Segurança e privacidade para a administração do site no Gestor de Configuração

Aplica-se a: Gestor de Configuração (ramo atual)

Este artigo contém informações de segurança e privacidade para sites do Gestor de Configuração e da hierarquia.

Orientação de segurança para administração do local

Utilize as seguintes orientações para ajudá-lo a proteger os sites do Gestor de Configuração e a hierarquia.

Executar configuração a partir de uma fonte de confiança e comunicação segura

Para ajudar a evitar que alguém in adulterar os ficheiros de origem, executar a configuração do Gestor de Configuração a partir de uma fonte fidedigna. Se armazenar os ficheiros na rede, proteja a localização de rede.

Se executar a configuração a partir de uma localização de rede, para ajudar a evitar que um intruso adulterar os ficheiros à medida que são transmitidos através da rede, utilize a assinatura IPsec ou SMB entre a localização da origem dos ficheiros de configuração e o servidor do site.

Se utilizar o Downloader de Configuração para descarregar os ficheiros que são necessários por configuração, certifique-se de que protege a localização onde estes ficheiros estão armazenados. Proteja também o canal de comunicação para este local quando executar a configuração.

Alargar o esquema do Diretório Ativo e publicar sites para o domínio

As extensões de Schema não são necessárias para executar o Gestor de Configuração, mas criam um ambiente mais seguro. Os clientes e servidores do site podem obter informações de uma fonte fidedigna.

Se os clientes estiverem num domínio não fided o fazer, implemente as seguintes funções do sistema de site nos domínios dos clientes:

• Ponto de gestão

• Ponto de distribuição

Nota

Um domínio de confiança para o Gestor de Configuração requer a autenticação de Kerberos. Se os clientes estão noutra floresta que não tem uma confiança florestal bidireccionada com a floresta do servidor do site, estes clientes são considerados como estando num domínio falso. Uma confiança externa não é suficiente para este fim.

Use o IPsec para garantir comunicações

Embora o Gestor de Configuração proteja a comunicação entre o servidor do site e o computador que executa SQL Server, o Gestor de Configuração não assegura comunicações entre as funções do sistema de site e SQL Server. Só é possível configurar alguns sistemas de sítios com HTTPS para comunicação intrassite.

Se não utilizar controlos adicionais para proteger estes canais servidor-a-servidor, os atacantes podem utilizar vários ataques de falsificação e ataques man-in-the-middle contra sistemas de sites. Utilize a sessão SMB quando não puder utilizar o IPsec.

Importante

Fixe o canal de comunicação entre o servidor do site e o servidor de origem do pacote. Esta comunicação utiliza SMB. Se não puder utilizar o IPsec para garantir esta comunicação, utilize a assinatura SMB para se certificar de que os ficheiros não são adulterados antes de os clientes os descarregarem e executarem.

Não altere os grupos de segurança predefinidos

Não altere os seguintes grupos de segurança que o Gestor de Configuração cria e gere para a comunicação do sistema do site:

• SMS_SiteSystemToSiteServerConnection_MP_ < SiteCode>

• SMS_SiteSystemToSiteServerConnection_SMSProv_ < SiteCode>

• SMS_SiteSystemToSiteServerConnection_Stat_ < SiteCode>

O Gestor de Configuração cria e gere automaticamente estes grupos de segurança. Este comportamento inclui a remoção de contas de computador quando uma função do sistema de site é removida.

Para garantir a continuidade do serviço e os privilégios menos privilegiados, não edite manualmente estes grupos.

Gerir o processo de provisionamento de chaves de raiz fidedigna

Se os clientes não puderem consultar o catálogo global para informações do Gestor de Configuração, devem confiar na chave raiz fidedigna para autenticar pontos de gestão válidos. A chave raiz de confiança está armazenada no registo do cliente. Pode ser definido utilizando a política de grupo ou a configuração manual.

Se o cliente não tiver uma cópia da chave de raiz fidedigna antes de entrar em contacto com um ponto de gestão pela primeira vez, confia no primeiro ponto de gestão com o qual comunica. Para reduzir o risco de um atacante direcionar os clientes para um ponto de gestão não autorizado, pode aprovisionar previamente os clientes com a chave de raiz fidedigna. Para obter mais informações, consulte Planeamento para a chave raiz fidedigna.

