Seguridad y privacidad para la administración del sitio en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Este artículo contiene información de seguridad y privacidad para Configuration Manager sitios y la jerarquía.

Guía de seguridad para la administración del sitio

Use las siguientes instrucciones para ayudarle a proteger los sitios de Configuration Manager y la jerarquía.

Ejecución del programa de instalación desde un origen de confianza y comunicación segura

Para evitar que alguien manipule los archivos de origen, ejecute Configuration Manager configuración desde un origen de confianza. Si almacena los archivos en la red, proteja la ubicación de la red.

Si ejecuta el programa de instalación desde una ubicación de red, para evitar que un atacante manipule los archivos a medida que se transmiten a través de la red, use la firma IPsec o SMB entre la ubicación de origen de los archivos de instalación y el servidor de sitio.

Si usa el descargador del programa de instalación para descargar los archivos que requiere el programa de instalación, asegúrese de proteger la ubicación donde se almacenan estos archivos. Proteja también el canal de comunicación para esta ubicación cuando ejecute el programa de instalación.

Extensión del esquema de Active Directory y publicación de sitios al dominio

Las extensiones de esquema no son necesarias para ejecutar Configuration Manager, pero sí crean un entorno más seguro. Los clientes y los servidores de sitio pueden recuperar información de un origen de confianza.

Si los clientes están en un dominio que no es de confianza, implemente los siguientes roles de sistema de sitio en los dominios de los clientes:

• Punto de administración

• Punto de distribución

Nota:

Un dominio de confianza para Configuration Manager requiere autenticación Kerberos. Si los clientes están en otro bosque que no tiene una confianza de bosque bidireccional con el bosque del servidor de sitio, se considera que estos clientes están en un dominio que no es de confianza. Una confianza externa no es suficiente para este propósito.

Uso de IPsec para proteger las comunicaciones

Aunque Configuration Manager protege la comunicación entre el servidor de sitio y el equipo que ejecuta SQL Server, Configuration Manager no protege las comunicaciones entre los roles del sistema de sitio y SQL Server. Solo puede configurar algunos sistemas de sitio con HTTPS para la comunicación entre sitios.

Si no usa controles adicionales para proteger estos canales de servidor a servidor, los atacantes pueden usar diversos ataques de suplantación de identidad y ataques man-in-the-middle contra sistemas de sitio. Use la firma SMB cuando no pueda usar IPsec.

Importante

Proteja el canal de comunicación entre el servidor de sitio y el servidor de origen del paquete. Esta comunicación usa SMB. Si no puede usar IPsec para proteger esta comunicación, use la firma SMB para asegurarse de que los archivos no se manipulen antes de que los clientes los descarguen y los ejecuten.

No cambiar los grupos de seguridad predeterminados

No cambie los siguientes grupos de seguridad que Configuration Manager crea y administra para la comunicación del sistema de sitio:

• <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

• <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager crea y administra automáticamente estos grupos de seguridad. Este comportamiento incluye la eliminación de cuentas de equipo cuando se quita un rol de sistema de sitio.

Para asegurarse de que la continuidad del servicio y los privilegios mínimos, no edite manualmente estos grupos.

Administración del proceso de aprovisionamiento de claves raíz de confianza

Si los clientes no pueden consultar el catálogo global para obtener Configuration Manager información, deben confiar en la clave raíz de confianza para autenticar puntos de administración válidos. La clave raíz de confianza se almacena en el registro de cliente. Se puede establecer mediante la directiva de grupo o la configuración manual.

Si el cliente no tiene una copia de la clave raíz de confianza antes de que se comunique por primera vez con un punto de administración, confía en el primer punto de administración con el que se comunica. Para reducir el riesgo de que un atacante dirija de forma incorrecta a los clientes a un punto de administración no autorizado, puede aprovisionar previamente los clientes con la clave raíz de confianza. Para obtener más información, consulte Planeamiento de la clave raíz de confianza.

Uso de números de puerto no predeterminados

El uso de números de puerto no predeterminados puede proporcionar seguridad adicional. Dificultan a los atacantes explorar el entorno como preparación para un ataque. Si decide usar puertos no predeterminados, planee para ellos antes de instalar Configuration Manager. Úselos de forma coherente en todos los sitios de la jerarquía. Los puertos de solicitud de cliente y Wake On LAN son ejemplos en los que puede usar números de puerto no predeterminados.

