Referência técnica de controles criptográficos
Aplica-se a: Configuration Manager (branch atual)
Configuration Manager utiliza a assinatura e a encriptação para ajudar a proteger a gestão dos dispositivos na hierarquia Configuration Manager. Com a assinatura, se os dados tiverem sido alterados em trânsito, serão eliminados. A encriptação ajuda a impedir que um atacante leia os dados através de um analisador de protocolos de rede.
O algoritmo hash principal que Configuration Manager utiliza para assinar é SHA-256. Quando dois sites Configuration Manager comunicam entre si, assinam as comunicações com SHA-256.
A partir da versão 2107, o algoritmo de encriptação principal que Configuration Manager utiliza é AES-256. A encriptação ocorre principalmente nas duas áreas seguintes:
Se ativar o site para Utilizar encriptação, o cliente encripta os dados de inventário e as mensagens de estado que envia para o ponto de gestão.
Quando o cliente transfere políticas secretas, o ponto de gestão encripta sempre estas políticas. Por exemplo, uma sequência de tarefas de implementação do SO que inclui palavras-passe.
Observação
Se configurar a comunicação HTTPS, estas mensagens são encriptadas duas vezes. A mensagem é encriptada com AES e, em seguida, o transporte HTTPS é encriptado com AES-256.
Quando utilizar a comunicação de cliente através de HTTPS, configure a sua infraestrutura de chaves públicas (PKI) para utilizar certificados com os algoritmos hash máximos e comprimentos de chave. Ao utilizar certificados CNG v3, Configuration Manager clientes só suportam certificados que utilizem o algoritmo criptográfico RSA. Para obter mais informações, veja PKI certificate requirements and CNG v3 certificates overview (Descrição geral dos requisitos de certificados PKI e certificados CNG v3).
Para segurança de transporte, qualquer coisa que utilize TLS suporta AES-256. Este suporte inclui quando configura o site para HTTP (E-HTTP) avançado ou HTTPS. Para sistemas de sites no local, pode controlar os conjuntos de cifras TLS. Para funções baseadas na cloud, como o gateway de gestão da cloud (CMG), se ativar o TLS 1.2, Configuration Manager configura os conjuntos de cifras.
Para a maioria das operações criptográficas com sistemas operativos baseados no Windows, Configuration Manager utiliza estes algoritmos da biblioteca Windows CryptoAPI rsaenh.dll.
Para obter mais informações sobre funcionalidades específicas, veja Operações do site.
Operações do site
As informações no Configuration Manager podem ser assinadas e encriptadas. Suporta estas operações com ou sem certificados PKI.
Assinatura e encriptação de políticas
O site assina atribuições de políticas de cliente com o respetivo certificado autoassinado. Este comportamento ajuda a evitar que o risco de segurança de um ponto de gestão comprometido envie políticas adulteradas. Se utilizar a gestão de clientes baseada na Internet, este comportamento é importante porque requer um ponto de gestão com acesso à Internet.
Quando a política contém dados confidenciais, a partir da versão 2107, o ponto de gestão encripta-os com AES-256. A política que contém dados confidenciais só é enviada para clientes autorizados. O site não encripta a política que não tem dados confidenciais.
Quando um cliente armazena a política, encripta a política através da interface de programação de aplicações de proteção de dados (DPAPI) do Windows.
Hashing de políticas
Quando um cliente solicita a política, obtém primeiro uma atribuição de política. Depois, sabe quais as políticas que lhe se aplicam e só pode solicitar esses órgãos de política. Cada atribuição de política contém o hash calculado para o corpo da política correspondente. O cliente transfere os órgãos de política aplicáveis e, em seguida, calcula o hash para cada corpo da política. Se o hash no corpo da política não corresponder ao hash na atribuição de política, o cliente elimina o corpo da política.
O algoritmo de hash para a política é SHA-256.
Hashing de conteúdo
O serviço do gestor de distribuição no servidor do site hashes os ficheiros de conteúdo para todos os pacotes. O fornecedor de políticas inclui o hash na política de distribuição de software. Quando o cliente Configuration Manager transfere o conteúdo, o cliente regenera o hash localmente e compara-o com o fornecido na política. Se os hashes corresponderem, o conteúdo não é alterado e o cliente instala-o. Se um único byte do conteúdo for alterado, os hashes não corresponderão e o cliente não instalará o software. Este marcar ajuda a garantir que o software correto está instalado porque o conteúdo real é comparado com a política.
