Referencia técnica de controles criptográficos
Se aplica a: Configuration Manager (rama actual)
Configuration Manager usa la firma y el cifrado para ayudar a proteger la administración de los dispositivos en la jerarquía de Configuration Manager. Con la firma, si los datos se han modificado en tránsito, se descartan. El cifrado ayuda a evitar que un atacante lea los datos mediante un analizador de protocolos de red.
El algoritmo hash principal que Configuration Manager usa para la firma es SHA-256. Cuando dos sitios Configuration Manager se comunican entre sí, firman sus comunicaciones con SHA-256.
A partir de la versión 2107, el algoritmo de cifrado principal que Configuration Manager usa es AES-256. El cifrado se produce principalmente en las dos áreas siguientes:
Si habilita el sitio para usar el cifrado, el cliente cifra los datos de inventario y los mensajes de estado que envía al punto de administración.
Cuando el cliente descarga directivas secretas, el punto de administración siempre cifra estas directivas. Por ejemplo, una secuencia de tareas de implementación del sistema operativo que incluye contraseñas.
Nota:
Si configura la comunicación HTTPS, estos mensajes se cifran dos veces. El mensaje se cifra con AES y, a continuación, el transporte HTTPS se cifra con AES-256.
Cuando use la comunicación de cliente a través de HTTPS, configure la infraestructura de clave pública (PKI) para usar certificados con el máximo de algoritmos hash y longitudes de clave. Cuando se usan certificados CNG v3, Configuration Manager clientes solo admiten certificados que usan el algoritmo criptográfico RSA. Para obtener más información, consulte PKI certificate requirements and CNG v3 certificates overview (Información general sobrelos requisitos de certificados PKI y certificados CNG v3).
Para la seguridad del transporte, todo lo que use TLS admite AES-256. Esta compatibilidad incluye al configurar el sitio para HTTP mejorado (E-HTTP) o HTTPS. En el caso de los sistemas de sitio locales, puede controlar los conjuntos de cifrado TLS. En el caso de los roles basados en la nube, como cloud management gateway (CMG), si habilita TLS 1.2, Configuration Manager configura los conjuntos de cifrado.
Para la mayoría de las operaciones criptográficas con sistemas operativos basados en Windows, Configuration Manager usa estos algoritmos de la biblioteca CryptoAPI de Windows rsaenh.dll.
Para obtener más información sobre la funcionalidad específica, vea Operaciones del sitio.
Operaciones de sitio
La información de Configuration Manager se puede firmar y cifrar. Admite estas operaciones con o sin certificados PKI.
Cifrado y firma de directivas
El sitio firma las asignaciones de directivas de cliente con su certificado autofirmado. Este comportamiento ayuda a evitar que el riesgo de seguridad de un punto de administración en peligro envíe directivas alteradas. Si usa la administración de clientes basada en Internet, este comportamiento es importante porque requiere un punto de administración accesible desde Internet.
Cuando la directiva contiene datos confidenciales, a partir de la versión 2107, el punto de administración los cifra con AES-256. La directiva que contiene datos confidenciales solo se envía a clientes autorizados. El sitio no cifra la directiva que no tiene datos confidenciales.
Cuando un cliente almacena la directiva, cifra la directiva mediante la interfaz de programación de aplicaciones de protección de datos (DPAPI) de Windows.
Hash de directiva
Cuando un cliente solicita una directiva, primero obtiene una asignación de directiva. A continuación, sabe qué directivas se aplican a ella y solo puede solicitar esos órganos de directiva. Cada asignación de directiva contiene el hash calculado para el cuerpo de la directiva correspondiente. El cliente descarga los cuerpos de directiva aplicables y, a continuación, calcula el hash para cada cuerpo de directiva. Si el hash del cuerpo de la directiva no coincide con el hash de la asignación de directivas, el cliente descarta el cuerpo de la directiva.
El algoritmo hash de la directiva es SHA-256.
