Planejar a segurança no Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Este artigo descreve os seguintes conceitos para você considerar ao planejar a segurança com sua implementação Configuration Manager:

  • Certificados (autoassinado e PKI)

  • A chave raiz confiável

  • Assinatura e criptografia

  • Administração baseada em funções

  • Microsoft Entra ID

  • Autenticação do Provedor de SMS

Antes de começar, verifique se você está familiarizado com os fundamentos da segurança no Configuration Manager.

Certificados

Configuration Manager usa uma combinação de certificados digitais PKI (autoassinados e de infraestrutura de chave pública). Use certificados PKI sempre que possível. Alguns cenários exigem certificados PKI. Quando os certificados PKI não estão disponíveis, o site gera automaticamente certificados autoassinados. Alguns cenários sempre usam certificados autoassinados.

Para obter mais informações, consulte Planejar certificados.

A chave raiz confiável

A chave raiz confiável Configuration Manager fornece um mecanismo para que Configuration Manager clientes verifiquem se os sistemas de site pertencem à hierarquia deles. Cada servidor de site gera uma chave de troca de sites para se comunicar com outros sites. A chave de troca de sites do site de nível superior na hierarquia é chamada de chave raiz confiável.

A função da chave raiz confiável em Configuration Manager se assemelha a um certificado raiz em uma infraestrutura de chave pública. Qualquer coisa assinada pela chave privada da chave raiz confiável é confiável mais abaixo na hierarquia. Os clientes armazenam uma cópia da chave raiz confiável do site no namespace WMI root\ccm\locationservices .

Por exemplo, o site emite um certificado para o ponto de gerenciamento, que ele assina com a chave privada da chave raiz confiável. O site compartilha com clientes a chave pública de sua chave raiz confiável. Em seguida, os clientes podem diferenciar entre pontos de gerenciamento que estão em sua hierarquia e pontos de gerenciamento que não estão em sua hierarquia.

Os clientes obtêm automaticamente a cópia pública da chave raiz confiável usando dois mecanismos:

  • Estenda o esquema do Active Directory para Configuration Manager e publique o site para Active Directory Domain Services. Em seguida, os clientes recuperam essas informações do site de um servidor de catálogo global. Para obter mais informações, consulte Preparar o Active Directory para publicação de sites.

  • Ao instalar clientes usando o método de instalação por push do cliente. Para obter mais informações, consulte Instalação por push do cliente.

Se os clientes não conseguirem a chave raiz confiável usando um desses mecanismos, eles confiarão na chave raiz confiável fornecida pelo primeiro ponto de gerenciamento com o qual se comunicam. Nesse cenário, um cliente pode ser mal direcionado para o ponto de gerenciamento de um invasor em que receberia a política do ponto de gerenciamento desonesto. Essa ação requer um invasor sofisticado. Esse ataque é limitado ao curto período de tempo antes que o cliente recupere a chave raiz confiável de um ponto de gerenciamento válido. Para reduzir esse risco de um invasor redirecionar clientes incorretamente para um ponto de gerenciamento desonesto, pré-provisione os clientes com a chave raiz confiável.

Para obter mais informações e procedimentos para gerenciar a chave raiz confiável, consulte Configurar segurança.

Assinatura e criptografia

Quando você usa certificados PKI para todas as comunicações do cliente, não precisa planejar a assinatura e a criptografia para ajudar a proteger a comunicação de dados do cliente. Se você configurar qualquer sistema de site que execute o IIS para permitir conexões de cliente HTTP, decida como ajudar a proteger a comunicação do cliente para o site.

Importante

A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.

Para ajudar a proteger os dados que os clientes enviam para pontos de gerenciamento, você pode exigir que os clientes assinem os dados. Você também pode exigir o algoritmo SHA-256 para assinatura. Essa configuração é mais segura, mas não requer SHA-256, a menos que todos os clientes a dêem suporte. Muitos sistemas operacionais dão suporte nativo a esse algoritmo, mas sistemas operacionais mais antigos podem exigir uma atualização ou hotfix.

