• Artigo

Segurança e Privacidade para Clientes no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Esta secção contém informações sobre segurança e privacidade para os clientes no System Center 2012 Configuration Manager e para os dispositivos móveis que são geridos pelo conector do Exchange Server:

  • Melhores Práticas de Segurança para os Clientes do Configuration Manager e para os Dispositivos Móveis que são Geridos pelo Conector do Exchange Server

    • Problemas de Segurança nos Clientes do Configuration Manager

  • Informações de privacidade dos clientes do Configuration Manager

  • Informações de privacidade de dispositivos móveis geridos utilizando o conector do Exchange Server

Melhores Práticas de Segurança para os Clientes do Configuration Manager e para os Dispositivos Móveis que são Geridos pelo Conector do Exchange Server

Quando o Gestor de configuração aceita dados de dispositivos que executam o cliente do Gestor de configuração, ocorre o risco de os clientes poderem atacar o site. Por exemplo, poderiam enviar inventários incorretos ou tentar sobrecarregar os sistemas do site. Implemente o cliente do Gestor de configuração apenas em dispositivos nos quais confia. Além disso, utilize os seguintes procedimentos recomendados para ajudar a proteger o site contra dispositivos não autorizados ou comprometidos:

Procedimento recomendado de segurança

Mais informações

Utilize certificados de infraestrutura de chaves públicas (PKI) para comunicações de clientes com sistemas de site que executam IIS:

  • Como uma propriedade do site, configure Definições do sistema de sites para Apenas HTTPS.

  • Instale os clientes com a propriedade /UsePKICert CCMSetup

  • Utilize uma lista de revogação de certificados (CRL) e certifique-se de que os clientes e servidores em comunicação podem aceder-lhe sempre.

Estes certificados são necessários para as ligações à Internet dos clientes de dispositivos móveis e dos computadores cliente, e, à exceção dos pontos de distribuição, são recomendados para todas as ligações de cliente à intranet.

Para mais informações sobre os requisitos de certificados PKI e sobre como podem ser utilizados para ajudar a proteger o Gestor de configuração, consulte Requisitos de Certificado PKI para o Configuration Manager.

Aprovar automaticamente computadores cliente de domínios fidedignos, e verificar e aprovar manualmente outros computadores

A aprovação identifica um computador que considere de confiança, e a ser gerido pelo Gestor de configuração, quando não é possível utilizar a autenticação de PKI.

Pode configurar a aprovação para a hierarquia como manual, automática para computadores em domínios fidedignos ou automática para todos os computadores. O método mais seguro de aprovação é aprovar automaticamente os clientes que são membros de domínios fidedignos e, em seguida, verificar manualmente e aprovar todos os outros computadores. Não é recomendável aprovar automaticamente todos os clientes, a menos que tenha outros controlos de acesso para impedir que computadores não fidedignos acedam à rede.

Para mais informações sobre como aprovar manualmente computadores, consulte Gerir Clientes a partir do Nó Dispositivos.

Não pode confiar no bloqueio para impedir que os clientes acedam à hierarquia do Gestor de configuração

Os clientes bloqueados são rejeitados pela infraestrutura do Gestor de configuração para que não possam comunicar com sistemas de sites para transferir políticas, carregar dados de inventário ou enviar mensagens de estado. No entanto, não pode confiar no bloqueio para proteger a hierarquia do Gestor de configuração de computadores não fidedignos quando os sistemas do site aceitam ligações de cliente por HTTP. Neste cenário, um cliente bloqueado poderia voltar a associar o site com um novo certificado autoassinado e um novo ID de hardware. O bloqueio foi concebido para ser utilizado no sentido de bloquear suportes de dados de arranque perdidos ou comprometidos ao implementar sistemas operativos nos clientes e quando todos os sistemas de sites aceitam ligações de cliente por HTTPS. Se utiliza uma infraestrutura de chaves públicas (PKI), e a mesma suportar uma lista de revogação de certificados (CRL), considere sempre a revogação de certificados como a primeira linha de defesa contra certificados potencialmente comprometidos. O bloqueio de clientes no Gestor de configuração oferece uma segunda linha de defesa para proteger a hierarquia.

Para mais informações, consulte Determinar se Deve Bloquear Clientes no Configuration Manager.

Utilize os métodos de instalação de cliente mais seguros e adequados ao seu ambiente:

  • Para computadores de domínio, os métodos de instalação de cliente de Política de Grupo e de instalação de cliente baseada em atualização de software são mais seguros do que a instalação push de cliente.

  • O processamento de imagens e a instalação manual podem ser muito seguros, se aplicar controlos de acesso e alterar os controlos.

De todos os métodos de instalação de cliente, a instalação push de cliente é a menos segura devido à grande quantidade de dependências que possui, o que inclui permissões administrativas locais, a partilha Admin$ e muitas exceções de firewall. Estas dependências aumentam a superfície de ataque.

