Segurança e privacidade para a gestão de conteúdos no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Este artigo contém informações de segurança e privacidade para a gestão de conteúdos no Configuration Manager.
Orientações de segurança
Vantagens e desvantagens de HTTPS ou HTTP para pontos de distribuição de intranet
Para pontos de distribuição na intranet, considere as vantagens e desvantagens da utilização de HTTPS ou HTTP. Na maioria dos cenários, a utilização de http e contas de acesso a pacotes para autorização fornece mais segurança do que a utilização de HTTPS com encriptação, mas sem autorização. No entanto, se tiver dados confidenciais no conteúdo que pretende encriptar durante a transferência, utilize HTTPS.
Quando utiliza HTTPS para um ponto de distribuição: Configuration Manager não utiliza contas de acesso a pacotes para autorizar o acesso ao conteúdo. O conteúdo é encriptado quando é transferido através da rede.
Quando utiliza HTTP para um ponto de distribuição: pode utilizar contas de acesso a pacotes para autorização. O conteúdo não é encriptado quando é transferido através da rede.
Considere ativar o HTTP avançado para o site. Esta funcionalidade permite que os clientes utilizem Microsoft Entra autenticação para comunicar em segurança com um ponto de distribuição HTTP. Para obter mais informações, veja HTTP avançado.
Importante
A partir do Configuration Manager versão 2103, os sites que permitem a comunicação de cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP Avançado. Para obter mais informações, consulte Ativar o site para HTTPS apenas ou HTTP melhorado.
Proteger o ficheiro de certificado de autenticação de cliente
Se utilizar um certificado de autenticação de cliente PKI em vez de um certificado autoassinado para o ponto de distribuição, proteja o ficheiro de certificado (.pfx) com uma palavra-passe segura. Se armazenar o ficheiro na rede, proteja o canal de rede quando importar o ficheiro para Configuration Manager.
Quando precisa de uma palavra-passe para importar o certificado de autenticação de cliente que o ponto de distribuição utiliza para comunicar com pontos de gestão, esta configuração ajuda a proteger o certificado de um atacante. Para impedir um atacante de adulterar o ficheiro de certificado, utilize a assinatura do bloco de mensagens do servidor (SMB) ou o IPsec entre a localização da rede e o servidor do site.
Remover a função de ponto de distribuição do servidor do site
Por predefinição, Configuration Manager configuração instala um ponto de distribuição no servidor do site. Os clientes não têm de comunicar diretamente com o servidor do site. Para reduzir a superfície de ataque, atribua a função de ponto de distribuição a outros sistemas de sites e remova-a do servidor do site.
Proteger conteúdo ao nível de acesso ao pacote
A partilha do ponto de distribuição permite o acesso de leitura a todos os utilizadores. Para restringir os utilizadores que podem aceder ao conteúdo, utilize contas de acesso a pacotes quando o ponto de distribuição estiver configurado para HTTP. Esta configuração não se aplica a gateways de gestão da cloud com capacidade de conteúdo, que não suportam contas de acesso a pacotes.
Para obter mais informações, veja Contas de acesso a pacotes.
Configurar o IIS na função de ponto de distribuição
Se Configuration Manager instalar o IIS quando adicionar uma função do sistema de sites do ponto de distribuição, remova o redirecionamento HTTP e os Scripts e Ferramentas de Gestão do IIS quando a instalação do ponto de distribuição estiver concluída. O ponto de distribuição não requer estes componentes. Para reduzir a superfície de ataque, remova estes serviços de função para a função de servidor Web.
Para obter mais informações sobre os serviços de função da função de servidor Web para pontos de distribuição, veja Pré-requisitos do site e do sistema de sites.
Definir permissões de acesso a pacotes ao criar o pacote
Uma vez que as alterações às contas de acesso nos ficheiros do pacote só são aplicadas quando redistribui o pacote, defina cuidadosamente as permissões de acesso ao pacote quando criar o pacote pela primeira vez. Esta configuração é importante quando o pacote é grande ou distribuído por muitos pontos de distribuição e quando a capacidade de largura de banda de rede para distribuição de conteúdos é limitada.
Implementar controlos de acesso para proteger suportes de dados que contenham conteúdo pré-configurado
O conteúdo pré-configurado é comprimido, mas não encriptado. Um atacante pode ler e modificar os ficheiros que são transferidos para dispositivos. Configuration Manager clientes rejeitam conteúdo adulterado, mas continuam a transferi-lo.
