Compartilhar via

Segurança e privacidade para administração de sites em Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Este artigo contém informações de segurança e privacidade para sites Configuration Manager e a hierarquia.

Diretrizes de segurança para administração do site

Use as diretrizes a seguir para ajudá-lo a proteger Configuration Manager sites e a hierarquia.

Executar a configuração de uma origem confiável e uma comunicação segura

Para ajudar a evitar que alguém altere os arquivos de origem, execute Configuration Manager configuração de uma fonte confiável. Se você armazenar os arquivos na rede, proteja o local da rede.

Se você executar a instalação de um local de rede, para ajudar a evitar que um invasor altere os arquivos à medida que eles são transmitidos pela rede, use a assinatura IPsec ou SMB entre o local de origem dos arquivos de instalação e o servidor do site.

Se você usar o Downloader de Instalação para baixar os arquivos necessários pela configuração, certifique-se de proteger o local em que esses arquivos estão armazenados. Proteja também o canal de comunicação para esse local quando você executar a instalação.

Estender o esquema do Active Directory e publicar sites para o domínio

As extensões de esquema não são necessárias para executar Configuration Manager, mas criam um ambiente mais seguro. Clientes e servidores de site podem recuperar informações de uma fonte confiável.

Se os clientes estiverem em um domínio não confiável, implante as seguintes funções do sistema de sites nos domínios dos clientes:

  • Ponto de gerenciamento

  • Ponto de distribuição

Observação

Um domínio confiável para Configuration Manager requer autenticação Kerberos. Se os clientes estiverem em outra floresta que não tenha uma confiança de floresta bidirecional com a floresta do servidor do site, esses clientes serão considerados em um domínio não confiável. Uma confiança externa não é suficiente para essa finalidade.

Usar o IPsec para proteger as comunicações

Embora Configuration Manager proteja a comunicação entre o servidor do site e o computador que executa SQL Server, Configuration Manager não protege as comunicações entre funções do sistema de site e SQL Server. Você só pode configurar alguns sistemas de site com HTTPS para comunicação intrasite.

Se você não usar controles adicionais para proteger esses canais servidor a servidor, os invasores poderão usar várias falsificações e ataques de homem no meio contra sistemas de site. Use a assinatura de SMB quando não puder usar o IPsec.

Importante

Proteja o canal de comunicação entre o servidor do site e o servidor de origem do pacote. Essa comunicação usa o SMB. Se você não puder usar o IPsec para proteger essa comunicação, use a assinatura SMB para garantir que os arquivos não sejam adulterados antes que os clientes os baixem e executem.

Não altere os grupos de segurança padrão

Não altere os seguintes grupos de segurança que Configuration Manager cria e gerencia para comunicação do sistema de sites:

  • <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager cria e gerencia automaticamente esses grupos de segurança. Esse comportamento inclui a remoção de contas de computador quando uma função do sistema de site é removida.

Para garantir a continuidade do serviço e os privilégios mínimos, não edite manualmente esses grupos.

Gerenciar o processo de provisionamento de chave raiz confiável

Se os clientes não puderem consultar o catálogo global para obter informações Configuration Manager, eles devem confiar na chave raiz confiável para autenticar pontos de gerenciamento válidos. A chave raiz confiável é armazenada no registro do cliente. Ele pode ser definido usando a política de grupo ou a configuração manual.

Se o cliente não tiver uma cópia da chave raiz confiável antes de entrar em contato com um ponto de gerenciamento pela primeira vez, ele confiará no primeiro ponto de gerenciamento com o qual se comunica. Para reduzir o risco de um invasor redirecionar clientes incorretamente para um ponto de gerenciamento não autorizado, você pode pré-provisionar os clientes com a chave raiz confiável. Para obter mais informações, confira Planejamento para a chave raiz confiável.

Usar números de porta não padrão

O uso de números de porta não padrão pode fornecer segurança adicional. Eles dificultam a exploração do ambiente em preparação para um ataque. Se você decidir usar portas não padrão, planeje-as antes de instalar Configuration Manager. Use-os consistentemente em todos os sites da hierarquia. As portas de solicitação do cliente e a LAN wake on são exemplos em que você pode usar números de porta não padrão.