Hash de contenido
El servicio del administrador de distribución en el servidor de sitio aplica un hash a los archivos de contenido de todos los paquetes. El proveedor de directivas incluye el hash en la directiva de distribución de software. Cuando el cliente Configuration Manager descarga el contenido, el cliente vuelve a generar el hash localmente y lo compara con el proporcionado en la directiva. Si los hashes coinciden, el contenido no se modifica y el cliente lo instala. Si se modifica un solo byte del contenido, los hashes no coincidirán y el cliente no instalará el software. Esta comprobación ayuda a asegurarse de que el software correcto está instalado porque el contenido real se compara con la directiva.
El algoritmo hash predeterminado para el contenido es SHA-256.
No todos los dispositivos pueden admitir el hash de contenido. Las excepciones incluyen:
- Clientes de Windows cuando transmiten contenido de App-V.
Cifrado y firma de inventario
Cuando un cliente envía inventario de hardware o software a un punto de administración, siempre firma el inventario. No importa si el cliente se comunica con el punto de administración a través de E-HTTP o HTTPS. Si usan E-HTTP, también puede optar por cifrar estos datos, lo que se recomienda.
Cifrado de migración de estado
Cuando una secuencia de tareas captura datos de un cliente para la implementación del sistema operativo, siempre cifra los datos. En la versión 2103 y posteriores, la secuencia de tareas ejecuta la Herramienta de migración de estado de usuario (USMT) con el algoritmo de cifrado AES-256 .
Cifrado de paquetes de multidifusión
Para cada paquete de implementación del sistema operativo, puede habilitar el cifrado cuando use multidifusión. Este cifrado usa el algoritmo AES-256 . Si habilita el cifrado, no se requiere ninguna otra configuración de certificado. El punto de distribución habilitado para multidifusión genera automáticamente claves simétricas para cifrar el paquete. Cada paquete tiene una clave de cifrado diferente. La clave se almacena en el punto de distribución habilitado para multidifusión mediante las API estándar de Windows.
Cuando el cliente se conecta a la sesión de multidifusión, el intercambio de claves se produce a través de un canal cifrado. Si el cliente usa HTTPS, usa el certificado de autenticación de cliente emitido por PKI. Si el cliente usa E-HTTP, usa el certificado autofirmado. El cliente solo almacena la clave de cifrado en memoria durante la sesión de multidifusión.
Cifrado para medios de implementación del sistema operativo
Cuando se usan medios para implementar sistemas operativos, siempre debe especificar una contraseña para proteger los medios. Con una contraseña, las variables de entorno de secuencia de tareas se cifran con AES-128. No se cifran otros datos en los medios, incluidos los paquetes y el contenido de las aplicaciones.
Cifrado de contenido basado en la nube
Al habilitar una puerta de enlace de administración en la nube (CMG) para almacenar contenido, el contenido se cifra con AES-256. El contenido se cifra cada vez que se actualiza. Cuando los clientes descargan el contenido, se cifran y protegen mediante la conexión HTTPS.
Inicio de sesión de actualizaciones de software
Todas las actualizaciones de software deben estar firmadas por un publicador de confianza para protegerse frente a alteraciones. En los equipos cliente, el agente de Windows Update (WUA) examina las actualizaciones del catálogo. No instalará la actualización si no puede encontrar el certificado digital en el almacén editores de confianza del equipo local.
Al publicar actualizaciones de software con System Center Novedades Publisher, un certificado digital firma las actualizaciones de software. Puede especificar un certificado PKI o configurar Novedades publicador para generar un certificado autofirmado para firmar la actualización de software. Si usa un certificado autofirmado para publicar el catálogo de actualizaciones, como Publicadores wsus autofirmados, el certificado también debe estar en el almacén de certificados entidades de certificación raíz de confianza en el equipo local. WUA también comprueba si la configuración de directiva de grupo Permitir contenido firmado desde la intranet del servicio Microsoft Update está habilitada en el equipo local. Esta configuración de directiva debe estar habilitada para que WUA busque las actualizaciones que se crearon y publicaron con System Center Novedades Publisher.
Datos de configuración firmados para la configuración de cumplimiento
Al importar datos de configuración, Configuration Manager comprueba la firma digital del archivo. Si los archivos no están firmados o si se produce un error en la comprobación de firma, la consola le avisa de que continúe con la importación. Importe solo los datos de configuración si confía explícitamente en el publicador y en la integridad de los archivos.
