Planejar a segurança no Configuration ManagerPlan for security in Configuration Manager

Aplica-se a: System Center Configuration Manager (Branch Atual)Applies to: System Center Configuration Manager (Current Branch)

Este artigo descreve os conceitos a serem consideradas ao planejar a segurança com a implementação do Configuration Manager.This article describes the concepts for you to consider when planning for security with your Configuration Manager implementation. Ele inclui as seguintes seções:It includes the following sections:

Planejar certificados (autoassinados e PKI)Plan for certificates (self-signed and PKI)

O Configuration Manager usa uma combinação de certificados autoassinados e certificados PKI (infraestrutura de chave pública).Configuration Manager uses a combination of self-signed certificates and public key infrastructure (PKI) certificates.

Use certificados PKI sempre que possível.Use PKI certificates whenever possible. Para obter mais informações, veja requisitos de certificado PKI.For more information, see PKI certificate requirements. Quando o Configuration Manager solicita os certificados PKI durante o registro de dispositivos móveis, você precisa usar o Active Directory Domain Services e uma autoridade de certificação corporativa.When Configuration Manager requests PKI certificates during enrollment for mobile devices, you must use Active Directory Domain Services and an enterprise certification authority. Para todos os outros certificados PKI, implante e gerencie-os independentemente do Configuration Manager.For all other PKI certificates, deploy and manage them independently from Configuration Manager.

Certificados PKI são solicitados quando computadores cliente conectam-se a sistemas de site baseados na Internet.PKI certificates are required when client computers connect to internet-based site systems. Alguns cenários com o gateway de gerenciamento de nuvem e o ponto de distribuição de nuvem também exigem certificados PKI.Some scenarios with the cloud management gateway and cloud distribution point also require PKI certificates. Para obter mais informações, veja Gerenciar clientes na Internet.For more information, see Manage clients on the internet.

Quando você usa uma PKI, também pode usar IPsec para ajudar a proteger a comunicação de servidor para servidor entre sistemas de sites em um site, entre sites e para outras transferências de dados entre computadores.When you use a PKI, you can also use IPsec to help secure the server-to-server communication between site systems in a site, between sites, and for other data transfer between computers. A implementação do IPsec é independente do Configuration Manager.Implementation of IPsec is independent from Configuration Manager.

Quando certificados PKI não estiverem disponíveis, o Configuration Manager gerará certificados autoassinados automaticamente.When PKI certificates aren't available, Configuration Manager automatically generates self-signed certificates. Alguns certificados no Configuration Manager são sempre autoassinados.Some certificates in Configuration Manager are always self-signed. Na maioria dos casos, o Configuration Manager gerencia automaticamente os certificados autoassinados e você não precisa tomar medidas adicionais.In most cases, Configuration Manager automatically manages the self-signed certificates, and you don't have to take additional action. Um exemplo é o certificado de assinatura do servidor do site.One example is the site server signing certificate. Esse certificado é sempre autoassinado.This certificate is always self-signed. Ele garante que as políticas que os clientes baixam do ponto de gerenciamento tenham sido enviadas do servidor do site e que não tenham sido violadas.It makes sure that the policies that clients download from the management point were sent from the site server and weren't tampered with.

Criptografia: Certificados CNG (Cryptography Next Generation)Cryptography: Next Generation (CNG) certificates

O Configuration Manager dá suporte a certificados CNG (Cryptography Next Generation).Configuration Manager supports Cryptography: Next Generation (CNG) certificates. Os clientes do Configuration Manager podem usar o certificado de autenticação de cliente de PKI com chave privada no KSP (provedor de armazenamento de chaves) da CNG.Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). Com o suporte do KSP, os clientes do Configuration Manager dão suporte para chave de privada baseada em hardware, como TPM KSP para certificados de autenticação de cliente de PKI.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates. Para obter mais informações, consulte Visão geral dos certificados CNG.For more information, see CNG certificates overview.

HTTP aprimoradoEnhanced HTTP

Usar comunicação HTTPS é recomendado para todos os caminhos de comunicação do Configuration Manager, mas é um desafio para alguns clientes devido à sobrecarga de gerenciamento de certificados PKI.Using HTTPS communication is recommended for all Configuration Manager communication paths, but is challenging for some customers due to the overhead of managing PKI certificates. A introdução da integração do Azure AD (Azure Active Directory) reduz alguns, mas não todos os requisitos de certificado.The introduction of Azure Active Directory (Azure AD) integration reduces some but not all of the certificate requirements. Da versão 1806 em diante, você pode habilitar o site para usar HTTP aprimorado.Starting in version 1806, you can enable the site to use Enhanced HTTP. Essa configuração dá suporte a HTTPS em sistemas de sites usando uma combinação de certificados autoassinados e o Azure AD.This configuration supports HTTPS on site systems by using a combination of self-signed certificates and Azure AD. Não requer PKI.It doesn't require PKI. Para obter mais informações, confira HTTP aprimorado.For more information, see Enhanced HTTP.

Certificados para CMG e CDPCertificates for CMG and CDP

Gerenciar clientes na Internet por meio do CMG (gateway de gerenciamento de nuvem) e do CDP (ponto de distribuição de nuvem) requer o uso de certificados.Managing clients on the internet via the cloud management gateway (CMG) and cloud distribution point (CDP) requires the use of certificates. O número e o tipo de certificados variam de acordo com seus cenários específicos.The number and type of certificates varies depending upon your specific scenarios. Para obter mais informações, consulte os seguintes artigos:For more information, see the following articles:

Planejar o certificado de autenticação (autoassinado) do servidor do sitePlan for the site server signing certificate (self-signed)

Os clientes podem obter com segurança uma cópia do certificado de autenticação do servidor do site do Active Directory Domain Services e da instalação do cliente por push.Clients can securely get a copy of the site server signing certificate from Active Directory Domain Services and from client push installation. Se os clientes não puderem obter uma cópia desse certificado por um desses mecanismos, instale-o quando você instalar o cliente.If clients can't get a copy of this certificate by one of these mechanisms, install it when you install the client. Esse processo será especialmente importante se a primeira comunicação do cliente com o site for com um ponto de gerenciamento baseado na Internet.This process is especially important if the client's first communication with the site is with an internet-based management point. Uma vez que esse servidor está conectado a uma rede não confiável, ele está mais vulnerável a ataques.Because this server is connected to an untrusted network, it's more vulnerable to attack. Se você não seguir essa etapa adicional, os clientes baixarão automaticamente uma cópia do certificado de autenticação do servidor do site do ponto de gerenciamento.If you don't take this additional step, clients automatically download a copy of the site server signing certificate from the management point.