Utilize números de porta não predefinidos

A utilização de números de porta não predefinidos pode fornecer segurança adicional. Dificultam a exploração do ambiente pelos agressores. Se decidir utilizar portas não predefinidos, planeie-as antes de instalar o Gestor de Configurações. Use-os consistentemente em todos os locais da hierarquia. As portas de pedido do cliente e o Wake On LAN são exemplos onde pode utilizar números de porta não padrão.

Utilizar a separação de funções nos sistemas de site

Embora possa instalar todas as funções do sistema de site num único computador, esta prática raramente é usada em redes de produção. Cria um único ponto de falha.

Reduzir o perfil de ataque

Isolar cada função do sistema de site num servidor diferente reduz a hipótese de um ataque contra vulnerabilidades num sistema de sites poder ser usado contra um sistema de site diferente. Muitas funções requerem a instalação de Serviços de Informação Internet (IIS) no sistema do site, e esta necessidade aumenta a superfície de ataque. Se tiver de combinar papéis para reduzir as despesas de hardware, combine funções IIS apenas com outras funções que requeiram IIS.

Importante

O papel do ponto de situação de recuo é uma exceção. Como esta função do sistema de site aceita dados não autenticados dos clientes, não atribua o papel de ponto de ponto de retorno a qualquer outra função do sistema de site do Gestor de Configuração.

Configurar endereços IP estáticos para sistemas de sites

Os endereços IP estáticos são mais fáceis de proteger contra ataques de resolução de nomes.

Os endereços IP estáticos também facilitam a configuração do IPsec. A utilização do IPsec é uma melhor prática de segurança para garantir a comunicação entre sistemas de site no Gestor de Configuração.

Não instale outras aplicações nos servidores do sistema de sites

Quando instala outras aplicações nos servidores do sistema de sites, aumenta a superfície de ataque para o Gestor de Configuração. Também arrisca problemas de incompatibilidade.

Exija a assinatura e ative a encriptação como opção de site

Ative as opções de assinatura e encriptação para o site. Certifique-se de que todos os clientes podem suportar o algoritmo de hash SHA-256 e, em seguida, ative a opção Exigir SHA-256.

Restringir e monitorizar os utilizadores administrativos

Conceder acesso administrativo ao Gestor de Configuração apenas aos utilizadores em que confia. Em seguida, conceda-lhes permissões mínimas utilizando as funções de segurança incorporadas ou personalizando as funções de segurança. Os utilizadores administrativos que podem criar, modificar e implementar software e configurações podem potencialmente controlar dispositivos na hierarquia do Gestor de Configuração.

Realize auditorias periódicas às atribuições dos utilizadores administrativos e ao respetivo nível de autorização para verificar as alterações necessárias.

Para obter mais informações, consulte a administração baseada em funções.

Backups do Gestor de Configuração Seguro

Quando faz o back up Do Gestor de Configuração, estas informações incluem certificados e outros dados sensíveis que podem ser usados por um intruso para personificação.

Utilize a assinatura SMB ou IPsec quando transferir estes dados através da rede e proteja a localização das cópias de segurança.

Locais seguros para objetos exportados

Sempre que exportar ou importar objetos da consola Do Gestor de Configuração para uma localização de rede, proteja a localização e proteja o canal de rede.

Limite quem pode aceder à pasta de rede.

Para evitar que um intruso infirme os dados exportados, utilize a assinatura SMB ou o IPsec entre a localização da rede e o servidor do site. Também proteja a comunicação entre o computador que executa a consola Do Gestor de Configuração e o servidor do site. Utilize IPsec para encriptar os dados na rede para evitar a divulgação de informações.

Remover manualmente certificados de servidores falhados

Se um sistema de site não estiver desinstalado corretamente, ou deixar de funcionar e não puder ser restaurado, remova manualmente os certificados do Gestor de Configuração para este servidor de outros servidores do Gestor de Configuração.

Para remover a confiança dos pares que foi originalmente estabelecida com as funções do sistema de site e do sistema de site, remova manualmente os certificados do Gestor de Configuração para o servidor falhado na loja de certificados Pessoas Fidedignas em outros servidores do sistema de site. Esta ação é importante se reutilizar o servidor sem o reformar.

Para obter mais informações, consulte os controlos Criptográficos para comunicação do servidor.