Usar a separação de função em sistemas de site

Embora você possa instalar todas as funções do sistema de sites em um único computador, essa prática raramente é usada em redes de produção. Ele cria um único ponto de falha.

Reduzir o perfil de ataque

Isolar cada função do sistema de site em um servidor diferente reduz a chance de que um ataque contra vulnerabilidades em um sistema de site possa ser usado em um sistema de site diferente. Muitas funções exigem a instalação do IIS (Internet Information Services) no sistema de sites, e essa necessidade aumenta a superfície de ataque. Se você precisar combinar funções para reduzir o gasto de hardware, combine funções IIS apenas com outras funções que exijam IIS.

Importante

A função fallback status ponto é uma exceção. Como essa função de sistema de site aceita dados não autenticados de clientes, não atribua a função de ponto status fallback a qualquer outra função do sistema de site Configuration Manager.

Configurar endereços IP estáticos para sistemas de site

Endereços IP estáticos são mais fáceis de proteger contra ataques de resolução de nomes.

Endereços IP estáticos também facilitam a configuração do IPsec. O uso do IPsec é uma prática recomendada de segurança para proteger a comunicação entre sistemas de sites em Configuration Manager.

Não instale outros aplicativos em servidores do sistema de sites

Ao instalar outros aplicativos em servidores do sistema de sites, você aumenta a superfície de ataque para Configuration Manager. Você também corre o risco de problemas de incompatibilidade.

Exigir assinatura e habilitar a criptografia como uma opção de site

Habilite as opções de assinatura e criptografia para o site. Verifique se todos os clientes podem dar suporte ao algoritmo de hash SHA-256 e habilite a opção para Exigir SHA-256.

Restringir e monitorar usuários administrativos

Conceda acesso administrativo a Configuration Manager apenas aos usuários em quem você confia. Em seguida, conceda-lhes permissões mínimas usando as funções de segurança internas ou personalizando as funções de segurança. Usuários administrativos que podem criar, modificar e implantar software e configurações podem potencialmente controlar dispositivos na hierarquia Configuration Manager.

Audite periodicamente as atribuições administrativas do usuário e seu nível de autorização para verificar as alterações necessárias.

Para obter mais informações, consulte Configurar administração baseada em função.

Proteger backups de Configuration Manager

Quando você faz backup Configuration Manager, essas informações incluem certificados e outros dados confidenciais que podem ser usados por um invasor para representação.

Use a assinatura do SMB ou o IPsec ao transferir esses dados pela rede e proteja o local de backup.

Proteger locais para objetos exportados

Sempre que você exportar ou importar objetos do console Configuration Manager para um local de rede, proteja o local e proteja o canal de rede.

Restrinja quem pode acessar a pasta de rede.

Para evitar que um invasor altere os dados exportados, use a assinatura SMB ou o IPsec entre o local da rede e o servidor do site. Proteja também a comunicação entre o computador que executa o console Configuration Manager e o servidor do site. Use o IPsec para criptografar os dados na rede para impedir a divulgação de informações.

Remover certificados manualmente de servidores com falha

Se um sistema de site não estiver desinstalado corretamente ou parar de funcionar e não puder ser restaurado, remova manualmente os certificados Configuration Manager para esse servidor de outros servidores Configuration Manager.

Para remover a confiança de par que foi originalmente estabelecida com o sistema de sites e as funções do sistema de sites, remova manualmente os certificados Configuration Manager para o servidor com falha no repositório de certificados trusted Pessoas em outros servidores do sistema de site. Essa ação será importante se você reutilizar o servidor sem reformá-lo.

Para obter mais informações, consulte Controles criptográficos para comunicação do servidor.

Não configure sistemas de sites baseados na Internet para fazer a ponte da rede de perímetro

Não configure servidores do sistema de sites para serem multilocatários para que eles se conectem à rede de perímetro e à intranet. Embora essa configuração permita que sistemas de sites baseados na Internet aceitem conexões de cliente da Internet e da intranet, ela elimina um limite de segurança entre a rede de perímetro e a intranet.

