Partilhar via


Segurança e Privacidade para a Administração de Sites no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Esta secção contém informações sobre segurança e privacidade dos sites e da hierarquia do System Center 2012 Configuration Manager:

  • Melhores Práticas de Segurança para a Administração de Sites

    • Melhores Práticas de Segurança para o Servidor do Site

    • Melhores Práticas de Segurança para o SQL Server

    • Melhores Práticas de Segurança para Sistemas de Sites com IIS

    • Melhores Práticas de Segurança para o Ponto de Gestão

    • Melhores Práticas de Segurança para o Ponto de Estado de Contingência

    • Problemas de segurança da administração de sites

  • Informações de privacidade da deteção

Melhores Práticas de Segurança para a Administração de Sites

Utilize as melhores práticas de segurança seguintes para ajudar a proteger os sites e a hierarquia do System Center 2012 Configuration Manager.

Procedimento recomendado de segurança

Mais informações

Execute a Configuração apenas a partir de uma origem fidedigna e proteja o canal de comunicação entre o suporte de dados da Configuração e o servidor de site.

Para ajudar a impedir a adulteração dos ficheiros de origem, execute a Configuração a partir de uma fonte fidedigna. Se armazenar os ficheiros na rede, proteja a localização de rede.

Se executar a Configuração a partir de uma localização de rede, para impedir que um atacante adultere os ficheiros durante a transmissão através da rede, utilize IPsec ou a assinatura SMB entre a localização de origem dos ficheiros da Configuração e o servidor de site.

Além disso, se utilizar o Dispositivo de Transferência da Configuração para transferir os ficheiros de que a Configuração necessita, certifique-se de que também protege a localização onde estes ficheiros estão armazenados e de que protege o canal de comunicação desta localização quando executar a Configuração.

Expanda o esquema do Active Directory para o System Center 2012 Configuration Manager e publique os sites nos Serviços de Domínio do Active Directory.

Não são necessárias extensões de esquema para executar o Microsoft System Center 2012 Configuration Manager, mas criam um ambiente mais seguro porque os clientes e os servidores de site do Gestor de configuração podem obter informações a partir de uma origem fidedigna.

Se os clientes estiverem num domínio não fidedigno, implemente as seguintes funções de sistema de sites no domínio dos clientes:

  • Ponto de gestão

  • Ponto de distribuição

  • Ponto de Web site do Catálogo de Aplicações

Nota

Um domínio fidedigno do Gestor de configuração requer autenticação Kerberos, pelo que, se os clientes estiverem noutra floresta que não tenha uma confiança bidirecional com a floresta do servidor do site, será considerado que estes clientes estão num domínio não fidedigno. Uma confiança externa não é suficiente para este efeito.

Utilize IPsec para proteger as comunicações entre os sites e os servidores do sistema de sites.

Embora o Gestor de configuração assegure a comunicação entre o servidor do site e o computador que executa o SQL Server, o Gestor de configuração não assegura a comunicação entre as funções do sistema de sites e o SQL Server. Só alguns sistemas de sites (o ponto de registo e o ponto de serviço Web do catálogo de aplicações) podem ser configurados com HTTPS para comunicações intra-site.

Se não utilizar controlos adicionais para proteger estes canais servidor-servidor, os atacantes poderão utilizar vários ataques man-in-the-middle e de spoofing contra sistemas de sites. Utilize a assinatura SMB quando não for possível utilizar IPsec.

Nota

É especialmente importante proteger o canal de comunicação entre o servidor do site e o servidor de origem do pacote. Esta comunicação utiliza SMB. Se não for possível utilizar IPsec para proteger estas comunicações, utilize a assinatura SMB para assegurar que os ficheiros não são adulterados antes de os clientes os transferirem e executarem.

Não altere os grupos de segurança que o Gestor de configuração cria e gere para as comunicações do sistema de sites:

  • SMS_SiteSystemToSiteServerConnection_MP_

    Nota

    A partir do Gestor de configuração SP1, as notificações por e-mail já não estão limitadas ao Endpoint Protection.

Melhores Práticas de Segurança para o Servidor do Site

Utilize as melhores práticas de segurança seguintes para o ajudar a proteger o server do site do Gestor de configuração.

Procedimento recomendado de segurança

Mais informações

Instale o Gestor de configuração num servidor membro e não num controlador de domínio.