Cifrado y hash para la notificación de cliente
Si usa la notificación de cliente, todas las comunicaciones usan TLS y los algoritmos más altos que el servidor y el cliente pueden negociar. La misma negociación se produce para aplicar hash a los paquetes que se transfieren durante la notificación del cliente, que usa SHA-2.
Certificados
Para obtener una lista de los certificados de infraestructura de clave pública (PKI) que puede usar Configuration Manager, los requisitos o limitaciones especiales y cómo se usan los certificados, consulte Requisitos de certificados PKI. Esta lista incluye los algoritmos hash admitidos y las longitudes de clave. La mayoría de los certificados admiten la longitud de clave SHA-256 y 2048 bits.
La mayoría de las operaciones Configuration Manager que usan certificados también admiten certificados v3. Para obtener más información, consulte Introducción a los certificados CNG v3.
Nota:
Todos los certificados que Configuration Manager usa deben contener solo caracteres de un solo byte en el nombre del firmante o en el nombre alternativo del firmante.
Configuration Manager requiere certificados PKI para los siguientes escenarios:
Al administrar Configuration Manager clientes en Internet
Cuando se usa una puerta de enlace de administración en la nube (CMG)
Para la mayoría de las demás comunicaciones que requieren certificados para la autenticación, firma o cifrado, Configuration Manager usa automáticamente certificados PKI si están disponibles. Si no están disponibles, Configuration Manager genera certificados autofirmados.
Administración de dispositivos móviles y certificados PKI
Nota:
Desde noviembre de 2021 hemos dejado de usar la administración de dispositivos móviles y recomendamos a los clientes que desinstalen este rol.
Implementación del sistema operativo y certificados PKI
Cuando se usa Configuration Manager para implementar sistemas operativos y un punto de administración requiere conexiones de cliente HTTPS, el cliente necesita un certificado para comunicarse con el punto de administración. Este requisito es incluso cuando el cliente está en una fase de transición, como el arranque desde medios de secuencia de tareas o un punto de distribución habilitado para PXE. Para admitir este escenario, cree un certificado de autenticación de cliente PKI y expórelo con la clave privada. A continuación, impórtelo a las propiedades del servidor de sitio y agregue también el certificado de entidad de certificación raíz de confianza del punto de administración.
Si crea medios de arranque, importe el certificado de autenticación de cliente al crear el medio de arranque. Para ayudar a proteger la clave privada y otros datos confidenciales configurados en la secuencia de tareas, configure una contraseña en el medio de arranque. Todos los equipos que se inician desde el medio de arranque usan el mismo certificado con el punto de administración necesario para las funciones de cliente, como solicitar la directiva de cliente.
Si usa PXE, importe el certificado de autenticación de cliente al punto de distribución habilitado para PXE. Usa el mismo certificado para cada cliente que se inicia desde ese punto de distribución habilitado para PXE. Para ayudar a proteger la clave privada y otros datos confidenciales en las secuencias de tareas, necesita una contraseña para PXE.
Si alguno de estos certificados de autenticación de cliente está en peligro, bloquee los certificados en el nodo Certificados del área de trabajo Administración , nodo Seguridad . Para administrar estos certificados, necesita el permiso para administrar el certificado de implementación del sistema operativo.
Después de Configuration Manager implementa el sistema operativo instala el cliente, el cliente requiere su propio certificado de autenticación de cliente PKI para la comunicación del cliente HTTPS.
Soluciones de proxy ISV y certificados PKI
Los proveedores de software independientes (ISV) pueden crear aplicaciones que extienden Configuration Manager. Por ejemplo, un ISV podría crear extensiones para admitir plataformas cliente que no sean de Windows. Sin embargo, si los sistemas de sitio requieren conexiones de cliente HTTPS, estos clientes también deben usar certificados PKI para la comunicación con el sitio. Configuration Manager incluye la capacidad de asignar un certificado al proxy ISV que permite las comunicaciones entre los clientes proxy de ISV y el punto de administración. Si usa extensiones que requieren certificados de proxy ISV, consulte la documentación de ese producto.
Si el certificado ISV está en peligro, bloquee el certificado en el nodo Certificados del área de trabajo Administración , nodo Seguridad .