O algoritmo hash predefinido para conteúdo é SHA-256.
Nem todos os dispositivos suportam o hash de conteúdo. As exceções incluem:
- Clientes Windows quando transmitem conteúdos do App-V em fluxo.
Assinatura e encriptação de inventário
Quando um cliente envia o inventário de hardware ou software para um ponto de gestão, assina sempre o inventário. Não importa se o cliente comunica com o ponto de gestão através de E-HTTP ou HTTPS. Se utilizarem o E-HTTP, também pode optar por encriptar estes dados, o que é recomendado.
Encriptação de migração de estado
Quando uma sequência de tarefas captura dados de um cliente para a implementação do SO, encripta sempre os dados. Na versão 2103 e posterior, a sequência de tarefas executa a Ferramenta de Migração de Estado do Utilizador (USMT) com o algoritmo de encriptação AES-256 .
Encriptação para pacotes multicast
Para cada pacote de implementação do SO, pode ativar a encriptação quando utiliza multicast. Esta encriptação utiliza o algoritmo AES-256 . Se ativar a encriptação, não é necessária outra configuração de certificado. O ponto de distribuição com multicast ativado gera automaticamente chaves simétricas para encriptar o pacote. Cada pacote tem uma chave de encriptação diferente. A chave é armazenada no ponto de distribuição multicast ativado através de APIs padrão do Windows.
Quando o cliente se liga à sessão multicast, a troca de chaves ocorre através de um canal encriptado. Se o cliente utilizar HTTPS, utiliza o certificado de autenticação de cliente emitido por PKI. Se o cliente utilizar E-HTTP, utiliza o certificado autoassinado. O cliente só armazena a chave de encriptação na memória durante a sessão multicast.
Encriptação para suportes de dados de implementação do SO
Quando utiliza suportes de dados para implementar sistemas operativos, deve sempre especificar uma palavra-passe para proteger o suporte de dados. Com uma palavra-passe, as variáveis de ambiente de sequência de tarefas são encriptadas com AES-128. Outros dados no suporte de dados, incluindo pacotes e conteúdos para aplicações, não são encriptados.
Encriptação para conteúdo baseado na cloud
Quando ativa um gateway de gestão da cloud (CMG) para armazenar conteúdo, o conteúdo é encriptado com AES-256. O conteúdo é encriptado sempre que o atualizar. Quando os clientes transferem o conteúdo, este é encriptado e protegido pela ligação HTTPS.
Iniciar sessão em atualizações de software
Todas as atualizações de software têm de ser assinadas por um fabricante fidedigno para proteger contra adulteração. Nos computadores cliente, o Agente do Windows Update (WUA) procura as atualizações do catálogo. Não instalará a atualização se não conseguir localizar o certificado digital no arquivo Fabricantes Fidedignos no computador local.
Quando publica atualizações de software com o System Center Atualizações Publisher, um certificado digital assina as atualizações de software. Pode especificar um certificado PKI ou configurar Atualizações Publisher para gerar um certificado autoassinado para assinar a atualização de software. Se utilizar um certificado autoassinado para publicar o catálogo de atualizações, como Editores WSUS Autoassinados, o certificado também tem de estar no arquivo de certificados autoridades de certificação de raiz fidedigna no computador local. O WUA também verifica se a definição de política Permitir conteúdo assinado da intranet do grupo de localização do serviço de atualização da Microsoft está ativada no computador local. Esta definição de política tem de estar ativada para que o WUA analise as atualizações que foram criadas e publicadas com o System Center Atualizações Publisher.
Dados de configuração assinados para definições de compatibilidade
Quando importa dados de configuração, Configuration Manager verifica a assinatura digital do ficheiro. Se os ficheiros não estiverem assinados ou se a assinatura marcar falhar, a consola avisa-o para continuar com a importação. Importe apenas os dados de configuração se confiar explicitamente no publicador e na integridade dos ficheiros.
