Plano de segurança no Gestor de ConfiguraçãoPlan for security in Configuration Manager

Aplica-se a: Gestor de Configuração (ramo atual)Applies to: Configuration Manager (current branch)

Este artigo descreve os conceitos a considerar ao planear a segurança com a implementação do seu Gestor de Configuração.This article describes the concepts for you to consider when planning for security with your Configuration Manager implementation. Ele inclui as seguintes seções:It includes the following sections:

Plano de certificados (auto-assinado e PKI)Plan for certificates (self-signed and PKI)

O Gestor de Configuração utiliza uma combinação de certificados auto-assinados e certificados de infraestrutura de chaves públicas (PKI).Configuration Manager uses a combination of self-signed certificates and public key infrastructure (PKI) certificates.

Utilize os certificados PKI sempre que possível.Use PKI certificates whenever possible. Para mais informações, consulte os requisitos do certificado PKI.For more information, see PKI certificate requirements. Quando o Gestor de Configuração solicitar certificados PKI durante a inscrição para dispositivos móveis, deve utilizar os Serviços de Domínio de Diretório Ativo e uma autoridade de certificação empresarial.When Configuration Manager requests PKI certificates during enrollment for mobile devices, you must use Active Directory Domain Services and an enterprise certification authority. Para todos os outros certificados PKI, desloque-os e gerencie-os independentemente do Gestor de Configuração.For all other PKI certificates, deploy and manage them independently from Configuration Manager.

Os certificados PKI são necessários quando os computadores clientes se ligam aos sistemas de sites baseados na Internet.PKI certificates are required when client computers connect to internet-based site systems. Alguns cenários com o gateway de gestão de nuvem e o ponto de distribuição de nuvem também requerem certificados PKI.Some scenarios with the cloud management gateway and cloud distribution point also require PKI certificates. Para mais informações, consulte Gerir clientes na internet.For more information, see Manage clients on the internet.

Quando utiliza um PKI, também pode utilizar o IPsec para ajudar a proteger a comunicação servidor-servidor entre sistemas de site num site, entre sites e para outras transferências de dados entre computadores.When you use a PKI, you can also use IPsec to help secure the server-to-server communication between site systems in a site, between sites, and for other data transfer between computers. A implementação do IPsec é independente do Gestor de Configuração.Implementation of IPsec is independent from Configuration Manager.

Quando os certificados PKI não estão disponíveis, o Gestor de Configuração gera automaticamente certificados auto-assinados.When PKI certificates aren't available, Configuration Manager automatically generates self-signed certificates. Alguns certificados em 'Gestor de Configuração' são sempre auto-assinados.Some certificates in Configuration Manager are always self-signed. Na maioria dos casos, o Gestor de Configuração gere automaticamente os certificados auto-assinados, e não precisa de tomar medidas adicionais.In most cases, Configuration Manager automatically manages the self-signed certificates, and you don't have to take additional action. Um exemplo é o certificado de assinatura do servidor do site.One example is the site server signing certificate. Este certificado é sempre auto-assinado.This certificate is always self-signed. Certifica-se de que as políticas que os clientes descarregam do ponto de gestão foram enviadas do servidor do site e não foram adulteradas.It makes sure that the policies that clients download from the management point were sent from the site server and weren't tampered with.

Criptografia: Certificados de próxima geração (GNC)Cryptography: Next Generation (CNG) certificates

O Gestor de Configuração suporta a Criptografia: Certificados de Próxima Geração (CNG).Configuration Manager supports Cryptography: Next Generation (CNG) certificates. Os clientes do Gestor de Configuração podem utilizar o certificado de autenticação do cliente PKI com chave privada no Fornecedor de Armazenamento de Chaves CNG (KSP).Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). Com suporte kSP, os clientes do Gestor de Configuração suportam a chave privada baseada em hardware, como tPM KSP para certificados de autenticação de clientes PKI.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates. Para mais informações, consulte a visão geral dos certificados de CNG.For more information, see CNG certificates overview.

HTTP melhoradoEnhanced HTTP

A utilização da comunicação HTTPS é recomendada para todos os caminhos de comunicação do Gestor de Configuração, mas é um desafio para alguns clientes devido à sobrecarga de gestão de certificados PKI.Using HTTPS communication is recommended for all Configuration Manager communication paths, but is challenging for some customers due to the overhead of managing PKI certificates. A introdução da integração do Azure Ative Directory (Azure AD) reduz alguns, mas não todos os requisitos de certificado.The introduction of Azure Active Directory (Azure AD) integration reduces some but not all of the certificate requirements. A partir da versão 1806, pode ativar o site a utilizar http melhorado.Starting in version 1806, you can enable the site to use Enhanced HTTP. Esta configuração suporta HTTPS nos sistemas do site utilizando uma combinação de certificados auto-assinados e AD Azure.This configuration supports HTTPS on site systems by using a combination of self-signed certificates and Azure AD. Não requer PKI.It doesn't require PKI. Para mais informações, consulte O HTTP Melhorado.For more information, see Enhanced HTTP.

Certificados para CMG e CDPCertificates for CMG and CDP

Gerir clientes na internet através do gateway de gestão de nuvem (CMG) e do ponto de distribuição na nuvem (CDP) requer a utilização de certificados.Managing clients on the internet via the cloud management gateway (CMG) and cloud distribution point (CDP) requires the use of certificates. O número e o tipo de certificados variam consoante os seus cenários específicos.The number and type of certificates varies depending upon your specific scenarios. Para mais informações, veja os seguintes tópicos:For more information, see the following articles:

Plano para o certificado de assinatura do servidor do site (auto-assinado)Plan for the site server signing certificate (self-signed)

Os clientes podem obter de forma segura uma cópia do certificado de assinatura do servidor do site dos Serviços de Domínio do Diretório Ativo e da instalação push do cliente.Clients can securely get a copy of the site server signing certificate from Active Directory Domain Services and from client push installation. Se os clientes não conseguirem obter uma cópia deste certificado por um destes mecanismos, instale-o quando instalar o cliente.If clients can't get a copy of this certificate by one of these mechanisms, install it when you install the client. Este processo é especialmente importante se a primeira comunicação do cliente com o site for com um ponto de gestão baseado na Internet.This process is especially important if the client's first communication with the site is with an internet-based management point. Como este servidor está ligado a uma rede não confiável, é mais vulnerável a ataques.Because this server is connected to an untrusted network, it's more vulnerable to attack. Se não der este passo adicional, os clientes descarregam automaticamente uma cópia do certificado de assinatura do servidor do site a partir do ponto de gestão.If you don't take this additional step, clients automatically download a copy of the site server signing certificate from the management point.