Os clientes com segurança não podem obter uma cópia do certificado do servidor do site nos seguintes cenários:Clients can't securely get a copy of the site server certificate in the following scenarios:

  • Você não instala o cliente por push e:You don't install the client by using client push, and:

    • Você não estendeu o esquema do Active Directory para o Configuration Manager.You haven't extended the Active Directory schema for Configuration Manager.

    • Você não publicou o site do cliente no Active Directory Domain Services.You haven't published the client's site to Active Directory Domain Services.

    • O cliente é de uma floresta ou de um grupo de trabalho não confiável.The client is from an untrusted forest or a workgroup.

  • Você está usando o gerenciamento de clientes baseados na Internet e instala o cliente quando ele está na Internet.You're using internet-based client management and you install the client when it's on the internet.

Para instalar clientes com uma cópia do certificado de autenticação do servidor do siteTo install clients with a copy of the site server signing certificate

  1. Localize o certificado de autenticação do servidor do site no servidor do site principal.Locate the site server signing certificate on the primary site server. O certificado é armazenado no repositório de certificados SMS do Windows.The certificate is stored in the SMS certificate store of Windows. Ele tem o nome da Entidade Servidor do Site e o nome amigável Certificado de Assinatura do Servidor do Site.It has the Subject name Site Server and the friendly name, Site Server Signing Certificate.

  2. Exporte o certificado sem a chave privada, armazene o arquivo com segurança e acesse-o apenas de um canal protegido.Export the certificate without the private key, store the file securely, and access it only from a secured channel.

  3. Instale o cliente usando a propriedade Client.msi a seguir: SMSSIGNCERT=<full path and file name>Install the client by using the following client.msi property: SMSSIGNCERT=<full path and file name>

Planejar a revogação de certificados PKIPlan for PKI certificate revocation

Quando você usa certificados PKI com o Configuration Manager, planeje usar uma CRL (lista de certificados revogados).When you use PKI certificates with Configuration Manager, plan for use of a certificate revocation list (CRL). Dispositivos usam a CRL para verificar o certificado no computador que está se conectando.Devices use the CRL to verify the certificate on the connecting computer. CRL é um arquivo que uma AC (autoridade de certificação) cria e assina.The CRL is a file that a certificate authority (CA) creates and signs. Ele tem uma lista de certificados que a AC emitiu, mas revogou.It has a list of certificates that the CA has issued but revoked. Quando um administrador de certificado Revoga os certificados, sua impressão digital é adicionada à CRL.When a certificate administrator revokes certificates, its thumbprint is added to the CRL. Por exemplo, se houver suspeita ou confirmação de comprometimento de um certificado emitido.For example, if an issued certificate is known or suspected to be compromised.

Importante

Como a localização da CRL é adicionada ao certificado quando ele é emitido por uma AC, planeje a CRL antes de implantar os certificados PKI que o Configuration Manager usa.Because the location of the CRL is added to a certificate when a CA issues it, ensure that you plan for the CRL before you deploy any PKI certificates that Configuration Manager uses.

O IIS sempre verifica a CRL quanto a certificados de cliente e você não pode alterar essa configuração no Configuration Manager.IIS always checks the CRL for client certificates, and you can't change this configuration in Configuration Manager. Por padrão, os clientes do Configuration Manager sempre verificam a CRL para os sistemas de sites.By default, Configuration Manager clients always check the CRL for site systems. Desabilite essa configuração especificando uma propriedade do site e especificando uma propriedade CCMSetup.Disable this setting by specifying a site property and by specifying a CCMSetup property.

Computadores que usam a verificação de revogação de certificados, mas não conseguem localizar a CRL, comportam-se como se todos os certificados na cadeia de certificação estivessem revogados.Computers that use certificate revocation checking but can't locate the CRL behave as if all certificates in the certification chain are revoked. Esse comportamento se deve ao fato de não ser possível verificar se os certificados estão na lista de revogação de certificados.This behavior is due to the fact that they can't verify if the certificates are in the certificate revocation list. Nesse cenário, há falha em todas as conexões que requerem certificados e incluem uma verificação de CRL.In this scenario, all connections fail that require certificates and include CRL checking. Vale ressaltar que o cliente do Configuration Manager é executado como SISTEMA LOCAL ao validar se a CRL está acessível navegando até seu local de http.When validating that your CRL is accessible by browsing to its http location, it is important to note that the Configuration Manager client runs as LOCAL SYSTEM. Portanto, pode dar certo testar a acessibilidade de CRL com a execução de um navegador da Web no contexto do usuário, porém a conta de computador pode ser bloqueada ao tentar estabelecer uma conexão http com a mesma URL de CRL devido à solução de filtragem interna da Web.Therefore, testing CRL accessibility with a web browser running under user context may succeed, however the computer account may be blocked when attempting to make an http connection to the same CRL URL due to the internal web filtering solution. Pode ser necessário incluir a URL da CRL na lista de permissões em todas as soluções de filtragem da Web nessa situação.Whitelisting the CRL URL on any web filtering solutions may be necessary in this situation.

Verificar a CRL sempre que um certificado é usado oferece mais segurança contra o uso de um certificado revogado.Checking the CRL every time that a certificate is used offers more security against using a certificate that's revoked. No entanto, introduz um atraso de conexão e processamento adicional no cliente.Although it introduces a connection delay and additional processing on the client. Sua organização pode exigir a verificação de segurança adicional para os clientes na Internet ou em uma rede não confiável.Your organization may require this additional security check for clients on the internet or an untrusted network.

