Fundamentos de segurança para o Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Este artigo resume os seguintes componentes fundamentais de segurança de qualquer ambiente do Configuration Manager:

Camadas de segurança

A segurança do Configuration Manager consiste nas seguintes camadas:

Windows Segurança do sistema operacional e da rede

A primeira camada é fornecida por Windows de segurança para o sistema operacional e a rede. Esta camada inclui os seguintes componentes:

  • Compartilhamento de arquivos para transferir arquivos entre componentes do Configuration Manager.

  • Listas de Controle de Acesso (ACLs) para ajudar a proteger arquivos e chaves do Registro.

  • Segurança de Protocolo da Internet (IPsec) para ajudar a proteger as comunicações.

  • Política de grupo para definir política de segurança.

  • Permissões DCOM (Modelo de Objeto de Componente Distribuído) para aplicativos distribuídos, como o console do Configuration Manager.

  • Serviços de Domínio do Active Directory para armazenar entidades de segurança.

  • Windows de conta, incluindo alguns grupos que o Configuration Manager cria durante a instalação.

Infra-estrutura de rede

Componentes de segurança de rede, como firewalls e detecção de intrusão, ajudam a fornecer defesa para todo o ambiente. Certificados emitidos por implementações de PKI (infraestrutura de chave pública) padrão do setor ajudam a fornecer autenticação, assinatura e criptografia.

Controles de segurança do Configuration Manager

Por padrão, somente os administradores locais têm direitos sobre os arquivos e as chaves do Registro que o console do Configuration Manager exige nos computadores em que você o instala.

Provedor de SMS

A próxima camada de segurança se baseia no acesso ao Provedor de SMS. O Provedor de SMS é um componente do Configuration Manager que concede a um usuário acesso para consultar o banco de dados do site para obter informações. O Provedor de SMS expõe principalmente o acesso por meio Windows Instrumentação de Gerenciamento (WMI), mas também uma API REST chamada de serviço de administração.

Por padrão, o acesso ao provedor é restrito aos membros do grupo de Administradores de SMS local. Inicialmente, esse grupo contém apenas o usuário que instalou o Configuration Manager. Para conceder permissão a outras contas ao repositório do Modelo de Informações Comuns (CIM) e ao Provedor de SMS, adicione as outras contas ao grupo administradores de SMS.

Você pode especificar o nível mínimo de autenticação para administradores acessarem sites do Configuration Manager. Esse recurso impõe que os administradores entre no Windows com o nível necessário. Para obter mais informações, consulte Plan for the SMS Provider.

Permissões de banco de dados de site

A camada final de segurança baseia-se em permissões para objetos no banco de dados do site. Por padrão, a conta do Sistema Local e a conta de usuário que você usou para instalar o Configuration Manager podem administrar todos os objetos no banco de dados do site. Conceda e restrinja permissões a outros usuários administrativos no console do Configuration Manager usando a administração baseada em função.

Administração baseada em funções

O Configuration Manager usa a administração baseada em função para ajudar a proteger objetos como coleções, implantações e sites. Esse modelo de administração define e gerencia centralmente as configurações de acesso de segurança em toda a hierarquia para todos os sites e configurações de site.

Um administrador atribui funções de segurança a usuários administrativos e permissões de grupo. As permissões são conectadas a diferentes tipos de objeto do Configuration Manager, por exemplo, para criar ou alterar as configurações do cliente.

Os escopos de segurança incluem instâncias específicas de objetos que um usuário administrativo é responsável por gerenciar. Por exemplo, um aplicativo que instala o console do Configuration Manager.

A combinação de funções de segurança, escopos de segurança e coleções define os objetos que um usuário administrativo pode exibir e gerenciar. O Configuration Manager instala algumas funções de segurança padrão para tarefas de gerenciamento típicas. Crie suas próprias funções de segurança para dar suporte aos seus requisitos comerciais específicos.

Para obter mais informações, consulte Fundamentos da administração baseada em função.

Proteger pontos de extremidade do cliente

O Configuration Manager garante a comunicação do cliente com funções do sistema de site usando certificados PKI ou auto-assinados ou tokens Azure Active Directory (Azure AD). Alguns cenários exigem o uso de certificados PKI. Por exemplo, gerenciamento de clientebaseado na Internet e para clientes de dispositivo móvel.

Você pode configurar as funções do sistema de site às quais os clientes se conectam para comunicação de cliente HTTPS ou HTTP. Os computadores cliente sempre se comunicam usando o método mais seguro disponível. Os computadores cliente só voltarão a usar o método de comunicação menos seguro se você tiver funções de sistemas de site que permitem a comunicação HTTP.

Importante

A partir do Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preterido. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Enable the site for HTTPS-only or enhanced HTTP.

Para obter mais informações, consulte Plan for security.

Contas e grupos do Configuration Manager

O Configuration Manager usa a conta do Sistema Local para a maioria das operações do site. Algumas operações de site permitem o uso de uma conta de serviço, em vez de usar a conta de computador de domínio do servidor do site. Algumas tarefas de gerenciamento podem exigir que você crie e mantenha outras contas. Por exemplo, para ingressar no domínio durante uma sequência de tarefas de implantação do sistema operacional.

O Configuration Manager cria vários grupos padrão e funções SQL Server durante a instalação. Talvez seja preciso adicionar manualmente contas de computador ou usuário aos grupos padrão e SQL Server funções.

Para obter mais informações, consulte Contas usadas no Configuration Manager.

Privacidade

Antes de implementar o Configuration Manager, considere seus requisitos de privacidade. Embora os produtos de gerenciamento empresarial ofereçam muitas vantagens porque podem gerenciar efetivamente muitos clientes, esse software pode afetar a privacidade dos usuários em sua organização. O Configuration Manager inclui muitas ferramentas para coletar dados e monitorar dispositivos. Algumas ferramentas podem levantar preocupações de privacidade em sua organização.

Por exemplo, quando você instala o cliente do Configuration Manager, ele habilita várias configurações de gerenciamento por padrão. Essa configuração faz com que o software cliente envie informações para o site do Configuration Manager. O site armazena informações do cliente no banco de dados do site. As informações do cliente não são enviadas diretamente para a Microsoft. Para obter mais informações, consulte Diagnóstico e dados de uso.

Próximas etapas

Fundamentos da administração baseada em função

Planejar a segurança