Seguridad y privacidad para la configuración de cumplimiento en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Guía de seguridad
No supervisar datos confidenciales
Para evitar la divulgación de información, no configure elementos de configuración para supervisar información potencialmente confidencial.
No configure reglas de cumplimiento que usen datos que puedan modificar los usuarios finales.
Si crea una regla de cumplimiento basada en datos que los usuarios pueden modificar, como la configuración del Registro para las opciones de configuración, los resultados de cumplimiento no serán confiables.
Importar solo paquetes de configuración de orígenes externos firmados digitalmente
Importe paquetes de configuración y otros datos de configuración de orígenes externos solo si tienen una firma digital válida de un publicador de confianza.
Los datos de configuración publicados se pueden firmar digitalmente para que pueda comprobar el origen de publicación y asegurarse de que los datos no se han alterado. Si se produce un error en la comprobación de la firma digital, se le advertirá y se le pedirá que continúe con la importación. Si no puede comprobar el origen y la integridad de los datos, no importe datos sin firmar.
Implementación de controles de acceso para proteger equipos de referencia
Asegúrese de que cuando un usuario administrativo configura un registro o una configuración del sistema de archivos; para ello, vaya a un equipo de referencia, el equipo de referencia no está en peligro.
Proteger el canal de comunicación cuando vaya a un equipo de referencia
Para evitar la alteración de los datos cuando se transfieren a través de la red, use la seguridad del protocolo de Internet (IPsec) o la firma del bloque de mensajes del servidor (SMB) entre el equipo que ejecuta la consola de Configuration Manager y el equipo de referencia.
Restricción y supervisión de la administración basada en roles para la configuración de cumplimiento
Restrinja y supervise a los usuarios administrativos a los que se les concede el rol de seguridad basado en rol administrador de configuración de cumplimiento.
Los usuarios administrativos con este rol pueden implementar elementos de configuración en todos los dispositivos y todos los usuarios de la jerarquía. Los elementos de configuración son eficaces y pueden incluir, por ejemplo, scripts y reconfiguración del Registro.
Información de privacidad
Puede usar la configuración de cumplimiento para evaluar si los dispositivos cliente son compatibles con los elementos de configuración que implemente en las líneas base de configuración. Algunas opciones de configuración se pueden corregir automáticamente si no cumplen los requisitos. El punto de administración envía la información de cumplimiento al servidor de sitio y se almacena en la base de datos del sitio. La información se cifra cuando los dispositivos la envían al punto de administración, pero no se almacenan en formato cifrado en la base de datos del sitio. La información de cumplimiento no se envía a Microsoft.
De forma predeterminada, los dispositivos no evalúan la configuración de cumplimiento. Configure los elementos de configuración y las líneas base de configuración y, a continuación, impleméntelos en los dispositivos.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de