Os clientes não podem obter uma cópia segura do certificado do servidor do site nos seguintes cenários:Clients can't securely get a copy of the site server certificate in the following scenarios:

  • Não instala o cliente usando o impulso do cliente, e:You don't install the client by using client push, and:

    • Não estendeu o esquema de Diretório Ativo para Diretor de Configuração.You haven't extended the Active Directory schema for Configuration Manager.

    • Não publicou o site do cliente para os Serviços de Domínio de Diretório Ativo.You haven't published the client's site to Active Directory Domain Services.

    • O cliente pertence a uma floresta ou um grupo de trabalho não fidedigno.The client is from an untrusted forest or a workgroup.

  • Estáa usar a gestão de clientes baseada na Internet e instala o cliente quando está na internet.You're using internet-based client management and you install the client when it's on the internet.

Para instalar clientes com uma cópia do certificado de assinatura do servidor do siteTo install clients with a copy of the site server signing certificate

  1. Localize o certificado de assinatura do servidor do site no servidor principal do site.Locate the site server signing certificate on the primary site server. O certificado está armazenado na loja de certificados SMS do Windows.The certificate is stored in the SMS certificate store of Windows. Tem o servidor do site de nome sujeito e o nome amigável, Certificado de Assinatura do Servidor do Site.It has the Subject name Site Server and the friendly name, Site Server Signing Certificate.

  2. Exportar o certificado sem a chave privada, armazenar o ficheiro de forma segura e acede-o apenas a partir de um canal seguro.Export the certificate without the private key, store the file securely, and access it only from a secured channel.

  3. Instale o cliente utilizando a seguinte propriedade cliente.msi: SMSSIGNCERT=<full path and file name>Install the client by using the following client.msi property: SMSSIGNCERT=<full path and file name>

Plano de revogação do certificado PKIPlan for PKI certificate revocation

Quando utilizar certificados PKI com Gestor de Configuração, planeie a utilização de uma lista de revogação de certificados (CRL).When you use PKI certificates with Configuration Manager, plan for use of a certificate revocation list (CRL). Os dispositivos utilizam o CRL para verificar o certificado no computador de ligação.Devices use the CRL to verify the certificate on the connecting computer. O CRL é um ficheiro que uma autoridade de certificados (CA) cria e assina.The CRL is a file that a certificate authority (CA) creates and signs. Tem uma lista de certificados que a AC emitiu, mas revogado.It has a list of certificates that the CA has issued but revoked. Quando um administrador de certificado revoga os certificados, a sua impressão digital é adicionada ao LCR.When a certificate administrator revokes certificates, its thumbprint is added to the CRL. Por exemplo, se um certificado emitido for conhecido ou se suspeitar de ser comprometido.For example, if an issued certificate is known or suspected to be compromised.

Importante

Uma vez que a localização do CRL é adicionada a um certificado quando um CA o emite, certifique-se de que planeia para o CRL antes de implementar quaisquer certificados PKI que o Gestor de Configuração utilize.Because the location of the CRL is added to a certificate when a CA issues it, ensure that you plan for the CRL before you deploy any PKI certificates that Configuration Manager uses.

O IIS verifica sempre o CRL para obter certificados de cliente, e não pode alterar esta configuração no Gestor de Configuração.IIS always checks the CRL for client certificates, and you can't change this configuration in Configuration Manager. Por padrão, os clientes do Gestor de Configuração verificam sempre o CRL para obter sistemas de site.By default, Configuration Manager clients always check the CRL for site systems. Desative esta definição especificando uma propriedade do site e especificando uma propriedade CCMSetup.Disable this setting by specifying a site property and by specifying a CCMSetup property.

Os computadores que usam a verificação da revogação do certificado mas não conseguem localizar o CRL comportam-se como se todos os certificados da cadeia de certificação fossem revogados.Computers that use certificate revocation checking but can't locate the CRL behave as if all certificates in the certification chain are revoked. Este comportamento deve-se ao facto de não poderem verificar se os certificados estão na lista de revogação do certificado.This behavior is due to the fact that they can't verify if the certificates are in the certificate revocation list. Neste cenário, todas as ligações falham que requerem certificados e incluem verificação de CRL.In this scenario, all connections fail that require certificates and include CRL checking. Ao validar que o seu CRL está acessível navegando para a sua localização http, é importante notar que o cliente do Gestor de Configuração funciona como SISTEMA LOCAL.When validating that your CRL is accessible by browsing to its http location, it is important to note that the Configuration Manager client runs as LOCAL SYSTEM. Por isso, testar a acessibilidade do CRL com um navegador web em execução sob o contexto do utilizador pode ter sucesso, no entanto a conta de computador pode ser bloqueada ao tentar fazer uma ligação http ao mesmo URL CRL devido à solução interna de filtragem web.Therefore, testing CRL accessibility with a web browser running under user context may succeed, however the computer account may be blocked when attempting to make an http connection to the same CRL URL due to the internal web filtering solution. Pode ser necessário a listagem de whitelisting do URL CRL em quaisquer soluções de filtragem web nesta situação.Whitelisting the CRL URL on any web filtering solutions may be necessary in this situation.

Verificar o CRL sempre que um certificado é usado oferece mais segurança contra o uso de um certificado que é revogado.Checking the CRL every time that a certificate is used offers more security against using a certificate that's revoked. Embora introduza um atraso de ligação e processamento adicional no cliente.Although it introduces a connection delay and additional processing on the client. A sua organização pode exigir este controlo de segurança adicional para clientes na internet ou uma rede não confiável.Your organization may require this additional security check for clients on the internet or an untrusted network.