Não configures sistemas de sites baseados na Internet para fazer a ponte da rede de perímetros

Não configuure os servidores do sistema de sites para serem multi-homeed para que se conectem à rede do perímetro e à intranet. Embora esta configuração permita que os sistemas de sites baseados na Internet aceitem ligações de clientes a partir da internet e da intranet, elimina uma fronteira de segurança entre a rede de perímetro e a intranet.

Configurar o servidor do site para iniciar ligações a redes de perímetro

Se um sistema de site estiver numa rede não fidedignária, como uma rede de perímetro, configuure o servidor do site para iniciar ligações ao sistema de site.

Por predefinição, os sistemas de site iniciam ligações ao servidor do site para transferir dados. Esta configuração pode ser um risco de segurança quando a iniciação da ligação é de uma rede não fidedigna para a rede fidedigna. Quando os sistemas de site aceitarem ligações a partir da internet, ou residirem numa floresta não fidedignária, configuram a opção do sistema de site para exigir que o servidor do site inicie ligações a este sistema de site. Após a instalação do sistema de site e quaisquer funções, todas as ligações são iniciadas pelo servidor do site a partir da rede fidedigna.

Utilizar pontes SSL e rescisão com autenticação

Se utilizar um servidor de procuração web para gestão de clientes baseado na Internet, utilize a ponte SSL para sSL, utilizando a rescisão com autenticação.

Quando configurar a rescisão SSL no servidor web proxy, os pacotes da internet são sujeitos a inspeção antes de serem encaminhados para a rede interna. O servidor web proxy autentica a ligação do cliente, termina-a e abre uma nova ligação autenticada aos sistemas de sites baseados na Internet.

Quando os computadores clientes do Gestor de Configuração usam um servidor web proxy para se conectarem aos sistemas de sites baseados na Internet, a identidade do cliente (GUID) está seguramente contida na carga útil do pacote. Então o ponto de gestão não considera o servidor web proxy como o cliente.

Se o seu servidor web proxy não conseguir suportar os requisitos para a ponte SSL, o túnel SSL também é suportado. Esta opção é menos segura. Os pacotes SSL da internet são encaminhados para os sistemas do site sem rescisão. Então não podem ser inspecionados por conteúdo malicioso.

Aviso

Os dispositivos móveis matriculados pelo Gestor de Configuração não podem utilizar a ponte SSL. Só devem usar túneis SSL.

Configurações a utilizar se configurar o site para acordar computadores para instalar software

• Se utilizar pacotes de despertar tradicionais, utilize transmissões unicast em vez de transmissões dirigidas a sub-redes.

• Se tiver de utilizar transmissões dirigidas por sub-redes, configure os routers para permitir transmissões dirigidas por IP apenas a partir do servidor do site e apenas num número de porta não predefinido.

Para obter mais informações sobre as diferentes tecnologias Wake On LAN, consulte o Planeamento como acordar os clientes.

Se utilizar a notificação por e-mail, configuure o acesso autenticado ao servidor de correio eletrónico SMTP

Sempre que possível, utilize um servidor de correio eletrónico que suporte o acesso autenticado. Utilize a conta de computador do servidor do site para autenticação. Se tiver de especificar uma conta de utilizador para autenticação, utilize uma conta que tenha privilégios mínimos.

Impor a ligação do canal LDAP e a assinatura LDAP

A segurança dos controladores de domínio do Ative Directory pode ser melhorada configurando o servidor para rejeitar ligações LDAP de Autenticação Simples e Camada de Segurança (SASL) que não solicitam a assinatura ou rejeitam simples ligações LDAP que são executadas numa ligação de texto clara. A partir da versão 1910, o Gestor de Configuração suporta a aplicação da ligação do canal LDAP e a assinatura LDAP. Para obter mais informações, consulte os requisitos de ligação do canal LDAP de 2020 e os requisitos de assinatura LDAP para Windows.

Orientação de segurança para o servidor do site

Utilize as seguintes orientações para o ajudar a proteger o servidor do site do Gestor de Configuração.

Instale o Gestor de Configuração num servidor de membros em vez de um controlador de domínio

O servidor do site do Gestor de Configuração e os sistemas de site não necessitam de instalação num controlador de domínio. Os controladores de domínio não têm uma base de dados local de Gestão de Contas de Segurança (SAM) para além da base de dados de domínio. Quando instala o Gestor de Configuração num servidor de membros, pode manter as contas do Gestor de Configuração na base de dados LOCAL SAM e não na base de dados de domínio.

