Plano de segurança no Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Este artigo descreve os seguintes conceitos a ter em conta ao planear a segurança com a implementação do seu Gestor de Configuração:

• Certificados (auto-assinados e PKI)

• A chave de raiz de confiança

• Assinatura e encriptação

• Administração baseada em funções

• Azure Active Directory

• Autenticação do fornecedor de SMS

Antes de começar, certifique-se de que está familiarizado com os fundamentos da segurança no Gestor de Configurações.

Certificados

O Gestor de Configuração utiliza uma combinação de certificados digitais de infraestrutura auto-assinada e de chave pública (PKI). Utilize certificados PKI sempre que possível. Alguns cenários requerem certificados PKI. Quando os certificados PKI não estão disponíveis, o site gera automaticamente certificados auto-assinados. Alguns cenários usam sempre certificados auto-assinados.

Para mais informações, consulte Plano de Certificados.

A chave de raiz de confiança

A chave de raiz fidedigna do Gestor de Configuração fornece um mecanismo para os clientes do Gestor de Configuração verificarem que os sistemas de site pertencem à sua hierarquia. Cada servidor de site gera uma chave de troca de site para comunicar com outros sites. A chave de troca de site do site de nível superior na hierarquia chama-se chave de raiz fidedigna.

A função da chave raiz fidedigna no Gestor de Configuração assemelha-se a um certificado de raiz numa infraestrutura de chave pública. Qualquer coisa assinada pela chave privada da chave de raiz de confiança é confiada mais abaixo na hierarquia. Os clientes armazenam uma cópia da chave de raiz fidedigna do site no root\ccm\locationservices espaço de nomes WMI.

Por exemplo, o site emite um certificado para o ponto de gestão, que assina com a chave privada da chave raiz fidedigna. O site partilha com os clientes a chave pública da sua chave de raiz confiável. Então os clientes podem diferenciar entre pontos de gestão que estão na sua hierarquia e pontos de gestão que não estão na sua hierarquia.

Os clientes obtêm automaticamente a cópia pública da chave raiz fidedigna utilizando dois mecanismos:

• Estenda o esquema de Diretório Ativo para Gestor de Configuração e publique o site para Serviços de Domínio de Diretório Ativo. Em seguida, os clientes recuperam esta informação do site de um servidor de catálogo global. Para obter mais informações, consulte Prepare o Diretório Ativo para publicação no site.

• Quando instala clientes utilizando o método de instalação do impulso do cliente. Para obter mais informações, consulte a instalação push do Cliente.

Se os clientes não conseguem obter a chave de raiz de confiança usando um destes mecanismos, confiam na chave raiz de confiança que é fornecida pelo primeiro ponto de gestão com o qual comunicam. Neste cenário, um cliente pode ser mal direcionado para o ponto de gestão de um intruso onde receberia a política do ponto de gestão fraudulento. Esta ação requer um agressor sofisticado. Este ataque limita-se ao curto período de tempo antes de o cliente recuperar a chave de raiz fidedigna de um ponto de gestão válido. Para reduzir este risco de um intruso direcionar mal os clientes para um ponto de gestão fraudulento, pré-a provisionar os clientes com a chave raiz fidedigna.

Para obter mais informações e procedimentos para gerir a chave raiz fidedigna, consulte a segurança Configure.

Assinatura e encriptação

Quando utiliza certificados PKI para todas as comunicações dos clientes, não tem de planear a assinatura e encriptação para ajudar a garantir a comunicação de dados do cliente. Se configurar quaisquer sistemas de site que executem o IIS para permitir ligações ao cliente HTTP, decida como ajudar a garantir a comunicação do cliente para o site.

Importante

A partir da versão 2103 do Gestor de Configuração, os sites que permitem a comunicação do cliente HTTP são preprecados. Configure o site para HTTPS ou HTTP melhorado. Para obter mais informações, consulte Ativar o site apenas para HTTPS ou HTTP melhorado.

Para ajudar a proteger os dados que os clientes enviam para pontos de gestão, pode exigir que os clientes assinem os dados. Também pode requerer o algoritmo SHA-256 para a assinatura. Esta configuração é mais segura, mas não requer SHA-256 a menos que todos os clientes a suportem. Muitos sistemas operativos suportam de forma nativa este algoritmo, mas os sistemas operativos mais antigos podem necessitar de uma atualização ou hotfix.