Encriptação e hashing para notificação de cliente
Se utilizar a notificação de cliente, toda a comunicação utiliza o TLS e os algoritmos mais altos que o servidor e o cliente podem negociar. Ocorre a mesma negociação para o hash dos pacotes que são transferidos durante a notificação do cliente, que utiliza SHA-2.
Certificados
Para obter uma lista dos certificados de infraestrutura de chaves públicas (PKI) que podem ser utilizados por Configuration Manager, quaisquer requisitos especiais ou limitações e como os certificados são utilizados, veja Requisitos de certificado PKI. Esta lista inclui os algoritmos hash suportados e os comprimentos de chave. A maioria dos certificados suporta o comprimento da chave SHA-256 e 2048 bits.
A maioria das operações Configuration Manager que utilizam certificados também suportam certificados v3. Para obter mais informações, veja Descrição geral dos certificados CNG v3.
Observação
Todos os certificados que Configuration Manager utiliza têm de conter apenas carateres de byte único no nome do requerente ou nome alternativo do requerente.
Configuration Manager requer certificados PKI para os seguintes cenários:
Quando gere Configuration Manager clientes na Internet
Quando utiliza um gateway de gestão da cloud (CMG)
Para a maioria das outras comunicações que requerem certificados para autenticação, assinatura ou encriptação, Configuration Manager utiliza automaticamente certificados PKI, se disponível. Se não estiverem disponíveis, Configuration Manager gera certificados autoassinados.
Gestão de dispositivos móveis e certificados PKI
Observação
Desde novembro de 2021 que preterimos a gestão de dispositivos móveis e recomendamos que os clientes desinstalem esta função.
Implementação do SO e certificados PKI
Quando utiliza Configuration Manager para implementar sistemas operativos e um ponto de gestão requer ligações de cliente HTTPS, o cliente precisa de um certificado para comunicar com o ponto de gestão. Este requisito é mesmo quando o cliente está numa fase de transição, como o arranque a partir de um suporte de dados de sequência de tarefas ou de um ponto de distribuição preparado para PXE. Para suportar este cenário, crie um certificado de autenticação de cliente PKI e exporte-o com a chave privada. Em seguida, importe-o para as propriedades do servidor do site e adicione também o certificado de AC de raiz fidedigna do ponto de gestão.
Se criar um suporte de dados de arranque, importe o certificado de autenticação de cliente quando criar o suporte de dados de arranque. Para ajudar a proteger a chave privada e outros dados confidenciais configurados na sequência de tarefas, configure uma palavra-passe no suporte de dados de arranque. Todos os computadores que arrancam a partir do suporte de dados de arranque utilizam o mesmo certificado com o ponto de gestão necessário para funções de cliente, como pedir política de cliente.
Se utilizar PXE, importe o certificado de autenticação de cliente para o ponto de distribuição preparado para PXE. Utiliza o mesmo certificado para cada cliente que arranca a partir desse ponto de distribuição preparado para PXE. Para ajudar a proteger a chave privada e outros dados confidenciais nas sequências de tarefas, exija uma palavra-passe para PXE.
Se um destes certificados de autenticação de cliente estiver comprometido, bloqueie os certificados no nó Certificados na área de trabalho Administração , nó Segurança . Para gerir estes certificados, precisa da permissão para Gerir o certificado de implementação do sistema operativo.
Depois de Configuration Manager implementar o SO instala o cliente, o cliente requer o seu próprio certificado de autenticação de cliente PKI para comunicação de cliente HTTPS.
Soluções de proxy ISV e certificados PKI
Os Fabricantes Independentes de Software (ISVs) podem criar aplicações que expandem Configuration Manager. Por exemplo, um ISV pode criar extensões para suportar plataformas de cliente não Windows. No entanto, se os sistemas de sites exigirem ligações de cliente HTTPS, estes clientes também têm de utilizar certificados PKI para comunicação com o site. Configuration Manager inclui a capacidade de atribuir um certificado ao proxy ISV que permite comunicações entre os clientes proxy ISV e o ponto de gestão. Se utilizar extensões que necessitem de certificados de proxy ISV, consulte a documentação desse produto.
