Segurança e privacidade da administração de sites no Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Este artigo contém informações de segurança e privacidade para Configuration Manager sites e a hierarquia.

Orientações de segurança para a administração de sites

Utilize a seguinte documentação de orientação para o ajudar a proteger Configuration Manager sites e a hierarquia.

Executar a configuração a partir de uma origem fidedigna e de uma comunicação segura

Para ajudar a impedir que alguém adultere os ficheiros de origem, execute Configuration Manager configuração a partir de uma origem fidedigna. Se armazenar os ficheiros na rede, proteja a localização da rede.

Se executar a configuração a partir de uma localização de rede, para ajudar a impedir um atacante de adulterar os ficheiros à medida que são transmitidos através da rede, utilize a assinatura IPsec ou SMB entre a localização de origem dos ficheiros de configuração e o servidor do site.

Se utilizar o Programa de Transferência de Configuração para transferir os ficheiros necessários pela configuração, certifique-se de que protege a localização onde estes ficheiros estão armazenados. Proteja também o canal de comunicação para esta localização quando executar a configuração.

Expandir o esquema do Active Directory e publicar sites para o domínio

As extensões de esquema não são necessárias para executar Configuration Manager, mas criam um ambiente mais seguro. Os clientes e os servidores do site podem obter informações de uma origem fidedigna.

Se os clientes estiverem num domínio não fidedigno, implemente as seguintes funções do sistema de sites nos domínios dos clientes:

• Ponto de gerenciamento

• Ponto de distribuição

Observação

Um domínio fidedigno para Configuration Manager requer autenticação Kerberos. Se os clientes estiverem noutra floresta que não tenha uma fidedignidade de floresta bidirecional com a floresta do servidor do site, estes clientes são considerados como estando num domínio não fidedigno. Uma confiança externa não é suficiente para esta finalidade.

Utilizar o IPsec para proteger as comunicações

Embora Configuration Manager proteja a comunicação entre o servidor do site e o computador que executa SQL Server, Configuration Manager não protege as comunicações entre as funções do sistema de sites e SQL Server. Só pode configurar alguns sistemas de sites com HTTPS para comunicação intralocal.

Se não utilizar controlos adicionais para proteger estes canais servidor a servidor, os atacantes podem utilizar vários ataques de spoofing e man-in-the-middle contra sistemas de sites. Utilize a assinatura SMB quando não puder utilizar o IPsec.

Importante

Proteja o canal de comunicação entre o servidor do site e o servidor de origem do pacote. Esta comunicação utiliza SMB. Se não conseguir utilizar o IPsec para proteger esta comunicação, utilize a assinatura SMB para se certificar de que os ficheiros não são adulterados antes de os clientes os transferirem e executarem.

Não alterar os grupos de segurança predefinidos

Não altere os seguintes grupos de segurança que Configuration Manager cria e gere para a comunicação do sistema de sites:

• <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager cria e gere automaticamente estes grupos de segurança. Este comportamento inclui a remoção de contas de computador quando uma função do sistema de sites é removida.

Para garantir a continuidade do serviço e os privilégios mínimos, não edite manualmente estes grupos.

Gerir o processo de aprovisionamento da chave de raiz fidedigna

Se os clientes não conseguirem consultar o catálogo global para Configuration Manager informações, têm de depender da chave de raiz fidedigna para autenticar pontos de gestão válidos. A chave de raiz fidedigna é armazenada no registo de cliente. Pode ser definido através da política de grupo ou da configuração manual.

Se o cliente não tiver uma cópia da chave de raiz fidedigna antes de contactar um ponto de gestão pela primeira vez, confia no primeiro ponto de gestão com o qual comunica. Para reduzir o risco de um atacante direcionar incorretamente os clientes para um ponto de gestão não autorizado, pode pré-aprovisionar os clientes com a chave de raiz fidedigna. Para obter mais informações, veja Planear a chave de raiz fidedigna.

Utilizar números de porta não predefinidos

A utilização de números de porta não predefinidos pode fornecer segurança adicional. Dificultam a exploração do ambiente por parte dos atacantes em preparação para um ataque. Se decidir utilizar portas não predefinidas, planeie-as antes de instalar Configuration Manager. Utilize-os de forma consistente em todos os sites da hierarquia. As portas de pedido de cliente e a LAN reativação são exemplos onde pode utilizar números de porta não predefinidos.

