Seguridad y privacidad para la administración de contenido en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Este artículo contiene información de seguridad y privacidad para la administración de contenido en Configuration Manager.
Guía de seguridad
Ventajas y desventajas de HTTPS o HTTP para puntos de distribución de intranet
Para los puntos de distribución de la intranet, tenga en cuenta las ventajas y desventajas del uso de HTTPS o HTTP. En la mayoría de los escenarios, el uso de http y cuentas de acceso de paquete para la autorización proporciona más seguridad que el uso de HTTPS con cifrado pero sin autorización. Sin embargo, si tiene datos confidenciales en el contenido que desea cifrar durante la transferencia, use HTTPS.
Cuando se usa HTTPS para un punto de distribución: Configuration Manager no usa cuentas de acceso de paquete para autorizar el acceso al contenido. El contenido se cifra cuando se transfiere a través de la red.
Cuando se usa HTTP para un punto de distribución: puede usar cuentas de acceso de paquete para la autorización. El contenido no se cifra cuando se transfiere a través de la red.
Considere la posibilidad de habilitar HTTP mejorado para el sitio. Esta característica permite a los clientes usar Microsoft Entra autenticación para comunicarse de forma segura con un punto de distribución HTTP. Para obtener más información, vea HTTP mejorado.
Importante
A partir de Configuration Manager versión 2103, los sitios que permiten la comunicación de cliente HTTP están en desuso. Configure el sitio para HTTPS o HTTP mejorado. Para obtener más información, consulte Habilitación del sitio para HTTP mejorado o solo HTTPS.
Protección del archivo de certificado de autenticación de cliente
Si usa un certificado de autenticación de cliente PKI en lugar de un certificado autofirmado para el punto de distribución, proteja el archivo de certificado (.pfx) con una contraseña segura. Si almacena el archivo en la red, proteja el canal de red al importar el archivo en Configuration Manager.
Cuando se requiere una contraseña para importar el certificado de autenticación de cliente que el punto de distribución usa para comunicarse con los puntos de administración, esta configuración ayuda a proteger el certificado de un atacante. Para evitar que un atacante manipule el archivo de certificado, use la firma de bloque de mensajes del servidor (SMB) o IPsec entre la ubicación de red y el servidor de sitio.
Quitar el rol de punto de distribución del servidor de sitio
De forma predeterminada, Configuration Manager instalación instala un punto de distribución en el servidor de sitio. Los clientes no tienen que comunicarse directamente con el servidor de sitio. Para reducir la superficie expuesta a ataques, asigne el rol de punto de distribución a otros sistemas de sitio y quítelo del servidor de sitio.
Protección del contenido en el nivel de acceso del paquete
El recurso compartido de punto de distribución permite el acceso de lectura a todos los usuarios. Para restringir qué usuarios pueden acceder al contenido, use cuentas de acceso de paquete cuando el punto de distribución esté configurado para HTTP. Esta configuración no se aplica a las puertas de enlace de administración en la nube habilitadas para contenido, que no admiten cuentas de acceso a paquetes.
Para obtener más información, vea Cuentas de acceso de paquete.
Configuración de IIS en el rol de punto de distribución
Si Configuration Manager instala IIS al agregar un rol de sistema de sitio de punto de distribución, quite el redireccionamiento HTTP y las herramientas y scripts de administración de IIS cuando se complete la instalación del punto de distribución. El punto de distribución no requiere estos componentes. Para reducir la superficie expuesta a ataques, quite estos servicios de rol para el rol de servidor web.
Para obtener más información sobre los servicios de rol para el rol de servidor web para puntos de distribución, consulte Requisitos previos del sistema de sitio y sitio.
Establecer permisos de acceso al paquete al crear el paquete
Dado que los cambios en las cuentas de acceso de los archivos de paquete solo se hacen efectivos al redistribuir el paquete, establezca los permisos de acceso del paquete cuidadosamente al crear el paquete por primera vez. Esta configuración es importante cuando el paquete es grande o se distribuye a muchos puntos de distribución y cuando la capacidad de ancho de banda de red para la distribución de contenido es limitada.