Consulte os seus administradores PKI antes de decidir se os clientes do Gestor de Configuração devem verificar o CRL.Consult your PKI administrators before you decide whether Configuration Manager clients must check the CRL. Em seguida, considere manter esta opção ativada no Gestor de Configuração quando ambas as condições seguintes forem verdadeiras:Then consider keeping this option enabled in Configuration Manager when both of the following conditions are true:

  • A sua infraestrutura PKI suporta um CRL, e é publicado onde todos os clientes do Gestor de Configuração podem localizá-lo.Your PKI infrastructure supports a CRL, and it's published where all Configuration Manager clients can locate it. Estes clientes podem incluir dispositivos na internet, e em florestas não confiáveis.These clients might include devices on the internet, and ones in untrusted forests.

  • A obrigação de verificar o CRL para cada ligação a um sistema de site configurado para utilizar um certificado PKI é maior do que os seguintes requisitos:The requirement to check the CRL for each connection to a site system that's configured to use a PKI certificate is greater than the following requirements:

    • Ligações mais rápidasFaster connections
    • Processamento eficiente no clienteEfficient processing on the client
    • O risco de os clientes não se ligarem aos servidores se o CRL não puder ser localizadoThe risk of clients failing to connect to servers if the CRL cannot be located

Plano para os certificados de raiz fidedignos do PKI e a lista de emitentes de certificadosPlan for the PKI trusted root certificates and the certificate issuers list

Se os seus sistemas de site IIS utilizarem certificados de cliente PKI para autenticação de clientes em HTTP, ou para autenticação e encriptação do cliente em HTTPS, poderá ter de importar certificados ca raiz como propriedade do site.If your IIS site systems use PKI client certificates for client authentication over HTTP, or for client authentication and encryption over HTTPS, you might have to import root CA certificates as a site property. Aqui estão os dois cenários:Here are the two scenarios:

  • Implementa sistemas operativos utilizando o Gestor de Configuração, e os pontos de gestão só aceitam ligações ao cliente HTTPS.You deploy operating systems by using Configuration Manager, and the management points only accept HTTPS client connections.

  • Usa certificados de cliente PKI que não acorrentam a um certificado de raiz que a confiança dos pontos de gestão.You use PKI client certificates that don't chain to a root certificate that the management points trust.

    Nota

    Quando emite certificados PKI cliente da mesma hierarquia ca que emite os certificados de servidor que utiliza para pontos de gestão, não precisa especificar este certificado ca raiz.When you issue client PKI certificates from the same CA hierarchy that issues the server certificates that you use for management points, you don't have to specify this root CA certificate. No entanto, se usar várias hierarquias ca e não tiver certeza se eles confiam uns nos outros, importe a raiz ca para a hierarquia ca dos clientes.However, if you use multiple CA hierarchies and you aren't sure whether they trust each other, import the root CA for the clients' CA hierarchy.

Se tiver de importar certificados ca-raiz para O Gestor de Configuração, exporte-os a partir do CA emissor ou do computador cliente.If you must import root CA certificates for Configuration Manager, export them from the issuing CA or from the client computer. Se exportar o certificado da AC emissora que também é a raiz da AC, certifique-se de que não exporta a chave privada.If you export the certificate from the issuing CA that's also the root CA, make sure you don't export the private key. Guarde o ficheiro de certificado exportado num local seguro para evitar adulterações.Store the exported certificate file in a secure location to prevent tampering. Precisa de acesso ao ficheiro quando configurar o site.You need access to the file when you set up the site. Se aceder ao ficheiro através da rede, certifique-se de que a comunicação está protegida contra adulteração utilizando o IPsec.If you access the file over the network, make sure the communication is protected from tampering by using IPsec.

Se algum certificado de AC raiz que importa for renovado, deve importar o certificado renovado.If any root CA certificate that you import is renewed, you must import the renewed certificate.

Estes certificados ca-raiz importados e o certificado de CA raiz de cada ponto de gestão criam a lista de emitentes de certificados que os computadores do Gestor de Configuração utilizam das seguintes formas:These imported root CA certificates and the root CA certificate of each management point create the certificate issuers list that Configuration Manager computers use in the following ways:

  • Quando os clientes se ligam a pontos de gestão, o ponto de gestão verifica que o certificado de cliente está acorrentado a um certificado de raiz fidedigno na lista de emitentes de certificados do site.When clients connect to management points, the management point verifies that the client certificate is chained to a trusted root certificate in the site's certificate issuers list. Se não o fizer, o certificado é rejeitado e a ligação PKI falha.If it doesn't, the certificate is rejected, and the PKI connection fails.

  • Quando os clientes selecionam um certificado PKI e têm uma lista de emitentes de certificados, selecionam um certificado que se recorrena a um certificado de raiz fidedigno na lista de emitentes de certificados.When clients select a PKI certificate and have a certificate issuers list, they select a certificate that chains to a trusted root certificate in the certificate issuers list. Se não houver correspondência, o cliente não seleciona um certificado PKI.If there's no match, the client doesn't select a PKI certificate. Para mais informações, consulte Plan for PKI client certificate selection.For more information, see Plan for PKI client certificate selection.

Plano para a seleção de certificados de cliente PKIPlan for PKI client certificate selection

Se os sistemas do seu site IIS utilizarem certificados de cliente PKI para autenticação do cliente em HTTP ou para autenticação e encriptação do cliente em HTTPS, planeie como os clientes do Windows selecionam o certificado para utilizar para O Gestor de Configuração.If your IIS site systems use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, plan for how Windows clients select the certificate to use for Configuration Manager.

Nota

Alguns dispositivos não suportam um método de seleção de certificados.Some devices don't support a certificate selection method. Em vez disso, selecionam automaticamente o primeiro certificado que preenche os requisitos do certificado.Instead, they automatically select the first certificate that fulfills the certificate requirements. Por exemplo, os clientes em computadores Mac e dispositivos móveis não suportam um método de seleção de certificados.For example, clients on Mac computers and mobile devices don't support a certificate selection method.