Copia del GUID para el certificado de proxy ISV
A partir de la versión 2111, para simplificar la administración de estos certificados de proxy ISV, ahora puede copiar su GUID en la consola de Configuration Manager.
En la consola de Configuration Manager, vaya al área de trabajo Administración.
Expanda Seguridad y seleccione el nodo Certificados .
Ordene la lista de certificados por la columna Tipo .
Seleccione un certificado de tipo PROXY ISV.
En la cinta de opciones, seleccione Copiar GUID de certificado.
Esta acción copia el GUID de este certificado, por ejemplo: aa05bf38-5cd6-43ea-ac61-ab101f943987
Asset Intelligence y certificados
Nota:
Desde noviembre de 2021 hemos dejado de usar Asset Intelligence y recomendamos a los clientes que desinstalen este rol.
Certificados y servicios de Azure
La puerta de enlace de administración en la nube (CMG) requiere certificados de autenticación de servidor. Estos certificados permiten al servicio proporcionar comunicación HTTPS a los clientes a través de Internet. Para obtener más información, consulte Certificado de autenticación de servidor CMG.
Los clientes requieren otro tipo de autenticación para comunicarse con un CMG y el punto de administración local. Pueden usar Microsoft Entra ID, un certificado PKI o un token de sitio. Para obtener más información, consulte Configuración de la autenticación de cliente para Cloud Management Gateway.
Los clientes no requieren un certificado PKI de cliente para usar el almacenamiento basado en la nube. Después de autenticarse en el punto de administración, el punto de administración emite un token de acceso Configuration Manager al cliente. El cliente presenta este token al CMG para acceder al contenido. El token es válido durante ocho horas.
Comprobación de CRL para certificados PKI
Una lista de revocación de certificados PKI (CRL) aumenta la seguridad general, pero requiere cierta sobrecarga administrativa y de procesamiento. Si habilita la comprobación de CRL, pero los clientes no pueden acceder a la CRL, se produce un error en la conexión PKI.
IIS habilita la comprobación de CRL de forma predeterminada. Si usa una CRL con la implementación de PKI, no es necesario configurar la mayoría de los sistemas de sitio que ejecutan IIS. La excepción es para las actualizaciones de software, que requiere un paso manual para habilitar la comprobación de CRL para comprobar las firmas en los archivos de actualización de software.
Cuando un cliente usa HTTPS, habilita la comprobación de CRL de forma predeterminada.
Las siguientes conexiones no admiten la comprobación de CRL Configuration Manager:
- Conexiones de servidor a servidor
Comunicación del servidor
Configuration Manager usa los siguientes controles criptográficos para la comunicación del servidor.
Comunicación del servidor dentro de un sitio
Cada servidor de sistema de sitio usa un certificado para transferir datos a otros sistemas de sitio en el mismo sitio Configuration Manager. Algunos roles de sistema de sitio también usan certificados para la autenticación. Por ejemplo, si instala el punto de proxy de inscripción en un servidor y el punto de inscripción en otro servidor, pueden autenticarse entre sí mediante este certificado de identidad.
Cuando Configuration Manager usa un certificado para esta comunicación, si hay un certificado PKI disponible con la funcionalidad de autenticación del servidor, Configuration Manager lo usa automáticamente. Si no es así, Configuration Manager genera un certificado autofirmado. Este certificado autofirmado tiene funcionalidad de autenticación de servidor, usa SHA-256 y tiene una longitud de clave de 2048 bits. Configuration Manager copia el certificado en el almacén de Personas de confianza en otros servidores de sistema de sitio que podrían necesitar confiar en el sistema de sitio. A continuación, los sistemas de sitio pueden confiar entre sí mediante estos certificados y PeerTrust.