Consulte seus administradores PKI antes de decidir se os clientes do Configuration Manager devem verificar a CRL.Consult your PKI administrators before you decide whether Configuration Manager clients must check the CRL. Em seguida, considere manter essa opção habilitada no Configuration Manager quando as duas condições a seguir forem verdadeiras:Then consider keeping this option enabled in Configuration Manager when both of the following conditions are true:

  • sua infraestrutura de PKI dá suporte a uma CRL e é publicada em um local em que todos os clientes do Configuration Manager podem localizá-la.Your PKI infrastructure supports a CRL, and it's published where all Configuration Manager clients can locate it. Esses clientes podem incluir dispositivos na Internet e aqueles em florestas não confiáveis.These clients might include devices on the internet, and ones in untrusted forests.

  • O requisito de verificar a CRL para cada conexão a um sistema de sites configurado para usar um certificado PKI é maior do que os seguintes requisitos:The requirement to check the CRL for each connection to a site system that's configured to use a PKI certificate is greater than the following requirements:

    • Conexões mais rápidasFaster connections
    • Processamento eficiente no clienteEfficient processing on the client
    • O risco dos clientes não conseguirem se conectar aos servidores caso a CRL não seja localizadaThe risk of clients failing to connect to servers if the CRL cannot be located

Planejar certificados PKI de raiz confiável e a lista de emissores de certificadosPlan for the PKI trusted root certificates and the certificate issuers list

Se os sistemas de site do IIS usam certificados de cliente PKI para autenticação do cliente via HTTP ou para autenticação do cliente e criptografia via HTTPS, você deve importar certificados de AC raiz como uma propriedade do site.If your IIS site systems use PKI client certificates for client authentication over HTTP, or for client authentication and encryption over HTTPS, you might have to import root CA certificates as a site property. Aqui estão os dois cenários:Here are the two scenarios:

  • Você implanta sistemas operacionais usando o Configuration Manager e os pontos de gerenciamento aceitam somente conexões de cliente HTTPS.You deploy operating systems by using Configuration Manager, and the management points only accept HTTPS client connections.

  • Você usa certificados de cliente PKI que não são encadeados a um certificado raiz em que os pontos de gerenciamento confiam.You use PKI client certificates that don't chain to a root certificate that the management points trust.

    Observação

    Ao emitir certificados PKI de clientes da mesma hierarquia de CA que emite os certificados do servidor que você usa para pontos de gerenciamento, você não precisa especificar esse Certificado de Autoridade de Certificação raiz.When you issue client PKI certificates from the same CA hierarchy that issues the server certificates that you use for management points, you don't have to specify this root CA certificate. No entanto, se você usar várias hierarquias de CA e não tiver certeza se elas têm confiança entre si, importe a AC raiz para a hierarquia de CA dos clientes.However, if you use multiple CA hierarchies and you aren't sure whether they trust each other, import the root CA for the clients' CA hierarchy.

Se você precisar importar certificados de AC raiz para o Configuration Manager, exporte-os da AC emissora ou do computador cliente.If you must import root CA certificates for Configuration Manager, export them from the issuing CA or from the client computer. Se você exportar o certificado da AC emissora que também é a AC raiz, lembre-se de não exportar a chave privada.If you export the certificate from the issuing CA that's also the root CA, make sure you don't export the private key. Armazene o arquivo de certificado exportado em um local seguro para impedir a violação.Store the exported certificate file in a secure location to prevent tampering. Você precisa ter acesso ao arquivo ao configurar o site.You need access to the file when you set up the site. Se você acessar o arquivo pela rede, verifique se a comunicação está protegida contra violação usando IPsec.If you access the file over the network, make sure the communication is protected from tampering by using IPsec.

Se algum Certificado de AC raiz que você importa for renovado, você deverá importar o certificado renovado.If any root CA certificate that you import is renewed, you must import the renewed certificate.

Esses certificados de AC raiz importados e o certificado de AC raiz de cada ponto de gerenciamento criam a lista de emissores de certificado que os computadores do Configuration Manager usam das seguintes maneiras:These imported root CA certificates and the root CA certificate of each management point create the certificate issuers list that Configuration Manager computers use in the following ways:

  • Quando clientes se conectam a pontos de gerenciamento, o ponto de gerenciamento verifica se o certificado do cliente está encadeado a um certificado de raiz confiável na lista de emissores de certificado do site.When clients connect to management points, the management point verifies that the client certificate is chained to a trusted root certificate in the site's certificate issuers list. Caso não se encadeie, o certificado será rejeitado e ocorrerá falha na conexão PKI.If it doesn't, the certificate is rejected, and the PKI connection fails.

  • Quando clientes selecionam um certificado PKI e têm uma lista de emissores do certificado, eles selecionam um certificado que se encadeie a um certificado de raiz confiável na lista de emissores do certificado.When clients select a PKI certificate and have a certificate issuers list, they select a certificate that chains to a trusted root certificate in the certificate issuers list. Se não houver nenhuma correspondência, o cliente não selecionará um certificado PKI.If there's no match, the client doesn't select a PKI certificate. Para obter mais informações, confira Planejar a seleção de certificado de cliente PKI.For more information, see Plan for PKI client certificate selection.

Planejar a seleção de certificados PKI de clientePlan for PKI client certificate selection

Se os sistemas de sites do IIS usarem certificados PKI de cliente para autenticação via HTTP ou para autenticação do cliente e criptografia via HTTPS, planeje como os clientes Windows selecionarão o certificado a ser usado para o Configuration Manager.If your IIS site systems use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, plan for how Windows clients select the certificate to use for Configuration Manager.

Observação

Alguns dispositivos não dão suporte a um método de seleção de certificado.Some devices don't support a certificate selection method. Em vez disso, eles selecionam automaticamente o primeiro certificado que atende aos requisitos de certificado.Instead, they automatically select the first certificate that fulfills the certificate requirements. Por exemplo, clientes em computadores Mac e dispositivos móveis não dão suporte a um método de seleção de certificado.For example, clients on Mac computers and mobile devices don't support a certificate selection method.