Utilizar a separação de funções nos sistemas de sites

Embora possa instalar todas as funções do sistema de sites num único computador, esta prática raramente é utilizada em redes de produção. Cria um único ponto de falha.

Reduzir o perfil de ataque

Isolar cada função do sistema de sites num servidor diferente reduz a probabilidade de um ataque contra vulnerabilidades num sistema de sites poder ser utilizado num sistema de sites diferente. Muitas funções requerem a instalação dos Serviços de Informação Internet (IIS) no sistema de sites e esta necessidade aumenta a superfície de ataque. Se tiver de combinar funções para reduzir as despesas de hardware, combine funções do IIS apenas com outras funções que necessitem do IIS.

Importante

A função de ponto de status de contingência é uma exceção. Uma vez que esta função do sistema de sites aceita dados não autenticados de clientes, não atribua a função de ponto de status de contingência a qualquer outra função Configuration Manager sistema de sites.

Configurar endereços IP estáticos para sistemas de sites

Os endereços IP estáticos são mais fáceis de proteger contra ataques de resolução de nomes.

Os endereços IP estáticos também facilitam a configuração do IPsec. A utilização do IPsec é uma melhor prática de segurança para proteger a comunicação entre sistemas de sites no Configuration Manager.

Não instalar outras aplicações em servidores do sistema de sites

Quando instala outras aplicações em servidores do sistema de sites, aumenta a superfície de ataque para Configuration Manager. Também corre o risco de problemas de incompatibilidade.

Exigir assinatura e ativar a encriptação como uma opção de site

Ative as opções de assinatura e encriptação para o site. Certifique-se de que todos os clientes podem suportar o algoritmo hash SHA-256 e, em seguida, ative a opção para Exigir SHA-256.

Restringir e monitorizar utilizadores administrativos

Conceda acesso administrativo a Configuration Manager apenas aos utilizadores em quem confia. Em seguida, conceda-lhes permissões mínimas com as funções de segurança incorporadas ou personalizando as funções de segurança. Os utilizadores administrativos que podem criar, modificar e implementar software e configurações podem controlar potencialmente os dispositivos na hierarquia Configuration Manager.

Audite periodicamente as atribuições de utilizadores administrativos e o respetivo nível de autorização para verificar as alterações necessárias.

Para obter mais informações, veja Configurar a administração baseada em funções.

Proteger Configuration Manager cópias de segurança

Quando faz uma cópia de segurança Configuration Manager, estas informações incluem certificados e outros dados confidenciais que podem ser utilizados por um atacante para representação.

Utilize a assinatura SMB ou IPsec quando transferir estes dados através da rede e proteja a localização da cópia de segurança.

Localizações seguras para objetos exportados

Sempre que exportar ou importar objetos da consola do Configuration Manager para uma localização de rede, proteja a localização e proteja o canal de rede.

Restringir quem pode aceder à pasta de rede.

Para impedir um atacante de adulterar os dados exportados, utilize a assinatura SMB ou IPsec entre a localização da rede e o servidor do site. Proteja também a comunicação entre o computador que executa a consola do Configuration Manager e o servidor do site. Utilize iPsec para encriptar os dados na rede para impedir a divulgação de informações.

Remover manualmente certificados de servidores com falhas

Se um sistema de sites não for desinstalado corretamente ou deixar de funcionar e não puder ser restaurado, remova manualmente os certificados de Configuration Manager para este servidor de outros servidores Configuration Manager.

Para remover a confiança do elemento da rede que foi originalmente estabelecida com o sistema de sites e as funções do sistema de sites, remova manualmente os certificados de Configuration Manager para o servidor com falha no arquivo de certificados de Pessoas Fidedigno noutros servidores do sistema de sites. Esta ação é importante se reutilizar o servidor sem o reformatar.

Para obter mais informações, veja Controlos criptográficos para comunicação do servidor.

Não configure sistemas de sites baseados na Internet para fazer a ponte entre a rede de perímetro

Não configure os servidores do sistema de sites para serem multi-homed para que se liguem à rede de perímetro e à intranet. Embora esta configuração permita que os sistemas de sites baseados na Internet aceitem ligações de cliente da Internet e da intranet, elimina um limite de segurança entre a rede de perímetro e a intranet.