Esta prática também reduz a superfície de ataque nos controladores de domínio.

Instale sites secundários sem copiar os ficheiros através da rede

Quando executar a configuração e criar um site secundário, não selecione a opção de copiar os ficheiros do site principal para o site secundário. Também não utilize uma localização de fonte de rede. Quando copia ficheiros sobre a rede, um intruso qualificado pode sequestrar o pacote de instalação do site secundário e adulterar os ficheiros antes de serem instalados. Cronometrar este ataque seria difícil. Este ataque pode ser atenuado utilizando IPsec ou SMB quando transferir os ficheiros.

Em vez de copiar os ficheiros sobre a rede, no servidor do site secundário, copie os ficheiros de origem da pasta de mídia para uma pasta local. Em seguida, quando executar a configuração para criar um site secundário, na página 'Ficheiros fontes de instalação', selecione Utilize os ficheiros de origem no local seguinte no computador do site secundário (mais seguro) e especifique esta pasta.

Para mais informações, consulte instalar um site secundário.

Instalação de função do site herda permissões da raiz de unidade

Certifique-se de configurar corretamente as permissões de unidade do sistema antes de instalar a primeira função do sistema de site em qualquer servidor. Por exemplo, C:\SMS_CCM herda permissões de C:\ . Se a raiz da unidade não estiver corretamente protegida, os utilizadores de direitos baixos poderão aceder ou modificar o conteúdo na pasta 'Gestor de Configuração'.

Orientação de segurança para SQL Server

O Gestor de Configuração utiliza SQL Server como base de dados de back-end. Se a base de dados estiver comprometida, os atacantes podem contornar o Gestor de Configuração. Se acederem diretamente a SQL Server, podem lançar ataques através do Gestor de Configuração. Considere os ataques contra SQL Server de alto risco e mitigar adequadamente.

Utilize as seguintes orientações de segurança para ajudá-lo a garantir SQL Server para o Gestor de Configuração.

Não utilize o servidor de base de dados do Site Do Gestor de Configuração para executar outras aplicações SQL Server

Quando aumenta o acesso ao servidor de base de dados do site do Gestor de Configuração, esta ação aumenta o risco para os dados do Seu Gestor de Configuração. Se a base de dados do site do Gestor de Configuração estiver comprometida, outras aplicações no mesmo SQL Server computador também são postas em risco.

Configurar SQL Server para utilizar a autenticação Windows

Embora o Gestor de Configuração aceda à base de dados do site utilizando uma conta Windows e Windows autenticação, ainda é possível configurar SQL Server para utilizar SQL Server modo misto. SQL Server modo misto permite que SQL Server de acesso adicionais acedam à base de dados. Esta configuração não é necessária e aumenta a superfície de ataque.

Atualizar SQL Server Express em sites secundários

Quando instala um site primário, o Gestor de Configuração descarrega SQL Server Express a partir do Microsoft Download Center. Em seguida, copia os ficheiros para o servidor do site primário. Quando instala um site secundário e seleciona a opção que instala SQL Server Express, o Gestor de Configuração instala a versão previamente descarregada. Não verifica se há novas versões disponíveis. Para garantir que o site secundário tem as versões mais recentes, faça uma das seguintes tarefas:

• Depois de instalar o site secundário, executar Windows Update no servidor do site secundário.

• Antes de instalar o local secundário, instale manualmente SQL Server Express no servidor do site secundário. Certifique-se de que instala a versão mais recente e quaisquer atualizações de software. Em seguida, instale o site secundário e selecione a opção de utilizar uma SQL Server instância existente.

Executar periodicamente Windows Update para todas as versões instaladas de SQL Server. Esta prática garante que têm as mais recentes atualizações de software.

Siga as orientações gerais para SQL Server

Identifique e siga as orientações gerais para a sua versão de SQL Server. No entanto, tome em consideração os seguintes requisitos para o Gestor de Configuração:

• A conta de computador do servidor do site tem de ser membro do grupo Administradores no computador que executa o SQL Server. Se seguir a recomendação SQL Server de "administradores de provisão explicitamente", a conta que utiliza para executar a configuração no servidor do site deve ser membro do grupo de Utilizadores SQL Server.