Uso de la separación de roles en sistemas de sitio

Aunque puede instalar todos los roles de sistema de sitio en un único equipo, esta práctica rara vez se usa en redes de producción. Crea un único punto de error.

Reducir el perfil de ataque

Aislar cada rol de sistema de sitio en un servidor diferente reduce la posibilidad de que se pueda usar un ataque contra vulnerabilidades en un sistema de sitio en un sistema de sitio diferente. Muchos roles requieren la instalación de Internet Information Services (IIS) en el sistema de sitio y esto necesita aumentar la superficie expuesta a ataques. Si debe combinar roles para reducir los gastos de hardware, combine los roles de IIS solo con otros roles que requieran IIS.

Importante

El rol de punto de estado de reserva es una excepción. Dado que este rol de sistema de sitio acepta datos no autenticados de clientes, no asigne el rol de punto de estado de reserva a ningún otro rol de sistema de sitio Configuration Manager.

Configuración de direcciones IP estáticas para sistemas de sitio

Las direcciones IP estáticas son más fáciles de proteger frente a ataques de resolución de nombres.

Las direcciones IP estáticas también facilitan la configuración de IPsec. El uso de IPsec es un procedimiento recomendado de seguridad para proteger la comunicación entre sistemas de sitio en Configuration Manager.

No instale otras aplicaciones en servidores de sistema de sitio

Al instalar otras aplicaciones en servidores de sistema de sitio, aumenta la superficie expuesta a ataques para Configuration Manager. También corre el riesgo de problemas de incompatibilidad.

Requerir firma y habilitar el cifrado como opción de sitio

Habilite las opciones de firma y cifrado para el sitio. Asegúrese de que todos los clientes pueden admitir el algoritmo hash SHA-256 y, a continuación, habilite la opción Requerir SHA-256.

Restricción y supervisión de usuarios administrativos

Conceda acceso administrativo a Configuration Manager solo a los usuarios en los que confíe. A continuación, concédales permisos mínimos mediante los roles de seguridad integrados o personalizando los roles de seguridad. Los usuarios administrativos que pueden crear, modificar e implementar software y configuraciones pueden controlar dispositivos en la jerarquía de Configuration Manager.

Audite periódicamente las asignaciones de usuarios administrativos y su nivel de autorización para comprobar los cambios necesarios.

Para obtener más información, consulte Configuración de la administración basada en roles.

Protección de copias de seguridad de Configuration Manager

Al realizar una copia de seguridad de Configuration Manager, esta información incluye certificados y otros datos confidenciales que un atacante podría usar para suplantar.

Use la firma SMB o IPsec al transferir estos datos a través de la red y proteger la ubicación de copia de seguridad.

Ubicaciones seguras para objetos exportados

Siempre que exporte o importe objetos desde la consola de Configuration Manager a una ubicación de red, proteja la ubicación y proteja el canal de red.

Restringir quién puede acceder a la carpeta de red.

Para evitar que un atacante manipule los datos exportados, use la firma SMB o IPsec entre la ubicación de red y el servidor de sitio. Proteja también la comunicación entre el equipo que ejecuta la consola de Configuration Manager y el servidor de sitio. Use IPsec para cifrar los datos de la red para evitar la divulgación de información.

Eliminación manual de certificados de servidores con errores

Si un sistema de sitio no se desinstala correctamente o deja de funcionar y no se puede restaurar, quite manualmente los certificados de Configuration Manager para este servidor de otros servidores de Configuration Manager.

Para quitar la confianza del mismo nivel que se estableció originalmente con los roles de sistema de sitio y sistema de sitio, quite manualmente los certificados de Configuration Manager para el servidor con errores en el almacén de certificados de Personas de confianza en otros servidores de sistema de sitio. Esta acción es importante si reutiliza el servidor sin volver a formatearlo.

Para obtener más información, vea Controles criptográficos para la comunicación del servidor.

No configure sistemas de sitio basados en Internet para puentear la red perimetral

No configure los servidores del sistema de sitio para que estén hospedados de forma múltiple para que se conecten a la red perimetral y a la intranet. Aunque esta configuración permite que los sistemas de sitio basados en Internet acepten conexiones de cliente desde Internet y la intranet, elimina un límite de seguridad entre la red perimetral y la intranet.

