Aspectos básicos de la seguridad de Configuration Manager
Se aplica a: Configuration Manager (rama actual)
En este artículo se resumen los siguientes componentes de seguridad fundamentales de cualquier entorno de Configuration Manager:
- Capas de seguridad
- Administración basada en roles
- Protección de puntos de conexión de cliente
- Configuration Manager cuentas y grupos
- Privacidad
Capas de seguridad
La seguridad de Configuration Manager consta de las siguientes capas:
- Sistema operativo Windows y seguridad de red
- Infraestructura de red: firewalls, detección de intrusiones, infraestructura de clave pública (PKI)
- Configuration Manager controles de seguridad
- Proveedor de SMS
- Permisos de base de datos de sitio
Sistema operativo Windows y seguridad de red
La primera capa la proporcionan las características de seguridad de Windows para el sistema operativo y la red. Esta capa incluye los siguientes componentes:
Uso compartido de archivos para transferir archivos entre Configuration Manager componentes.
listas de Access Control (ACL) para ayudar a proteger los archivos y las claves del Registro.
Seguridad del protocolo de Internet (IPsec) para ayudar a proteger las comunicaciones.
Directiva de grupo para establecer la directiva de seguridad.
Permisos del modelo de objetos de componente distribuido (DCOM) para aplicaciones distribuidas, como la consola de Configuration Manager.
Servicios de dominio de Active Directory almacenar entidades de seguridad.
Seguridad de la cuenta de Windows, incluidos algunos grupos que Configuration Manager crea durante la instalación.
Infraestructura de la red
Los componentes de seguridad de red, como firewalls y detección de intrusiones, ayudan a proporcionar defensa para todo el entorno. Los certificados emitidos por implementaciones de infraestructura de clave pública (PKI) estándar del sector ayudan a proporcionar autenticación, firma y cifrado.
Configuration Manager controles de seguridad
De forma predeterminada, solo los administradores locales tienen derechos sobre los archivos y las claves del Registro que requiere la consola de Configuration Manager en los equipos en los que se instala.
Proveedor de SMS
El siguiente nivel de seguridad se basa en el acceso al proveedor de SMS. El proveedor de SMS es un componente de Configuration Manager que concede a un usuario acceso para consultar la base de datos del sitio para obtener información. El proveedor de SMS expone principalmente el acceso a través de Instrumental de administración de Windows (WMI), pero también una API REST denominada servicio de administración.
De forma predeterminada, el acceso al proveedor está restringido a los miembros del grupo de administradores de SMS local. Al principio, este grupo solo contiene el usuario que instaló Configuration Manager. Para conceder permiso a otras cuentas al repositorio de Common Information Model (CIM) y al proveedor de SMS, agregue las otras cuentas al grupo Administradores de SMS.
Puede especificar el nivel de autenticación mínimo para que los administradores accedan a Configuration Manager sitios. Esta característica exige a los administradores que inicien sesión en Windows con el nivel necesario. Para obtener más información, vea Planear el proveedor de SMS.
Permisos de base de datos de sitio
La capa final de seguridad se basa en los permisos para los objetos de la base de datos del sitio. De forma predeterminada, la cuenta de sistema local y la cuenta de usuario que usó para instalar Configuration Manager pueden administrar todos los objetos de la base de datos del sitio. Conceda y restrinja permisos a otros usuarios administrativos de la consola de Configuration Manager mediante la administración basada en roles.
Administración basada en roles
Configuration Manager usa la administración basada en roles para ayudar a proteger objetos como colecciones, implementaciones y sitios. Este modelo de administración define y administra de forma centralizada la configuración de acceso de seguridad de toda la jerarquía para todos los sitios y la configuración del sitio.
Un administrador asigna roles de seguridad a usuarios administrativos y permisos de grupo. Los permisos se conectan a diferentes tipos de objetos Configuration Manager, por ejemplo, para crear o cambiar la configuración del cliente.
Los ámbitos de seguridad incluyen instancias específicas de objetos que un usuario administrativo es responsable de administrar. Por ejemplo, una aplicación que instala la consola de Configuration Manager.
La combinación de roles de seguridad, ámbitos de seguridad y colecciones define los objetos que un usuario administrativo puede ver y administrar. Configuration Manager instala algunos roles de seguridad predeterminados para las tareas de administración típicas. Cree sus propios roles de seguridad para admitir sus requisitos empresariales específicos.
Para obtener más información, consulte Aspectos básicos de la administración basada en roles.
Protección de puntos de conexión de cliente
Configuration Manager protege la comunicación del cliente con los roles de sistema de sitio mediante certificados autofirmados o PKI, o tokens de Microsoft Entra. Algunos escenarios requieren el uso de certificados PKI. Por ejemplo, administración de clientes basada en Internet y para clientes de dispositivos móviles.
Puede configurar los roles de sistema de sitio a los que se conectan los clientes para la comunicación de cliente HTTPS o HTTP. Los equipos cliente siempre se comunican mediante el método más seguro disponible. Los equipos cliente solo vuelven a usar el método de comunicación menos seguro si tiene roles de sistemas de sitio que permiten la comunicación HTTP.
Importante
A partir de Configuration Manager versión 2103, los sitios que permiten la comunicación de cliente HTTP están en desuso. Configure el sitio para HTTPS o HTTP mejorado. Para obtener más información, consulte Habilitación del sitio para HTTP mejorado o solo HTTPS.
Para obtener más información, vea Plan for security(Planeamiento de seguridad).
Configuration Manager cuentas y grupos
Configuration Manager usa la cuenta del sistema local para la mayoría de las operaciones del sitio. Algunas operaciones de sitio permiten el uso de una cuenta de servicio, en lugar de usar la cuenta de equipo de dominio del servidor de sitio. Es posible que algunas tareas de administración requieran que cree y mantenga otras cuentas. Por ejemplo, para unir el dominio durante una secuencia de tareas de implementación del sistema operativo.
Configuration Manager crea varios grupos predeterminados y roles de SQL Server durante la instalación. Es posible que tenga que agregar manualmente cuentas de equipo o de usuario a los grupos predeterminados y SQL Server roles.
Para obtener más información, vea Cuentas usadas en Configuration Manager.
Privacidad
Antes de implementar Configuration Manager, tenga en cuenta los requisitos de privacidad. Aunque los productos de administración empresarial ofrecen muchas ventajas porque pueden administrar eficazmente muchos clientes, este software podría afectar a la privacidad de los usuarios de su organización. Configuration Manager incluye muchas herramientas para recopilar datos y supervisar dispositivos. Algunas herramientas pueden plantear problemas de privacidad en su organización.
Por ejemplo, al instalar el cliente Configuration Manager, habilita muchas opciones de administración de forma predeterminada. Esta configuración hace que el software cliente envíe información al sitio Configuration Manager. El sitio almacena información de cliente en la base de datos del sitio. La información del cliente no se envía directamente a Microsoft. Para obtener más información, consulte Diagnósticos y datos de uso.