Configurar o servidor do site para iniciar conexões com redes de perímetro

Se um sistema de site estiver em uma rede não confiável, como uma rede de perímetro, configure o servidor do site para iniciar conexões com o sistema de sites.

Por padrão, os sistemas de site iniciam conexões com o servidor do site para transferir dados. Essa configuração pode ser um risco de segurança quando a iniciação de conexão é de uma rede não confiável para a rede confiável. Quando os sistemas de site aceitarem conexões da Internet ou residirem em uma floresta não confiável, configure a opção do sistema de sites para exigir que o servidor do site inicie conexões com este sistema de site. Após a instalação do sistema de sites e quaisquer funções, todas as conexões são iniciadas pelo servidor do site da rede confiável.

Usar a ponte e o término do SSL com autenticação

Se você usar um servidor de proxy Web para gerenciamento de cliente baseado na Internet, use a ponte SSL para SSL usando terminação com autenticação.

Quando você configura o término do SSL no servidor Web proxy, os pacotes da Internet estão sujeitos à inspeção antes de serem encaminhados para a rede interna. O servidor Web proxy autentica a conexão do cliente, encerra-a e abre uma nova conexão autenticada com os sistemas de sites baseados na Internet.

Quando Configuration Manager computadores cliente usam um servidor Web proxy para se conectar a sistemas de sites baseados na Internet, a identidade do cliente (GUID) é contida com segurança no conteúdo do pacote. Em seguida, o ponto de gerenciamento não considera o servidor Web proxy como o cliente.

Se o servidor Web proxy não puder dar suporte aos requisitos de ponte SSL, o túnel SSL também terá suporte. Essa opção é menos segura. Os pacotes SSL da Internet são encaminhados para os sistemas do site sem término. Em seguida, eles não podem ser inspecionados para obter conteúdo mal-intencionado.

Aviso

Dispositivos móveis registrados por Configuration Manager não podem usar a ponte SSL. Eles devem usar apenas o túnel SSL.

Configurações a serem usadas se você configurar o site para acordar computadores para instalar o software

  • Se você usar pacotes de despertar tradicionais, use o unicast em vez de transmissões direcionadas à sub-rede.

  • Se você precisar usar transmissões direcionadas à sub-rede, configure roteadores para permitir transmissões direcionadas por IP somente do servidor do site e apenas em um número de porta não padrão.

Para obter mais informações sobre as diferentes tecnologias de LAN do Wake On, consulte Planejamento de como acordar clientes.

Se você usar a notificação por email, configure o acesso autenticado ao servidor de email SMTP

Sempre que possível, use um servidor de email que dê suporte ao acesso autenticado. Use a conta de computador do servidor do site para autenticação. Se você precisar especificar uma conta de usuário para autenticação, use uma conta que tenha os privilégios mínimos.

Impor associação de canal LDAP e assinatura de LDAP

A segurança dos controladores de domínio do Active Directory pode ser aprimorada configurando o servidor para rejeitar associações LDAP (Simple Authentication and Security Layer) que não solicitam assinatura ou rejeitam associações simples LDAP executadas em uma conexão de texto clara. A partir da versão 1910, Configuration Manager dá suporte à imposição de associação de canal LDAP e assinatura LDAP. Para obter mais informações, confira 2020 requisitos de associação de canal LDAP e assinatura LDAP para Windows.

Diretrizes de segurança para o servidor do site

Use as diretrizes a seguir para ajudá-lo a proteger o servidor do site Configuration Manager.

Aviso

Conta de acesso à rede – Não conceda direitos de entrada interativos a essa conta no SQL Servers. Não conceda a essa conta o direito de ingressar computadores no domínio. Se você precisar ingressar computadores no domínio durante uma sequência de tarefas, use a conta de junção de domínio da sequência de tarefas..

Instalar Configuration Manager em um servidor membro em vez de um controlador de domínio

Os sistemas de site e servidor de site Configuration Manager não exigem instalação em um controlador de domínio. Os controladores de domínio não têm um banco de dados SAM (Gerenciamento de Contas de Segurança) local diferente do banco de dados de domínio. Ao instalar Configuration Manager em um servidor membro, você pode manter Configuration Manager contas no banco de dados SAM local e não no banco de dados de domínio.