Os sistemas de sites e o servidor do site do Gestor de configuração não precisam de ser instalados num controlador de domínio. Os controladores de domínio não têm uma base de dados SAM (Security Accounts Management) local além da base de dados do domínio. Quando instala o Gestor de configuração num servidor membro, pode manter as contas do Gestor de configuração na base de dados SAM local, em vez de na base de dados do domínio.

Esta prática também reduz a superfície de ataque nos controladores de domínio.

Instale sites secundários evitando copiar os ficheiros para o servidor do site secundário através da rede.

Quando executar a Configuração e criar um site secundário, não selecione a opção para copiar os ficheiros do site principal para o site secundário nem utilize uma localização de origem de rede. Quando copia ficheiros através da rede, um atacante hábil pode apoderar-se do pacote de instalação do site secundário e adulterar os ficheiros antes da sua instalação, apesar de a coordenação de um ataque destes ser difícil. Este ataque pode ser atenuado utilizando IPsec ou SMB quando transferir os ficheiros.

Em vez de copiar os ficheiros através da rede, no servidor do site secundário, copie os ficheiros de origem de um suporte de dados para uma pasta local. Em seguida, quando executar a Configuração para criar um site secundário, na página Ficheiros de Origem de Instalação, selecione Utilizar os ficheiros de origem disponíveis na seguinte localização do computador do site secundário (mais seguro) e especifique esta pasta.

Para obter mais informações, consulte a secção Instalar um Site Secundário do tópico Instalar Sites e Criar uma Hierarquia para o Configuration Manager.

Melhores Práticas de Segurança para o SQL Server

O Gestor de configuração utiliza o SQL Server como a base de dados back-end. Se a base de dados for comprometida, os atacantes podem ignorar o Gestor de configuração e aceder ao SQL Server diretamente para iniciar ataques através do Gestor de configuração. Considere os ataques contra o SQL Server um risco muito elevado que deve ser atenuado adequadamente.

Utilize as melhores práticas de segurança seguintes para proteger o SQL Server para o Gestor de configuração.

Procedimento recomendado de segurança

Mais informações

Não utilize o servidor da base de dados do site do Gestor de configuração para executar outras aplicações do SQL Server.

O aumento do acesso ao servidor da base de dados do site do Gestor de configuração aumenta o risco dos dados do Gestor de configuração. Se a base de dados do site do Gestor de configuração for comprometida, outras aplicações existentes mesmo computador do SQL Server também ficam em risco.

Configure o SQL Server para utilizar a autenticação do Windows.

Apesar de o Gestor de configuração aceder à base de dados do site utilizando uma conta do Windows e a autenticação do Windows, é possível configurar o SQL Server para utilizar o modo misto do SQL Server. O modo misto do SQL Server permite inícios de sessão do SQL adicionais para aceder à base de dados, que não são necessários e aumentam a superfície de ataque.

Efetue passos adicionais para garantir que os sites secundários que utilizam o SQL Server Express têm as atualizações de software mais recentes.

Quando é instalado um site primário, o Gestor de configuração transfere o SQL Server Express a partir do Centro de Transferências da Microsoft e copia os ficheiros para o servidor do site primário. Quando instala um site secundário e seleciona a opção que instala o SQL Server Express, o Gestor de configuração instala a versão transferida anteriormente e não verifica se existem novas versões. Para garantir que o site secundário tem as versões mais recentes, efetue um dos seguintes procedimentos:

  • Após a instalação do site secundário, execute o Windows Update no servidor do site secundário.

  • Antes de instalar o site secundário, instale manualmente o SQL Server Express no computador que irá executar o servidor do site secundário e certifique-se de que instala a versão mais recente e as atualizações de software existentes. Em seguida, instale o site secundário e selecione a opção para utilizar uma instância do SQL Server existente.

Execute periodicamente o Windows Update nestes sites e todas as versões instaladas do SQL Server para garantir que têm as atualizações de software mais recentes.

Siga as melhores práticas para o SQL Server.

Identifique e siga as melhores práticas para a sua versão do SQL Server. No entanto, tenha em consideração os seguintes requisitos do Gestor de configuração:

  • A conta de computador do servidor do site tem de ser membro do grupo Administradores no computador que executa o SQL Server. Se seguir a recomendação "aprovisionar principais de admin explicitamente" do SQL Server, a conta que utilizar para executar a Configuração no servidor do site tem de ser membro do grupo Utilizadores do SQL.