• Se instalar SQL Server utilizando uma conta de utilizador de domínio, certifique-se de que a conta de computador do servidor do site está configurada para um Nome Principal de Serviço (SPN) que é publicado nos Serviços de Domínio do Diretório Ativo. Sem o SPN, a autenticação Kerberos falha e a configuração do Gestor de Configuração falha.

Orientação de segurança para sistemas de site que executam IIS

Várias funções do sistema de site no Gestor de Configuração requerem IIS. O processo de segurança do IIS permite ao Gestor de Configuração funcionar corretamente e reduz o risco de ataques de segurança. Quando prático, minimize o número de servidores que requerem IIS. Por exemplo, executar apenas o número de pontos de gestão que você precisa para apoiar a sua base de clientes, tendo em conta a alta disponibilidade e isolamento de rede para gestão de clientes baseados na Internet.

Utilize as seguintes orientações para o ajudar a proteger os sistemas de site que executam o IIS.

Desativar as funções do IIS que não necessita

Instale apenas as funcionalidades mínimas do IIS para a função de sistema de sites que instalar. Para obter mais informações, veja Pré-requisitos de site e sistema de sites.

Configure as funções do sistema de site para exigir HTTPS

Quando os clientes se ligam a um sistema de site utilizando HTTPS e não utilizando HTTPS, utilizam Windows autenticação. Este comportamento pode recair sobre a autenticação NTLM em vez da autenticação de Kerberos. Quando é utilizada a autenticação NTLM, os clientes podem ligar a um servidor não autorizado.

A exceção a esta orientação pode ser pontos de distribuição. As contas de acesso ao pacote não funcionam quando o ponto de distribuição está configurado para HTTPS. As contas de acesso a pacotes fornecem autorização para o conteúdo, para que possa restringir os utilizadores que podem aceder ao conteúdo. Para obter mais informações, consulte orientações de segurança para a gestão de conteúdos.

Importante

A partir da versão 2103 do Gestor de Configuração, os sites que permitem a comunicação do cliente HTTP são preprecados. Configure o site para HTTPS ou HTTP melhorado. Para obter mais informações, consulte Ativar o site apenas para HTTPS ou HTTP melhorado.

Configure uma lista de fiéis de certificado (CTL) no IIS para funções de sistema de site

Funções do sistema de sites:

• Um ponto de distribuição que configura para HTTPS

• Um ponto de gestão que configura para HTTPS e permite suportar dispositivos móveis

Um CTL é uma lista definida de autoridades de certificação de raiz fidedignas (AC). Quando utiliza um CTL com política de grupo e uma implantação de infraestrutura de chaves públicas (PKI), um CTL permite-lhe complementar os CAs de raiz de confiança existentes que estão configurados na sua rede. Por exemplo, CAs que são automaticamente instalados com a Microsoft Windows ou adicionados através de CAs de raiz da empresa Windows. Quando um CTL é configurado no IIS, define um subconjunto desses CAs de raiz fidedigna.

Este subconjunto proporciona-lhe mais controlo sobre a segurança. A CTL restringe os certificados de cliente que são aceites apenas aos certificados emitidos a partir da lista de CAs na CTL. Por exemplo, Windows vem com uma série de certificados de CA de terceiros bem conhecidos, tais como VeriSign e Thawte.

Por padrão, o computador que executa o IIS confia certificados que cadeia a estes conhecidos CAs. Quando não configura o IIS com um CTL para as funções do sistema de site listado, o site aceita como cliente válido qualquer dispositivo que tenha um certificado emitido a partir destes CAs. Se configurar o IIS com um CTL que não incluiu estes CAs, o site recusa ligações com o cliente, se o certificado se acionar a estes CAs. Para que os clientes do Gestor de Configuração sejam aceites para as funções do sistema de site listado, tem de configurar o IIS com um CTL que especifique os CAs que são utilizados pelos clientes do Gestor de Configuração.

Nota

Apenas as funções do sistema de site listado requerem que você configuure um CTL em IIS. A lista de emitentes de certificados que o Gestor de Configuração utiliza para pontos de gestão fornece a mesma funcionalidade para computadores clientes quando se ligam aos pontos de gestão HTTPS.

Para obter mais informações sobre como configurar uma lista de CAs fidedignos no IIS, consulte a documentação do IIS.