Configuración del servidor de sitio para iniciar conexiones a redes perimetrales

Si un sistema de sitio se encuentra en una red que no es de confianza, como una red perimetral, configure el servidor de sitio para iniciar conexiones con el sistema de sitio.

De forma predeterminada, los sistemas de sitio inician conexiones al servidor de sitio para transferir datos. Esta configuración puede ser un riesgo de seguridad cuando el inicio de la conexión procede de una red que no es de confianza a la red de confianza. Cuando los sistemas de sitio aceptan conexiones desde Internet o residen en un bosque que no es de confianza, configure la opción del sistema de sitio para requerir que el servidor de sitio inicie conexiones a este sistema de sitio. Después de la instalación del sistema de sitio y de cualquier rol, el servidor de sitio inicia todas las conexiones desde la red de confianza.

Uso del puente SSL y la terminación con autenticación

Si usa un servidor proxy web para la administración de clientes basada en Internet, use el puente SSL a SSL mediante la terminación con autenticación.

Al configurar la terminación SSL en el servidor web proxy, los paquetes de Internet están sujetos a inspección antes de que se reenvíen a la red interna. El servidor web proxy autentica la conexión desde el cliente, la finaliza y, a continuación, abre una nueva conexión autenticada a los sistemas de sitio basados en Internet.

Cuando Configuration Manager equipos cliente usan un servidor web proxy para conectarse a sistemas de sitio basados en Internet, la identidad de cliente (GUID) se incluye de forma segura dentro de la carga del paquete. A continuación, el punto de administración no considera que el servidor web proxy sea el cliente.

Si el servidor web proxy no puede admitir los requisitos de puente SSL, también se admite la tunelización SSL. Esta opción es menos segura. Los paquetes SSL de Internet se reenvía a los sistemas de sitio sin terminación. A continuación, no se pueden inspeccionar en busca de contenido malintencionado.

Advertencia

Los dispositivos móviles inscritos por Configuration Manager no pueden usar el puente SSL. Solo deben usar la tunelización SSL.

Configuraciones que se usarán si configura el sitio para reactivar equipos para instalar software

• Si usa paquetes de reactivación tradicionales, use unidifusión en lugar de difusiones dirigidas por subred.

• Si debe usar difusiones dirigidas por subred, configure enrutadores para permitir difusiones dirigidas por IP solo desde el servidor de sitio y solo en un número de puerto no predeterminado.

Para obtener más información sobre las distintas tecnologías de Wake On LAN, consulte Planeamiento de cómo reactivar clientes.

Si usa la notificación por correo electrónico, configure el acceso autenticado al servidor de correo SMTP.

Siempre que sea posible, use un servidor de correo que admita el acceso autenticado. Use la cuenta de equipo del servidor de sitio para la autenticación. Si debe especificar una cuenta de usuario para la autenticación, use una cuenta que tenga los privilegios mínimos.

Aplicación del enlace de canal LDAP y la firma LDAP

La seguridad de los controladores de dominio de Active Directory se puede mejorar configurando el servidor para rechazar los enlaces LDAP de la capa de seguridad y autenticación simple (SASL) que no solicitan la firma o para rechazar los enlaces simples LDAP que se realizan en una conexión de texto no cifrado. A partir de la versión 1910, Configuration Manager admite la aplicación del enlace de canales LDAP y la firma LDAP. Para obtener más información, consulte 2020 LDAP channel binding and LDAP signing requirements for Windows (Requisitos de enlace de canales LDAP y firma LDAP para Windows).

Instrucciones de seguridad para el servidor de sitio

Use las instrucciones siguientes para ayudarle a proteger el servidor de sitio Configuration Manager.

Advertencia

Cuenta de acceso de red: no conceda derechos de inicio de sesión interactivo a esta cuenta en servidores SQL Server. No conceda a esta cuenta el derecho de unir equipos al dominio. Si debe unir equipos al dominio durante una secuencia de tareas, use la cuenta de combinación de dominio de secuencia de tareas.

Instalar Configuration Manager en un servidor miembro en lugar de un controlador de dominio

El servidor de sitio Configuration Manager y los sistemas de sitio no requieren la instalación en un controlador de dominio. Los controladores de dominio no tienen una base de datos de administración de cuentas de seguridad (SAM) local que no sea la base de datos de dominio. Al instalar Configuration Manager en un servidor miembro, puede mantener cuentas de Configuration Manager en la base de datos SAM local en lugar de en la base de datos de dominio.

