Plano de segurança no Gestor de Configuração
Aplica-se a: Configuration Manager (ramo atual)
Este artigo descreve os seguintes conceitos a ter em conta ao planear a segurança com a implementação do seu Gestor de Configuração:
Certificados (auto-assinados e PKI)
A chave de raiz de confiança
Assinatura e encriptação
Administração baseada em funções
Azure Active Directory
Autenticação do fornecedor de SMS
Antes de começar, certifique-se de que está familiarizado com os fundamentos da segurança no Gestor de Configurações.
Certificados
O Gestor de Configuração utiliza uma combinação de certificados digitais de infraestrutura auto-assinada e de chave pública (PKI). Utilize certificados PKI sempre que possível. Alguns cenários requerem certificados PKI. Quando os certificados PKI não estão disponíveis, o site gera automaticamente certificados auto-assinados. Alguns cenários usam sempre certificados auto-assinados.
Para mais informações, consulte Plano de Certificados.
A chave de raiz de confiança
A chave de raiz fidedigna do Gestor de Configuração fornece um mecanismo para os clientes do Gestor de Configuração verificarem que os sistemas de site pertencem à sua hierarquia. Cada servidor de site gera uma chave de troca de site para comunicar com outros sites. A chave de troca de site do site de nível superior na hierarquia chama-se chave de raiz fidedigna.
A função da chave raiz fidedigna no Gestor de Configuração assemelha-se a um certificado de raiz numa infraestrutura de chave pública. Qualquer coisa assinada pela chave privada da chave de raiz de confiança é confiada mais abaixo na hierarquia. Os clientes armazenam uma cópia da chave de raiz fidedigna do site no root\ccm\locationservices
espaço de nomes WMI.
Por exemplo, o site emite um certificado para o ponto de gestão, que assina com a chave privada da chave raiz fidedigna. O site partilha com os clientes a chave pública da sua chave de raiz confiável. Então os clientes podem diferenciar entre pontos de gestão que estão na sua hierarquia e pontos de gestão que não estão na sua hierarquia.
Os clientes obtêm automaticamente a cópia pública da chave raiz fidedigna utilizando dois mecanismos:
Estenda o esquema de Diretório Ativo para Gestor de Configuração e publique o site para Serviços de Domínio de Diretório Ativo. Em seguida, os clientes recuperam esta informação do site de um servidor de catálogo global. Para obter mais informações, consulte Prepare o Diretório Ativo para publicação no site.
Quando instala clientes utilizando o método de instalação do impulso do cliente. Para obter mais informações, consulte a instalação push do Cliente.
Se os clientes não conseguem obter a chave de raiz de confiança usando um destes mecanismos, confiam na chave raiz de confiança que é fornecida pelo primeiro ponto de gestão com o qual comunicam. Neste cenário, um cliente pode ser mal direcionado para o ponto de gestão de um intruso onde receberia a política do ponto de gestão fraudulento. Esta ação requer um agressor sofisticado. Este ataque limita-se ao curto período de tempo antes de o cliente recuperar a chave de raiz fidedigna de um ponto de gestão válido. Para reduzir este risco de um intruso direcionar mal os clientes para um ponto de gestão fraudulento, pré-a provisionar os clientes com a chave raiz fidedigna.
Para obter mais informações e procedimentos para gerir a chave raiz fidedigna, consulte a segurança Configure.
Assinatura e encriptação
Quando utiliza certificados PKI para todas as comunicações dos clientes, não tem de planear a assinatura e encriptação para ajudar a garantir a comunicação de dados do cliente. Se configurar quaisquer sistemas de site que executem o IIS para permitir ligações ao cliente HTTP, decida como ajudar a garantir a comunicação do cliente para o site.
Importante
A partir da versão 2103 do Gestor de Configuração, os sites que permitem a comunicação do cliente HTTP são preprecados. Configure o site para HTTPS ou HTTP melhorado. Para obter mais informações, consulte Ativar o site apenas para HTTPS ou HTTP melhorado.
Para ajudar a proteger os dados que os clientes enviam para pontos de gestão, pode exigir que os clientes assinem os dados. Também pode requerer o algoritmo SHA-256 para a assinatura. Esta configuração é mais segura, mas não requer SHA-256 a menos que todos os clientes a suportem. Muitos sistemas operativos suportam de forma nativa este algoritmo, mas os sistemas operativos mais antigos podem necessitar de uma atualização ou hotfix.