Importar conteúdo pré-configurado com ExtractContent
Importe apenas conteúdo pré-configurado com a ferramenta de linha de comandos ExtractContent.exe. Para evitar adulteração e elevação de privilégios, utilize apenas a ferramenta de linha de comandos autorizada fornecida com Configuration Manager.
Para obter mais informações, veja Implementar e gerir conteúdos.
Proteger o canal de comunicação entre o servidor do site e a localização de origem do pacote
Utilize a assinatura IPsec ou SMB entre o servidor do site e a localização de origem do pacote quando criar aplicações, pacotes e outros objetos com conteúdo. Esta configuração ajuda a impedir um atacante de adulterar os ficheiros de origem.
Remover diretórios virtuais predefinidos para o site personalizado com a função de ponto de distribuição
Se alterar a opção de configuração do site para utilizar um site personalizado em vez do site predefinido após instalar uma função de ponto de distribuição, remova os diretórios virtuais predefinidos. Quando muda do site predefinido para um site personalizado, Configuration Manager não remove os diretórios virtuais antigos. Remova os seguintes diretórios virtuais que Configuration Manager originalmente criados no site predefinido:
SMS_DP_SMSPKG$SMS_DP_SMSSIG$NOCERT_SMS_DP_SMSPKG$NOCERT_SMS_DP_SMSSIG$
Para obter mais informações sobre como utilizar um site personalizado, consulte Sites para servidores do sistema de sites.
Para gateways de gestão da cloud compatíveis com conteúdo, proteja os detalhes e certificados da subscrição do Azure
Quando utilizar gateways de gestão da cloud (CMGs) com capacidade de conteúdo, proteja os seguintes itens de valor elevado:
- O nome de utilizador e a palavra-passe da sua subscrição do Azure
- As chaves secretas dos registos de aplicações do Azure
- O certificado de autenticação do servidor
Armazene os certificados de forma segura. Se navegar para os mesmos através da rede quando configurar o CMG, utilize a assinatura IPsec ou SMB entre o servidor do sistema de sites e a localização de origem.
Para a continuidade do serviço, monitorize a data de expiração dos certificados CMG
Configuration Manager não o avisa quando os certificados importados para o CMG estão prestes a expirar. Monitorize as datas de expiração independentemente do Configuration Manager. Certifique-se de que renova e, em seguida, importa os novos certificados antes da data de expiração. Esta ação é importante se adquirir um certificado de autenticação de servidor a partir de um fornecedor público externo, porque poderá precisar de mais tempo para adquirir um certificado renovado.
Se um certificado expirar, o gestor de serviços cloud Configuration Manager gera uma mensagem de status com o ID 9425. O ficheiro CloudMgr.log contém uma entrada para indicar que o certificado está no estado expirado, com a data de expiração também registada em UTC.
Considerações de segurança
Os clientes só validam o conteúdo depois de serem transferidos. Configuration Manager clientes validam o hash no conteúdo apenas depois de serem transferidos para a respetiva cache de cliente. Se um atacante adulterar a lista de ficheiros a transferir ou com o próprio conteúdo, o processo de transferência pode ocupar uma largura de banda de rede considerável. Em seguida, o cliente elimina o conteúdo quando encontra o hash inválido.
Quando utiliza gateways de gestão da cloud compatíveis com conteúdo:
Restringe automaticamente o acesso ao conteúdo à sua organização. Não pode restringir ainda mais os utilizadores ou grupos selecionados.
Primeiro, o ponto de gestão autentica o cliente. Em seguida, o cliente utiliza um token de Configuration Manager para aceder ao armazenamento na cloud. O token é válido durante oito horas. Este comportamento significa que, se bloquear um cliente porque já não é fidedigno, pode continuar a transferir conteúdo do armazenamento na cloud até este token expirar. O ponto de gestão não emitirá outro token para o cliente porque está bloqueado.
Para evitar que um cliente bloqueado transfira conteúdo dentro deste período de oito horas, pare o serviço cloud. Na consola do Configuration Manager, aceda à área de trabalho Administração, expanda Serviços de Nuvem e selecione o nó Gateway de Gestão da Cloud.
Informações de privacidade
Configuration Manager não inclui dados de utilizador em ficheiros de conteúdo, embora um utilizador administrativo possa optar por efetuar esta ação.