Essa prática também reduz a superfície de ataque em seus controladores de domínio.

Instalar sites secundários sem copiar os arquivos pela rede

Ao executar a configuração e criar um site secundário, não selecione a opção para copiar os arquivos do site pai para o site secundário. Também não use um local de origem de rede. Quando você copia arquivos pela rede, um invasor qualificado pode sequestrar o pacote de instalação do site secundário e adulterar os arquivos antes de serem instalados. Cronometrar este ataque seria difícil. Esse ataque pode ser atenuado usando IPsec ou SMB quando você transfere os arquivos.

Em vez de copiar os arquivos pela rede, no servidor de site secundário, copie os arquivos de origem da pasta de mídia para uma pasta local. Em seguida, ao executar a configuração para criar um site secundário, na página Arquivos de Origem de Instalação , selecione Usar os arquivos de origem no local a seguir no computador de site secundário (mais seguro)e especifique esta pasta.

Para obter mais informações, consulte Instalar um site secundário.

A instalação de função do site herda permissões da raiz da unidade

Configure corretamente as permissões de unidade do sistema antes de instalar a primeira função do sistema de site em qualquer servidor. Por exemplo, C:\SMS_CCM herda permissões de C:\. Se a raiz da unidade não estiver protegida corretamente, os usuários de direitos baixos poderão acessar ou modificar o conteúdo na pasta Configuration Manager.

Diretrizes de segurança para SQL Server

Configuration Manager usa SQL Server como o banco de dados de back-end. Se o banco de dados estiver comprometido, os invasores poderão ignorar Configuration Manager. Se eles acessarem SQL Server diretamente, eles poderão iniciar ataques por meio de Configuration Manager. Considere que os ataques contra SQL Server são de alto risco e atenuam adequadamente.

Use as diretrizes de segurança a seguir para ajudá-lo a proteger SQL Server para Configuration Manager.

Não use o servidor de banco de dados do site Configuration Manager para executar outros aplicativos SQL Server

Quando você aumenta o acesso ao servidor de banco de dados do site Configuration Manager, essa ação aumenta o risco para seus dados Configuration Manager. Se o banco de dados do site Configuration Manager estiver comprometido, outros aplicativos no mesmo computador SQL Server também serão colocados em risco.

Configurar SQL Server para usar autenticação do Windows

Embora Configuration Manager acesse o banco de dados do site usando uma conta do Windows e autenticação do Windows, ainda é possível configurar SQL Server usar SQL Server modo misto. SQL Server modo misto permite que entradas de SQL Server adicionais acessem o banco de dados. Essa configuração não é necessária e aumenta a superfície de ataque.

Atualizar SQL Server Express em sites secundários

Quando você instala um site primário, Configuration Manager baixa SQL Server Express do Centro de Download da Microsoft. Em seguida, copia os arquivos para o servidor de site primário. Ao instalar um site secundário e selecionar a opção que instala SQL Server Express, Configuration Manager instala a versão baixada anteriormente. Ele não marcar se novas versões estão disponíveis. Para garantir que o site secundário tenha as versões mais recentes, faça uma das seguintes tarefas:

  • Depois de instalar o site secundário, execute Windows Update no servidor de site secundário.

  • Antes de instalar o site secundário, instale manualmente SQL Server Express no servidor de site secundário. Verifique se você instala a versão mais recente e todas as atualizações de software. Em seguida, instale o site secundário e selecione a opção para usar uma instância de SQL Server existente.

Execute periodicamente Windows Update para todas as versões instaladas do SQL Server. Essa prática garante que eles tenham as atualizações de software mais recentes.

Siga as diretrizes gerais para SQL Server

Identifique e siga as diretrizes gerais para sua versão do SQL Server. No entanto, leve em consideração os seguintes requisitos para Configuration Manager:

  • A conta do computador do servidor do site deve ser um membro do grupo Administradores no computador que executa SQL Server. Se você seguir a recomendação SQL Server de "entidades de administrador de provisionamento explicitamente", a conta que você usa para executar a configuração no servidor do site deverá ser membro do grupo SQL Server Usuários.