Esta práctica también reduce la superficie expuesta a ataques en los controladores de dominio.

Instalación de sitios secundarios sin copiar los archivos a través de la red

Al ejecutar el programa de instalación y crear un sitio secundario, no seleccione la opción para copiar los archivos del sitio primario al sitio secundario. Tampoco use una ubicación de origen de red. Al copiar archivos a través de la red, un atacante cualificado podría secuestrar el paquete de instalación del sitio secundario y manipular los archivos antes de instalarlos. Temporización de este ataque sería difícil. Este ataque se puede mitigar mediante IPsec o SMB al transferir los archivos.

En lugar de copiar los archivos a través de la red, en el servidor de sitio secundario, copie los archivos de origen de la carpeta multimedia en una carpeta local. A continuación, cuando ejecute el programa de instalación para crear un sitio secundario, en la página Archivos de origen de instalación, seleccione Usar los archivos de origen en la siguiente ubicación en el equipo del sitio secundario (más seguro) y especifique esta carpeta.

Para obtener más información, consulte Instalación de un sitio secundario.

La instalación del rol de sitio hereda los permisos de la raíz de la unidad

Asegúrese de configurar correctamente los permisos de unidad del sistema antes de instalar el primer rol de sistema de sitio en cualquier servidor. Por ejemplo, C:\SMS_CCM hereda los permisos de C:\. Si la raíz de la unidad no está protegida correctamente, es posible que los usuarios con derechos bajos puedan acceder al contenido de la carpeta Configuration Manager o modificarlo.

Instrucciones de seguridad para SQL Server

Configuration Manager usa SQL Server como base de datos back-end. Si la base de datos está en peligro, los atacantes podrían omitir Configuration Manager. Si acceden directamente a SQL Server, pueden iniciar ataques a través de Configuration Manager. Considere la posibilidad de que los ataques contra SQL Server sean de alto riesgo y se mitiguen adecuadamente.

Use las siguientes instrucciones de seguridad para ayudarle a proteger SQL Server para Configuration Manager.

No use el servidor de base de datos de sitio Configuration Manager para ejecutar otras aplicaciones de SQL Server

Al aumentar el acceso al servidor de base de datos de sitio Configuration Manager, esta acción aumenta el riesgo para los datos de Configuration Manager. Si la base de datos de sitio Configuration Manager está en peligro, también se ponen en riesgo otras aplicaciones del mismo equipo SQL Server.

Configuración de SQL Server para usar autenticación de Windows

Aunque Configuration Manager accede a la base de datos del sitio mediante una cuenta de Windows y autenticación de Windows, todavía es posible configurar SQL Server para usar SQL Server modo mixto. SQL Server modo mixto permite que los inicios de sesión de SQL Server adicionales accedan a la base de datos. Esta configuración no es necesaria y aumenta la superficie expuesta a ataques.

Actualizar SQL Server Express en sitios secundarios

Al instalar un sitio primario, Configuration Manager descarga SQL Server Express desde el Centro de descarga de Microsoft. A continuación, copia los archivos en el servidor de sitio principal. Al instalar un sitio secundario y seleccionar la opción que instala SQL Server Express, Configuration Manager instala la versión descargada anteriormente. No comprueba si hay nuevas versiones disponibles. Para asegurarse de que el sitio secundario tiene las versiones más recientes, realice una de las siguientes tareas:

• Después de instalar el sitio secundario, ejecute Windows Update en el servidor de sitio secundario.

• Antes de instalar el sitio secundario, instale manualmente SQL Server Express en el servidor de sitio secundario. Asegúrese de instalar la versión más reciente y las actualizaciones de software. A continuación, instale el sitio secundario y seleccione la opción para usar una instancia de SQL Server existente.

Ejecute periódicamente Windows Update para todas las versiones instaladas de SQL Server. Esta práctica garantiza que tienen las actualizaciones de software más recientes.

Siga las instrucciones generales para SQL Server

Identifique y siga las instrucciones generales de la versión de SQL Server. Sin embargo, tenga en cuenta los siguientes requisitos para Configuration Manager:

• La cuenta de equipo del servidor de sitio debe ser miembro del grupo Administradores en el equipo que ejecuta SQL Server. Si sigue la recomendación de SQL Server de "aprovisionar entidades de seguridad de administrador explícitamente", la cuenta que use para ejecutar el programa de instalación en el servidor de sitio debe ser miembro del grupo usuarios de SQL Server.