Não coloque o servidor do site num computador com IIS

A separação de funções ajuda a reduzir o perfil de ataques e a melhorar a capacidade de recuperação. A conta de computador do servidor do site normalmente tem privilégios administrativos em todas as funções do sistema do site. Pode também ter estes privilégios nos clientes Do Gestor de Configuração, se utilizar a instalação de push do cliente.

Utilize servidores IIS dedicados para Gestor de Configuração

Embora possa hospedar várias aplicações baseadas na Web nos servidores IIS que também são usadas pelo Gestor de Configuração, esta prática pode aumentar significativamente a sua superfície de ataque. Uma aplicação mal configurada poderia permitir que um intruso ganhasse o controlo de um sistema de site do Gestor de Configuração. Esta violação pode permitir que um intruso ganhe o controlo da hierarquia.

Se tiver de executar outras aplicações baseadas na Web nos sistemas de sites do Gestor de Configuração, crie um web site personalizado para sistemas de site do Gestor de Configuração.

Use um site personalizado

Para sistemas de sites que executam o IIS, configurar o Gestor de Configuração para usar um website personalizado em vez do website predefinido. Se tiver de executar outras aplicações web no sistema do site, deve utilizar um website personalizado. Esta definição é uma definição em todo o site em vez de uma definição para um sistema de site específico.

Quando utilizar websites personalizados, remova os diretórios virtuais padrão

Quando muda de usar o website predefinido para usar um website personalizado, o Gestor de Configuração não remove os antigos diretórios virtuais. Remova os diretórios virtuais que o Gestor de Configuração criou originalmente no site padrão.

Por exemplo, remova os seguintes diretórios virtuais para um ponto de distribuição:

• SMS_DP_SMSPKG$

• SMS_DP_SMSSIG$

• NOCERT_SMS_DP_SMSPKG$

• NOCERT_SMS_DP_SMSSIG$

Siga a orientação de segurança do Servidor IIS

Identifique e siga a orientação geral para a sua versão do Servidor IIS. Tenha em consideração quaisquer requisitos que o Gestor de Configuração tenha para funções específicas do sistema do site. Para obter mais informações, veja Pré-requisitos de site e sistema de sites.

Configure cabeçalhos personalizados IIS

Configure os seguintes cabeçalhos personalizados para desativar o cheiro de MIME:

x-content-type-options: nosniff

Para obter mais informações, consulte Os Cabeçalhos Personalizados.

Se outros serviços utilizarem a mesma instância IIS, certifique-se de que estes cabeçalhos personalizados são compatíveis.

Orientação de segurança para o ponto de gestão

Os pontos de gestão são a interface primária entre dispositivos e Gestor de Configuração. Considere os ataques contra o ponto de gestão e o servidor que corre como um risco elevado, e mitigue adequadamente. Aplique todas as orientações de segurança adequadas e monitor para uma atividade invulgar.

Utilize as seguintes orientações para ajudar a garantir um ponto de gestão no Gestor de Configuração.

Atribua o cliente num ponto de gestão para o mesmo site

Evite o cenário em que atribui o cliente Do Gestor de Configuração que está num ponto de gestão para um site diferente do site do ponto de gestão.

Se migrar de uma versão anterior para a sucursal atual do Gestor de Configuração, migrar o cliente no ponto de gestão para o novo site o mais rapidamente possível.

Orientação de segurança para o ponto de situação do recuo

Se instalar um ponto de situação de recuo no Gestor de Configuração, utilize as seguintes orientações de segurança:

Para obter mais informações sobre as considerações de segurança quando instalar um ponto de estado de recuo, consulte determinar se necessita de um ponto de situação de recuo.

Não faça outros papéis no mesmo sistema de site

O ponto de estado de recuo foi concebido para aceitar comunicações não autenticadas a partir de qualquer computador. Se executar esta função do sistema de site com outras funções ou um controlador de domínio, o risco para esse servidor aumenta muito.

Instale o ponto de situação de recuo antes de instalar clientes com certificados PKI

Se os sistemas de site do Gestor de Configuração não aceitarem a comunicação do cliente HTTP, poderá não saber que os clientes não são geridos devido a problemas de certificado relacionados com pki. Se atribuir clientes a um ponto de situação de recuo, eles reportam estes problemas de certificado através do ponto de estado de retorno.

Por razões de segurança, não pode atribuir um ponto de situação de recuo aos clientes depois de instalados. Só é possível atribuir esta função durante a instalação do cliente.