  • Se você instalar SQL Server usando uma conta de usuário de domínio, verifique se a conta do computador do servidor do site está configurada para um SPN (Nome da Entidade de Serviço) publicado para Active Directory Domain Services. Sem o SPN, a autenticação Kerberos falha e Configuration Manager configuração falha.

Diretrizes de segurança para sistemas de sites que executam o IIS

Várias funções do sistema de sites no Configuration Manager exigem IIS. O processo de proteção do IIS permite que Configuration Manager operem corretamente e reduza o risco de ataques de segurança. Quando prático, minimize o número de servidores que exigem IIS. Por exemplo, execute apenas o número de pontos de gerenciamento necessários para dar suporte à sua base de clientes, levando em consideração a alta disponibilidade e o isolamento de rede para o gerenciamento de clientes baseado na Internet.

Use as diretrizes a seguir para ajudá-lo a proteger os sistemas de site que executam o IIS.

Desabilitar funções do IIS que você não precisa

Instale apenas os recursos mínimos do IIS para a função do sistema de site que você instala. Para obter mais informações, consulte Pré-requisitos do sistema de sites e sites.

Configurar as funções do sistema de site para exigir HTTPS

Quando os clientes se conectam a um sistema de site usando HTTP e não usando HTTPS, eles usam autenticação do Windows. Esse comportamento pode voltar a usar a autenticação NTLM em vez da autenticação Kerberos. Quando a autenticação NTLM é usada, os clientes podem se conectar a um servidor desonesto.

A exceção a essa diretriz pode ser pontos de distribuição. As contas de acesso ao pacote não funcionam quando o ponto de distribuição está configurado para HTTPS. As contas de acesso a pacotes fornecem autorização para o conteúdo, para que você possa restringir quais usuários podem acessar o conteúdo. Para obter mais informações, consulte Diretrizes de segurança para gerenciamento de conteúdo.

Importante

A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.

Configurar uma CTL (lista de confiança de certificado) no IIS para funções do sistema de sites

Funções do sistema de sites:

  • Um ponto de distribuição que você configura para HTTPS

  • Um ponto de gerenciamento que você configura para HTTPS e permite dar suporte a dispositivos móveis

Uma CTL é uma lista definida de CAs (autoridades de certificação raiz confiáveis). Quando você usa uma CTL com política de grupo e uma implantação de PKI (infraestrutura de chave pública), uma CTL permite complementar os CAs raiz confiáveis existentes configurados em sua rede. Por exemplo, CAs que são instaladas automaticamente com o Microsoft Windows ou adicionadas por meio de CAs raiz da empresa do Windows. Quando uma CTL é configurada no IIS, ela define um subconjunto desses CAs raiz confiáveis.

Esse subconjunto fornece mais controle sobre a segurança. A CTL restringe os certificados de cliente que são aceitos apenas para os certificados emitidos da lista de CAs na CTL. Por exemplo, o Windows vem com uma série de certificados de AC conhecidos e de terceiros.

Por padrão, o computador que executa o IIS confia em certificados que são encadeados a esses CAs conhecidos. Quando você não configura o IIS com uma CTL para as funções do sistema de sites listadas, o site aceita como cliente válido qualquer dispositivo que tenha um certificado emitido desses CAs. Se você configurar o IIS com uma CTL que não incluiu esses CAs, o site recusará conexões de cliente, se o certificado for acorrentado a esses CAs. Para que Configuration Manager clientes sejam aceitos para as funções do sistema de sites listadas, você deve configurar o IIS com uma CTL que especifica os CAs usados por clientes Configuration Manager.

Observação

Somente as funções do sistema de site listadas exigem que você configure uma CTL no IIS. A lista de emissores de certificado que Configuration Manager usa para pontos de gerenciamento fornece a mesma funcionalidade para computadores cliente quando eles se conectam aos pontos de gerenciamento HTTPS.

Para obter mais informações sobre como configurar uma lista de CAs confiáveis no IIS, consulte a documentação do IIS.