Em muitos casos, a configuração e o comportamento padrão são suficientes.In many cases, the default configuration and behavior is sufficient. O cliente do Configuration Manager em computadores Windows filtra vários certificados usando esses critérios, nessa ordem:The Configuration Manager client on Windows computers filters multiple certificates by using these criteria in this order:

  1. A lista de emissores do certificado: O certificado está encadeado a uma AC raiz que é considerada confiável pelo ponto de gerenciamento.The certificate issuers list: The certificate chains to a root CA that's trusted by the management point.

  2. O certificado está no repositório de certificados padrão Pessoal.The certificate is in the default certificate store of Personal.

  3. O certificado é válido, não revogado e não expirou.The certificate is valid, not revoked, and not expired. A verificação de validade também verifica se a chave privada está acessível.The validity check also verifies that the private key is accessible.

  4. O certificado tem uma funcionalidade de autenticação do cliente ou é emitido para o nome do computador.The certificate has client authentication capability, or it's issued to the computer name.

  5. O certificado tem o período de validade mais longo.The certificate has the longest validity period.

Configure clientes para usarem a lista de emissores do certificado por meio dos seguintes mecanismos:Configure clients to use the certificate issuers list by using the following mechanisms:

  • Publique-o com informações de site do Configuration Manager para o Active Directory Domain Services.Publish it with Configuration Manager site information to Active Directory Domain Services.

  • Instale clientes por push.Install clients by using client push.

  • Os clientes baixam o certificado do ponto de gerenciamento depois de terem sido atribuídos com êxito ao site.Clients download it from the management point after they're successfully assigned to their site.

  • Especifique-o durante a instalação do cliente, como uma propriedade CCMSetup client.msi de CCMCERTISSUERS.Specify it during client installation as a CCMSetup client.msi property of CCMCERTISSUERS.

Clientes que não têm a lista de emissores do certificado quando forem instalados pela primeira vez e ainda não estiverem atribuídos ao site ignoram essa verificação.Clients that don't have the certificate issuers list when they're first installed and aren't yet assigned to the site skip this check. Quando os clientes tiverem a lista de emissores de certificado e não tiverem um certificado de PKI encadeado a um certificado raiz confiável na lista de emissores de certificados, a seleção de certificado falhará.When clients do have the certificate issuers list and don't have a PKI certificate that chains to a trusted root certificate in the certificate issuers list, certificate selection fails. Os clientes não continuam com os outros critérios de seleção de certificado.Clients don't continue with the other certificate selection criteria.

Na maioria dos casos, o cliente do Configuration Manager identifica corretamente um certificado PKI único e apropriado.In most cases, the Configuration Manager client correctly identifies a unique and appropriate PKI certificate. No entanto, quando esse comportamento não for o caso, em vez de selecionar o certificado baseado na funcionalidade de autenticação do cliente, você pode configurar dois métodos de seleção alternativos:However, when this behavior isn't the case, instead of selecting the certificate based on the client authentication capability, you can set up two alternative selection methods:

  • Uma correspondência parcial de cadeia de caracteres no nome da entidade do certificado do cliente.A partial string match on the client certificate subject name. Esse método é uma correspondência que não diferencia maiúsculas de minúsculas.This method is a case-insensitive match. É apropriado se você está usando o FQDN (nome de domínio totalmente qualificado) de um computador no campo da entidade e deseja que a seleção do certificado seja baseada no sufixo do domínio, por exemplo, contoso.com.It's appropriate if you're using the fully qualified domain name (FQDN) of a computer in the subject field and want the certificate selection to be based on the domain suffix, for example contoso.com. Entretanto, você pode usar esse método de seleção para identificar alguma cadeia de caracteres sequencial no nome da entidade do certificado que diferencia o certificado dos outros no repositório de certificados do cliente.However, you can use this selection method to identify any string of sequential characters in the certificate subject name that differentiates the certificate from others in the client certificate store.

    Observação

    Você não pode usar a correspondência parcial de cadeia de caracteres com o SAN (nome alternativo da entidade) como uma configuração do site.You can't use the partial string match with the subject alternative name (SAN) as a site setting. Embora você possa especificar uma correspondência parcial de cadeia de caracteres para o SAN usando CCMSetup, ela será substituída pelas propriedades do site nos seguintes cenários:Although you can specify a partial string match for the SAN by using CCMSetup, it'll be overwritten by the site properties in the following scenarios:

    • Clientes recuperam informações do site que são publicadas no Active Directory Domain Services.Clients retrieve site information that's published to Active Directory Domain Services.

      • Clientes são instalados por push.Clients are installed by using client push installation.

      Use uma correspondência parcial de cadeia de caracteres na SAN somente ao instalar clientes manualmente e quando eles não recuperarem informações de site do Active Directory Domain Services.Use a partial string match in the SAN only when you install clients manually and when they don't retrieve site information from Active Directory Domain Services. Por exemplo, essas condições só se aplicam a clientes da Internet.For example, these conditions apply to internet-only clients.

  • Uma correspondência nos valores de atributo de nome da entidade do certificado do cliente ou valores de atributo da SAN (nome alternativo da entidade).A match on the client certificate subject name attribute values or the subject alternative name (SAN) attribute values. Esse método é uma correspondência que diferencia maiúsculas de minúsculas.This method is a case-sensitive match. Será apropriado se você estiver usando um nome diferenciado X500 ou OIDs (identificadores de objeto) equivalentes em conformidade com a RFC 3280 e se desejar que a seleção do certificado seja baseada em valores de atributos.It's appropriate if you're using an X500 distinguished name or equivalent object identifiers (OIDs) in compliance with RFC 3280, and you want the certificate selection to be based on the attribute values. Você só pode especificar os atributos e seus valores necessários para identificar ou validar com exclusividade o certificado e diferenciá-lo de outros no armazenamento de certificados.You can specify only the attributes and their values that you require to uniquely identify or validate the certificate and differentiate the certificate from others in the certificate store.

