Compartilhar via

Noções básicas de segurança para Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Este artigo resume os seguintes componentes de segurança fundamentais de qualquer ambiente Configuration Manager:

Camadas de segurança

A segurança para Configuration Manager consiste nas seguintes camadas:

So Windows e segurança de rede

A primeira camada é fornecida pelas funcionalidades de segurança do Windows para o SO e para a rede. Esta camada inclui os seguintes componentes:

  • Partilha de ficheiros para transferir ficheiros entre Configuration Manager componentes.

  • Controle de Acesso Listas (ACLs) para ajudar a proteger ficheiros e chaves de registo.

  • Internet Protocol Security (IPsec) para ajudar a proteger as comunicações.

  • Política de grupo para definir a política de segurança.

  • Permissões DCOM (Distributed Component Object Model) para aplicações distribuídas, como a consola do Configuration Manager.

  • Active Directory Domain Services armazenar principais de segurança.

  • Segurança da conta Windows, incluindo alguns grupos que Configuration Manager cria durante a configuração.

Infra-estrutura de rede

Os componentes de segurança de rede, como firewalls e deteção de intrusões, ajudam a fornecer defesa para todo o ambiente. Os certificados emitidos pelas implementações de infraestrutura de chaves públicas (PKI) padrão do setor ajudam a fornecer autenticação, assinatura e encriptação.

Configuration Manager controlos de segurança

Por predefinição, apenas os administradores locais têm direitos sobre os ficheiros e chaves de registo de que a consola Configuration Manager necessita nos computadores onde o instala.

Provedor de SMS

A próxima camada de segurança baseia-se no acesso ao Fornecedor de SMS. O Fornecedor de SMS é um componente Configuration Manager que concede a um utilizador acesso para consultar a base de dados do site para obter informações. O Fornecedor de SMS expõe principalmente o acesso através do Windows Management Instrumentation (WMI), mas também uma API REST denominada serviço de administração.

Por predefinição, o acesso ao fornecedor está restrito aos membros do grupo de Administradores de SMS local. Inicialmente, este grupo contém apenas o utilizador que instalou Configuration Manager. Para conceder permissão a outras contas ao repositório cim (Common Information Model) e ao Fornecedor de SMS, adicione as outras contas ao grupo Admins de SMS.

Pode especificar o nível mínimo de autenticação para os administradores acederem Configuration Manager sites. Esta funcionalidade impõe aos administradores que iniciem sessão no Windows com o nível necessário. Para obter mais informações, veja Planear o Fornecedor de SMS.

Permissões da base de dados do site

A camada final de segurança baseia-se em permissões para objetos na base de dados do site. Por predefinição, a conta do Sistema Local e a conta de utilizador que utilizou para instalar Configuration Manager podem administrar todos os objetos na base de dados do site. Conceda e restrinja permissões a outros utilizadores administrativos na consola do Configuration Manager através da administração baseada em funções.

Administração baseada em funções

Configuration Manager utiliza a administração baseada em funções para ajudar a proteger objetos como coleções, implementações e sites. Este modelo de administração define e gere centralmente as definições de acesso de segurança ao nível da hierarquia para todos os sites e definições do site.

Um administrador atribui funções de segurança a utilizadores administrativos e permissões de grupo. As permissões estão ligadas a diferentes tipos de objetos Configuration Manager, por exemplo, para criar ou alterar as definições do cliente.

Os âmbitos de segurança incluem instâncias específicas de objetos que um utilizador administrativo é responsável por gerir. Por exemplo, uma aplicação que instala a consola Configuration Manager.

A combinação de funções de segurança, âmbitos de segurança e coleções define os objetos que um utilizador administrativo pode ver e gerir. Configuration Manager instala algumas funções de segurança predefinidas para tarefas de gestão típicas. Crie as suas próprias funções de segurança para suportar os seus requisitos empresariais específicos.

Para obter mais informações, consulte Fundamentos da administração baseada em funções.

Proteger pontos finais de cliente

Configuration Manager protege a comunicação do cliente com as funções do sistema de sites através de certificados PKI ou autoassinados ou Microsoft Entra tokens. Alguns cenários requerem a utilização de certificados PKI. Por exemplo, gestão de clientes baseada na Internet e para clientes de dispositivos móveis.

Pode configurar as funções do sistema de sites às quais os clientes se ligam para comunicação de cliente HTTPS ou HTTP. Os computadores cliente comunicam sempre com o método mais seguro disponível. Os computadores cliente só voltam a utilizar o método de comunicação menos seguro se tiver funções de sistemas de sites que permitam a comunicação HTTP.

Importante

A partir do Configuration Manager versão 2103, os sites que permitem a comunicação de cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP Avançado. Para obter mais informações, consulte Ativar o site para HTTPS apenas ou HTTP melhorado.

Para obter mais informações, veja Planear a segurança.

Configuration Manager contas e grupos

Configuration Manager utiliza a conta do Sistema Local para a maioria das operações do site. Algumas operações do site permitem a utilização de uma conta de serviço, em vez de utilizar a conta de computador de domínio do servidor do site. Algumas tarefas de gestão podem exigir que crie e mantenha outras contas. Por exemplo, para associar o domínio durante uma sequência de tarefas de implementação do SO.

Configuration Manager cria vários grupos predefinidos e funções de SQL Server durante a configuração. Poderá ter de adicionar manualmente contas de computador ou utilizador aos grupos predefinidos e SQL Server funções.

Para obter mais informações, veja Contas utilizadas no Configuration Manager.

Privacidade

Antes de implementar Configuration Manager, considere os seus requisitos de privacidade. Embora os produtos de gestão empresarial ofereçam muitas vantagens porque podem gerir efetivamente muitos clientes, este software pode afetar a privacidade dos utilizadores na sua organização. Configuration Manager inclui muitas ferramentas para recolher dados e monitorizar dispositivos. Algumas ferramentas podem levantar preocupações de privacidade na sua organização.

Por exemplo, quando instala o cliente Configuration Manager, esta ativa muitas definições de gestão por predefinição. Esta configuração faz com que o software de cliente envie informações para o site Configuration Manager. O site armazena informações de cliente na base de dados do site. As informações do cliente não são enviadas diretamente para a Microsoft. Para obter mais informações, veja Dados de diagnóstico e utilização.

Próximas etapas

Noções básicas da administração baseada em funções

Planejar a segurança