Fundamentos de segurança para Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Este artigo resume os seguintes componentes de segurança fundamentais de qualquer ambiente Configuration Manager:
- Camadas de segurança
- Administração baseada em funções
- Proteger pontos de extremidade do cliente
- Configuration Manager contas e grupos
- Privacidade
Camadas de segurança
A segurança para Configuration Manager consiste nas seguintes camadas:
- Segurança do sistema operacional Windows e da rede
- Infraestrutura de rede: firewalls, detecção de intrusão, PKI (infraestrutura de chave pública)
- Configuration Manager controles de segurança
- Provedor de SMS
- Permissões do banco de dados do site
Segurança do sistema operacional Windows e da rede
A primeira camada é fornecida pelos recursos de segurança do Windows para o sistema operacional e a rede. Essa camada inclui os seguintes componentes:
Compartilhamento de arquivos para transferir arquivos entre Configuration Manager componentes.
Controle de Acesso Listas (ACLs) para ajudar a proteger arquivos e chaves de registro.
Segurança de Protocolo da Internet (IPsec) para ajudar a proteger as comunicações.
Política de grupo para definir a política de segurança.
Permissões de DCOM (Modelo de Objeto de Componente Distribuído) para aplicativos distribuídos, como o console Configuration Manager.
Active Directory Domain Services armazenar entidades de segurança.
Segurança da conta do Windows, incluindo alguns grupos que Configuration Manager cria durante a instalação.
Infra-estrutura de rede
Componentes de segurança de rede, como firewalls e detecção de intrusões, ajudam a fornecer defesa para todo o ambiente. Certificados emitidos por implementações PKI (infraestrutura de chave pública) padrão do setor ajudam a fornecer autenticação, assinatura e criptografia.
Configuration Manager controles de segurança
Por padrão, apenas os administradores locais têm direitos aos arquivos e às chaves de registro que o console Configuration Manager exige em computadores em que você o instala.
Provedor de SMS
A próxima camada de segurança é baseada no acesso ao Provedor de SMS. O Provedor de SMS é um componente Configuration Manager que concede a um usuário acesso para consultar o banco de dados do site para obter informações. O Provedor de SMS expõe principalmente o acesso por meio da WMI (Instrumentação de Gerenciamento do Windows), mas também uma API REST chamada serviço de administração.
Por padrão, o acesso ao provedor é restrito a membros do grupo de administradores de SMS local. Esse grupo no início contém apenas o usuário que instalou Configuration Manager. Para conceder permissão a outras contas ao repositório CIM (Common Information Model) e ao Provedor de SMS, adicione as outras contas ao grupo de administradores de SMS.
Você pode especificar o nível mínimo de autenticação para os administradores acessarem Configuration Manager sites. Esse recurso impõe que os administradores entrem no Windows com o nível necessário. Para obter mais informações, consulte Planejar para o provedor de SMS.
Permissões do banco de dados do site
A camada final de segurança é baseada em permissões para objetos no banco de dados do site. Por padrão, a conta do Sistema Local e a conta de usuário que você usou para instalar Configuration Manager podem administrar todos os objetos no banco de dados do site. Conceda e restrinja permissões a outros usuários administrativos no console Configuration Manager usando a administração baseada em função.
Administração baseada em funções
Configuration Manager usa a administração baseada em função para ajudar a proteger objetos como coleções, implantações e sites. Esse modelo de administração define e gerencia centralmente as configurações de acesso à segurança em toda a hierarquia para todos os sites e configurações do site.
Um administrador atribui funções de segurança a usuários administrativos e permissões de grupo. As permissões estão conectadas a diferentes tipos de objeto Configuration Manager, por exemplo, para criar ou alterar as configurações do cliente.
Os escopos de segurança incluem instâncias específicas de objetos que um usuário administrativo é responsável por gerenciar. Por exemplo, um aplicativo que instala o console Configuration Manager.
A combinação de funções de segurança, escopos de segurança e coleções define os objetos que um usuário administrativo pode exibir e gerenciar. Configuration Manager instala algumas funções de segurança padrão para tarefas de gerenciamento típicas. Crie suas próprias funções de segurança para dar suporte a seus requisitos comerciais específicos.
Para obter mais informações, consulte Fundamentos da administração baseada em funções.
Proteger pontos de extremidade do cliente
Configuration Manager protege a comunicação do cliente com funções do sistema de sites usando certificados autoassinados ou PKI ou tokens Microsoft Entra. Alguns cenários exigem o uso de certificados PKI. Por exemplo, gerenciamento de cliente baseado na Internet e para clientes de dispositivo móvel.
Você pode configurar as funções do sistema de site para as quais os clientes se conectam para comunicação de cliente HTTPS ou HTTP. Os computadores cliente sempre se comunicam usando o método mais seguro disponível. Os computadores cliente só voltarão a usar o método de comunicação menos seguro se você tiver funções de sistemas de site que permitem a comunicação HTTP.
Importante
A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.
Para obter mais informações, consulte Planejar segurança.
Configuration Manager contas e grupos
Configuration Manager usa a conta do Sistema Local para a maioria das operações do site. Algumas operações de site permitem o uso de uma conta de serviço, em vez de usar a conta de computador de domínio do servidor do site. Algumas tarefas de gerenciamento podem exigir que você crie e mantenha outras contas. Por exemplo, para ingressar no domínio durante uma sequência de tarefas de implantação do sistema operacional.
Configuration Manager cria vários grupos padrão e funções de SQL Server durante a instalação. Talvez seja necessário adicionar manualmente contas de computador ou usuário aos grupos padrão e SQL Server funções.
Para obter mais informações, consulte Contas usadas em Configuration Manager.
Privacidade
Antes de implementar Configuration Manager, considere seus requisitos de privacidade. Embora os produtos de gerenciamento empresarial ofereçam muitas vantagens porque podem gerenciar efetivamente muitos clientes, esse software pode afetar a privacidade dos usuários em sua organização. Configuration Manager inclui muitas ferramentas para coletar dados e monitorar dispositivos. Algumas ferramentas podem gerar preocupações de privacidade em sua organização.
Por exemplo, quando você instala o Configuration Manager cliente, ele habilita muitas configurações de gerenciamento por padrão. Essa configuração faz com que o software cliente envie informações para o site Configuration Manager. O site armazena informações do cliente no banco de dados do site. As informações do cliente não são enviadas diretamente para a Microsoft. Para obter mais informações, consulte Diagnóstico e dados de uso.