Se o certificado ISV estiver comprometido, bloqueie o certificado no nó Certificados na área de trabalho Administração , nó Segurança .
Copiar o GUID para o certificado de proxy ISV
A partir da versão 2111, para simplificar a gestão destes certificados de proxy ISV, pode agora copiar o respetivo GUID na consola do Configuration Manager.
Na consola do Configuration Manager, aceda à área de trabalho Administração.
Expanda Segurança e selecione o nó Certificados .
Ordene a lista dos certificados pela coluna Tipo .
Selecione um certificado do tipo Proxy ISV.
No friso, selecione Copiar GUID do Certificado.
Esta ação copia o GUID deste certificado, por exemplo: aa05bf38-5cd6-43ea-ac61-ab101f943987
Asset Intelligence e certificados
Observação
Desde novembro de 2021 que preterimos o Asset Intelligence e recomendamos que os clientes desinstalem esta função.
Serviços e certificados do Azure
O gateway de gestão da cloud (CMG) requer certificados de autenticação de servidor. Estes certificados permitem que o serviço forneça comunicação HTTPS aos clientes através da Internet. Para obter mais informações, veja Certificado de autenticação do servidor CMG.
Os clientes necessitam de outro tipo de autenticação para comunicar com um CMG e o ponto de gestão no local. Podem utilizar Microsoft Entra ID, um certificado PKI ou um token de site. Para obter mais informações, veja Configurar a autenticação de cliente para o gateway de gestão da cloud.
Os clientes não necessitam de um certificado PKI de cliente para utilizar o armazenamento baseado na cloud. Depois de se autenticarem no ponto de gestão, o ponto de gestão emite um Configuration Manager token de acesso ao cliente. O cliente apresenta este token ao CMG para aceder ao conteúdo. O token é válido durante oito horas.
Verificação de CRL para certificados PKI
Uma lista de revogação de certificados PKI (CRL) aumenta a segurança geral, mas requer algum overhead administrativo e de processamento. Se ativar a verificação crl, mas os clientes não conseguirem aceder à CRL, a ligação PKI falha.
O IIS ativa a verificação crl por predefinição. Se utilizar uma CRL com a implementação de PKI, não precisa de configurar a maioria dos sistemas de sites que executam o IIS. A exceção é para atualizações de software, o que requer um passo manual para ativar a verificação CRL para verificar as assinaturas nos ficheiros de atualização de software.
Quando um cliente utiliza HTTPS, ativa a verificação CRL por predefinição.
As seguintes ligações não suportam a verificação crl Configuration Manager:
- Ligações servidor a servidor
Comunicação do servidor
Configuration Manager utiliza os seguintes controlos criptográficos para a comunicação do servidor.
Comunicação do servidor num site
Cada servidor do sistema de sites utiliza um certificado para transferir dados para outros sistemas de sites no mesmo site Configuration Manager. Algumas funções do sistema de sites também utilizam certificados para autenticação. Por exemplo, se instalar o ponto proxy de inscrição num servidor e o ponto de inscrição noutro servidor, estes podem autenticar-se uns aos outros com este certificado de identidade.
Quando Configuration Manager utiliza um certificado para esta comunicação, se existir um certificado PKI disponível com a capacidade de autenticação de servidor, Configuration Manager o utiliza automaticamente. Caso contrário, Configuration Manager gera um certificado autoassinado. Este certificado autoassinado tem capacidade de autenticação de servidor, utiliza SHA-256 e tem um comprimento de chave de 2048 bits. Configuration Manager copia o certificado para o arquivo de Pessoas Fidedigno noutros servidores do sistema de sites que possam ter de confiar no sistema de sites. Em seguida, os sistemas de sites podem confiar uns nos outros com estes certificados e PeerTrust.