Configurar o servidor do site para iniciar ligações a redes de perímetro

Se um sistema de sites estiver numa rede não fidedigna, como uma rede de perímetro, configure o servidor do site para iniciar ligações ao sistema de sites.

Por predefinição, os sistemas de sites iniciam ligações ao servidor do site para transferir dados. Esta configuração pode ser um risco de segurança quando a iniciação da ligação é de uma rede não fidedigna para a rede fidedigna. Quando os sistemas de sites aceitam ligações da Internet ou residem numa floresta não fidedigna, configure a opção do sistema de sites para Exigir que o servidor do site inicie ligações a este sistema de sites. Após a instalação do sistema de sites e de quaisquer funções, todas as ligações são iniciadas pelo servidor do site a partir da rede fidedigna.

Utilizar bridging E terminação SSL com autenticação

Se utilizar um servidor proxy Web para a gestão de clientes baseada na Internet, utilize o bridging SSL para SSL através da terminação com autenticação.

Quando configura a terminação SSL no servidor Web proxy, os pacotes da Internet são sujeitos a inspeção antes de serem reencaminhados para a rede interna. O servidor Web proxy autentica a ligação do cliente, termina-a e, em seguida, abre uma nova ligação autenticada aos sistemas de sites baseados na Internet.

Quando Configuration Manager computadores cliente utilizam um servidor Web proxy para ligar a sistemas de sites baseados na Internet, a identidade de cliente (GUID) é contida de forma segura no payload do pacote. Em seguida, o ponto de gestão não considera o servidor Web proxy como o cliente.

Se o servidor Web proxy não conseguir suportar os requisitos de bridging SSL, o túnel SSL também é suportado. Esta opção é menos segura. Os pacotes SSL da Internet são reencaminhados para os sistemas de sites sem terminação. Em seguida, não podem ser inspecionados quanto a conteúdo malicioso.

Aviso

Os dispositivos móveis inscritos pelo Configuration Manager não podem utilizar o bridging SSL. Só têm de utilizar túnel SSL.

Configurações a utilizar se configurar o site para reativar computadores para instalar software

• Se utilizar pacotes de reativação tradicionais, utilize unicast em vez de difusões direcionadas para sub-rede.

• Se tiver de utilizar difusões direcionadas para sub-rede, configure routers para permitir transmissões direcionadas para IP apenas a partir do servidor do site e apenas num número de porta não predefinido.

Para obter mais informações sobre as diferentes tecnologias Wake On LAN, veja Planning how to wake up clients (Planear como reativar clientes).

Se utilizar a notificação por e-mail, configure o acesso autenticado ao servidor de correio SMTP

Sempre que possível, utilize um servidor de correio que suporte o acesso autenticado. Utilize a conta de computador do servidor do site para autenticação. Se tiver de especificar uma conta de utilizador para autenticação, utilize uma conta com menos privilégios.

Impor o enlace de canal LDAP e a assinatura LDAP

A segurança dos controladores de domínio do Active Directory pode ser melhorada ao configurar o servidor para rejeitar enlaces LDAP de Autenticação E Segurança Simples (SASL) que não pedem assinatura ou para rejeitar enlaces simples LDAP que são executados numa ligação de texto simples. A partir da versão 1910, Configuration Manager suporta a imposição do enlace de canal LDAP e da assinatura LDAP. Para obter mais informações, consulte Enlace de canal LDAP 2020 e requisitos de assinatura LDAP para Windows.

Orientações de segurança para o servidor do site

Utilize a seguinte documentação de orientação para o ajudar a proteger o Configuration Manager servidor do site.

Aviso

Conta de acesso à rede – não conceda direitos de início de sessão interativos a esta conta no SQL Servers. Não conceda a esta conta o direito de associar computadores ao domínio. Se tiver de associar computadores ao domínio durante uma sequência de tarefas, utilize a conta de associação a um domínio de sequência de tarefas..

Instalar Configuration Manager num servidor membro em vez de um controlador de domínio

O Configuration Manager servidor do site e os sistemas de sites não necessitam de instalação num controlador de domínio. Os controladores de domínio não têm uma base de dados de Gestão de Contas de Segurança (SAM) local que não seja a base de dados de domínio. Quando instala Configuration Manager num servidor membro, pode manter Configuration Manager contas na base de dados SAM local e não na base de dados de domínio.

