Planear la seguridad en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

En este artículo se describen los siguientes conceptos que debe tener en cuenta al planear la seguridad con la implementación de Configuration Manager:

• Certificados (autofirmados y PKI)

• La clave raíz de confianza

• Firma y cifrado

• Administración basada en roles

• Microsoft Entra ID

• Autenticación del proveedor de SMS

Antes de empezar, asegúrese de que está familiarizado con los aspectos básicos de la seguridad en Configuration Manager.

Certificados

Configuration Manager usa una combinación de certificados digitales de infraestructura de clave pública (PKI) y autofirmados. Use certificados PKI siempre que sea posible. Algunos escenarios requieren certificados PKI. Cuando los certificados PKI no están disponibles, el sitio genera automáticamente certificados autofirmados. Algunos escenarios siempre usan certificados autofirmados.

Para obtener más información, consulte Planeamiento de certificados.

La clave raíz de confianza

La clave raíz de confianza Configuration Manager proporciona un mecanismo para Configuration Manager clientes para comprobar que los sistemas de sitio pertenecen a su jerarquía. Cada servidor de sitio genera una clave de intercambio de sitio para comunicarse con otros sitios. La clave de intercambio de sitio del sitio de nivel superior de la jerarquía se denomina clave raíz de confianza.

La función de la clave raíz de confianza de Configuration Manager es similar a un certificado raíz en una infraestructura de clave pública. Cualquier cosa firmada por la clave privada de la clave raíz de confianza se confía aún más en la jerarquía. Los clientes almacenan una copia de la clave raíz de confianza del sitio en el root\ccm\locationservices espacio de nombres WMI.

Por ejemplo, el sitio emite un certificado al punto de administración, que firma con la clave privada de la clave raíz de confianza. El sitio comparte con los clientes la clave pública de su clave raíz de confianza. A continuación, los clientes pueden diferenciar entre los puntos de administración que se encuentran en su jerarquía y los puntos de administración que no están en su jerarquía.

Los clientes obtienen automáticamente la copia pública de la clave raíz de confianza mediante dos mecanismos:

• Extienda el esquema de Active Directory para Configuration Manager y publique el sitio en Servicios de dominio de Active Directory. A continuación, los clientes recuperan esta información de sitio de un servidor de catálogo global. Para obtener más información, consulte Preparación de Active Directory para la publicación de sitios.

• Al instalar clientes mediante el método de instalación de inserción de cliente. Para obtener más información, consulte Instalación de inserción de cliente.

Si los clientes no pueden obtener la clave raíz de confianza mediante uno de estos mecanismos, confían en la clave raíz de confianza proporcionada por el primer punto de administración con el que se comunican. En este escenario, un cliente podría estar mal dirigido al punto de administración de un atacante, donde recibiría la directiva desde el punto de administración no autorizado. Esta acción requiere un atacante sofisticado. Este ataque se limita al poco tiempo antes de que el cliente recupere la clave raíz de confianza de un punto de administración válido. Para reducir este riesgo de que un atacante dirija de forma incorrecta a los clientes a un punto de administración no autorizado, aprovisione previamente los clientes con la clave raíz de confianza.

Para obtener más información y procedimientos para administrar la clave raíz de confianza, consulte Configuración de la seguridad.

Firma y cifrado

Cuando se usan certificados PKI para todas las comunicaciones de cliente, no es necesario planear la firma y el cifrado para ayudar a proteger la comunicación de datos del cliente. Si configura cualquier sistema de sitio que ejecute IIS para permitir conexiones de cliente HTTP, decida cómo proteger la comunicación del cliente para el sitio.

Importante

A partir de Configuration Manager versión 2103, los sitios que permiten la comunicación de cliente HTTP están en desuso. Configure el sitio para HTTPS o HTTP mejorado. Para obtener más información, consulte Habilitación del sitio para HTTP mejorado o solo HTTPS.

Para ayudar a proteger los datos que los clientes envían a los puntos de administración, puede requerir que los clientes firmen los datos. También puede requerir el algoritmo SHA-256 para la firma. Esta configuración es más segura, pero no requiere SHA-256 a menos que todos los clientes la admitan. Muchos sistemas operativos admiten este algoritmo de forma nativa, pero los sistemas operativos más antiguos pueden requerir una actualización o revisión.