Em muitos casos, a configuração padrão e o comportamento são suficientes.In many cases, the default configuration and behavior is sufficient. O cliente do Gestor de Configuração nos computadores Windows filtra vários certificados utilizando estes critérios nesta ordem:The Configuration Manager client on Windows computers filters multiple certificates by using these criteria in this order:

  1. A lista de emitentes de certificados: As cadeias de certificados para uma raiz ca que é confiada pelo ponto de gestão.The certificate issuers list: The certificate chains to a root CA that's trusted by the management point.

  2. O certificado está no arquivo de certificados predefinido Pessoal.The certificate is in the default certificate store of Personal.

  3. O certificado é válido, não foi revogado e não expirou.The certificate is valid, not revoked, and not expired. O controlo de validade também verifica que a chave privada é acessível.The validity check also verifies that the private key is accessible.

  4. O certificado tem capacidade de autenticação do cliente, ou é emitido para o nome do computador.The certificate has client authentication capability, or it's issued to the computer name.

  5. O certificado tem o período de validade mais longo.The certificate has the longest validity period.

Configure os clientes para utilizar a lista de emitentes de certificados utilizando os seguintes mecanismos:Configure clients to use the certificate issuers list by using the following mechanisms:

  • Publique-o com informações do site do Gestor de Configuração para Serviços de Domínio de Diretório Ativo.Publish it with Configuration Manager site information to Active Directory Domain Services.

  • Instale os clientes utilizando o impulso do cliente.Install clients by using client push.

  • Os clientes descarregam-no do ponto de gestão depois de serem designados com sucesso para o seu site.Clients download it from the management point after they're successfully assigned to their site.

  • Especifique-o durante a instalação do cliente como um cliente CCMSetup.msi propriedade de CCMCERTISSUERS.Specify it during client installation as a CCMSetup client.msi property of CCMCERTISSUERS.

Os clientes que não têm a lista de emitentes de certificados quando são instalados pela primeira vez e ainda não estão designados para o site ignoram este cheque.Clients that don't have the certificate issuers list when they're first installed and aren't yet assigned to the site skip this check. Quando os clientes têm a lista de emitentes de certificados e não têm um certificado PKI que se acorrenta a um certificado de raiz fidedigno na lista de emitentes de certificados, a seleção de certificados falha.When clients do have the certificate issuers list and don't have a PKI certificate that chains to a trusted root certificate in the certificate issuers list, certificate selection fails. Os clientes não continuam com os outros critérios de seleção de certificados.Clients don't continue with the other certificate selection criteria.

Na maioria dos casos, o cliente do Gestor de Configuração identifica corretamente um certificado PKI único e apropriado.In most cases, the Configuration Manager client correctly identifies a unique and appropriate PKI certificate. No entanto, quando este comportamento não for o caso, em vez de selecionar o certificado com base na capacidade de autenticação do cliente, pode configurar dois métodos de seleção alternativos:However, when this behavior isn't the case, instead of selecting the certificate based on the client authentication capability, you can set up two alternative selection methods:

  • Uma correspondência parcial de cordas no nome do certificado de cliente.A partial string match on the client certificate subject name. Este método é uma combinação de casos insensíveis.This method is a case-insensitive match. É apropriado se estiver a usar o nome de domínio totalmente qualificado (FQDN) de um computador no campo de assunto e pretender que a seleção do certificado seja baseada no sufixo de domínio, por exemplo, contoso.com.It's appropriate if you're using the fully qualified domain name (FQDN) of a computer in the subject field and want the certificate selection to be based on the domain suffix, for example contoso.com. No entanto, pode utilizar este método de seleção para identificar qualquer série de caracteres sequenciais no nome do certificado que diferencia o certificado de outros na loja de certificados do cliente.However, you can use this selection method to identify any string of sequential characters in the certificate subject name that differentiates the certificate from others in the client certificate store.

    Nota

    Não é possível utilizar a combinação parcial da corda com o nome alternativo do sujeito (SAN) como uma definição do site.You can't use the partial string match with the subject alternative name (SAN) as a site setting. Embora possa especificar uma correspondência parcial de cordas para o SAN utilizando ccMSetup, será substituído pelas propriedades do site nos seguintes cenários:Although you can specify a partial string match for the SAN by using CCMSetup, it'll be overwritten by the site properties in the following scenarios:

    • Os clientes recuperam informações do site que são publicadas nos Serviços de Domínio de Diretório Ativo.Clients retrieve site information that's published to Active Directory Domain Services.

      • Os clientes são instalados utilizando a instalação push do cliente.Clients are installed by using client push installation.

      Utilize uma correspondência parcial de cordas no SAN apenas quando instalar os clientes manualmente e quando não recuperar informações do site dos Serviços de Domínio do Diretório Ativo.Use a partial string match in the SAN only when you install clients manually and when they don't retrieve site information from Active Directory Domain Services. Por exemplo, estas condições aplicam-se a clientes apenas à Internet.For example, these conditions apply to internet-only clients.

  • Uma correspondência no nome do nome do certificado de cliente ou no nome alternativo do sujeito (SAN) valores de atributo.A match on the client certificate subject name attribute values or the subject alternative name (SAN) attribute values. Este método é uma correspondência sensível a casos.This method is a case-sensitive match. É apropriado se estiver a usar um nome x500 distinto ou identificadores de objetos equivalentes (OIDs) em conformidade com o RFC 3280, e pretende que a seleção do certificado se baseie nos valores do atributo.It's appropriate if you're using an X500 distinguished name or equivalent object identifiers (OIDs) in compliance with RFC 3280, and you want the certificate selection to be based on the attribute values. É possível especificar apenas os atributos e os respetivos valores necessários para identificar ou validar exclusivamente o certificado e distinguir o certificado de outros num arquivo de certificados.You can specify only the attributes and their values that you require to uniquely identify or validate the certificate and differentiate the certificate from others in the certificate store.

A tabela seguinte mostra os valores de atributo que o Gestor de Configuração suporta para os critérios de seleção de certificados de cliente.The following table shows the attribute values that Configuration Manager supports for the client certificate selection criteria.