A tabela a seguir mostra os valores de atributo a que o Configuration Manager dá suporte como critérios de seleção de certificados do cliente.The following table shows the attribute values that Configuration Manager supports for the client certificate selection criteria.

Atributo OIDOID Attribute Atributo de nome diferenciadoDistinguished name attribute Definição de atributoAttribute definition
0.9.2342.19200300.100.1.250.9.2342.19200300.100.1.25 DCDC Componente do domínioDomain component
1.2.840.113549.1.9.11.2.840.113549.1.9.1 E ou emailE or E-mail Endereço de emailEmail address
2.5.4.32.5.4.3 CNCN Nome comumCommon name
2.5.4.42.5.4.4 SNSN Nome da entidadeSubject name
2.5.4.52.5.4.5 SERIALNUMBERSERIALNUMBER Número de sérieSerial number
2.5.4.62.5.4.6 CC Código do paísCountry code
2.5.4.72.5.4.7 LL LocalidadeLocality
2.5.4.82.5.4.8 S ou STS or ST Nome do estado ou provínciaState or province name
2.5.4.92.5.4.9 RUASTREET EndereçoStreet address
2.5.4.102.5.4.10 OO Nome da organizaçãoOrganization name
2.5.4.112.5.4.11 OUOU Unidade organizacionalOrganizational unit
2.5.4.122.5.4.12 T ou TítuloT or Title TítuloTitle
2.5.4.422.5.4.42 G ou GN ou GivenNameG or GN or GivenName NomeGiven name
2.5.4.432.5.4.43 I ou IniciaisI or Initials IniciaisInitials
2.5.29.172.5.29.17 (nenhum valor)(no value) Nome alternativo da entidadeSubject Alternative Name

Se mais de um certificado apropriado for localizado após a aplicação dos critérios de seleção, você poderá substituir a configuração padrão para selecionar o certificado que tem o período de validade mais longo e, em vez disso, especificar que nenhum certificado foi selecionado.If more than one appropriate certificate is located after the selection criteria are applied, you can override the default configuration to select the certificate that has the longest validity period and instead, specify that no certificate is selected. Nesse cenário, o cliente não será capaz de se comunicar com sistemas de site IIS com um certificado PKI.In this scenario, the client won't be able to communicate with IIS site systems with a PKI certificate. O cliente envia uma mensagem de erro ao seu ponto de status de fallback atribuído para alertá-lo sobre a falha na seleção do certificado para que você possa alterar ou aperfeiçoar seus critérios de seleção.The client sends an error message to its assigned fallback status point to alert you to the certificate selection failure so that you can change or refine your certificate selection criteria. O comportamento do cliente, então, depende se a falha da conexão foi em HTTPS ou HTTP:The client behavior then depends on whether the failed connection was over HTTPS or HTTP:

  • Se a conexão falhou em HTTPS: O cliente tenta fazer uma conexão via HTTP e usa seu certificado autoassinado.If the failed connection was over HTTPS: The client tries to connect over HTTP and uses the client self-signed certificate.

  • Se a conexão falhou em HTTP: O cliente tenta fazer uma conexão novamente via HTTP usando o certificado autoassinado do cliente.If the failed connection was over HTTP: The client tries to connect again over HTTP by using the self-signed client certificate.

Para ajudar a identificar um certificado PKI único de cliente, você também pode especificar um repositório personalizado, diferente do padrão Pessoal no repositório do Computador.To help identify a unique PKI client certificate, you can also specify a custom store other than the default of Personal in the Computer store. No entanto, você deve criar esse repositório independentemente do Configuration Manager.However, you must create this store independently from Configuration Manager. Você deve ser capaz de implantar certificados neste repositório personalizado e renová-los antes que o período de validade expire.You must be able to deploy certificates to this custom store and renew them before the validity period expires.

Para obter mais informações, confira Definir as configurações para certificados PKI do cliente.For more information, see Configure settings for client PKI certificates.

Planejar uma estratégia de transição para certificados PKI e gerenciamento de clientes baseados na InternetPlan a transition strategy for PKI certificates and internet-based client management

As opções de configuração flexíveis do Configuration Manager permitem que você faça a transição gradual dos clientes e do site para usar certificados PKI e ajudar a proteger os pontos de extremidade do cliente.The flexible configuration options in Configuration Manager let you gradually transition clients and the site to use PKI certificates to help secure client endpoints. Os certificados PKI fornecem maior segurança e permitem gerenciar os clientes da Internet.PKI certificates provide better security and enable you to manage internet clients.

Devido ao grande número de escolhas e opções de configuração no Configuration Manager, não há uma maneira única de fazer a transição de um site de forma que todos os clientes usem conexões HTTPS.Because of the number of configuration options and choices in Configuration Manager, there's no single way to transition a site so that all clients use HTTPS connections. No entanto, você pode seguir estas etapas como orientação:However, you can follow these steps as guidance:

  1. Instale o site do Configuration Manager e configure-o de modo que os sistemas de sites aceitem conexões de clientes via HTTPS e HTTP.Install the Configuration Manager site and configure it so that site systems accept client connections over HTTPS and HTTP.

  2. Configure a guia Comunicação do Computador Cliente nas propriedades do site para que as Configurações do Sistema de Sites sejam HTTP ou HTTPS, e selecione Usar certificado de cliente PKI (funcionalidade de autenticação de cliente) quando disponível.Configure the Client Computer Communication tab in the site properties so that the Site System Settings is HTTP or HTTPS, and select Use PKI client certificate (client authentication capability) when available. Para obter mais informações, confira Definir as configurações para certificados PKI do cliente.For more information, see Configure settings for client PKI certificates.

    Observação

    A partir da versão 1906, essa guia é chamada Segurança da Comunicação.Starting in version 1906, this tab is called Communication Security.

  3. Coordene uma distribuição de PKI para certificados de cliente.Pilot a PKI rollout for client certificates. Para um exemplo de implantação, confira Implantar o certificado do cliente para computadores Windows.For an example deployment, see Deploy the client certificate for Windows computers.

  4. Instale clientes usando o método de instalação por push do cliente.Install clients by using the client push installation method. Para obter mais informações, confira Como instalar clientes do Configuration Manager por push.For more information, see the How to install Configuration Manager clients by using client push.