Implementación de controles de acceso para proteger los medios que contienen contenido preconfigurado
El contenido preconfigurado se comprime pero no se cifra. Un atacante podría leer y modificar los archivos que se descargan en los dispositivos. Configuration Manager clientes rechazan el contenido manipulado, pero lo siguen descargando.
Importación de contenido preconfigurado con ExtractContent
Importe solo contenido preconfigurado mediante la herramienta de línea de comandos ExtractContent.exe. Para evitar la alteración y elevación de privilegios, use solo la herramienta de línea de comandos autorizada que incluye Configuration Manager.
Para obtener más información, consulte Implementación y administración de contenido.
Protección del canal de comunicación entre el servidor de sitio y la ubicación de origen del paquete
Use la firma IPsec o SMB entre el servidor de sitio y la ubicación de origen del paquete al crear aplicaciones, paquetes y otros objetos con contenido. Esta configuración ayuda a evitar que un atacante manipule los archivos de origen.
Eliminación de directorios virtuales predeterminados para un sitio web personalizado con el rol de punto de distribución
Si cambia la opción de configuración del sitio para usar un sitio web personalizado en lugar del sitio web predeterminado después de instalar un rol de punto de distribución, quite los directorios virtuales predeterminados. Al cambiar del sitio web predeterminado a un sitio web personalizado, Configuration Manager no quita los directorios virtuales antiguos. Quite los siguientes directorios virtuales que Configuration Manager crearon originalmente en el sitio web predeterminado:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
Para obtener más información sobre el uso de un sitio web personalizado, consulte Sitios web para servidores de sistema de sitio.
Para las puertas de enlace de administración en la nube habilitadas para contenido, proteja los certificados y los detalles de la suscripción de Azure.
Al usar puertas de enlace de administración en la nube (CMG) habilitadas para contenido, proteja los siguientes elementos de alto valor:
- Nombre de usuario y contraseña de la suscripción de Azure
- Claves secretas para registros de aplicaciones de Azure
- Certificado de autenticación del servidor
Almacene los certificados de forma segura. Si va a buscarlos a través de la red al configurar cmg, use la firma IPsec o SMB entre el servidor de sistema de sitio y la ubicación de origen.
Para la continuidad del servicio, supervise la fecha de expiración de los certificados de CMG.
Configuration Manager no le avisa cuando los certificados importados para CMG están a punto de expirar. Supervise las fechas de expiración independientemente de Configuration Manager. Asegúrese de renovar e importar los nuevos certificados antes de la fecha de expiración. Esta acción es importante si adquiere un certificado de autenticación de servidor de un proveedor público externo, ya que es posible que necesite más tiempo para adquirir un certificado renovado.
Si expira un certificado, el administrador de servicios en la nube Configuration Manager genera un mensaje de estado con el identificador 9425. El archivo CloudMgr.log contiene una entrada para indicar que el certificado está en estado expirado, con la fecha de expiración también registrada en UTC.
Consideraciones acerca de la seguridad
Los clientes no validan el contenido hasta que se descarga. Configuration Manager clientes validan el hash en el contenido solo después de descargarlo en su caché de cliente. Si un atacante altera la lista de archivos que se van a descargar o con el propio contenido, el proceso de descarga puede ocupar un ancho de banda de red considerable. A continuación, el cliente descarta el contenido cuando encuentra el hash no válido.
Cuando se usan puertas de enlace de administración en la nube habilitadas para contenido:
Restringe automáticamente el acceso al contenido a la organización. No se puede restringir aún más a los usuarios o grupos seleccionados.
El punto de administración autentica primero al cliente. A continuación, el cliente usa un token de Configuration Manager para acceder al almacenamiento en la nube. El token es válido durante ocho horas. Este comportamiento significa que si bloquea un cliente porque ya no es de confianza, puede seguir descargando contenido del almacenamiento en la nube hasta que expire este token. El punto de administración no emitirá otro token para el cliente porque está bloqueado.
Para evitar que un cliente bloqueado descargue contenido en esta ventana de ocho horas, detenga el servicio en la nube. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Cloud Services y seleccione el nodo Cloud Management Gateway.
Información de privacidad
Configuration Manager no incluye datos de usuario en los archivos de contenido, aunque un usuario administrativo podría optar por realizar esta acción.