Atributo OIDOID Attribute Atributo de nome únicoDistinguished name attribute Definição do atributoAttribute definition
0.9.2342.19200300.100.1.250.9.2342.19200300.100.1.25 DCDC Componente do domínioDomain component
1.2.840.113549.1.9.11.2.840.113549.1.9.1 E ou E-mailE or E-mail Endereço de e-mailEmail address
2.5.4.32.5.4.3 CNCN Nome comumCommon name
2.5.4.42.5.4.4 SNSN Nome do requerenteSubject name
2.5.4.52.5.4.5 SERIALNUMBERSERIALNUMBER Número de sérieSerial number
2.5.4.62.5.4.6 CC Código de paísCountry code
2.5.4.72.5.4.7 LL LocalidadeLocality
2.5.4.82.5.4.8 S ou STS or ST Nome do estado ou distritoState or province name
2.5.4.92.5.4.9 STREETSTREET MoradaStreet address
2.5.4.102.5.4.10 OO Nome da organizaçãoOrganization name
2.5.4.112.5.4.11 OUOU Unidade organizacionalOrganizational unit
2.5.4.122.5.4.12 T ou TitleT or Title TitleTitle
2.5.4.422.5.4.42 G ou GN ou GivenNameG or GN or GivenName Nome próprioGiven name
2.5.4.432.5.4.43 I ou InitialsI or Initials IniciaisInitials
2.5.29.172.5.29.17 (sem valor)(no value) Nome Alternativo do RequerenteSubject Alternative Name

Se for em presumido mais de um certificado adequado após a aplicação dos critérios de seleção, pode substituir a configuração predefinida para selecionar o certificado que tem o período de validade mais longo e, em vez disso, especificar que nenhum certificado é selecionado.If more than one appropriate certificate is located after the selection criteria are applied, you can override the default configuration to select the certificate that has the longest validity period and instead, specify that no certificate is selected. Neste cenário, o cliente não poderá comunicar com os sistemas do site IIS com um certificado PKI.In this scenario, the client won't be able to communicate with IIS site systems with a PKI certificate. O cliente envia uma mensagem de erro para o seu ponto de recuo atribuído para alertá-lo para a falha de seleção de certificados para que possa alterar ou aperfeiçoar os critérios de seleção do certificado.The client sends an error message to its assigned fallback status point to alert you to the certificate selection failure so that you can change or refine your certificate selection criteria. Em seguida, o comportamento do cliente depende se a falha de ligação falha através de HTTPS ou HTTP:The client behavior then depends on whether the failed connection was over HTTPS or HTTP:

  • Se a ligação falhada tiver terminado HTTPS: O cliente tenta ligar-se ao HTTP e utiliza o certificado auto-assinado do cliente.If the failed connection was over HTTPS: The client tries to connect over HTTP and uses the client self-signed certificate.

  • Se a ligação falhada foi sobre http: O cliente tenta ligar-se novamente ao HTTP utilizando o certificado de cliente auto-assinado.If the failed connection was over HTTP: The client tries to connect again over HTTP by using the self-signed client certificate.

Para ajudar a identificar um certificado único de cliente PKI, também pode especificar uma loja personalizada que não seja o padrão de Personal na loja de computador.To help identify a unique PKI client certificate, you can also specify a custom store other than the default of Personal in the Computer store. No entanto, deve criar esta loja independentemente do Gestor de Configuração.However, you must create this store independently from Configuration Manager. Deve ser capaz de enviar certificados para esta loja personalizada e renová-los antes que o prazo de validade expire.You must be able to deploy certificates to this custom store and renew them before the validity period expires.

Para mais informações, consulte as definições de Configuração para os certificados PKI do cliente.For more information, see Configure settings for client PKI certificates.

Planeie uma estratégia de transição para certificados PKI e gestão de clientes baseadona na InternetPlan a transition strategy for PKI certificates and internet-based client management

As opções de configuração flexíveis no Gestor de Configuração permitem-lhe transitar gradualmente os clientes e o site para utilizar certificados PKI para ajudar a garantir pontos finais do cliente.The flexible configuration options in Configuration Manager let you gradually transition clients and the site to use PKI certificates to help secure client endpoints. Os certificados PKI proporcionam uma melhor segurança e permitem-lhe gerir os clientes da Internet.PKI certificates provide better security and enable you to manage internet clients.

Devido ao número de opções de configuração e escolhas no Gestor de Configuração, não há uma única forma de transitar um site para que todos os clientes utilizem ligações HTTPS.Because of the number of configuration options and choices in Configuration Manager, there's no single way to transition a site so that all clients use HTTPS connections. No entanto, pode seguir estes passos como orientação:However, you can follow these steps as guidance:

  1. Instale o site do Gestor de Configuração e configure-o de modo a que os sistemas do site aceitem as ligações do cliente em HTTPS e HTTP.Install the Configuration Manager site and configure it so that site systems accept client connections over HTTPS and HTTP.

  2. Configure o separador de comunicação do cliente nas propriedades do site de modo a que as Definições do Sistema do Site seja HTTP ou HTTPS, e selecione Use o certificado de cliente PKI (capacidade de autenticação do cliente) quando disponível.Configure the Client Computer Communication tab in the site properties so that the Site System Settings is HTTP or HTTPS, and select Use PKI client certificate (client authentication capability) when available. Para mais informações, consulte as definições de Configuração para os certificados PKI do cliente.For more information, see Configure settings for client PKI certificates.

    Nota

    A partir da versão 1906, este separador chama-se Segurança da Comunicação.Starting in version 1906, this tab is called Communication Security.

  3. Efetue uma implementação PKI para os certificados de cliente.Pilot a PKI rollout for client certificates. Por exemplo, implementação, consulte Implementar o certificado de cliente para computadores Windows.For an example deployment, see Deploy the client certificate for Windows computers.

  4. Instale clientes utilizando o método de instalação push do cliente.Install clients by using the client push installation method. Para mais informações, consulte o Como instalar clientes do Gestor de Configuração utilizando o impulsodo cliente .For more information, see the How to install Configuration Manager clients by using client push.