Ao assinar ajuda a proteger os dados da adulteração, a encriptação ajuda a proteger os dados da divulgação de informação. Pode ativar a encriptação dos dados de inventário e mensagens estatais que os clientes enviam para pontos de gestão no site. Não é preciso instalar nenhuma atualização nos clientes para suportar esta opção. Os clientes e os pontos de gestão requerem mais uso do CPU para encriptação e desencriptação.
Nota
Para encriptar os dados, o cliente utiliza a chave pública do certificado de encriptação do ponto de gestão. Apenas o ponto de gestão tem a chave privada correspondente, pelo que só pode desencriptar os dados.
O cliente arranca este certificado com o certificado de assinatura do ponto de gestão, que ele arranca com a chave raiz fidedigna do site. Certifique-se de que fornece de forma segura a chave de raiz fidedigna aos clientes. Para obter mais informações, consulte a chave raiz de confiança.
Para obter mais informações sobre como configurar as definições para a assinatura e encriptação, consulte a assinatura e encriptação de Configuração.
Para obter mais informações sobre os algoritmos criptográficos utilizados para a assinatura e encriptação, consulte a referência técnica dos controlos criptográficos.
Administração baseada em funções
Com o Gestor de Configuração, utiliza a administração baseada em funções para garantir o acesso que os utilizadores administrativos precisam para utilizar o Gestor de Configuração. Também tem acesso seguro aos objetos que gere, como coleções, implementações e sites.
Com a combinação de funções de segurança, âmbitos de segurança e coleções, segrega as atribuições administrativas que satisfazem os requisitos da sua organização. Usados em conjunto, definem o âmbito administrativo de um utilizador. Este âmbito administrativo controla os objetos que um utilizador administrativo vê na consola Do Gestor de Configuração, e controla as permissões que um utilizador tem nesses objetos.
Para mais informações, consulte os fundamentos da administração baseada em funções.
Azure Active Directory
O Gestor de Configuração integra-se com Azure Ative Directory (Azure AD) para permitir que o site e os clientes utilizem a autenticação moderna.
Para obter mais informações sobre a Azure AD, consulte Azure Ative Directory documentação.
A bordo do seu site com Azure AD suporta os seguintes cenários do Gestor de Configuração:
Cenários de clientes
Cenários do servidor
Autenticação do fornecedor de SMS
Pode especificar o nível mínimo de autenticação para os administradores acederem aos sites do Gestor de Configuração. Esta funcionalidade obriga os administradores a iniciar sedução para Windows com o nível exigido antes de poderem aceder ao Gestor de Configuração. Aplica-se a todos os componentes que acedem ao Fornecedor de SMS. Por exemplo, a consola Do Gestor de Configuração, os métodos SDK e os Windows PowerShell cmdlets.
O Gestor de Configuração suporta os seguintes níveis de autenticação:
Windows autenticação: Exija autenticação com credenciais de domínio do Diretório Ativo. Esta definição é o comportamento anterior e a definição predefinição atual.
Autenticação do certificado: Requera a autenticação com um certificado válido emitido por uma autoridade de certificados PKI fidedigna. Não configura este certificado no Gestor de Configuração. O Gestor de Configuração exige que o administrador seja contratado Windows usando o PKI.
Windows Hello para autenticação empresarial: Exija a autenticação com forte autenticação de dois fatores que esteja ligada a um dispositivo e utilize biometria ou PIN. Para mais informações, consulte Windows Hello para Negócios.
Importante
Ao selecionar esta definição, o Serviço de Fornecedor de SMS e administração exige que o token de autenticação do utilizador contenha uma reclamação de autenticação multi-factor (MFA) de Windows Hello para o Negócio. Por outras palavras, um utilizador da consola, SDK, PowerShell ou serviço de administração tem de autenticar para Windows com o seu Windows Hello para Business PIN ou biométrico. Caso contrário, o site rejeita a ação do utilizador.
Este comportamento é para Windows Hello para o Negócios, não para Windows Hello.
Para obter mais informações sobre como configurar esta definição, consulte a autenticação do Fornecedor de SMS Configure.