Planear a segurança no Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Este artigo descreve os seguintes conceitos para considerar ao planear a segurança com a implementação do Configuration Manager:

• Certificados (autoassinado e PKI)

• A chave de raiz fidedigna

• Assinatura e encriptação

• Administração baseada em funções

• Microsoft Entra ID

• Autenticação do Fornecedor de SMS

Antes de começar, certifique-se de que está familiarizado com as noções básicas de segurança no Configuration Manager.

Certificados

O Configuration Manager utiliza uma combinação de certificados digitais de infraestrutura de chaves públicas (PKI) autoassinados e autoassinados. Utilize certificados PKI sempre que possível. Alguns cenários requerem certificados PKI. Quando os certificados PKI não estão disponíveis, o site gera automaticamente certificados autoassinados. Alguns cenários utilizam sempre certificados autoassinados.

Para obter mais informações, veja Planear certificados.

A chave de raiz fidedigna

A chave de raiz fidedigna do Configuration Manager fornece um mecanismo para os clientes do Configuration Manager verificarem que os sistemas de sites pertencem à respetiva hierarquia. Cada servidor de site gera uma chave de troca de site para comunicar com outros sites. A chave de troca de sites do site de nível superior na hierarquia é denominada chave de raiz fidedigna.

A função da chave de raiz fidedigna no Configuration Manager assemelha-se a um certificado de raiz numa infraestrutura de chave pública. Qualquer coisa assinada pela chave privada da chave de raiz fidedigna é fidedigna mais abaixo na hierarquia. Os clientes armazenam uma cópia da chave de raiz fidedigna do site no root\ccm\locationservices espaço de nomes WMI.

Por exemplo, o site emite um certificado para o ponto de gestão, que assina com a chave privada da chave de raiz fidedigna. O site partilha com os clientes a chave pública da chave de raiz fidedigna. Em seguida, os clientes podem diferenciar entre pontos de gestão que estão na hierarquia e pontos de gestão que não estão na hierarquia.

Os clientes obtêm automaticamente a cópia pública da chave de raiz fidedigna através de dois mecanismos:

• Expanda o esquema do Active Directory para o Configuration Manager e publique o site nos Serviços de Domínio do Active Directory. Em seguida, os clientes obtêm estas informações do site a partir de um servidor de catálogo global. Para obter mais informações, veja Preparar o Active Directory para publicação de sites.

• Quando instala clientes com o método de instalação push do cliente. Para obter mais informações, veja Instalação push do cliente.

Se os clientes não conseguirem obter a chave de raiz fidedigna através de um destes mecanismos, confiam na chave de raiz fidedigna fornecida pelo primeiro ponto de gestão com o qual comunicam. Neste cenário, um cliente pode ser mal direcionado para o ponto de gestão de um atacante onde receberia a política do ponto de gestão não autorizado. Esta ação requer um atacante sofisticado. Este ataque está limitado ao pouco tempo antes de o cliente obter a chave de raiz fidedigna a partir de um ponto de gestão válido. Para reduzir este risco de um atacante direcionar incorretamente os clientes para um ponto de gestão não autorizado, pré-aprovisione os clientes com a chave de raiz fidedigna.

Para obter mais informações e procedimentos para gerir a chave de raiz fidedigna, veja Configurar a segurança.

Assinatura e encriptação

Quando utiliza certificados PKI para todas as comunicações de cliente, não tem de planear a assinatura e a encriptação para ajudar a proteger a comunicação de dados do cliente. Se configurar quaisquer sistemas de sites que executem o IIS para permitir ligações de cliente HTTP, decida como ajudar a proteger a comunicação do cliente para o site.

Importante

A partir da versão 2103 do Configuration Manager, os sites que permitem a comunicação de cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP Avançado. Para obter mais informações, consulte Ativar o site para HTTPS apenas ou HTTP melhorado.

Para ajudar a proteger os dados que os clientes enviam para pontos de gestão, pode exigir que os clientes assinem os dados. Também pode exigir o algoritmo SHA-256 para assinar. Esta configuração é mais segura, mas não requer SHA-256, a menos que todos os clientes a suportem. Muitos sistemas operativos suportam nativamente este algoritmo, mas os sistemas operativos mais antigos podem necessitar de uma atualização ou correção.

Ao assinar ajuda a proteger os dados contra adulteração, a encriptação ajuda a proteger os dados da divulgação de informações. Pode ativar a encriptação para os dados de inventário e mensagens de estado que os clientes enviam para pontos de gestão no site. Não tem de instalar atualizações nos clientes para suportar esta opção. Os clientes e os pontos de gestão requerem mais utilização da CPU para encriptação e desencriptação.