  5. Monitorize a implementação e o estado do cliente utilizando os relatórios e informações na consola Do Gestor de Configuração.Monitor client deployment and status by using the reports and information in the Configuration Manager console.

  6. Verifique quantos clientes estão a utilizar um certificado PKI de cliente visualizando a coluna Certificado de Cliente na área de trabalho Ativos e Compatibilidade , nó Dispositivos .Track how many clients are using a client PKI certificate by viewing the Client Certificate column in the Assets and Compliance workspace, Devices node.

    Também pode implementar a Ferramenta de Avaliação de Prontidão HTTPS (cmHttpsReadiness.exe) para computadores.You can also deploy the Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe) to computers. Em seguida, utilize os relatórios para ver quantos computadores podem usar um certificado PKI cliente com ' Configuração Manager.Then use the reports to view how many computers can use a client PKI certificate with Configuration Manager.

    Nota

    Quando instala o cliente Do Gestor de Configuração, instala a ferramenta CMHttpsReadiness.exe na pasta %windir%\CCM.When you install the Configuration Manager client, it installs the CMHttpsReadiness.exe tool in the %windir%\CCM folder. As seguintes opções de linha de comando estão disponíveis quando executa esta ferramenta:The following command-line options are available when you run this tool:

    • /Store:<name>: Esta opção é a mesma que o imóvel ccMCERTSTORE client.msi/Store:<name>: This option is the same as the CCMCERTSTORE client.msi property

    • /Issuers:<list>: Esta opção é a mesma que o imóvel CCMCERTISSUERS client.msi/Issuers:<list>: This option is the same as the CCMCERTISSUERS client.msi property

    • /Criteria:<criteria>: Esta opção é a mesma que o imóvel CCMCERTSEL client.msi/Criteria:<criteria>: This option is the same as the CCMCERTSEL client.msi property

    • /SelectFirstCert: Esta opção é a mesma que o imóvel CCMFIRSTCERT client.msi/SelectFirstCert: This option is the same as the CCMFIRSTCERT client.msi property

      Para mais informações, consulte sobre as propriedades de instalação do cliente.For more information, see About client installation properties.

  7. Quando estiver confiante de que clientes suficientes estão a utilizar com sucesso o certificado PKI do seu cliente para autenticação em HTTP, siga estes passos:When you're confident that enough clients are successfully using their client PKI certificate for authentication over HTTP, follow these steps:

    1. Implemente um certificado de servidor web PKI para um servidor membro que execute um ponto de gestão adicional para o site, e configure esse certificado no IIS.Deploy a PKI web server certificate to a member server that runs an additional management point for the site, and configure that certificate in IIS. Para obter mais informações, consulte A implementação do certificado de servidor web para sistemas de site que executam o IIS.For more information, see Deploy the web server certificate for site systems that run IIS.

    2. Instale a função do ponto de gestão neste servidor e configure a opção Ligações de cliente nas propriedades do ponto de gestão para HTTPS.Install the management point role on this server and configure the Client connections option in the management point properties for HTTPS.

  8. Monitorize e certifique-se de que os clientes que tenham um certificado PKI utilizam o novo ponto de gestão utilizando HTTPS.Monitor and verify that clients that have a PKI certificate use the new management point by using HTTPS. Pode utilizar contadores de registo iIS ou de desempenho para verificar.You can use IIS logging or performance counters to verify.

  9. Reconfigure as outras funções do sistema de site para utilizar ligações de cliente HTTPS.Reconfigure other site system roles to use HTTPS client connections. Se quiser gerir os clientes na internet, certifique-se de que os sistemas de sites têm uma FQDN de internet.If you want to manage clients on the internet, make sure that site systems have an internet FQDN. Configure pontos de gestão individuais e pontos de distribuição para aceitar ligações de clientes a partir da internet.Configure individual management points and distribution points to accept client connections from the internet.

    Importante

    Antes de configurar funções do sistema do site para aceitar ligações a partir da internet, reveja as informações de planeamento e os pré-requisitos para a gestão de clientes baseados na Internet.Before you set up site system roles to accept connections from the internet, review the planning information and prerequisites for internet-based client management. Para mais informações, consulte comunicações entre pontos finais.For more information, see Communications between endpoints.

  10. Alargar o lançamento do certificado PKI para clientes e para sistemas de sites que executam o IIS.Extend the PKI certificate rollout for clients and for site systems that run IIS. Configurar as funções do sistema do site para ligações ao cliente HTTPS e ligações à Internet, conforme necessário.Set up the site system roles for HTTPS client connections and internet connections, as required.

  11. Para a maior segurança: Quando estiver confiante de que todos os clientes estão a usar um certificado PKI cliente para autenticação e encriptação, altere as propriedades do site para utilizar apenas HTTPS.For the highest security: When you're confident that all clients are using a client PKI certificate for authentication and encryption, change the site properties to use HTTPS only.

    Este plano introduz primeiro certificados PKI para autenticação apenas em HTTP, e depois para autenticação e encriptação em HTTPS.This plan first introduces PKI certificates for authentication only over HTTP, and then for authentication and encryption over HTTPS. Ao seguir este plano para introduzir gradualmente estes certificados, reduz-se o risco de os clientes ficarem desgeridos.When you follow this plan to gradually introduce these certificates, you reduce the risk that clients become unmanaged. Também beneficiará da mais alta segurança que o Gestor de Configuração suporta.You'll also benefit from the highest security that Configuration Manager supports.

Plano para a chave raiz de confiançaPlan for the trusted root key

A chave de raiz fidedigna do Gestor de Configuração fornece um mecanismo para os clientes do Gestor de Configuração verificarem que os sistemas de site pertencem à sua hierarquia.The Configuration Manager trusted root key provides a mechanism for Configuration Manager clients to verify site systems belong to their hierarchy. Cada servidor de site gera uma chave de troca de site para comunicar com outros sites.Every site server generates a site exchange key to communicate with other sites. A chave de troca de site do site de nível superior na hierarquia chama-se chave de raiz fidedigna.The site exchange key from the top-level site in the hierarchy is called the trusted root key.