Evite utilizar o ponto de situação de recuo na rede do perímetro

Por predefinição, o ponto de estado de contingência aceita dados a partir de qualquer cliente. Embora um ponto de estado de recuo na rede de perímetro possa ajudá-lo a resolver problemas com clientes baseados na Internet, equilibrar os benefícios de resolução de problemas com o risco de um sistema de site que aceita dados não autenticados numa rede acessível ao público.

Se instalar o ponto de situação de recuo na rede do perímetro ou qualquer rede não fidedignificada, configuure o servidor do site para iniciar transferências de dados. Não utilize a definição predefinida que permite que o ponto de estado de recuo inicie uma ligação ao servidor do site.

Questões de segurança para a administração do site

Reveja os seguintes problemas de segurança para o Gestor de Configuração:

• O Gestor de Configuração não tem qualquer defesa contra um utilizador administrativo autorizado que usa o Gestor de Configuração para atacar a rede. Os utilizadores administrativos não autorizados são um risco elevado de segurança. Podem lançar muitos ataques, que incluem as seguintes estratégias:

  • Utilize a implementação do software para instalar e executar automaticamente software malicioso em todos os computadores clientes do Gestor de Configuração da organização.

  • Controle remotamente um cliente Gestor de Configuração sem permissão do cliente.

  • Configurar intervalos de votação rápidos e quantidades extremas de inventário. Esta ação cria ataques de negação de serviço contra clientes e servidores.

  • Utilizar um site na hierarquia para escrever dados nos dados do Active Directory de outro site.

  A hierarquia do local é a fronteira de segurança. Considere os sites como limites de gestão apenas.

  Audite todas as atividades do utilizador administrativo e reveja regularmente os registos de auditoria. Exija que todos os utilizadores administrativos do Gestor de Configuração sejam submetidos a uma verificação de antecedentes antes de serem contratados. Requerer remarcações periódicas como condição de emprego.

• Se o ponto de inscrição for comprometido, um intruso pode obter certificados de autenticação. Podem roubar as credenciais dos utilizadores que matriculam os seus dispositivos móveis.

  O ponto de inscrição comunica com um CA. Pode criar, modificar e eliminar objetos ative directory. Nunca instale o ponto de inscrição na rede do perímetro. Monitorize sempre para atividades invulgares.

• Se permitir políticas de utilizadores para gestão de clientes baseados na Internet, aumenta o seu perfil de ataque.

  Além de utilizar certificados PKI para ligações cliente-servidor, estas configurações requerem Windows autenticação. Podem voltar a usar a autenticação NTLM em vez de Kerberos. A autenticação NTLM é vulnerável a ataques de representação e repetição. Para autenticar com sucesso um utilizador na internet, é necessário permitir uma ligação do sistema de sites baseado na Internet a um controlador de domínio.

• A parte Admin$ é necessária nos servidores do sistema de site.

  O servidor do site Do Gestor de Configuração utiliza a parte Admin$ para ligar e fazer operações de serviço nos sistemas do site. Não desative ou remova esta parte.

• O Gestor de Configuração utiliza serviços de resolução de nomes para ligar a outros computadores. Estes serviços são difíceis de proteger contra os seguintes ataques de segurança:

  • Spoofing
  • Adulteração
  • Rejeição
  • Divulgação de informações
  • Denial-of-service
  • Elevação de privilégios

  Identifique e siga qualquer orientação de segurança para a versão do DNS que utiliza para a resolução de nomes.

Informações de privacidade para descoberta

A Discovery cria registos de recursos de rede e armazena-os na base de dados do Gestor de Configuração. Os registos de dados de descoberta contêm informações de computador, tais como endereços IP, versões de SO e nomes de computador. Também pode configurar métodos de descoberta do Ative Directory para devolver qualquer informação que a sua organização armazena nos Serviços de Domínio do Diretório Ativo.

O único método de descoberta que o Gestor de Configuração permite por padrão é o Heartbeat Discovery. Este método apenas descobre computadores que já têm o software do cliente Do Gestor de Configuração instalado.

A informação da descoberta não é enviada diretamente para a Microsoft. Está guardado na base de dados do Gestor de Configuração. O Gestor de Configuração retém informações na base de dados até eliminar os dados. Este processo acontece a cada 90 dias pela tarefa de manutenção do site Delete Aged Discovery Data.