Ao assinar ajuda a proteger os dados da adulteração, a encriptação ajuda a proteger os dados da divulgação de informação. Pode ativar a encriptação dos dados de inventário e mensagens estatais que os clientes enviam para pontos de gestão no site. Não é preciso instalar nenhuma atualização nos clientes para suportar esta opção. Os clientes e os pontos de gestão requerem mais uso do CPU para encriptação e desencriptação.

Nota

Para encriptar os dados, o cliente utiliza a chave pública do certificado de encriptação do ponto de gestão. Apenas o ponto de gestão tem a chave privada correspondente, pelo que só pode desencriptar os dados.

O cliente arranca este certificado com o certificado de assinatura do ponto de gestão, que ele arranca com a chave raiz fidedigna do site. Certifique-se de que fornece de forma segura a chave de raiz fidedigna aos clientes. Para obter mais informações, consulte a chave raiz de confiança.

Para obter mais informações sobre como configurar as definições para a assinatura e encriptação, consulte a assinatura e encriptação de Configuração.

Para obter mais informações sobre os algoritmos criptográficos utilizados para a assinatura e encriptação, consulte a referência técnica dos controlos criptográficos.

Administração baseada em funções

Com o Gestor de Configuração, utiliza a administração baseada em funções para garantir o acesso que os utilizadores administrativos precisam para utilizar o Gestor de Configuração. Também tem acesso seguro aos objetos que gere, como coleções, implementações e sites.

Com a combinação de funções de segurança, âmbitos de segurança e coleções, segrega as atribuições administrativas que satisfazem os requisitos da sua organização. Usados em conjunto, definem o âmbito administrativo de um utilizador. Este âmbito administrativo controla os objetos que um utilizador administrativo vê na consola Do Gestor de Configuração, e controla as permissões que um utilizador tem nesses objetos.

Para mais informações, consulte os fundamentos da administração baseada em funções.

Azure Active Directory

O Gestor de Configuração integra-se com Azure Ative Directory (Azure AD) para permitir que o site e os clientes utilizem a autenticação moderna.

Para obter mais informações sobre a Azure AD, consulte Azure Ative Directory documentação.

A bordo do seu site com Azure AD suporta os seguintes cenários do Gestor de Configuração:

Cenários de clientes

• Gerir clientes na internet através do portal de gestão de nuvem

• Gerir dispositivos unidos pelo domínio em nuvem

• Cogestão

• Implementar aplicações disponíveis para o utilizador

• Microsoft Store para Empresas aplicativos online

• Gerir Microsoft 365 Apps para Grandes Empresas

Cenários do servidor

• Análise de Computadores

• Anexação do inquilino

• Análise de pontos finais

• Azure Log Analytics

• Centro Comunitário

• Descoberta do utilizador

Autenticação do fornecedor de SMS

Pode especificar o nível mínimo de autenticação para os administradores acederem aos sites do Gestor de Configuração. Esta funcionalidade obriga os administradores a iniciar sedução para Windows com o nível exigido antes de poderem aceder ao Gestor de Configuração. Aplica-se a todos os componentes que acedem ao Fornecedor de SMS. Por exemplo, a consola Do Gestor de Configuração, os métodos SDK e os Windows PowerShell cmdlets.

O Gestor de Configuração suporta os seguintes níveis de autenticação:

• Windows autenticação: Exija autenticação com credenciais de domínio do Diretório Ativo. Esta definição é o comportamento anterior e a definição predefinição atual.

• Autenticação do certificado: Requera a autenticação com um certificado válido emitido por uma autoridade de certificados PKI fidedigna. Não configura este certificado no Gestor de Configuração. O Gestor de Configuração exige que o administrador seja contratado Windows usando o PKI.

• Windows Hello para autenticação empresarial: Exija a autenticação com forte autenticação de dois fatores que esteja ligada a um dispositivo e utilize biometria ou PIN. Para mais informações, consulte Windows Hello para Negócios.

  Importante

  Ao selecionar esta definição, o Serviço de Fornecedor de SMS e administração exige que o token de autenticação do utilizador contenha uma reclamação de autenticação multi-factor (MFA) de Windows Hello para o Negócio. Por outras palavras, um utilizador da consola, SDK, PowerShell ou serviço de administração tem de autenticar para Windows com o seu Windows Hello para Business PIN ou biométrico. Caso contrário, o site rejeita a ação do utilizador.

  Este comportamento é para Windows Hello para o Negócios, não para Windows Hello.

Para obter mais informações sobre como configurar esta definição, consulte a autenticação do Fornecedor de SMS Configure.

Passos seguintes

• Certificados em Gestor de Configuração

• Plano para certificados PKI

• Configurar a segurança

• Referência técnica de controlos criptográficos