Además de este certificado para cada servidor de sistema de sitio, Configuration Manager genera un certificado autofirmado para la mayoría de los roles de sistema de sitio. Cuando hay más de una instancia del rol de sistema de sitio en el mismo sitio, comparten el mismo certificado. Por ejemplo, es posible que tenga varios puntos de administración en el mismo sitio. Este certificado autofirmado usa SHA-256 y tiene una longitud de clave de 2048 bits. Se copia en el Almacén de Personas de confianza en servidores de sistema de sitio que podrían necesitar confiar en él. Los siguientes roles de sistema de sitio generan este certificado:
Punto de sincronización de Asset Intelligence
Punto de Endpoint Protection
Punto de estado de reserva
Punto de administración
Punto de distribución habilitado para multidifusión
Punto de Reporting Services
Punto de actualización de software
Punto de migración de estado
Configuration Manager genera y administra automáticamente estos certificados.
Para enviar mensajes de estado desde el punto de distribución al punto de administración, Configuration Manager usa un certificado de autenticación de cliente. Al configurar el punto de administración para HTTPS, requiere un certificado PKI. Si el punto de administración acepta conexiones E-HTTP, puede usar un certificado PKI. También puede usar un certificado autofirmado con funcionalidad de autenticación de cliente, usar SHA-256 y tener una longitud clave de 2048 bits.
Comunicación del servidor entre sitios
Configuration Manager transfiere datos entre sitios mediante la replicación de base de datos y la replicación basada en archivos. Para obtener más información, consulte Transferencias de datos entre sitios y Comunicaciones entre puntos de conexión.
Configuration Manager configura automáticamente la replicación de la base de datos entre sitios. Si está disponible, usa certificados PKI con funcionalidad de autenticación de servidor. Si no está disponible, Configuration Manager crea certificados autofirmados para la autenticación del servidor. En ambos casos, se autentica entre sitios mediante certificados en el almacén de Personas de confianza que usa PeerTrust. Usa este almacén de certificados para asegurarse de que solo los servidores SQL Server de la jerarquía de Configuration Manager participen en la replicación de sitio a sitio.
Los servidores de sitio establecen la comunicación de sitio a sitio mediante un intercambio de claves seguro que se produce automáticamente. El servidor de sitio de envío genera un hash y lo firma con su clave privada. El servidor de sitio receptor comprueba la firma mediante la clave pública y compara el hash con un valor generado localmente. Si coinciden, el sitio receptor acepta los datos replicados. Si los valores no coinciden, Configuration Manager rechaza los datos de replicación.
La replicación de base de datos en Configuration Manager usa SQL Server Service Broker para transferir datos entre sitios. Usa los mecanismos siguientes:
SQL Server a SQL Server: esta conexión usa credenciales de Windows para la autenticación del servidor y certificados autofirmados con 1024 bits para firmar y cifrar los datos con el algoritmo AES. Si está disponible, usa certificados PKI con funcionalidad de autenticación de servidor. Solo usa certificados en el almacén de certificados personal del equipo.
SQL Service Broker: este servicio usa certificados autofirmados con 2048 bits para la autenticación y para firmar y cifrar los datos con el algoritmo AES. Solo usa certificados en la base de datos maestra de SQL Server.
La replicación basada en archivos usa el protocolo de bloque de mensajes del servidor (SMB). Usa SHA-256 para firmar datos que no están cifrados y no contienen datos confidenciales. Para cifrar estos datos, use IPsec, que implemente independientemente de Configuration Manager.
Clientes que usan HTTPS
Cuando los roles de sistema de sitio aceptan conexiones de cliente, puede configurarlas para que acepten conexiones HTTPS y HTTP, o solo conexiones HTTPS. Los roles de sistema de sitio que aceptan conexiones desde Internet solo aceptan conexiones de cliente a través de HTTPS.
Las conexiones de cliente a través de HTTPS ofrecen un mayor nivel de seguridad mediante la integración con una infraestructura de clave pública (PKI) para ayudar a proteger la comunicación de cliente a servidor. Sin embargo, la configuración de conexiones de cliente HTTPS sin un conocimiento exhaustivo del planeamiento, la implementación y las operaciones de PKI podría dejarle vulnerable. Por ejemplo, si no protege la entidad de certificación (CA) raíz, los atacantes podrían poner en peligro la confianza de toda la infraestructura PKI. Si no se implementan y administran los certificados PKI mediante procesos controlados y protegidos, es posible que los clientes no administrados no puedan recibir actualizaciones o paquetes de software críticos.