  5. Monitore a implantação e o status do cliente usando os relatórios e as informações no console do Configuration Manager.Monitor client deployment and status by using the reports and information in the Configuration Manager console.

  6. Controle quantos clientes estão usando um certificado PKI de cliente visualizando a coluna Certificado do Cliente no workspace Ativos e Conformidade, nó Dispositivos.Track how many clients are using a client PKI certificate by viewing the Client Certificate column in the Assets and Compliance workspace, Devices node.

    Você também pode implantar a Ferramenta de Avaliação de Prontidão do Configuration Manager HTTPS (cmHttpsReadiness.exe) nos computadores.You can also deploy the Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe) to computers. Em seguida, use os relatórios para exibir o número de computadores que podem usar um certificado PKI de cliente com o Configuration Manager.Then use the reports to view how many computers can use a client PKI certificate with Configuration Manager.

    Observação

    Quando você instala o cliente do Configuration Manager, ele instala a ferramenta CMHttpsReadiness.exe na pasta %windir%\CCM.When you install the Configuration Manager client, it installs the CMHttpsReadiness.exe tool in the %windir%\CCM folder. As opções de linha de comando a seguir estão disponíveis quando você executa esta ferramenta:The following command-line options are available when you run this tool:

    • /Store:<name>: Essa opção é igual à propriedade client.msi CCMCERTSTORE/Store:<name>: This option is the same as the CCMCERTSTORE client.msi property

    • /Issuers:<list>: Essa opção é igual à propriedade client.msi CCMCERTISSUERS/Issuers:<list>: This option is the same as the CCMCERTISSUERS client.msi property

    • /Criteria:<criteria>: Essa opção é igual à propriedade client.msi CCMCERTSEL/Criteria:<criteria>: This option is the same as the CCMCERTSEL client.msi property

    • /SelectFirstCert: Essa opção é igual à propriedade client.msi CCMFIRSTCERT/SelectFirstCert: This option is the same as the CCMFIRSTCERT client.msi property

      Para obter mais informações, veja Sobre propriedades de instalação do cliente.For more information, see About client installation properties.

  7. Quando estiver confiante de que um número suficiente de clientes está usando com sucesso o certificado PKI de cliente para autenticação via HTTP, siga essas etapas:When you're confident that enough clients are successfully using their client PKI certificate for authentication over HTTP, follow these steps:

    1. Implante um certificado do servidor Web de PKI em um servidor membro que execute um ponto de gerenciamento adicional para o site e configure o certificado no IIS.Deploy a PKI web server certificate to a member server that runs an additional management point for the site, and configure that certificate in IIS. Para obter mais informações, confira Implantar o certificado do servidor Web para sistemas de sites que executam o IIS.For more information, see Deploy the web server certificate for site systems that run IIS.

    2. Instale a função de ponto de gerenciamento no servidor e configure a opção Conexões de Cliente nas propriedades do ponto de gerenciamento de HTTPS.Install the management point role on this server and configure the Client connections option in the management point properties for HTTPS.

  8. Monitore e verifique se os clientes que têm um certificado PKI usam o novo ponto de gerenciamento ao usar o HTTPS.Monitor and verify that clients that have a PKI certificate use the new management point by using HTTPS. Você pode usar o registro em log do IIS ou contadores de desempenho para verificar.You can use IIS logging or performance counters to verify.

  9. Reconfigure as outras funções de sistema de site para usar conexões de cliente HTTPS.Reconfigure other site system roles to use HTTPS client connections. Se você quiser gerenciar clientes na Internet, verifique se os sistemas de site têm um FQDN de Internet.If you want to manage clients on the internet, make sure that site systems have an internet FQDN. Configure pontos de gerenciamento individuais e pontos de distribuição para aceitar conexões de clientes da Internet.Configure individual management points and distribution points to accept client connections from the internet.

    Importante

    Antes de configurar as funções do sistema de sites para aceitar conexões da Internet, examine as informações de planejamento e os pré-requisitos para gerenciamento de clientes baseados na Internet.Before you set up site system roles to accept connections from the internet, review the planning information and prerequisites for internet-based client management. Para obter mais informações, veja Comunicações entre pontos de extremidade.For more information, see Communications between endpoints.

  10. Estenda a distribuição de certificado PKI de clientes e sistemas de sites que executam o IIS.Extend the PKI certificate rollout for clients and for site systems that run IIS. Configure as funções do sistema de site para conexões de cliente HTTPS e conexões de Internet conforme necessário.Set up the site system roles for HTTPS client connections and internet connections, as required.

  11. Para a maior segurança: Quando estiver seguro de que todos os clientes estão usando um certificado PKI de cliente para autenticação e criptografia, altere as propriedades do site para usar somente HTTPS.For the highest security: When you're confident that all clients are using a client PKI certificate for authentication and encryption, change the site properties to use HTTPS only.

    Esse plano primeiro apresenta certificados PKI para autenticação somente via HTTP e, em seguida, para autenticação e criptografia via HTTPS.This plan first introduces PKI certificates for authentication only over HTTP, and then for authentication and encryption over HTTPS. Quando você segue esse plano para introduzir gradualmente esses certificados, pode reduzir o risco de os clientes se tornarem não gerenciados.When you follow this plan to gradually introduce these certificates, you reduce the risk that clients become unmanaged. Você também se beneficia da maior segurança à qual o Configuration Manager dá suporte.You'll also benefit from the highest security that Configuration Manager supports.

Planejar a chave de raiz confiávelPlan for the trusted root key

A chave de raiz confiável do Configuration Manager fornece um mecanismo para os clientes do Configuration Manager verificarem se os sistemas de sites pertencem à sua hierarquia.The Configuration Manager trusted root key provides a mechanism for Configuration Manager clients to verify site systems belong to their hierarchy. Cada servidor de site gera uma chave de troca de site para se comunicar com outros sites.Every site server generates a site exchange key to communicate with other sites. A chave de troca do site de nível superior na hierarquia é chamada de chave de raiz confiável.The site exchange key from the top-level site in the hierarchy is called the trusted root key.