Ao assinar ajuda a proteger os dados contra adulteração, a criptografia ajuda a proteger os dados contra divulgação de informações. Você pode habilitar a criptografia para os dados de inventário e mensagens de estado que os clientes enviam para pontos de gerenciamento no site. Você não precisa instalar nenhuma atualização nos clientes para dar suporte a essa opção. Clientes e pontos de gerenciamento exigem mais uso de CPU para criptografia e descriptografia.

Observação

Para criptografar os dados, o cliente usa a chave pública do certificado de criptografia do ponto de gerenciamento. Somente o ponto de gerenciamento tem a chave privada correspondente, portanto, somente ele pode descriptografar os dados.

O cliente inicializa esse certificado com o certificado de assinatura do ponto de gerenciamento, que ele inicializa com a chave raiz confiável do site. Certifique-se de provisionar com segurança a chave raiz confiável nos clientes. Para obter mais informações, consulte A chave raiz confiável.

Para obter mais informações sobre como configurar as configurações para assinatura e criptografia, consulte Configurar assinatura e criptografia.

Para obter mais informações sobre os algoritmos criptográficos usados para assinatura e criptografia, consulte Referência técnica de controles criptográficos.

Administração baseada em funções

Com Configuration Manager, você usa a administração baseada em função para proteger o acesso que os usuários administrativos precisam usar Configuration Manager. Você também garante acesso aos objetos que gerencia, como coleções, implantações e sites.

Com a combinação de funções de segurança, escopos de segurança e coleções, você segrega as atribuições administrativas que atendem aos requisitos da sua organização. Usados juntos, eles definem o escopo administrativo de um usuário. Esse escopo administrativo controla os objetos que um usuário administrativo exibe no console Configuration Manager e controla as permissões que um usuário tem nesses objetos.

Para obter mais informações, consulte Fundamentos da administração baseada em funções.

Microsoft Entra ID

Configuration Manager se integra ao Microsoft Entra ID para permitir que o site e os clientes usem a autenticação moderna.

Para obter mais informações sobre Microsoft Entra ID, consulte Microsoft Entra documentação.

Integrar seu site com Microsoft Entra ID dá suporte aos seguintes cenários de Configuration Manager:

Cenários do cliente

Cenários de servidor

Autenticação do Provedor de SMS

Você pode especificar o nível mínimo de autenticação para os administradores acessarem Configuration Manager sites. Esse recurso impõe que os administradores entrem no Windows com o nível necessário antes de poderem acessar Configuration Manager. Aplica-se a todos os componentes que acessam o Provedor de SMS. Por exemplo, os cmdlets Configuration Manager console, SDK e Windows PowerShell.

Configuration Manager dá suporte aos seguintes níveis de autenticação:

  • autenticação do Windows: exigir autenticação com credenciais de domínio do Active Directory. Essa configuração é o comportamento anterior e a configuração padrão atual.

  • Autenticação de certificado: exigir autenticação com um certificado válido emitido por uma autoridade de certificado PKI confiável. Você não configura esse certificado no Configuration Manager. Configuration Manager exige que o administrador seja conectado ao Windows usando o PKI.

  • Windows Hello para Empresas autenticação: exigir autenticação com autenticação de dois fatores forte que esteja vinculada a um dispositivo e use biometria ou pin. Para obter mais informações, consulte Windows Hello para Empresas.

    Importante

    Quando você seleciona essa configuração, o provedor de SMS e o serviço de administração exigem que o token de autenticação do usuário contenha uma declaração MFA (autenticação multifator) de Windows Hello para Empresas. Em outras palavras, um usuário do console, SDK, PowerShell ou serviço de administração precisa se autenticar no Windows com seu PIN Windows Hello para Empresas ou biométrico. Caso contrário, o site rejeita a ação do usuário.

    Esse comportamento é para Windows Hello para Empresas, não para Windows Hello.

Para obter mais informações sobre como configurar essa configuração, consulte Configurar a autenticação do Provedor de SMS.

Próximas etapas