A função da chave raiz fidedigna no Gestor de Configuração assemelha-se a um certificado de raiz numa infraestrutura de chave pública.The function of the trusted root key in Configuration Manager resembles a root certificate in a public key infrastructure. Tudo o que assinado pela chave privada da chave de raiz de confiança é confiado mais abaixo na hierarquia.Anything signed by the private key of the trusted root key is trusted further down the hierarchy. Os clientes armazenam uma cópia da chave raiz fidedigna do site no espaço de nome wMI root\ccm\locationservices.Clients store a copy of the site's trusted root key in the root\ccm\locationservices WMI namespace.

Por exemplo, o site emite um certificado para o ponto de gestão, que assina com a chave privada da chave raiz de confiança.For example, the site issues a certificate to the management point, which it signs with the private key of the trusted root key. O site partilha com os clientes a chave pública da sua chave de raiz de confiança.The site shares with clients the public key of its trusted root key. Depois, os clientes podem diferenciar entre pontos de gestão que estão na sua hierarquia e pontos de gestão que não estão na sua hierarquia.Then clients can differentiate between management points that are in their hierarchy and management points that aren't in their hierarchy.

Os clientes recuperam automaticamente a cópia pública da chave raiz fidedigna utilizando dois mecanismos:Clients automatically retrieve the public copy of the trusted root key by using two mechanisms:

  • Você estende o esquema de Diretório Ativo para Gestor de Configuração, e publica o site para Ative Directory Domain Services.You extend the Active Directory schema for Configuration Manager, and publish the site to Active Directory Domain Services. Em seguida, os clientes recuperam a informação deste site a partir de um servidor de catálogo global.Then clients retrieve this site information from a global catalog server. Para mais informações, consulte Prepare o Diretório Ativo para a publicaçãodo site.For more information, see Prepare Active Directory for site publishing.

  • Quando instala clientes utilizando o método de instalação push do cliente.When you install clients using the client push installation method. Para mais informações, consulte a instalação do impulso do Cliente.For more information, see Client push installation.

Se os clientes não conseguem recuperar a chave de raiz fidedigna usando um destes mecanismos, confiam na chave de raiz de confiança que é fornecida pelo primeiro ponto de gestão com que comunicam.If clients can't retrieve the trusted root key by using one of these mechanisms, they trust the trusted root key that's provided by the first management point that they communicate with. Neste cenário, um cliente pode ser mal direcionado para o ponto de gestão de um intruso onde receberia a política do ponto de gestão fraudulento.In this scenario, a client might be misdirected to an attacker's management point where it would receive policy from the rogue management point. Esta ação requer um agressor sofisticado.This action requires a sophisticated attacker. Este ataque é limitado ao curto espaço de tempo antes de o cliente recuperar a chave raiz de confiança de um ponto de gestão válido.This attack is limited to the short time before the client retrieves the trusted root key from a valid management point. Para reduzir este risco de um intruso que direciona os clientes para um ponto de gestão fraudulento, preforre os clientes com a chave raiz de confiança.To reduce this risk of an attacker misdirecting clients to a rogue management point, pre-provision the clients with the trusted root key.

Utilize os seguintes procedimentos para pré-fornecer e verificar a chave raiz fidedigna para um cliente do Gestor de Configuração:Use the following procedures to pre-provision and verify the trusted root key for a Configuration Manager client:

Pré-fornecer um cliente com a chave raiz de confiança usando um ficheiroPre-provision a client with the trusted root key by using a file

  1. No servidor do site, abra o seguinte ficheiro num editor de texto: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Localize a entrada, SMSPublicRootKey= .Locate the entry, SMSPublicRootKey=. Copie a tecla dessa linha e feche o ficheiro sem alterações.Copy the key from that line, and close the file without any changes.

  3. Crie um novo ficheiro de texto e colhe a informação chave que copiou do ficheiro mobileclient.tcf.Create a new text file, and paste the key information that you copied from the mobileclient.tcf file.

  4. Guarde o ficheiro num local onde todos os computadores possam aceder ao mesmo, mas onde o ficheiro está a salvo de adulteração.Save the file in a location where all computers can access it, but where the file is safe from tampering.

  5. Instale o cliente utilizando qualquer método de instalação que aceite propriedades cliente.msi.Install the client by using any installation method that accepts client.msi properties. Especificar o seguinte imóvel: SMSROOTKEYPATH=<full path and file name>Specify the following property: SMSROOTKEYPATH=<full path and file name>

    Importante

    Quando especificar a chave raiz fidedigna durante a instalação do cliente, especifique também o código do site.When you specify the trusted root key during client installation, also specify the site code. Utilize a seguinte propriedade cliente.msi: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Pré-fornecer um cliente com a chave raiz de confiança sem usar um ficheiroPre-provision a client with the trusted root key without using a file

  1. No servidor do site, abra o seguinte ficheiro num editor de texto: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Localize a entrada, SMSPublicRootKey= .Locate the entry, SMSPublicRootKey=. Copie a tecla dessa linha e feche o ficheiro sem alterações.Copy the key from that line, and close the file without any changes.

  3. Instale o cliente utilizando qualquer método de instalação que aceite propriedades cliente.msi.Install the client by using any installation method that accepts client.msi properties. Especifique a seguinte propriedade cliente.msi: SMSPublicRootKey=<key> onde <key> é a cadeia que copiou de mobileclient.tcf.Specify the following client.msi property: SMSPublicRootKey=<key> where <key> is the string that you copied from mobileclient.tcf.

    Importante

    Quando especificar a chave raiz fidedigna durante a instalação do cliente, especifique também o código do site.When you specify the trusted root key during client installation, also specify the site code. Utilize a seguinte propriedade cliente.msi: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Verifique a chave de raiz de confiança num clienteVerify the trusted root key on a client

  1. Abra uma consola Windows PowerShell como administrador.Open a Windows PowerShell console as an administrator.

  2. Execute o seguinte comando:Run the following command:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

A corda devolvida é a chave de raiz de confiança.The returned string is the trusted root key. Verifique se corresponde ao valor SMSPublicRootKey no ficheiro mobileclient.tcf no servidor do site.Verify that it matches the SMSPublicRootKey value in the mobileclient.tcf file on the site server.