Além deste certificado para cada servidor do sistema de sites, Configuration Manager gera um certificado autoassinado para a maioria das funções do sistema de sites. Quando existe mais do que uma instância da função do sistema de sites no mesmo site, partilham o mesmo certificado. Por exemplo, pode ter vários pontos de gestão no mesmo site. Este certificado autoassinado utiliza SHA-256 e tem um comprimento de chave de 2048 bits. É copiado para o Arquivo de Pessoas Fidedigno nos servidores do sistema de sites que poderão ter de confiar no mesmo. As seguintes funções do sistema de sites geram este certificado:
Ponto de sincronização do Asset Intelligence
Ponto do Endpoint Protection
Ponto de status de contingência
Ponto de gerenciamento
Ponto de distribuição com multicast ativado
Ponto do Reporting Services
Ponto de atualização de software
Ponto de migração de estado
Configuration Manager gera e gere automaticamente estes certificados.
Para enviar status mensagens do ponto de distribuição para o ponto de gestão, Configuration Manager utiliza um certificado de autenticação de cliente. Quando configura o ponto de gestão para HTTPS, este requer um certificado PKI. Se o ponto de gestão aceitar ligações E-HTTP, pode utilizar um certificado PKI. Também pode utilizar um certificado autoassinado com capacidade de autenticação de cliente, utiliza SHA-256 e tem um comprimento de chave de 2048 bits.
Comunicação do servidor entre sites
Configuration Manager transfere dados entre sites através da replicação da base de dados e da replicação baseada em ficheiros. Para obter mais informações, veja Transferências de dados entre sites e Comunicações entre pontos finais.
Configuration Manager configura automaticamente a replicação de base de dados entre sites. Se disponível, utiliza certificados PKI com capacidade de autenticação de servidor. Se não estiver disponível, Configuration Manager cria certificados autoassinados para autenticação de servidor. Em ambos os casos, autentica-se entre sites através de certificados no arquivo de Pessoas Fidedigno que utiliza PeerTrust. Utiliza este arquivo de certificados para garantir que apenas os SQL Servers da hierarquia Configuration Manager participam na replicação site a site.
Os servidores do site estabelecem a comunicação site a site através de uma troca de chaves segura que ocorre automaticamente. O servidor do site de envio gera um hash e assina-o com a respetiva chave privada. O servidor do site de receção verifica a assinatura com a chave pública e compara o hash com um valor gerado localmente. Se corresponderem, o site de receção aceita os dados replicados. Se os valores não corresponderem, Configuration Manager rejeita os dados de replicação.
A replicação de base de dados no Configuration Manager utiliza o SQL Server Service Broker para transferir dados entre sites. Utiliza os seguintes mecanismos:
SQL Server para SQL Server: esta ligação utiliza credenciais do Windows para autenticação de servidor e certificados autoassinados com 1024 bits para assinar e encriptar os dados com o algoritmo AES. Se disponível, utiliza certificados PKI com capacidade de autenticação de servidor. Utiliza apenas certificados no arquivo de certificados Pessoal do computador.
SQL Service Broker: este serviço utiliza certificados autoassinados com 2048 bits para autenticação e para assinar e encriptar os dados com o algoritmo AES. Utiliza apenas certificados na base de dados SQL Server master.
A replicação baseada em ficheiros utiliza o protocolo SMB (Server Message Block). Utiliza SHA-256 para assinar dados que não estão encriptados e não contêm dados confidenciais. Para encriptar estes dados, utilize o IPsec, que implementa de forma independente do Configuration Manager.
Clientes que utilizam HTTPS
Quando as funções do sistema de sites aceitam ligações de cliente, pode configurá-las para aceitar ligações HTTPS e HTTP ou apenas ligações HTTPS. As funções do sistema de sites que aceitam ligações da Internet só aceitam ligações de cliente através de HTTPS.
As ligações de cliente através de HTTPS oferecem um nível mais elevado de segurança ao integrar com uma infraestrutura de chaves públicas (PKI) para ajudar a proteger a comunicação cliente a servidor. No entanto, configurar ligações de cliente HTTPS sem uma compreensão completa do planeamento, implementação e operações de PKI pode deixá-lo vulnerável. Por exemplo, se não proteger a autoridade de certificação (AC) de raiz, os atacantes poderão comprometer a confiança de toda a infraestrutura de PKI. A falha na implementação e gestão dos certificados PKI através de processos controlados e protegidos pode resultar em clientes não geridos que não conseguem receber pacotes ou atualizações de software críticas.