Mientras que la firma ayuda a proteger los datos de la manipulación, el cifrado ayuda a proteger los datos de la divulgación de información. Puede habilitar el cifrado para los datos de inventario y los mensajes de estado que los clientes envían a los puntos de administración del sitio. No es necesario instalar ninguna actualización en los clientes para admitir esta opción. Los clientes y los puntos de administración requieren más uso de CPU para el cifrado y el descifrado.

Nota:

Para cifrar los datos, el cliente usa la clave pública del certificado de cifrado del punto de administración. Solo el punto de administración tiene la clave privada correspondiente, por lo que solo puede descifrar los datos.

El cliente arranca este certificado con el certificado de firma del punto de administración, que arranca con la clave raíz de confianza del sitio. Asegúrese de aprovisionar de forma segura la clave raíz de confianza en los clientes. Para obtener más información, consulte La clave raíz de confianza.

Para obtener más información sobre cómo configurar los valores para la firma y el cifrado, consulte Configuración de la firma y el cifrado.

Para obtener más información sobre los algoritmos criptográficos usados para la firma y el cifrado, consulte Referencia técnica de controles criptográficos.

Administración basada en roles

Con Configuration Manager, se usa la administración basada en roles para proteger el acceso que los usuarios administrativos necesitan usar Configuration Manager. También puede proteger el acceso a los objetos que administra, como colecciones, implementaciones y sitios.

Con la combinación de roles de seguridad, ámbitos de seguridad y colecciones, se separan las asignaciones administrativas que cumplen los requisitos de la organización. Se usan juntos, definen el ámbito administrativo de un usuario. Este ámbito administrativo controla los objetos que un usuario administrativo ve en la consola de Configuration Manager y controla los permisos que un usuario tiene en esos objetos.

Para obtener más información, consulte Aspectos básicos de la administración basada en roles.

Microsoft Entra ID

Configuration Manager se integra con Microsoft Entra id. para permitir que el sitio y los clientes usen la autenticación moderna.

Para obtener más información sobre Microsoft Entra id., consulte Microsoft Entra documentación.

La incorporación del sitio con Microsoft Entra id. admite los siguientes escenarios de Configuration Manager:

Escenarios de cliente

• Administración de clientes en Internet a través de la puerta de enlace de administración en la nube

• Administración de dispositivos unidos a un dominio en la nube

• Administración conjunta

• Implementación de aplicaciones disponibles por el usuario

• Microsoft Store para Empresas aplicaciones en línea

• Administración de Aplicaciones Microsoft 365 para empresas

Escenarios de servidor

• Análisis de escritorio

• Asociación de inquilinos

• Análisis de puntos de conexión

• Azure Log Analytics

• Centro de comunidad

• Detección de usuarios

Autenticación del proveedor de SMS

Puede especificar el nivel de autenticación mínimo para que los administradores accedan a Configuration Manager sitios. Esta característica exige a los administradores que inicien sesión en Windows con el nivel necesario para poder acceder a Configuration Manager. Se aplica a todos los componentes que acceden al proveedor de SMS. Por ejemplo, la consola de Configuration Manager, los métodos del SDK y los cmdlets de Windows PowerShell.

Configuration Manager admite los siguientes niveles de autenticación:

• autenticación de Windows: Requerir autenticación con credenciales de dominio de Active Directory. Esta configuración es el comportamiento anterior y la configuración predeterminada actual.

• Autenticación de certificados: requiere autenticación con un certificado válido emitido por una entidad de certificación PKI de confianza. Este certificado no se configura en Configuration Manager. Configuration Manager requiere que el administrador inicie sesión en Windows mediante PKI.

• Windows Hello para empresas autenticación: requiere autenticación con autenticación sólida en dos fases que esté asociada a un dispositivo y use biometría o un PIN. Para obtener más información, consulte Windows Hello para empresas.

  Importante

  Al seleccionar esta configuración, el proveedor de SMS y el servicio de administración requieren que el token de autenticación del usuario contenga una notificación de autenticación multifactor (MFA) de Windows Hello para empresas. Es decir, un usuario de la consola, el SDK, PowerShell o el servicio de administración tiene que autenticarse en Windows con su PIN o biométrico de Windows Hello para empresas. De lo contrario, el sitio rechaza la acción del usuario.

  Este comportamiento es para Windows Hello para empresas, no para Windows Hello.

Para obtener más información sobre cómo configurar esta configuración, consulte Configuración de la autenticación del proveedor de SMS.

Siguientes pasos

• Certificados en Configuration Manager

• Planear certificados PKI

• Configurar la seguridad

• Referencia técnica de controles criptográficos