Esta prática também reduz a superfície de ataque nos controladores de domínio.

Instalar sites secundários sem copiar os ficheiros através da rede

Quando executar a configuração e criar um site secundário, não selecione a opção para copiar os ficheiros do site principal para o site secundário. Além disso, não utilize uma localização de origem de rede. Quando copia ficheiros através da rede, um atacante qualificado pode sequestrar o pacote de instalação do site secundário e adulterar os ficheiros antes de serem instalados. Cronometrar este ataque seria difícil. Este ataque pode ser mitigado através de IPsec ou SMB quando transfere os ficheiros.

Em vez de copiar os ficheiros através da rede, no servidor do site secundário, copie os ficheiros de origem da pasta de multimédia para uma pasta local. Em seguida, quando executar a configuração para criar um site secundário, na página Ficheiros de Origem da Instalação , selecione Utilizar os ficheiros de origem na seguinte localização no computador do site secundário (mais seguro) e especifique esta pasta.

Para obter mais informações, veja Instalar um site secundário.

A instalação da função de site herda permissões da raiz da unidade

Certifique-se de que configura corretamente as permissões de unidade do sistema antes de instalar a primeira função do sistema de sites em qualquer servidor. Por exemplo, C:\SMS_CCM herda permissões de C:\. Se a raiz da unidade não estiver corretamente protegida, os utilizadores com direitos baixos poderão aceder ou modificar conteúdos na pasta Configuration Manager.

Orientações de segurança para SQL Server

Configuration Manager utiliza SQL Server como base de dados de back-end. Se a base de dados estiver comprometida, os atacantes podem ignorar Configuration Manager. Se acederem diretamente a SQL Server, podem iniciar ataques através de Configuration Manager. Considere que os ataques contra SQL Server são de alto risco e mitigam adequadamente.

Utilize a seguinte documentação de orientação de segurança para o ajudar a proteger SQL Server para Configuration Manager.

Não utilize o servidor de base de dados Configuration Manager site para executar outras aplicações SQL Server

Quando aumenta o acesso ao servidor da base de dados do site Configuration Manager, esta ação aumenta o risco para os seus dados de Configuration Manager. Se a base de dados do site Configuration Manager estiver comprometida, outras aplicações no mesmo computador SQL Server também serão postas em risco.

Configurar SQL Server para utilizar autenticação do Windows

Embora Configuration Manager aceda à base de dados do site com uma conta windows e autenticação do Windows, ainda é possível configurar SQL Server para utilizar SQL Server modo misto. SQL Server modo misto permite inícios de sessão SQL Server adicionais para aceder à base de dados. Esta configuração não é necessária e aumenta a superfície de ataque.

Atualizar SQL Server Express em sites secundários

Quando instala um site primário, Configuration Manager transfere SQL Server Express a partir do Centro de Transferências da Microsoft. Em seguida, copia os ficheiros para o servidor do site primário. Quando instala um site secundário e seleciona a opção que instala SQL Server Express, Configuration Manager instala a versão transferida anteriormente. Não marcar se estão disponíveis novas versões. Para se certificar de que o site secundário tem as versões mais recentes, efetue uma das seguintes tarefas:

• Depois de instalar o site secundário, execute Windows Update no servidor do site secundário.

• Antes de instalar o site secundário, instale manualmente SQL Server Express no servidor do site secundário. Certifique-se de que instala a versão mais recente e quaisquer atualizações de software. Em seguida, instale o site secundário e selecione a opção para utilizar uma instância de SQL Server existente.

Execute periodicamente Windows Update para todas as versões instaladas do SQL Server. Esta prática garante que têm as atualizações de software mais recentes.

Siga as orientações gerais para SQL Server

Identifique e siga as orientações gerais para a sua versão do SQL Server. No entanto, tenha em consideração os seguintes requisitos para Configuration Manager:

• A conta de computador do servidor do site tem de ser membro do grupo Administradores no computador que executa SQL Server. Se seguir a recomendação SQL Server de "aprovisionar os principais de administrador explicitamente", a conta que utiliza para executar a configuração no servidor do site tem de ser membro do grupo Utilizadores do SQL Server.