Importante
Los certificados PKI que Configuration Manager usan para la comunicación del cliente protegen la comunicación solo entre el cliente y algunos sistemas de sitio. No protegen el canal de comunicación entre el servidor de sitio y los sistemas de sitio ni entre los servidores de sitio.
Comunicación sin cifrar cuando los clientes usan HTTPS
Cuando los clientes se comunican con sistemas de sitio a través de HTTPS, la mayoría del tráfico se cifra. En las situaciones siguientes, los clientes se comunican con sistemas de sitio sin usar cifrado:
El cliente no puede realizar una conexión HTTPS en la intranet y vuelve a usar HTTP cuando los sistemas de sitio permiten esta configuración.
Comunicación con los siguientes roles de sistema de sitio:
El cliente envía mensajes de estado al punto de estado de reserva.
El cliente envía solicitudes PXE a un punto de distribución habilitado para PXE.
El cliente envía datos de notificación a un punto de administración.
Configure los puntos de Reporting Services para que usen HTTP o HTTPS independientemente del modo de comunicación del cliente.
Clientes que usan E-HTTP
Cuando los clientes usan la comunicación E-HTTP con roles de sistema de sitio, pueden usar certificados PKI para la autenticación de cliente o certificados autofirmados que Configuration Manager genera. Cuando Configuration Manager genera certificados autofirmados, tienen un identificador de objeto personalizado para la firma y el cifrado. Estos certificados se usan para identificar de forma única al cliente. Estos certificados autofirmados usan SHA-256 y tienen una longitud de clave de 2048 bits.
Implementación del sistema operativo y certificados autofirmados
Cuando se usa Configuration Manager para implementar sistemas operativos con certificados autofirmados, el cliente también debe tener un certificado para comunicarse con el punto de administración. Este requisito es incluso si el equipo está en una fase de transición, como el arranque desde medios de secuencia de tareas o un punto de distribución habilitado para PXE. Para admitir este escenario para las conexiones de cliente E-HTTP, Configuration Manager genera certificados autofirmados que tienen un identificador de objeto personalizado para la firma y el cifrado. Estos certificados se usan para identificar de forma única al cliente. Estos certificados autofirmados usan SHA-256 y tienen una longitud de clave de 2048 bits. Si estos certificados autofirmados están en peligro, evite que los atacantes los usen para suplantar clientes de confianza. Bloquee los certificados en el nodo Certificados del área de trabajo Administración , nodo Seguridad .
Autenticación de cliente y servidor
Cuando los clientes se conectan a través de E-HTTP, autentican los puntos de administración mediante Servicios de dominio de Active Directory o mediante la clave raíz de confianza Configuration Manager. Los clientes no autentican otros roles de sistema de sitio, como puntos de migración de estado o puntos de actualización de software.
Cuando un punto de administración autentica por primera vez un cliente mediante el certificado de cliente autofirmado, este mecanismo proporciona una seguridad mínima porque cualquier equipo puede generar un certificado autofirmado. Use la aprobación del cliente para mejorar este proceso. Apruebe solo equipos de confianza, ya sea automáticamente por Configuration Manager o manualmente por un usuario administrativo. Para obtener más información, consulte Administración de clientes.
Acerca de las vulnerabilidades SSL
Para mejorar la seguridad de los clientes y servidores de Configuration Manager, realice las siguientes acciones:
Habilite TLS 1.2 en todos los dispositivos y servicios. Para habilitar TLS 1.2 para Configuration Manager, consulte Habilitación de TLS 1.2 para Configuration Manager.
Deshabilite SSL 3.0, TLS 1.0 y TLS 1.1.
Reordene los conjuntos de cifrado relacionados con TLS.
Para más información, consulte los siguientes artículos:
- restringir el uso de determinados protocolos y algoritmos criptográficos en Schannel.dll
- Priorización de conjuntos de cifrado de Schannel
Estos procedimientos no afectan a Configuration Manager funcionalidad.
Nota:
Novedades para Configuration Manager descarga desde la red de entrega de contenido (CDN) de Azure, que tiene requisitos del conjunto de cifrado. Para obtener más información, consulte Preguntas más frecuentes sobre la configuración de AZURE Front Door: TLS.