Não coloque o servidor do site em um computador com IIS

A separação de função ajuda a reduzir o perfil de ataque e melhorar a recuperabilidade. A conta de computador do servidor de site normalmente tem privilégios administrativos em todas as funções do sistema de sites. Ele também pode ter esses privilégios em Configuration Manager clientes, se você usar a instalação por push do cliente.

Usar servidores IIS dedicados para Configuration Manager

Embora você possa hospedar vários aplicativos baseados na Web nos servidores IIS que também são usados por Configuration Manager, essa prática pode aumentar significativamente sua superfície de ataque. Um aplicativo mal configurado poderia permitir que um invasor ganhasse o controle de um sistema de site Configuration Manager. Essa violação pode permitir que um invasor obtenha o controle da hierarquia.

Se você precisar executar outros aplicativos baseados na Web em Configuration Manager sistemas de site, crie um site personalizado para Configuration Manager sistemas de site.

Usar um site personalizado

Para sistemas de sites que executam o IIS, configure Configuration Manager para usar um site personalizado em vez do site padrão. Se você precisar executar outros aplicativos Web no sistema de sites, deverá usar um site personalizado. Essa configuração é uma configuração em todo o site, em vez de uma configuração para um sistema de site específico.

Ao usar sites personalizados, remova os diretórios virtuais padrão

Quando você muda de usar o site padrão para usar um site personalizado, Configuration Manager não remove os diretórios virtuais antigos. Remova os diretórios virtuais que Configuration Manager criados originalmente no site padrão.

Por exemplo, remova os seguintes diretórios virtuais para um ponto de distribuição:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Siga as diretrizes de segurança do Servidor IIS

Identifique e siga as diretrizes gerais para sua versão do IIS Server. Leve em consideração todos os requisitos que Configuration Manager tem para funções específicas do sistema de sites. Para obter mais informações, consulte Pré-requisitos do sistema de sites e sites.

Configurar cabeçalhos personalizados do IIS

Configure os seguintes cabeçalhos personalizados para desabilitar o cheiro mime:

x-content-type-options: nosniff

Para obter mais informações, consulte Cabeçalhos Personalizados.

Se outros serviços usarem a mesma instância do IIS, verifique se esses cabeçalhos personalizados são compatíveis.

Diretrizes de segurança para o ponto de gerenciamento

Os pontos de gerenciamento são a interface primária entre dispositivos e Configuration Manager. Considere os ataques contra o ponto de gerenciamento e o servidor em que ele é executado para ser de alto risco e atenuar adequadamente. Aplique todas as diretrizes de segurança apropriadas e monitore para atividades incomuns.

Use as diretrizes a seguir para ajudar a proteger um ponto de gerenciamento no Configuration Manager.

Atribuir o cliente em um ponto de gerenciamento ao mesmo site

Evite o cenário em que você atribui o Configuration Manager cliente que está em um ponto de gerenciamento a um site diferente do site do ponto de gerenciamento.

Se você migrar de uma versão anterior para Configuration Manager branch atual, migre o cliente no ponto de gerenciamento para o novo site o mais rápido possível.

Diretrizes de segurança para o ponto de status de fallback

Se você instalar um ponto de status de fallback no Configuration Manager, use as seguintes diretrizes de segurança:

Para obter mais informações sobre as considerações de segurança ao instalar um ponto de status de fallback, consulte Determinar se você precisa de um ponto de status de fallback.

Não execute nenhuma outra função no mesmo sistema de sites

O ponto status de fallback foi projetado para aceitar comunicação não autenticada de qualquer computador. Se você executar essa função de sistema de site com outras funções ou um controlador de domínio, o risco para esse servidor aumentará consideravelmente.

Instalar o ponto de status de fallback antes de instalar clientes com certificados PKI

Se Configuration Manager sistemas de site não aceitarem a comunicação do cliente HTTP, talvez você não saiba que os clientes não são gerenciados devido a problemas de certificado relacionados ao PKI. Se você atribuir clientes a um ponto de status de fallback, eles relatarão esses problemas de certificado por meio do ponto de status de fallback.

Por motivos de segurança, você não pode atribuir um fallback status apontar para os clientes depois que eles são instalados. Você só pode atribuir essa função durante a instalação do cliente.