Observação

Para encriptar os dados, o cliente utiliza a chave pública do certificado de encriptação do ponto de gestão. Apenas o ponto de gestão tem a chave privada correspondente, pelo que apenas pode desencriptar os dados.

O cliente arranca este certificado com o certificado de assinatura do ponto de gestão, que arranca com a chave de raiz fidedigna do site. Confirme que aprovisiona de forma segura a chave de raiz fidedigna nos clientes. Para obter mais informações, veja A chave de raiz fidedigna.

Para obter mais informações sobre como configurar as definições de assinatura e encriptação, veja Configurar a assinatura e a encriptação.

Para obter mais informações sobre os algoritmos criptográficos utilizados para assinatura e encriptação, veja Referência técnica dos controlos criptográficos.

Administração baseada em funções

Com o Configuration Manager, utiliza a administração baseada em funções para proteger o acesso de que os utilizadores administrativos precisam para utilizar o Configuration Manager. Também protege o acesso aos objetos que gere, como coleções, implementações e sites.

Com a combinação de funções de segurança, âmbitos de segurança e coleções, segrega as atribuições administrativas que cumprem os requisitos da sua organização. Utilizados em conjunto, definem o âmbito administrativo de um utilizador. Este âmbito administrativo controla os objetos que um utilizador administrativo vê na consola do Configuration Manager e controla as permissões que um utilizador tem nesses objetos.

Para obter mais informações, consulte Fundamentos da administração baseada em funções.

Microsoft Entra ID

O Configuration Manager integra-se com o Microsoft Entra ID para permitir que o site e os clientes utilizem a autenticação moderna.

Para obter mais informações sobre o Microsoft Entra ID, consulte a documentação do Microsoft Entra.

A integração do seu site com o Microsoft Entra ID suporta os seguintes cenários do Configuration Manager:

Cenários de cliente

• Gerir clientes na Internet através do gateway de gestão da cloud

• Gerir dispositivos associados a um domínio na cloud

• Cogerenciamento

• Implementar aplicações disponíveis para o utilizador

• Aplicações online da Microsoft Store para Empresas

• Gerir o Microsoft 365 Apps para Grandes Empresas

Cenários de servidor

• Anexar locatário

• Análise de ponto de extremidade

• Azure Log Analytics

• Centro da Comunidade

• Deteção de utilizadores

Autenticação do Fornecedor de SMS

Pode especificar o nível mínimo de autenticação para os administradores acederem a sites do Configuration Manager. Esta funcionalidade impõe aos administradores que iniciem sessão no Windows com o nível necessário antes de poderem aceder ao Configuration Manager. Aplica-se a todos os componentes que acedem ao Fornecedor de SMS. Por exemplo, a consola do Configuration Manager, os métodos SDK e os cmdlets do Windows PowerShell.

O Configuration Manager suporta os seguintes níveis de autenticação:

• Autenticação do Windows: exigir autenticação com credenciais de domínio do Active Directory. Esta definição é o comportamento anterior e a predefinição atual.

• Autenticação de certificado: exigir autenticação com um certificado válido emitido por uma autoridade de certificação PKI fidedigna. Não configura este certificado no Configuration Manager. O Configuration Manager requer que o administrador tenha sessão iniciada no Windows através de PKI.

• Autenticação do Windows Hello para Empresas: exigir autenticação com autenticação de dois fatores forte associada a um dispositivo e utiliza biometria ou um PIN. Para obter mais informações, consulte Windows Hello para Empresas.

  Importante

  Quando seleciona esta definição, o Fornecedor de SMS e o serviço de administração requerem que o token de autenticação do utilizador contenha uma afirmação de autenticação multifator (MFA) do Windows Hello para Empresas. Por outras palavras, um utilizador da consola, do SDK, do PowerShell ou do serviço de administração tem de se autenticar no Windows com o PIN do Windows Hello para Empresas ou biométrico. Caso contrário, o site rejeita a ação do utilizador.

  Este comportamento destina-se ao Windows Hello para Empresas e não ao Windows Hello.

Para obter mais informações sobre como configurar esta definição, veja Configurar a autenticação do Fornecedor de SMS.

Próximas etapas

• Certificados no Configuration Manager

• Planejar certificados PKI

• Configurar a segurança

• Referência técnica de controles criptográficos