  • Se instalar o SQL Server utilizando uma conta de utilizador de domínio, certifique-se de que a conta de computador do servidor do site é configurada para um Nome do Principal do Serviço (SPN) publicado nos Serviços de Domínio do Active Directory. Sem o SPN, a autenticação Kerberos falhará e a Configuração do Gestor de configuração falhará.

Melhores Práticas de Segurança para Sistemas de Sites com IIS

Várias funções de sistema de sites do Gestor de configuração necessitam do IIS. Quando protege o IIS, isto permite que o Gestor de configuração funcione corretamente e reduz o risco de ataques de segurança. Quando for possível, minimize o número de servidores que necessitam do IIS. Por exemplo, execute apenas o número de pontos de gestão necessário para suportar a base de clientes, tendo em conta a disponibilidade elevada e o isolamento de rede da gestão de clientes baseados na Internet.

Utilize as melhores práticas de segurança seguintes para ajudar a proteger os sistemas de sites que executam o IIS.

Procedimento recomendado de segurança

Mais informações

Desative as funções do IIS de que não necessita.

Instale apenas as funcionalidades mínimas do IIS para a função de sistema de sites que instalar. Para mais informações, consulte a secção no tópico .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Configure as funções de sistema de sites para exigirem HTTPS.

Quando os clientes ligam a um sistema de sites utilizando HTTP em vez de HTTPS, utilizam a autenticação do Windows e poderão, em caso de contingência, utilizar a autenticação NTLM em vez da autenticação Kerberos. Quando é utilizada a autenticação NTLM, os clientes podem ligar a um servidor não autorizado.

A exceção a esta melhor prática de segurança poderão ser os pontos de distribuição, uma vez que as contas de acesso a pacotes não funcionam quando o ponto de distribuição está configurado para HTTPS. As contas de acesso a pacotes fornecem autorização para o conteúdo, para que possa restringir os utilizadores que podem aceder ao conteúdo. Para mais informações, consulte Procedimentos recomendados de segurança para a gestão de conteúdo.

Configure uma lista fidedigna de certificados (CTL) no IIS para as seguintes funções de sistema de sites:

  • Um ponto de distribuição configurado para HTTPS.

  • Um ponto de gestão configurado para HTTPS e com capacidade para suportar dispositivos móveis.

Uma lista fidedigna de certificados (CTL) é uma lista definida de autoridades de certificação de raiz fidedigna. Quando utiliza uma CTL com a Política de Grupo e uma implementação de PKI, uma CTL permite-lhe complementar as autoridades de certificação de raiz fidedigna existentes configuradas na rede, como as que são instaladas automaticamente com o Microsoft Windows ou adicionadas através das autoridades de certificação de raiz empresarial do Windows. No entanto, quando uma CTL é configurada no IIS, a CTL define um subconjunto dessas autoridades de certificação de raiz fidedigna.

Este subconjunto proporciona maior controlo da segurança porque a CTL restringe os certificados de cliente que são aceites apenas aos que são emitidos pela lista de autoridades de certificação na CTL. Por exemplo, o Windows é fornecido com diversos certificados de autoridades de certificação terceiras conhecidas, como VeriSign e a Thawte. Por predefinição, o computador que executa o IIS confia em certificados que encadeiem nestas autoridades de certificação conhecidas. Quando não configura o IIS com uma CTL para as funções de sistema de sites listadas, qualquer dispositivo que tenha um certificado de cliente emitido por estas autoridades de certificação é aceite como um cliente válido do Gestor de configuração. Se configurar o IIS com uma CTL que não inclua estas autoridades de certificação, as ligações de cliente serão recusadas se o certificado encadear nestas autoridades de certificação. No entanto, para que os clientes do Gestor de configuração sejam aceites para as funções de sistema de sites listadas, tem de configurar o IIS com uma CTL que especifique as autoridades de certificação utilizadas pelos clientes do Gestor de configuração.

Nota

Apenas as funções de sistema de sites listadas necessitam que configure uma CTL no IIS; a lista de emissores de certificados que o Gestor de configuração utiliza para pontos de gestão fornece a mesma funcionalidade para computadores cliente, quando estes ligam a pontos de gestão HTTPS.

Para mais informações sobre como configurar uma lista de autoridades de certificação fidedignas no IIS, consulte a documentação do IIS.

Não coloque o servidor do site num computador com o IIS.

A separação de funções ajuda a reduzir o perfil de ataques e a melhorar a capacidade de recuperação. Além disso, a conta de computador do servidor do site tem normalmente privilégios administrativos em todas as funções de sistema de sites (e possivelmente nos clientes do Gestor de configuração, se utilizar a instalação push de cliente).