• Se instalar SQL Server através de uma conta de utilizador de domínio, certifique-se de que a conta de computador do servidor do site está configurada para um Nome principal de serviço (SPN) publicado no Active Directory Domain Services. Sem o SPN, a autenticação Kerberos falha e Configuration Manager a configuração falha.

Orientações de segurança para sistemas de sites que executam o IIS

Várias funções do sistema de sites no Configuration Manager requerem o IIS. O processo de proteção do IIS permite que Configuration Manager funcionem corretamente e reduz o risco de ataques de segurança. Quando for prático, minimize o número de servidores que necessitam do IIS. Por exemplo, execute apenas o número de pontos de gestão necessários para suportar a base de cliente, tendo em conta a elevada disponibilidade e o isolamento de rede para a gestão de clientes baseada na Internet.

Utilize a seguinte documentação de orientação para o ajudar a proteger os sistemas de sites que executam o IIS.

Desativar as funções do IIS de que não necessita

Instale apenas as funcionalidades mínimas do IIS para a função de sistema de sites que instalar. Para obter mais informações, veja Pré-requisitos do site e do sistema de sites.

Configurar as funções do sistema de sites para exigir HTTPS

Quando os clientes se ligam a um sistema de sites através de HTTP e não através de HTTPS, utilizam autenticação do Windows. Este comportamento pode reverter para a utilização da autenticação NTLM em vez da autenticação Kerberos. Quando a autenticação NTLM é utilizada, os clientes podem ligar-se a um servidor não autorizado.

A exceção a esta documentação de orientação pode ser pontos de distribuição. As contas de acesso a pacotes não funcionam quando o ponto de distribuição está configurado para HTTPS. As contas de acesso a pacotes fornecem autorização para o conteúdo, para que possa restringir os utilizadores que podem aceder ao conteúdo. Para obter mais informações, veja Orientações de segurança para a gestão de conteúdos.

Importante

A partir do Configuration Manager versão 2103, os sites que permitem a comunicação de cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP Avançado. Para obter mais informações, consulte Ativar o site para HTTPS apenas ou HTTP melhorado.

Configurar uma lista de confiança de certificados (CTL) no IIS para funções do sistema de sites

Funções do sistema de sites:

• Um ponto de distribuição que configura para HTTPS

• Um ponto de gestão que configura para HTTPS e ativa para suportar dispositivos móveis

Uma CTL é uma lista definida de autoridades de certificação (ACs) de raiz fidedigna. Quando utiliza uma CTL com a política de grupo e uma implementação de infraestrutura de chaves públicas (PKI), uma CTL permite-lhe complementar as ACs de raiz fidedigna existentes configuradas na sua rede. Por exemplo, ACs que são instaladas automaticamente com o Microsoft Windows ou adicionadas através de ACs de raiz empresarial do Windows. Quando uma CTL é configurada no IIS, define um subconjunto dessas ACs de raiz fidedigna.

Este subconjunto fornece-lhe mais controlo sobre a segurança. A CTL restringe os certificados de cliente que são aceites apenas para os certificados emitidos a partir da lista de ACs na CTL. Por exemplo, o Windows inclui vários certificados de AC de terceiros conhecidos.

Por predefinição, o computador que executa o IIS confia em certificados que encadeiem a estas ACs conhecidas. Quando não configura o IIS com uma CTL para as funções do sistema de sites listadas, o site aceita como um cliente válido qualquer dispositivo que tenha um certificado emitido a partir destas ACs. Se configurar o IIS com uma CTL que não incluiu estas ACs, o site recusa ligações de cliente se o certificado for associado a estas ACs. Para que Configuration Manager clientes sejam aceites para as funções de sistema de sites listadas, tem de configurar o IIS com uma CTL que especifique as ACs que são utilizadas por clientes Configuration Manager.

Observação

Apenas as funções do sistema de sites listadas requerem que configure uma CTL no IIS. A lista de emissores de certificados que Configuration Manager utiliza para pontos de gestão fornece a mesma funcionalidade para computadores cliente quando se ligam a pontos de gestão HTTPS.

Para obter mais informações sobre como configurar uma lista de ACs fidedignas no IIS, veja a documentação do IIS.