• Si instala SQL Server mediante una cuenta de usuario de dominio, asegúrese de que la cuenta de equipo del servidor de sitio esté configurada para un nombre de entidad de seguridad de servicio (SPN) que se publique en Servicios de dominio de Active Directory. Sin el SPN, se produce un error en la autenticación Kerberos y se produce un error en la instalación de Configuration Manager.

Instrucciones de seguridad para sistemas de sitio que ejecutan IIS

Varios roles de sistema de sitio en Configuration Manager requieren IIS. El proceso de protección de IIS permite que Configuration Manager funcione correctamente y reduce el riesgo de ataques de seguridad. Cuando sea práctico, minimice el número de servidores que requieren IIS. Por ejemplo, ejecute solo el número de puntos de administración que necesita para admitir la base de clientes, teniendo en cuenta la alta disponibilidad y el aislamiento de red para la administración de clientes basada en Internet.

Use las instrucciones siguientes para ayudarle a proteger los sistemas de sitio que ejecutan IIS.

Deshabilitar las funciones de IIS que no necesite

Instale solo las características mínimas de IIS para el rol de sistema de sitio que instale. Para obtener más información, consulte Requisitos previos del sitio y del sistema de sitio.

Configuración de los roles de sistema de sitio para requerir HTTPS

Cuando los clientes se conectan a un sistema de sitio mediante HTTP en lugar de mediante HTTPS, usan autenticación de Windows. Este comportamiento puede revertir al uso de la autenticación NTLM en lugar de la autenticación Kerberos. Cuando se usa la autenticación NTLM, los clientes pueden conectarse a un servidor no autorizado.

La excepción a esta guía puede ser los puntos de distribución. Las cuentas de acceso de paquete no funcionan cuando el punto de distribución está configurado para HTTPS. Las cuentas de acceso de paquete proporcionan autorización al contenido para que pueda restringir qué usuarios pueden acceder al contenido. Para obtener más información, consulte Instrucciones de seguridad para la administración de contenido.

Importante

A partir de Configuration Manager versión 2103, los sitios que permiten la comunicación de cliente HTTP están en desuso. Configure el sitio para HTTPS o HTTP mejorado. Para obtener más información, consulte Habilitación del sitio para HTTP mejorado o solo HTTPS.

Configuración de una lista de confianza de certificados (CTL) en IIS para roles de sistema de sitio

Roles de sistema de sitio:

• Punto de distribución que se configura para HTTPS

• Un punto de administración que se configura para HTTPS y se habilita para admitir dispositivos móviles

Un CTL es una lista definida de entidades de certificación raíz (CA) de confianza. Cuando se usa un CTL con una directiva de grupo y una implementación de infraestructura de clave pública (PKI), un CTL le permite complementar las CA raíz de confianza existentes configuradas en la red. Por ejemplo, las CA que se instalan automáticamente con Microsoft Windows o que se agregan a través de ca raíz de Windows Enterprise. Cuando se configura un CTL en IIS, define un subconjunto de esas CA raíz de confianza.

Este subconjunto proporciona más control sobre la seguridad. El CTL restringe los certificados de cliente que se aceptan solo a los certificados que se emiten desde la lista de CA en el CTL. Por ejemplo, Windows incluye una serie de certificados de ENTIDAD de certificación de terceros conocidos.

De forma predeterminada, el equipo que ejecuta IIS confía en los certificados que se encadenan a estas ENTIDADes de certificación conocidas. Cuando no configura IIS con un CTL para los roles de sistema de sitio enumerados, el sitio acepta como cliente válido cualquier dispositivo que tenga un certificado emitido desde estas CA. Si configura IIS con un CTL que no incluye estas CA, el sitio rechaza las conexiones de cliente, si el certificado se encadena a estas CA. Para que Configuration Manager clientes se acepten para los roles de sistema de sitio enumerados, debe configurar IIS con un CTL que especifique las CA que usan los clientes de Configuration Manager.

Nota:

Solo los roles de sistema de sitio enumerados requieren que configure un CTL en IIS. La lista de emisores de certificados que Configuration Manager usa para los puntos de administración proporciona la misma funcionalidad para los equipos cliente cuando se conectan a puntos de administración HTTPS.

Para obtener más información sobre cómo configurar una lista de CA de confianza en IIS, consulte la documentación de IIS.