Importante
Os certificados PKI que Configuration Manager utiliza para a comunicação de cliente protegem a comunicação apenas entre o cliente e alguns sistemas de sites. Não protegem o canal de comunicação entre o servidor do site e os sistemas de sites ou entre servidores do site.
Comunicação não encriptada quando os clientes utilizam HTTPS
Quando os clientes comunicam com sistemas de sites através de HTTPS, a maioria do tráfego é encriptada. Nas seguintes situações, os clientes comunicam com sistemas de sites sem utilizar a encriptação:
O cliente não consegue efetuar uma ligação HTTPS na intranet e volta a utilizar HTTP quando os sistemas de sites permitem esta configuração.
Comunicação com as seguintes funções do sistema de sites:
O cliente envia mensagens de estado para o ponto de status de contingência.
O cliente envia pedidos PXE para um ponto de distribuição preparado para PXE.
O cliente envia dados de notificação para um ponto de gestão.
Pode configurar pontos do Reporting Services para utilizar HTTP ou HTTPS de forma independente do modo de comunicação do cliente.
Clientes que utilizam E-HTTP
Quando os clientes utilizam a comunicação E-HTTP para funções do sistema de sites, podem utilizar certificados PKI para autenticação de cliente ou certificados autoassinados que Configuration Manager gera. Quando Configuration Manager gera certificados autoassinados, têm um identificador de objeto personalizado para assinatura e encriptação. Estes certificados são utilizados para identificar exclusivamente o cliente. Estes certificados autoassinados utilizam SHA-256 e têm um comprimento de chave de 2048 bits.
Implementação do SO e certificados autoassinados
Quando utiliza Configuration Manager para implementar sistemas operativos com certificados autoassinados, o cliente também tem de ter um certificado para comunicar com o ponto de gestão. Este requisito é mesmo que o computador esteja numa fase de transição, como o arranque a partir de um suporte de dados de sequência de tarefas ou de um ponto de distribuição preparado para PXE. Para suportar este cenário para ligações de cliente E-HTTP, Configuration Manager gera certificados autoassinados que têm um identificador de objeto personalizado para assinatura e encriptação. Estes certificados são utilizados para identificar exclusivamente o cliente. Estes certificados autoassinados utilizam SHA-256 e têm um comprimento de chave de 2048 bits. Se estes certificados autoassinados estiverem comprometidos, impeça que os atacantes os utilizem para representar clientes fidedignos. Bloqueie os certificados no nó Certificados na área de trabalho Administração , nó Segurança .
Autenticação de cliente e servidor
Quando os clientes se ligam através de E-HTTP, autenticam os pontos de gestão com Active Directory Domain Services ou com a chave de raiz Configuration Manager fidedigna. Os clientes não autenticam outras funções do sistema de sites, como pontos de migração de estado ou pontos de atualização de software.
Quando um ponto de gestão autentica um cliente pela primeira vez através do certificado de cliente autoassinado, este mecanismo fornece uma segurança mínima porque qualquer computador pode gerar um certificado autoassinado. Utilize a aprovação do cliente para melhorar este processo. Aprovar apenas computadores fidedignos, automaticamente por Configuration Manager ou manualmente por um utilizador administrativo. Para obter mais informações, veja Gerir clientes.
Acerca das vulnerabilidades SSL
Para melhorar a segurança dos seus clientes e servidores Configuration Manager, efetue as seguintes ações:
Ative o TLS 1.2 em todos os dispositivos e serviços. Para ativar o TLS 1.2 para Configuration Manager, veja Como ativar o TLS 1.2 para Configuration Manager.
Desative o SSL 3.0, o TLS 1.0 e o TLS 1.1.
Reordenar os conjuntos de cifras relacionados com TLS.
Para saber mais, confira os seguintes artigos:
- Restringir o uso de determinados algoritmos e protocolos criptográficos em Schannel.dll
- Priorizar conjuntos de cifras Schannel
Estes procedimentos não afetam Configuration Manager funcionalidade.
Observação
Atualizações para Configuration Manager transferir a partir da rede de entrega de conteúdos (CDN) do Azure, que tem requisitos do conjunto de cifras. Para obter mais informações, veja Azure Front Door: FAQ sobre a configuração do TLS.