Não coloque o servidor do site num computador com o IIS

A separação de funções ajuda a reduzir o perfil de ataque e a melhorar a capacidade de recuperação. Normalmente, a conta de computador do servidor do site tem privilégios administrativos em todas as funções do sistema de sites. Também poderá ter estes privilégios em clientes Configuration Manager, se utilizar a instalação push do cliente.

Utilizar servidores IIS dedicados para Configuration Manager

Embora possa alojar várias aplicações baseadas na Web nos servidores IIS que também são utilizados pelo Configuration Manager, esta prática pode aumentar significativamente a superfície de ataque. Uma aplicação mal configurada pode permitir que um atacante obtenha o controlo de um sistema de sites Configuration Manager. Esta falha de segurança pode permitir que um atacante obtenha o controlo da hierarquia.

Se tiver de executar outras aplicações baseadas na Web em sistemas de sites Configuration Manager, crie um web site personalizado para Configuration Manager sistemas de sites.

Utilizar um site personalizado

Para sistemas de sites que executam o IIS, configure Configuration Manager para utilizar um site personalizado em vez do site predefinido. Se tiver de executar outras aplicações Web no sistema de sites, tem de utilizar um site personalizado. Esta definição é uma definição ao nível do site em vez de uma definição para um sistema de sites específico.

Quando utiliza sites personalizados, remova os diretórios virtuais predefinidos

Quando altera a utilização do site predefinido para a utilização de um site personalizado, Configuration Manager não remove os diretórios virtuais antigos. Remova os diretórios virtuais que Configuration Manager originalmente criados no site predefinido.

Por exemplo, remova os seguintes diretórios virtuais para um ponto de distribuição:

• SMS_DP_SMSPKG$

• SMS_DP_SMSSIG$

• NOCERT_SMS_DP_SMSPKG$

• NOCERT_SMS_DP_SMSSIG$

Siga a documentação de orientação de segurança do Servidor IIS

Identifique e siga as orientações gerais para a sua versão do Servidor IIS. Tenha em consideração todos os requisitos que o Configuration Manager tem para funções específicas do sistema de sites. Para obter mais informações, veja Pré-requisitos do site e do sistema de sites.

Configurar cabeçalhos personalizados do IIS

Configure os seguintes cabeçalhos personalizados para desativar o cheiro do MIME:

x-content-type-options: nosniff

Para obter mais informações, veja Custom Headers (Cabeçalhos Personalizados).

Se outros serviços utilizarem a mesma instância do IIS, certifique-se de que estes cabeçalhos personalizados são compatíveis.

Orientações de segurança para o ponto de gestão

Os pontos de gestão são a interface principal entre dispositivos e Configuration Manager. Considere os ataques contra o ponto de gestão e o servidor em que é executado como de alto risco e mitige adequadamente. Aplique todas as orientações de segurança adequadas e monitorize atividades invulgares.

Utilize a seguinte documentação de orientação para ajudar a proteger um ponto de gestão no Configuration Manager.

Atribuir o cliente num ponto de gestão ao mesmo site

Evite o cenário em que atribui o cliente Configuration Manager que está num ponto de gestão a um site diferente do site do ponto de gestão.

Se migrar de uma versão anterior para Configuration Manager ramo atual, migre o cliente no ponto de gestão para o novo site o mais rapidamente possível.

Orientações de segurança para o ponto de status de contingência

Se instalar um ponto de status de contingência no Configuration Manager, utilize a seguinte documentação de orientação de segurança:

Para obter mais informações sobre as considerações de segurança ao instalar um ponto de status de contingência, veja Determinar se precisa de uma contingência status ponto.

Não execute outras funções no mesmo sistema de sites

O ponto de status de contingência foi concebido para aceitar comunicações não autenticadas de qualquer computador. Se executar esta função do sistema de sites com outras funções ou um controlador de domínio, o risco para esse servidor aumenta consideravelmente.

Instalar o ponto de status de contingência antes de instalar clientes com certificados PKI

Se Configuration Manager sistemas de sites não aceitarem a comunicação de cliente HTTP, poderá não saber que os clientes não são geridos devido a problemas de certificados relacionados com PKI. Se atribuir clientes a um ponto de status de contingência, estes comunicarão estes problemas de certificado através do ponto de status de contingência.

Por motivos de segurança, não pode atribuir uma contingência status apontar para os clientes após a instalação dos mesmos. Só pode atribuir esta função durante a instalação do cliente.