A função da chave raiz confiável no Configuration Manager é semelhante a um certificado raiz em uma infraestrutura de chave pública.The function of the trusted root key in Configuration Manager resembles a root certificate in a public key infrastructure. Qualquer item assinado pela chave privada da chave de raiz confiável tem confiança mais abaixo na hierarquia.Anything signed by the private key of the trusted root key is trusted further down the hierarchy. Os clientes armazenam uma cópia da chave de raiz confiável do site na root\ccm\locationservices namespace WMI.Clients store a copy of the site's trusted root key in the root\ccm\locationservices WMI namespace.

Por exemplo, o site emite um certificado para o ponto de gerenciamento, que ele assina com a chave privada da chave de raiz confiável.For example, the site issues a certificate to the management point, which it signs with the private key of the trusted root key. O site compartilha com os clientes a chave pública de sua chave de raiz confiável.The site shares with clients the public key of its trusted root key. Então os clientes podem diferenciar entre os pontos de gerenciamento que estão em sua hierarquia e os pontos de gerenciamento que não estão em sua hierarquia.Then clients can differentiate between management points that are in their hierarchy and management points that aren't in their hierarchy.

Os clientes recuperam automaticamente a cópia pública da chave de raiz confiável usando dois mecanismos:Clients automatically retrieve the public copy of the trusted root key by using two mechanisms:

  • Você estende o esquema do Active Directory para Configuration Manager e publica o site no Active Directory Domain Services.You extend the Active Directory schema for Configuration Manager, and publish the site to Active Directory Domain Services. Em seguida, os clientes recuperam informações do site de um servidor de catálogo global.Then clients retrieve this site information from a global catalog server. Para obter mais informações, consulte Preparar o Active Directory para publicação de sites.For more information, see Prepare Active Directory for site publishing.

  • Quando você instala clientes usando o método de instalação do cliente por push.When you install clients using the client push installation method. Para saber mais, confira Instalação no cliente por push.For more information, see Client push installation.

Se os clientes não puderem recuperar a chave de raiz confiável usando um desses mecanismos, eles confiarão na chave de raiz confiável fornecida pelo primeiro ponto de gerenciamento com o qual se comunicarem.If clients can't retrieve the trusted root key by using one of these mechanisms, they trust the trusted root key that's provided by the first management point that they communicate with. Neste cenário, um cliente pode ser direcionado erroneamente para um ponto de gerenciamento de um invasor, em que receberia a política do ponto de gerenciamento não autorizado.In this scenario, a client might be misdirected to an attacker's management point where it would receive policy from the rogue management point. Esta ação requer um invasor sofisticado.This action requires a sophisticated attacker. Esse ataque é limitado ao curto tempo antes de o cliente recuperar a chave raiz confiável de um ponto de gerenciamento válido.This attack is limited to the short time before the client retrieves the trusted root key from a valid management point. Para reduzir esse risco de um invasor direcionar clientes para um ponto de gerenciamento invasor, pré-provisione os clientes com a chave de raiz confiável.To reduce this risk of an attacker misdirecting clients to a rogue management point, pre-provision the clients with the trusted root key.

Use os seguintes procedimentos para pré-provisionar e verificar a chave de raiz confiável para um cliente do Configuration Manager:Use the following procedures to pre-provision and verify the trusted root key for a Configuration Manager client:

Pré-provisionar um cliente com a chave de raiz confiável usando um arquivoPre-provision a client with the trusted root key by using a file

  1. No servidor do site, abra o arquivo a seguir em um editor de texto: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Localize a entrada SMSPublicRootKey= .Locate the entry, SMSPublicRootKey=. Copie a chave por meio dessa linha e feche o arquivo sem quaisquer alterações.Copy the key from that line, and close the file without any changes.

  3. Crie um novo arquivo de texto e cole as informações da chave que você copiou do arquivo mobileclient.tcf.Create a new text file, and paste the key information that you copied from the mobileclient.tcf file.

  4. Salve o arquivo em uma localização em que todos os computadores possam acessá-lo, mas em que o arquivo esteja protegido contra violação.Save the file in a location where all computers can access it, but where the file is safe from tampering.

  5. Instale o cliente usando qualquer método de instalação que aceite propriedades client.msi.Install the client by using any installation method that accepts client.msi properties. Especifique a propriedade a seguir: SMSROOTKEYPATH=<full path and file name>Specify the following property: SMSROOTKEYPATH=<full path and file name>

    Importante

    Quando você especifica a chave raiz confiável durante a instalação do cliente, especifique também o código do site.When you specify the trusted root key during client installation, also specify the site code. Use a propriedade de client.msi a seguir: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Pré-provisionar um cliente com a chave de raiz confiável sem usar um arquivoPre-provision a client with the trusted root key without using a file

  1. No servidor do site, abra o arquivo a seguir em um editor de texto: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Localize a entrada SMSPublicRootKey= .Locate the entry, SMSPublicRootKey=. Copie a chave por meio dessa linha e feche o arquivo sem quaisquer alterações.Copy the key from that line, and close the file without any changes.

  3. Instale o cliente usando qualquer método de instalação que aceite propriedades client.msi.Install the client by using any installation method that accepts client.msi properties. Especifique a propriedade client.msi a seguir: SMSPublicRootKey=<key> em que <key> é a cadeia de caracteres que você copiou de mobileclient.tcf.Specify the following client.msi property: SMSPublicRootKey=<key> where <key> is the string that you copied from mobileclient.tcf.

    Importante

    Quando você especifica a chave raiz confiável durante a instalação do cliente, especifique também o código do site.When you specify the trusted root key during client installation, also specify the site code. Use a propriedade de client.msi a seguir: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Verificar a chave de raiz confiável em um clienteVerify the trusted root key on a client

  1. Abra um console do Windows PowerShell como administrador.Open a Windows PowerShell console as an administrator.

  2. Execute o seguinte comando:Run the following command:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

A cadeia de caracteres retornada é a chave de raiz confiável.The returned string is the trusted root key. Verifique se corresponde ao valor SMSPublicRootKey no arquivo mobileclient.tcf no servidor do site.Verify that it matches the SMSPublicRootKey value in the mobileclient.tcf file on the site server.