No coloque el servidor de sitio en un equipo con IIS

La separación de roles ayuda a reducir el perfil de ataque y a mejorar la capacidad de recuperación. La cuenta de equipo del servidor de sitio suele tener privilegios administrativos en todos los roles de sistema de sitio. También puede tener estos privilegios en Configuration Manager clientes, si usa la instalación de inserción de cliente.

Uso de servidores IIS dedicados para Configuration Manager

Aunque puede hospedar varias aplicaciones basadas en web en los servidores IIS que también usan Configuration Manager, esta práctica puede aumentar significativamente la superficie expuesta a ataques. Una aplicación mal configurada podría permitir que un atacante obtenga el control de un sistema de sitio Configuration Manager. Esta infracción podría permitir que un atacante obtenga el control de la jerarquía.

Si debe ejecutar otras aplicaciones basadas en web en Configuration Manager sistemas de sitio, cree un sitio web personalizado para Configuration Manager sistemas de sitio.

Uso de un sitio web personalizado

Para los sistemas de sitio que ejecutan IIS, configure Configuration Manager para usar un sitio web personalizado en lugar del sitio web predeterminado. Si tiene que ejecutar otras aplicaciones web en el sistema de sitio, debe usar un sitio web personalizado. Esta configuración es una configuración de todo el sitio en lugar de una configuración para un sistema de sitio específico.

Cuando use sitios web personalizados, quite los directorios virtuales predeterminados.

Al cambiar de usar el sitio web predeterminado a usar un sitio web personalizado, Configuration Manager no quita los directorios virtuales antiguos. Quite los directorios virtuales que Configuration Manager crearon originalmente en el sitio web predeterminado.

Por ejemplo, quite los siguientes directorios virtuales para un punto de distribución:

• SMS_DP_SMSPKG$

• SMS_DP_SMSSIG$

• NOCERT_SMS_DP_SMSPKG$

• NOCERT_SMS_DP_SMSSIG$

Siga las instrucciones de seguridad del servidor IIS.

Identifique y siga las instrucciones generales de la versión del servidor IIS. Tenga en cuenta los requisitos que Configuration Manager tiene para roles específicos del sistema de sitio. Para obtener más información, consulte Requisitos previos del sitio y del sistema de sitio.

Configuración de encabezados personalizados de IIS

Configure los siguientes encabezados personalizados para deshabilitar el examen MIME:

x-content-type-options: nosniff

Para obtener más información, vea Encabezados personalizados.

Si otros servicios usan la misma instancia de IIS, asegúrese de que estos encabezados personalizados son compatibles.

Instrucciones de seguridad para el punto de administración

Los puntos de administración son la interfaz principal entre dispositivos y Configuration Manager. Considere que los ataques contra el punto de administración y el servidor en el que se ejecuta son de alto riesgo y mitigarlos adecuadamente. Aplique todas las instrucciones de seguridad adecuadas y supervise la actividad inusual.

Use las instrucciones siguientes para ayudar a proteger un punto de administración en Configuration Manager.

Asignación del cliente en un punto de administración al mismo sitio

Evite el escenario en el que asigne el cliente de Configuration Manager que se encuentra en un punto de administración a un sitio distinto del sitio del punto de administración.

Si migra desde una versión anterior a Configuration Manager rama actual, migre el cliente en el punto de administración al nuevo sitio lo antes posible.

Instrucciones de seguridad para el punto de estado de reserva

Si instala un punto de estado de reserva en Configuration Manager, use las siguientes instrucciones de seguridad:

Para obtener más información sobre las consideraciones de seguridad al instalar un punto de estado de reserva, vea Determinar si necesita un punto de estado de reserva.

No ejecute ningún otro rol en el mismo sistema de sitio.

El punto de estado de reserva está diseñado para aceptar la comunicación no autenticada desde cualquier equipo. Si ejecuta este rol de sistema de sitio con otros roles o un controlador de dominio, el riesgo para ese servidor aumenta considerablemente.

Instale el punto de estado de reserva antes de instalar clientes con certificados PKI

Si Configuration Manager sistemas de sitio no aceptan la comunicación de cliente HTTP, es posible que no sepa que los clientes no están administrados debido a problemas de certificados relacionados con PKI. Si asigna clientes a un punto de estado de reserva, notificarán estos problemas de certificado a través del punto de estado de reserva.

