Configuración de la seguridad en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Use la información de este artículo para ayudarle a configurar opciones relacionadas con la seguridad para Configuration Manager. Antes de empezar, asegúrese de que tiene un plan de seguridad.

Importante

A partir de Configuration Manager versión 2103, los sitios que permiten la comunicación de cliente HTTP están en desuso. Configure el sitio para HTTPS o HTTP mejorado. Para obtener más información, consulte Habilitación del sitio para HTTP mejorado o solo HTTPS.

Certificados PKI de cliente

Si desea usar certificados de infraestructura de clave pública (PKI) para las conexiones de cliente a sistemas de sitio que usan Internet Information Services (IIS), use el procedimiento siguiente para configurar los valores de estos certificados.

1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione el nodo Sitios. Seleccione el sitio principal que se va a configurar.

2. En la cinta de opciones, elija Propiedades. A continuación, cambie a la pestaña Seguridad de la comunicación .

3. Seleccione la configuración de los sistemas de sitio que usan IIS.

   • Solo HTTPS: los clientes asignados al sitio siempre usan un certificado PKI de cliente cuando se conectan a sistemas de sitio que usan IIS. Por ejemplo, un punto de administración y un punto de distribución.

   • HTTPS o HTTP: no es necesario que los clientes usen certificados PKI.

   • Usar certificados generados por Configuration Manager para sistemas de sitio HTTP: para obtener más información sobre esta configuración, consulte HTTP mejorado.

4. Seleccione la configuración de los equipos cliente.

   • Use el certificado PKI de cliente (funcionalidad de autenticación de cliente) cuando esté disponible: si eligió la configuración del servidor de sitio HTTPS o HTTP , elija esta opción para usar un certificado PKI de cliente para las conexiones HTTP. El cliente usa este certificado en lugar de un certificado autofirmado para autenticarse en los sistemas de sitio. Si eligió solo HTTPS, esta opción se elige automáticamente.

     Cuando haya más de un certificado de cliente PKI válido disponible en un cliente, seleccione Modificar para configurar los métodos de selección de certificados de cliente. Para obtener más información sobre el método de selección de certificados de cliente, consulte Planning for PKI client certificate selection (Planeamiento de la selección de certificados de cliente PKI).

   • Los clientes comprueban la lista de revocación de certificados (CRL) para los sistemas de sitio: habilite esta configuración para que los clientes comprueben la CRL de su organización en busca de certificados revocados. Para obtener más información sobre la comprobación de CRL para clientes, consulte Planeamiento de la revocación de certificados PKI.

5. Para importar, ver y eliminar los certificados de entidades de certificación raíz de confianza, seleccione Establecer. Para obtener más información, vea Planning for the PKI trusted root certificates and the certificate issuers List (Planeación de los certificados raíz de confianza PKI y la lista de emisores de certificados).

Repita este procedimiento para todos los sitios primarios de la jerarquía.

Administración de la clave raíz de confianza

Use estos procedimientos para aprovisionar previamente y comprobar la clave raíz de confianza para un cliente Configuration Manager.

Nota:

Si los clientes pueden obtener la clave raíz de confianza de Servicios de dominio de Active Directory o inserción de cliente, no es necesario aprovisionarla previamente.

Cuando los clientes usan la comunicación HTTPS a los puntos de administración, no es necesario aprovisionar previamente la clave raíz de confianza. Establecen confianza en los certificados PKI.

Para obtener más información sobre la clave raíz de confianza, consulte Plan for security (Planeamiento de seguridad).

Aprovisionamiento previo de un cliente con la clave raíz de confianza mediante un archivo

1. En el servidor de sitio, vaya al directorio de instalación de Configuration Manager. En la \bin\<platform> subcarpeta , abra el archivo siguiente en un editor de texto: mobileclient.tcf

2. Busque la entrada , SMSPublicRootKey. Copie el valor de esa línea y cierre el archivo sin guardar ningún cambio.

3. Cree un nuevo archivo de texto y pegue el valor de clave que copió del archivo mobileclient.tcf.

4. Guarde el archivo en una ubicación donde todos los equipos puedan acceder a él, pero donde el archivo esté a salvo de alteraciones.

5. Instale el cliente mediante cualquier método de instalación que acepte client.msi propiedades. Especifique la siguiente propiedad: SMSROOTKEYPATH=<full path and file name>

   Importante

   Cuando especifique la clave raíz de confianza durante la instalación del cliente, especifique también el código de sitio. Use la siguiente propiedad client.msi: SMSSITECODE=<site code>

Aprovisionamiento previo de un cliente con la clave raíz de confianza sin usar un archivo

1. En el servidor de sitio, vaya al directorio de instalación de Configuration Manager. En la \bin\<platform> subcarpeta , abra el archivo siguiente en un editor de texto: mobileclient.tcf

2. Busque la entrada , SMSPublicRootKey. Copie el valor de esa línea y cierre el archivo sin guardar ningún cambio.

3. Instale el cliente mediante cualquier método de instalación que acepte client.msi propiedades. Especifique la siguiente propiedad client.msi: SMSPublicRootKey=<key> donde <key> es la cadena que copió de mobileclient.tcf.

   Importante

   Cuando especifique la clave raíz de confianza durante la instalación del cliente, especifique también el código de sitio. Use la siguiente propiedad client.msi: SMSSITECODE=<site code>

Comprobación de la clave raíz de confianza en un cliente

1. Abra una consola de Windows PowerShell como administrador.

2. Ejecute el siguiente comando:

   (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
   

La cadena devuelta es la clave raíz de confianza. Compruebe que coincide con el valor SMSPublicRootKey en el archivo mobileclient.tcf del servidor de sitio.