Remova ou substitua a chave raiz fidedignaRemove or replace the trusted root key

Remova a chave de raiz fidedigna de um cliente utilizando a propriedade cliente.msi, RESETKEYINFORMATION = TRUE.Remove the trusted root key from a client by using the client.msi property, RESETKEYINFORMATION = TRUE.

Para substituir a chave de raiz fidedigna, volte a instalar o cliente juntamente com a nova chave raiz fidedigna.To replace the trusted root key, reinstall the client together with the new trusted root key. Por exemplo, utilize o impulso do cliente ou especifique a propriedade cliente.msi SMSPublicRootKey.For example, use client push, or specify the client.msi property SMSPublicRootKey.

Para obter mais informações sobre estas propriedades de instalação, consulte sobre os parâmetros e propriedades de instalação do cliente.For more information on these installation properties, see About client installation parameters and properties.

Plano de assinatura e encriptaçãoPlan for signing and encryption

Quando utiliza certificados PKI para todas as comunicações do cliente, não tem de planear a assinatura e encriptação para ajudar a garantir a comunicação de dados do cliente.When you use PKI certificates for all client communications, you don't have to plan for signing and encryption to help secure client data communication. Se configurar quaisquer sistemas de site que executem o IIS para permitir ligações ao cliente HTTP, decida como ajudar a garantir a comunicação do cliente para o site.If you set up any site systems that run IIS to allow HTTP client connections, decide how to help secure the client communication for the site.

Para ajudar a proteger os dados que os clientes enviam para pontos de gestão, pode exigir que os clientes assinem os dados.To help protect the data that clients send to management points, you can require clients to sign the data. Também pode exigir o algoritmo SHA-256 para assinar.You can also require the SHA-256 algorithm for signing. Esta configuração é mais segura, mas não requer SHA-256 a menos que todos os clientes a suportem.This configuration is more secure, but don't require SHA-256 unless all clients support it. Muitos sistemas operativos suportam de forma nativa este algoritmo, mas os sistemas operativos mais antigos podem necessitar de uma atualização ou hotfix.Many operating systems natively support this algorithm, but older operating systems might require an update or hotfix.

Ao assinar ajuda a proteger os dados de adulteração, a encriptação ajuda a proteger os dados da divulgação de informação.While signing helps protect the data from tampering, encryption helps protect the data from information disclosure. Pode ativar a encriptação 3DES para os dados de inventário e as mensagens de estado que os clientes enviam para os pontos de gestão do site.You can enable 3DES encryption for the inventory data and state messages that clients send to management points in the site. Não é preciso instalar nenhuma atualização nos clientes para suportar esta opção.You don't have to install any updates on clients to support this option. Os clientes e os pontos de gestão requerem uma utilização adicional do CPU para encriptação e desencriptação.Clients and management points require additional CPU usage for encryption and decryption.

Para obter mais informações sobre como configurar as definições para a assinatura e encriptação, consulte a assinatura e encriptação do Configure.For more information about how to configure the settings for signing and encryption, see Configure signing and encryption.

Plano para a administração baseada em funçõesPlan for role-based administration

Para obter mais informações, consulte os fundamentos da administração baseada no papel.For more information, see Fundamentals of role-based administration.

Plano para O Diretório Ativo AzurePlan for Azure Active Directory

O Gestor de Configuração integra-se com o Azure Ative Directory (Azure AD) para permitir que o site e os clientes utilizem a autenticação moderna.Configuration Manager integrates with Azure Active Directory (Azure AD) to enable the site and clients to use modern authentication. No embarque no seu site com a AD Azure suporta os seguintes cenários do Gestor de Configuração:Onboarding your site with Azure AD supports the following Configuration Manager scenarios:

ClienteClient

ServidorServer

Para obter mais informações sobre a ligação do seu site ao Azure AD, consulte os serviços do Configure Azure.For more information on connecting your site to Azure AD, see Configure Azure services.

Para mais informações sobre o Azure AD, consulte a documentação do Diretório Ativo do Azure.For more information about Azure AD, see Azure Active Directory documentation.

Plano para autenticação do Fornecedor SMSPlan for SMS Provider authentication

A partir da versão 1810, pode especificar o nível mínimo de autenticação para os administradores acederem aos sites do Gestor de Configuração.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Esta funcionalidade impõe aos administradores que assinem no Windows com o nível exigido.This feature enforces administrators to sign in to Windows with the required level. Aplica-se a todos os componentes que acedem ao Fornecedor de SMS.It applies to all components that access the SMS Provider. Por exemplo, a consola do Gestor de Configuração, os métodos SDK e os cmdlets do Windows PowerShell.For example, the Configuration Manager console, SDK methods, and Windows PowerShell cmdlets.

Esta configuração é um cenário de hierarquia.This configuration is a hierarchy-wide setting. Antes de alterar esta definição, certifique-se de que todos os administradores do 'Gestor de Configuração' podem iniciar sessão no Windows com o nível de autenticação exigido.Before you change this setting, make sure that all Configuration Manager administrators can sign in to Windows with the required authentication level.

Estão disponíveis os seguintes níveis:The following levels are available:

  • Autenticação do Windows: Exigir autenticação com credenciais de domínio de Diretório Ativo.Windows authentication: Require authentication with Active Directory domain credentials.

  • Autenticação do certificado: Exigir autenticação com um certificado válido emitido por uma autoridade de certificados PKI fidedigna.Certificate authentication: Require authentication with a valid certificate that's issued by a trusted PKI certificate authority.

  • Windows Hello for Business authentication: Requerer a autenticação com autenticação forte de dois fatores que esteja ligada a um dispositivo e utilize biometria ou PIN.Windows Hello for Business authentication: Require authentication with strong two-factor authentication that's tied to a device and uses biometrics or a PIN.

Para mais informações, consulte Plan for the SMS Provider.For more information, see Plan for the SMS Provider.

Veja tambémSee also