Remover ou substituir a chave de raiz confiávelRemove or replace the trusted root key

Remova a chave raiz de confiável de um cliente usando a propriedade do client.msi RESETKEYINFORMATION=TRUE.Remove the trusted root key from a client by using the client.msi property, RESETKEYINFORMATION = TRUE.

Para substituir a chave de raiz confiável, reinstale o cliente juntamente com a nova chave de raiz confiável.To replace the trusted root key, reinstall the client together with the new trusted root key. Por exemplo, use o push de cliente ou especifique a propriedade client.msi SMSPublicRootKey.For example, use client push, or specify the client.msi property SMSPublicRootKey.

Para obter mais informações sobre essas propriedades de instalação, confira Sobre os parâmetros e as propriedades de instalação de cliente.For more information on these installation properties, see About client installation parameters and properties.

Planejar assinatura e criptografiaPlan for signing and encryption

Quando você usa certificados PKI para todas as comunicações do cliente, não precisa planejar a assinatura nem a criptografia para ajudar a proteger o cliente na comunicação de dados.When you use PKI certificates for all client communications, you don't have to plan for signing and encryption to help secure client data communication. Se você configurar qualquer sistema de sites que execute IIS para permitir conexões de cliente HTTP, decida como ajudar a proteger a comunicação do cliente com o site.If you set up any site systems that run IIS to allow HTTP client connections, decide how to help secure the client communication for the site.

Para ajudar a proteger os dados que os clientes enviam aos pontos de gerenciamento, é possível exigir que os clientes assinem os dados.To help protect the data that clients send to management points, you can require clients to sign the data. Você também pode exigir o algoritmo SHA-256 para assinatura.You can also require the SHA-256 algorithm for signing. Essa configuração é mais segura, mas não exige o SHA-256, a menos que todos os clientes deem suporte a ele.This configuration is more secure, but don't require SHA-256 unless all clients support it. Muitos sistemas operacionais dão suporte nativo a esse algoritmo, mas os sistemas operacionais mais antigos podem exigir uma atualização ou hotfix.Many operating systems natively support this algorithm, but older operating systems might require an update or hotfix.

Embora a assinatura ajude a proteger os dados contra violação, a criptografia ajuda a proteger os dados contra a divulgação de informações.While signing helps protect the data from tampering, encryption helps protect the data from information disclosure. Você pode habilitar a criptografia de 3DES para dados de inventário e mensagens de estado que os clientes enviam para pontos de gerenciamento no site.You can enable 3DES encryption for the inventory data and state messages that clients send to management points in the site. Você não precisa instalar nenhuma atualização nos clientes para dar suporte a essa opção.You don't have to install any updates on clients to support this option. Os clientes e os pontos de gerenciamento exigem o uso de CPU adicional para criptografia e descriptografia.Clients and management points require additional CPU usage for encryption and decryption.

Para obter mais informação sobre como definir as configurações para assinatura e criptografia, confira Configurar assinatura e criptografia.For more information about how to configure the settings for signing and encryption, see Configure signing and encryption.

Planejar a administração baseada em funçõesPlan for role-based administration

Para obter mais informações, consulte Fundamentos da administração baseada em funções.For more information, see Fundamentals of role-based administration.

Planejar-se para o Azure Active DirectoryPlan for Azure Active Directory

O Configuration Manager integra-se ao Azure AD (Azure Active Directory) para habilitar o site e os clientes a usar autenticação moderna.Configuration Manager integrates with Azure Active Directory (Azure AD) to enable the site and clients to use modern authentication. Integrar seu site com o Azure AD dá suporte aos seguintes cenários do Configuration Manager:Onboarding your site with Azure AD supports the following Configuration Manager scenarios:

ClienteClient

ServidorServer

Para obter mais informações sobre como conectar seu site ao Azure AD, confira Configurar serviços do Azure.For more information on connecting your site to Azure AD, see Configure Azure services.

Para obter mais informações sobre o Azure AD, confira Documentação do Azure Active Directory.For more information about Azure AD, see Azure Active Directory documentation.

Plano para autenticação do provedor de SMSPlan for SMS Provider authentication

Da versão 1810 em diante, você pode especificar o nível mínimo de autenticação para os administradores acessarem sites do Configuration Manager.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Esse recurso faz com que os administradores entrem no Windows com o nível necessário.This feature enforces administrators to sign in to Windows with the required level. Isso se aplica a todos os componentes que acessam o Provedor de SMS.It applies to all components that access the SMS Provider. Por exemplo, o console do Configuration Manager, os métodos do SDK e os cmdlets do Windows PowerShell.For example, the Configuration Manager console, SDK methods, and Windows PowerShell cmdlets.

Essa configuração é uma configuração de toda a hierarquia.This configuration is a hierarchy-wide setting. Antes de alterar essa configuração, verifique se todos os administradores do Configuration Manager podem entrar no Windows com o nível de autenticação necessário.Before you change this setting, make sure that all Configuration Manager administrators can sign in to Windows with the required authentication level.

Os seguintes níveis estão disponíveis:The following levels are available:

  • Autenticação do Windows: Exige autenticação com credenciais de domínio do Active Directory.Windows authentication: Require authentication with Active Directory domain credentials.

  • Autenticação de certificado: Exige autenticação com um certificado válido emitido por uma autoridade de certificação PKI confiável.Certificate authentication: Require authentication with a valid certificate that's issued by a trusted PKI certificate authority.

  • Autenticação do Windows Hello para Empresas: Exige autenticação com autenticação forte de dois fatores que esteja vinculada a um dispositivo e use biometria ou um PIN.Windows Hello for Business authentication: Require authentication with strong two-factor authentication that's tied to a device and uses biometrics or a PIN.

Para obter mais informações, veja Planejar para o provedor de SMS.For more information, see Plan for the SMS Provider.

Consulte tambémSee also