Quitar o reemplazar la clave raíz de confianza

Quite la clave raíz de confianza de un cliente mediante la propiedad client.msi , RESETKEYINFORMATION = TRUE.

Para reemplazar la clave raíz de confianza, vuelva a instalar el cliente junto con la nueva clave raíz de confianza. Por ejemplo, use la inserción de cliente o especifique la propiedad client.msi SMSPublicRootKey.

Para obtener más información sobre estas propiedades de instalación, consulte Acerca de los parámetros y propiedades de instalación de cliente.

Firma y cifrado

Configure las opciones de cifrado y firma más seguras para los sistemas de sitio que todos los clientes del sitio pueden admitir. Esta configuración es especialmente importante cuando permite que los clientes se comuniquen con sistemas de sitio mediante certificados autofirmados a través de HTTP.

1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione el nodo Sitios. Seleccione el sitio principal que se va a configurar.

2. En la cinta de opciones, seleccione Propiedades y, a continuación, cambie a la pestaña Firma y cifrado .

   Esta pestaña solo está disponible en un sitio primario. Si no ve la pestaña Firma y cifrado , asegúrese de que no está conectado a un sitio de administración central o a un sitio secundario.

3. Configure las opciones de firma y cifrado para que los clientes se comuniquen con el sitio.

   • Requerir firma: los clientes firman datos antes de enviarlos al punto de administración.

   • Requerir SHA-256: los clientes usan el algoritmo SHA-256 al firmar datos.

     Advertencia

     No requiera SHA-256 sin confirmar primero que todos los clientes admiten este algoritmo hash. Estos clientes incluyen los que podrían asignarse al sitio en el futuro.

     Si elige esta opción y los clientes con certificados autofirmados no pueden admitir SHA-256, Configuration Manager los rechaza. El componente SMS_MP_CONTROL_MANAGER registra el identificador de mensaje 5443.

   • Usar cifrado: los clientes cifran los datos de inventario de cliente y los mensajes de estado antes de enviarlos al punto de administración.

Repita este procedimiento para todos los sitios primarios de la jerarquía.

Administración basada en roles

La administración basada en roles combina roles de seguridad, ámbitos de seguridad y colecciones asignadas para definir el ámbito administrativo de cada usuario administrativo. Un ámbito incluye los objetos que un usuario puede ver en la consola y las tareas relacionadas con los objetos para los que tiene permiso. Las configuraciones de administración basadas en roles se aplican en cada sitio de una jerarquía.

Para obtener más información, consulte Configuración de la administración basada en roles. En este artículo se detallan las siguientes acciones:

• Creación de roles de seguridad personalizados

• Configuración de roles de seguridad

• Configuración de ámbitos de seguridad para un objeto

• Configuración de colecciones para administrar la seguridad

• Creación de un nuevo usuario administrativo

• Modificación del ámbito administrativo de un usuario administrativo

Importante

Su propio ámbito administrativo define los objetos y la configuración que puede asignar al configurar la administración basada en roles para otro usuario administrativo. Para obtener información sobre la planeación de la administración basada en roles, vea Aspectos básicos de la administración basada en roles.

Administrar cuentas

Configuration Manager admite cuentas de Windows para muchas tareas y usos diferentes. Para ver las cuentas configuradas para diferentes tareas y para administrar la contraseña que Configuration Manager usa para cada cuenta, use el procedimiento siguiente:

1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Seguridad y, a continuación, elija el nodo Cuentas.

2. Para cambiar la contraseña de una cuenta, seleccione la cuenta en la lista. A continuación, elija Propiedades en la cinta de opciones.

3. Elija Establecer para abrir el cuadro de diálogo Cuenta de usuario de Windows . Especifique la nueva contraseña para Configuration Manager que se usará para esta cuenta.

   Nota:

   La contraseña que especifique debe coincidir con la contraseña de esta cuenta en Active Directory.

Para obtener más información, vea Cuentas usadas en Configuration Manager.

Microsoft Entra ID

Integre Configuration Manager con Microsoft Entra id. para simplificar y habilitar el entorno en la nube. Permitir que el sitio y los clientes se autentiquen mediante Microsoft Entra identificador.

Para obtener más información, consulte el servicio Cloud Management en Configuración de servicios de Azure.

Autenticación del proveedor de SMS

Puede especificar el nivel de autenticación mínimo para que los administradores accedan a Configuration Manager sitios. Esta característica exige a los administradores que inicien sesión en Windows con el nivel necesario para poder acceder a Configuration Manager. Para obtener más información, vea Planear la autenticación del proveedor de SMS.

Importante

Esta configuración es una configuración de toda la jerarquía. Antes de cambiar esta configuración, asegúrese de que todos los administradores de Configuration Manager puedan iniciar sesión en Windows con el nivel de autenticación necesario.

Para configurar esta configuración, siga estos pasos:

1. Inicie sesión primero en Windows con el nivel de autenticación previsto.

2. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione el nodo Sitios.

3. Seleccione Configuración de jerarquía en la cinta de opciones.

4. Cambie a la pestaña Autenticación . Seleccione el nivel de autenticación deseado y, a continuación, seleccione Aceptar.

   • Solo cuando sea necesario, seleccione Agregar para excluir usuarios o grupos específicos. Para obtener más información, vea Exclusiones.

Exclusiones

En la pestaña Autenticación de Configuración de jerarquía, también puede excluir determinados usuarios o grupos. Use esta opción con moderación. Por ejemplo, cuando usuarios específicos requieren acceso a la consola de Configuration Manager, pero no pueden autenticarse en Windows en el nivel necesario. También puede ser necesario para la automatización o los servicios que se ejecutan en el contexto de una cuenta del sistema.

Siguientes pasos

• Habilitación de TLS 1.2

• Referencia técnica de controles criptográficos

• Comunicación entre puntos de conexión