Utilizar servidores de IIS dedicados para o Gestor de configuração.

Embora possa alojar várias aplicações baseadas na Web nos servidores de IIS que também sejam utilizados pelo Gestor de configuração, esta prática pode aumentar significativamente a superfície de ataque. Uma aplicação mal configurada pode permitir a um atacante obter o controlo de um sistema de sites do Gestor de configuração, o que pode permitir a um atacante obter o controlo da hierarquia.

Se tiver de executar outras aplicações baseadas na Web em sistemas de sites do Gestor de configuração, crie um Web site personalizado para os sistemas de sites do Gestor de configuração.

Utilize um Web site personalizado.

Para sistemas de sites com o IIS, pode configurar o Gestor de configuração para utilizar um Web site personalizado em vez do Web site predefinido do IIS. Se tiver de executar outras aplicações Web no sistema de sites, terá de utilizar um Web site personalizado. Esta é uma definição ao nível do site e não uma definição para um sistema de sites específico.

Além de fornecer segurança adicional, deve utilizar um Web site personalizado se executar outras aplicações Web no sistema de sites.

Se mudar do Web site predefinido para um Web site personalizado depois serem instaladas funções de ponto de distribuição, remova os diretórios virtuais predefinidos.

Quando muda do Web site predefinido para um Web site personalizado, o Gestor de configuração não remove os diretórios virtuais antigos. Remova os diretórios virtuais criados originalmente pelo Gestor de configuração no Web site predefinido.

Por exemplo, os diretórios virtuais a remover de um ponto de distribuição são os seguintes:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Siga as melhores práticas para o Servidor do IIS.

Identifique e siga as melhores práticas para a sua versão do Servidor do IIS. No entanto, tenha em conta quaisquer requisitos do Gestor de configuração relativamente a funções de sistema de sites específicas. Para obter mais informações, consulte a secção do tópico .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Melhores Práticas de Segurança para o Ponto de Gestão

Os pontos de gestão são a interface primária entre dispositivos e o Gestor de configuração. Considere os ataques contra o ponto de gestão e o servidor em que ele é executado um risco muito elevado que deve ser atenuado adequadamente. Aplique as melhores práticas de segurança adequadas e monitorize a ocorrência de atividade invulgar.

Utilize as melhores práticas de segurança seguintes para ajudar a proteger um ponto de gestão no Gestor de configuração.

Procedimento recomendado de segurança

Mais informações

Quando instalar um cliente do Gestor de configuração no ponto de gestão, atribua-o ao site desse ponto de gestão.

Evite o cenário em que o cliente do Gestor de configuração que está num sistema de sites do ponto de gestão é atribuído a um site diferente do site desse ponto de gestão.

Se migrar do Configuration Manager 2007 para o System Center 2012 Configuration Manager, migre o cliente do Configuration Manager 2007 para o System Center 2012 Configuration Manager logo que seja possível.

Melhores Práticas de Segurança para o Ponto de Estado de Contingência

Utilize as melhores práticas de segurança seguintes se instalar um ponto de estado de contingência no Gestor de configuração.

Para obter mais informações sobre as considerações de segurança quando instala um ponto de estado de contingência, consulte Determinar se Necessita de um Ponto de Estado de Contingência.

Procedimento recomendado de segurança

Mais informações

Não execute outras funções de sistema de sites no sistema de sites e não a instale num controlador de domínio.

Como o ponto de estado de contingência é concebido para aceitar comunicações não autenticadas de qualquer computador, a execução desta função de sistema de sites com outras funções de sistema de sites ou num controlador de domínio aumenta significativamente o risco desse servidor.

Quando utilizar certificados PKI para comunicações de clientes no Gestor de configuração, instale o ponto de estado de contingência antes de instalar os clientes.

Se os sistemas de sites do Gestor de configuração não aceitarem comunicações de clientes por HTTP, poderá não saber que os clientes não são geridos devido a problemas de certificados relacionados com PKI. No entanto, se os clientes forem atribuídos a um ponto de estado de contingência, estes problemas de certificados serão reportados pelo ponto de estado de contingência.

Por razões de segurança, não é possível atribuir um ponto de estado de contingência a clientes depois de estes serem instalados; só pode atribuir esta função durante a instalação do cliente.

Evite utilizar o ponto de estado de contingência na rede de perímetro.