Por motivos de seguridad, no puede asignar un punto de estado de reserva a los clientes después de instalarlos. Solo puede asignar este rol durante la instalación del cliente.

Evitar el uso del punto de estado de reserva en la red perimetral

Por diseño, el punto de estado de reserva acepta datos de cualquier cliente. Aunque un punto de estado de reserva en la red perimetral podría ayudarle a solucionar problemas de clientes basados en Internet, equilibre las ventajas de solución de problemas con el riesgo de un sistema de sitio que acepte datos no autenticados en una red accesible públicamente.

Si instala el punto de estado de reserva en la red perimetral o en cualquier red que no sea de confianza, configure el servidor de sitio para iniciar las transferencias de datos. No use la configuración predeterminada que permite que el punto de estado de reserva inicie una conexión con el servidor de sitio.

Problemas de seguridad para la administración del sitio

Revise los siguientes problemas de seguridad para Configuration Manager:

• Configuration Manager no tiene ninguna defensa contra un usuario administrativo autorizado que usa Configuration Manager para atacar la red. Los usuarios administrativos no autorizados suponen un alto riesgo para la seguridad. Podrían lanzar muchos ataques, entre los que se incluyen las siguientes estrategias:

  • Use la implementación de software para instalar y ejecutar automáticamente software malintencionado en cada equipo cliente Configuration Manager de la organización.

  • Controlar de forma remota un cliente de Configuration Manager sin permiso de cliente.

  • Configure intervalos de sondeo rápidos y cantidades extremas de inventario. Esta acción crea ataques de denegación de servicio contra los clientes y servidores.

  • Use un sitio de la jerarquía para escribir datos en los datos de Active Directory de otro sitio.

  La jerarquía de sitio es el límite de seguridad. Considere que los sitios solo son límites de administración.

  Audite toda la actividad del usuario administrativo y revise de forma rutinaria los registros de auditoría. Requerir que todos los usuarios administrativos Configuration Manager se sometan a una comprobación de antecedentes antes de ser contratados. Requerir comprobaciones periódicas como condición de empleo.

• Si el punto de inscripción está en peligro, un atacante podría obtener certificados para la autenticación. Podrían robar las credenciales de los usuarios que inscriben sus dispositivos móviles.

  El punto de inscripción se comunica con una CA. Puede crear, modificar y eliminar objetos de Active Directory. Nunca instale el punto de inscripción en la red perimetral. Supervise siempre la actividad inusual.

• Si permite directivas de usuario para la administración de clientes basada en Internet, aumentará el perfil de ataque.

  Además de usar certificados PKI para conexiones de cliente a servidor, estas configuraciones requieren autenticación de Windows. Es posible que vuelvan a usar la autenticación NTLM en lugar de Kerberos. La autenticación NTLM es vulnerable a ataques de suplantación y reproducción. Para autenticar correctamente a un usuario en Internet, debe permitir una conexión desde el sistema de sitio basado en Internet a un controlador de dominio.

• El recurso compartido Administración$ es necesario en los servidores del sistema de sitio.

  El servidor de sitio Configuration Manager usa el recurso compartido de Administración$ para conectarse a los sistemas de sitio y realizar operaciones de servicio. No deshabilite ni quite este recurso compartido.

• Configuration Manager usa servicios de resolución de nombres para conectarse a otros equipos. Estos servicios son difíciles de proteger frente a los siguientes ataques de seguridad:

  • Spoofing
  • Manipulación
  • Repudio
  • Divulgación de información
  • Denegación de servicio
  • Elevación de privilegios

  Identifique y siga las instrucciones de seguridad de la versión de DNS que use para la resolución de nombres.

Información de privacidad para la detección

La detección crea registros para los recursos de red y los almacena en la base de datos Configuration Manager. Los registros de datos de detección contienen información del equipo, como direcciones IP, versiones del sistema operativo y nombres de equipo. También puede configurar métodos de detección de Active Directory para devolver cualquier información que la organización almacene en Servicios de dominio de Active Directory.

El único método de detección que Configuration Manager habilita de forma predeterminada es detección de latidos. Este método solo detecta los equipos que ya tienen instalado el software cliente de Configuration Manager.

La información de detección no se envía directamente a Microsoft. Se almacena en la base de datos Configuration Manager. Configuration Manager conserva información en la base de datos hasta que elimina los datos. Este proceso se produce cada 90 días mediante la tarea de mantenimiento del sitio Eliminar datos de detección antiguos.