Evite usar o ponto de status de fallback na rede de perímetro

Por design, o ponto status de fallback aceita dados de qualquer cliente. Embora um fallback status ponto na rede de perímetro possa ajudá-lo a solucionar problemas de clientes baseados na Internet, balancee os benefícios de solução de problemas com o risco de um sistema de site que aceita dados não autenticados em uma rede de acesso público.

Se você instalar o fallback status ponto na rede de perímetro ou em qualquer rede não confiável, configure o servidor do site para iniciar transferências de dados. Não use a configuração padrão que permite que o ponto status fallback inicie uma conexão com o servidor do site.

Problemas de segurança para administração de sites

Examine os seguintes problemas de segurança para Configuration Manager:

  • Configuration Manager não tem defesa contra um usuário administrativo autorizado que usa Configuration Manager para atacar a rede. Usuários administrativos não autorizados são um risco de alta segurança. Eles podem iniciar muitos ataques, que incluem as seguintes estratégias:

    • Use a implantação de software para instalar e executar software mal-intencionado automaticamente em cada Configuration Manager computador cliente da organização.

    • Controle remotamente um cliente Configuration Manager sem permissão do cliente.

    • Configure intervalos rápidos de sondagem e quantidades extremas de inventário. Essa ação cria ataques de negação de serviço contra clientes e servidores.

    • Use um site na hierarquia para gravar dados nos dados do Active Directory de outro site.

    A hierarquia do site é o limite de segurança. Considere os sites apenas como limites de gerenciamento.

    Audite todas as atividades administrativas do usuário e examine rotineiramente os logs de auditoria. Exija que todos os usuários administrativos Configuration Manager passem por uma marcar em segundo plano antes de serem contratados. Exigir verificações periódicas como condição de emprego.

  • Se o ponto de registro estiver comprometido, um invasor poderá obter certificados para autenticação. Eles poderiam roubar as credenciais dos usuários que registram seus dispositivos móveis.

    O ponto de registro se comunica com uma AC. Ele pode criar, modificar e excluir objetos do Active Directory. Nunca instale o ponto de registro na rede de perímetro. Monitore sempre para atividades incomuns.

  • Se você permitir políticas de usuário para o gerenciamento de clientes baseado na Internet, aumentará seu perfil de ataque.

    Além de usar certificados PKI para conexões cliente a servidor, essas configurações exigem autenticação do Windows. Eles podem voltar a usar a autenticação NTLM em vez de Kerberos. A autenticação NTLM é vulnerável a ataques de representação e reprodução. Para autenticar com êxito um usuário na Internet, você precisa permitir uma conexão do sistema de sites baseado na Internet para um controlador de domínio.

  • O Administração$ share é necessário nos servidores do sistema do site.

    O servidor do site Configuration Manager usa o Administração$ share para se conectar e fazer operações de serviço em sistemas de site. Não desabilite ou remova esse compartilhamento.

  • Configuration Manager usa serviços de resolução de nomes para se conectar a outros computadores. Esses serviços são difíceis de proteger contra os seguintes ataques de segurança:

    • Spoofing
    • Adulteração
    • Repúdio
    • Divulgação de informações
    • Negação de serviço
    • Elevação de privilégio

    Identifique e siga todas as diretrizes de segurança para a versão do DNS que você usa para resolução de nomes.

Informações de privacidade para descoberta

A descoberta cria registros para recursos de rede e os armazena no banco de dados Configuration Manager. Os registros de dados de descoberta contêm informações de computador, como endereços IP, versões do sistema operacional e nomes de computador. Você também pode configurar métodos de descoberta do Active Directory para retornar todas as informações que sua organização armazena em Active Directory Domain Services.

O único método de descoberta que Configuration Manager habilita por padrão é o Heartbeat Discovery. Esse método só descobre computadores que já têm o software cliente Configuration Manager instalado.

As informações de descoberta não são enviadas diretamente para a Microsoft. Ele é armazenado no banco de dados Configuration Manager. Configuration Manager retém informações no banco de dados até que ele exclua os dados. Esse processo acontece a cada 90 dias pela tarefa de manutenção do site Excluir Dados de Descoberta Envelhecida.