Por predefinição, o ponto de estado de contingência aceita dados a partir de qualquer cliente. Embora um ponto de estado de contingência na rede de perímetro possa ajudar a resolver problemas com clientes baseados na Internet, tem de equilibrar os benefícios da resolução de problemas com o risco de um sistema de sites aceitar dados não autenticados numa rede de acesso público.

Se instalar o ponto de estado de contingência na rede de perímetro ou em qualquer rede não fidedigna, configure o servidor do site para iniciar as transferências de dados, em vez da predefinição que permite que o ponto de estado de contingência inicie uma ligação ao servidor do site.

Problemas de segurança da administração de sites

Reveja os seguintes problemas de segurança do Gestor de configuração:

  • O Gestor de configuração não está protegido contra um utilizador administrativo autorizado que utilize o Gestor de configuração para atacar a rede. Os utilizadores administrativos não autorizados constituem um risco elevado em termos de segurança, podendo iniciar vários ataques, incluindo:

    • Utilizar a implementação de software para instalar e executar automaticamente software malicioso em todos os computadores cliente do Gestor de configuração da empresa.

    • Utilizar o controlo remoto para assumir o controlo remoto de um cliente do Gestor de configuração sem permissão do mesmo.

    • Configurar intervalos de consulta rápida e valores excessivos de inventário para criar ataques de recusa de serviço contra clientes e servidores.

    • Utilizar um site na hierarquia para escrever dados nos dados do Active Directory de outro site.

    A hierarquia do site é o limite de segurança. Considere a possibilidade de sites serem apenas limites de gestão.

    Audite todas as atividades do utilizador administrativo e reveja regularmente os registos de auditoria. Exija que todos os utilizadores administrativos do Gestor de configuração sejam submetidos a uma verificação dos antecedentes antes de serem recrutados e exija verificações periódicas como condição para a sua admissão.

  • Se o ponto de registo for comprometido, um intruso poderá obter certificados para autenticação e roubar as credenciais de utilizadores que inscrevem os respetivos dispositivos móveis.

    O ponto de registo comunica com uma autoridade de certificação e pode criar, modificar e eliminar objetos do Active Directory. Nunca instale o ponto de registo na rede de perímetro e monitorize a ocorrência de atividade invulgar.

  • Se permitir políticas de utilizador para a gestão de clientes baseada na Internet ou configurar o ponto de serviço Web do Catálogo de Aplicações para utilizadores que estão na Internet, aumenta o seu perfil de ataque.

    Para além de utilizar certificados PKI para ligações de cliente-servidor, estas configurações requerem a autenticação do Windows, podendo voltar a utilizar a autenticação NTLM em vez da autenticação Kerberos. A autenticação NTLM é vulnerável a ataques de representação e repetição. Para autenticar com sucesso um utilizador na Internet, tem de permitir a ligação do servidor do sistema de sites baseado na Internet a um controlador de domínio.

  • A partilha Admin$ é obrigatória em servidores do sistema de sites.

    O servidor do site do Gestor de configuração utiliza a partilha Admin$ para estabelecer ligação e efetuar operações de serviço em sistemas de sites. Não desative nem remova a partilha Admin$.

  • O Gestor de configuração utiliza serviços de resolução de nomes para estabelecer ligação a outros computadores, sendo difícil proteger estes serviços contra ataques de segurança, como spoofing, adulteração, rejeição, divulgação de informações, denial of service e elevação de privilégios.

    Identifique e siga os procedimentos recomendados de segurança para a versão do DNS e WINS que utiliza para resolução de nomes.

Informações de privacidade da deteção

A deteção cria registos para recursos de rede e armazena-os na base de dados do System Center 2012 Configuration Manager. Os registos de dados de deteção contêm informações do computador, como o endereço IP, o sistema operativo e o nome do computador. Os métodos de deteção do Active Directory também podem ser configurados para detetar informações armazenadas nos Serviços de Domínio do Active Directory.

O único método de deteção ativado por predefinição é a Deteção de Heartbeat, mas este método apenas deteta computadores com o software de cliente do System Center 2012 Configuration Manager já instalado.

As informações de deteção não são enviadas à Microsoft. As informações de deteção são armazenadas na base de dados do Gestor de configuração. As informações são mantidas na base de dados até serem eliminadas pela tarefa de manutenção do site Eliminar Dados de Deteção Desatualizados todos os 90 dias. Pode configurar o intervalo de eliminação.

Antes de configurar métodos de deteção adicionais ou expandir a deteção do Active Directory, considere os requisitos de privacidade.