Evite utilizar o ponto de status de contingência na rede de perímetro

Por predefinição, o ponto de status aceita dados de qualquer cliente. Embora uma contingência status ponto na rede de perímetro possa ajudá-lo a resolver problemas com clientes baseados na Internet, equilibre os benefícios de resolução de problemas com o risco de um sistema de sites que aceita dados não autenticados numa rede acessível publicamente.

Se instalar a contingência status ponto na rede de perímetro ou qualquer rede não fidedigna, configure o servidor do site para iniciar transferências de dados. Não utilize a predefinição que permite que a contingência status ponto inicie uma ligação ao servidor do site.

Problemas de segurança da administração de sites

Veja os seguintes problemas de segurança para Configuration Manager:

• Configuration Manager não tem qualquer defesa contra um utilizador administrativo autorizado que utiliza Configuration Manager para atacar a rede. Os utilizadores administrativos não autorizados são um risco elevado de segurança. Podem lançar muitos ataques, que incluem as seguintes estratégias:

  • Utilize a implementação de software para instalar e executar automaticamente software malicioso em todos os Configuration Manager computador cliente na organização.

  • Controlar remotamente um cliente Configuration Manager sem permissão de cliente.

  • Configure intervalos de consulta rápidos e quantidades extremas de inventário. Esta ação cria ataques denial of service contra os clientes e servidores.

  • Utilize um site na hierarquia para escrever dados nos dados do Active Directory de outro site.

  A hierarquia do site é o limite de segurança. Considere os sites como apenas limites de gestão.

  Audite todas as atividades de utilizadores administrativos e reveja os registos de auditoria de forma rotineira. Exigir que todos os utilizadores administrativos Configuration Manager sejam submetidos a um marcar em segundo plano antes de serem contratados. Exigir verificação periódica como condição de emprego.

• Se o ponto de inscrição estiver comprometido, um atacante poderá obter certificados para autenticação. Podem roubar as credenciais dos utilizadores que inscrevem os respetivos dispositivos móveis.

  O ponto de inscrição comunica com uma AC. Pode criar, modificar e eliminar objetos do Active Directory. Nunca instale o ponto de inscrição na rede de perímetro. Monitorize sempre a atividade invulgar.

• Se permitir políticas de utilizador para a gestão de clientes baseada na Internet, aumente o perfil de ataque.

  Além de utilizar certificados PKI para ligações cliente a servidor, estas configurações requerem autenticação do Windows. Podem voltar a utilizar a autenticação NTLM em vez de Kerberos. A autenticação NTLM é vulnerável a ataques de representação e repetição. Para autenticar com êxito um utilizador na Internet, tem de permitir uma ligação do sistema de sites baseado na Internet a um controlador de domínio.

• A partilha Administração$ é necessária nos servidores do sistema de sites.

  O Configuration Manager servidor do site utiliza a partilha Administração$ para ligar e realizar operações de serviço em sistemas de sites. Não desative ou remova esta partilha.

• Configuration Manager utiliza serviços de resolução de nomes para ligar a outros computadores. Estes serviços são difíceis de proteger contra os seguintes ataques de segurança:

  • Spoofing
  • Adulteração
  • Rejeição
  • Divulgação de informações
  • Denial of service
  • Elevação de privilégio

  Identifique e siga qualquer documentação de orientação de segurança para a versão do DNS que utiliza para a resolução de nomes.

Informações de privacidade para deteção

A deteção cria registos para recursos de rede e armazena-os na base de dados Configuration Manager. Os registos de dados de deteção contêm informações do computador, como endereços IP, versões do SO e nomes de computadores. Também pode configurar métodos de deteção do Active Directory para devolver quaisquer informações que a sua organização armazene no Active Directory Domain Services.

O único método de deteção que Configuration Manager ativa por predefinição é a Deteção de Heartbeat. Este método só deteta computadores que já tenham o software de cliente Configuration Manager instalado.

As informações de deteção não são enviadas diretamente para a Microsoft. Está armazenado na base de dados Configuration Manager. Configuration Manager retém informações na base de dados até eliminar os dados. Este processo ocorre a cada 90 dias pela tarefa de manutenção do site Eliminar Dados de Deteção Desatuosos.