi tür bilgileri aktardıkları üzerinde denetimi yoktur.

Configuration Manager istemciler ile bilgisayar ve oturum açma hesaplarını tanımlayan Uygulama Kataloğu site sistem rolleri arasında bilgi aktarabilir. Bu site sistem rolleri istemcilerin HTTPS kullanarak bağlanmasını gerektirecek şekilde yapılandırılmamışsa istemci ve sunucular arasında aktarılan bilgiler şifrelenmez.

Uygulama onay isteğiyle ilgili bilgiler Configuration Manager veritabanında depolanır. İptal edilen veya reddedilen istekler, ilgili istek geçmişi girdileriyle birlikte varsayılan olarak 30 gün sonra silinir. Silme davranışı, Eski Uygulama İsteği Verilerini Sil site bakım görevi ayarlanarak yapılandırılabilir. Onaylanmış ve bekleyen durumundaki uygulama onay istekleri asla silinmez.

Uygulama Kataloğu'na gönderilen ve Uygulama Kataloğu'ndan alınan bilgiler Microsoft'a gönderilmez.

Uygulama Kataloğu varsayılan olarak yüklü değildir. Bu yükleme birkaç yapılandırma adımını gerektirir.