Para mais informações sobre os diferentes métodos de instalação do cliente, consulte Determinar o método de instalação do cliente a utilizar em computadores com o Windows no Configuration Manager.

Além disso, sempre que possível, selecione um método de instalação de cliente que necessite do menor número de permissões de segurança no Gestor de configuração, e restrinja os utilizadores administrativos com atribuição de funções de segurança que incluam permissões que possam ser utilizadas para fins que não os de implementação do cliente. Por exemplo, a atualização automática de cliente requer a função de segurança Administrador Total, que concede a um utilizador administrativo todas as permissões de segurança.

Para mais informações sobre as dependências e permissões de segurança necessárias para cada método de instalação cliente, consulte “Dependências de Método de Instalação” na secção Pré-requisitos para Clientes de Computador do tópico Pré-requisitos para a Implementação do Cliente do Windows no Configuration Manager.

Se tiver de utilizar a instalação push de cliente, tome medidas adicionais para proteger a Conta de Instalação Push do Cliente

Embora esta conta tenha de ser membro do grupo local de Administradores em cada computador onde irá ser instalado o software de cliente do Gestor de configuração, nunca adicione a Conta de Instalação Push do Cliente ao grupo Admins do Domínio. Em vez disso, crie um grupo global e adicione esse grupo global ao grupo local de Administradores nos computadores cliente. Também pode criar um objeto de Política de Grupo para adicionar uma definição de Grupo Restrito, para adicionar a Conta de Instalação Push do Cliente ao grupo local Administradores.

Para segurança adicional, crie várias Contas de Instalação Push do Cliente, cada uma com acesso administrativo a um número limitado de computadores, de forma que, no caso de uma conta ser comprometida, apenas os computadores cliente aos quais essa conta tem acesso sejam comprometidos.

Remover certificados antes do processamento de imagens no computador cliente

Se planeia implementar clientes através da utilização de tecnologia de processamento de imagens, remova sempre certificados tais como os certificados PKI que incluem autenticação de cliente e certificados autoassinados, antes da captura da imagem. Se não remover estes certificados, os clientes poderão representar-se entre si, e não será possível verificar os dados para cada cliente.

Para mais informações sobre como utilizar o Sysprep para preparar um computador para o processamento de imagens, consulte a documentação de implementação do Windows.

Certifique-se de que os computadores cliente do Gestor de configuração obtêm uma cópia autorizada destes certificados:

  • A chave de raiz fidedigna do Gestor de configuração

  • O certificado de assinatura do servidor do site

  • Chave de raiz fidedigna:

    Se não tiver expandido o esquema do Active Directory para o Gestor de configuração, e os clientes não utilizarem certificados PKI quando comunicam com os pontos de gestão, os clientes dependem da chave de raiz fidedigna do Gestor de configuração para autenticar pontos de gestão válidos. Neste cenário, os clientes não têm como verificar que o ponto de gestão é um ponto de gestão fidedigno para a hierarquia, a não ser que utilizem a chave de raiz fidedigna. Sem a chave de raiz fidedigna, um intruso qualificado pode direcionar clientes para um ponto de gestão não autorizado.

    Quando os clientes não conseguem transferir a chave de raiz fidedigna do Gestor de configuração a partir do Catálogo Global ou através da utilização dos certificados PKI, pré-aprovisione os clientes com a chave de raiz fidedigna para garantir que não são direcionados para um ponto de gestão não autorizado. Para obter mais informações, consulte a secção Planear a Chave de Raiz Fidedigna do tópico Planear Segurança no Configuration Manager.

  • Certificado de assinatura do servidor do site:

    Os clientes utilizam o certificado de assinatura do servidor de site para verificar se o servidor do site assinou a política de cliente que transferiram a partir de um ponto de gestão. Este certificado é autoassinado pelo servidor do site e publicado nos Serviços de Domínio do Active Directory.

    Quando os clientes não conseguem transferir o certificado de assinatura do servidor de site a partir do Catálogo Global, por predefinição transferem-no a partir do ponto de gestão. Quando o ponto de gestão está exposto a uma rede não fidedigna (tal como a Internet), instale manualmente o certificado de assinatura do servidor do site nos clientes, para garantir que não podem executar, a partir de um ponto de gestão comprometido, políticas de cliente que tenham sido adulteradas.

    Para instalar manualmente o certificado de assinatura do servidor do site, utilize a propriedade CCMSetup client.msi SMSSIGNCERT. Para mais informações, consulte Acerca das Propriedades da Instalação do Cliente no Configuration Manager.

Não utilize a atribuição automática de site se o cliente se destinar a transferir a chave de raiz fidedigna a partir do primeiro ponto de gestão que contactar

Este procedimento recomendado de segurança está ligado à entrada anterior. Para evitar o risco de um novo cliente transferir a chave de raiz fidedigna a partir de um ponto de gestão não autorizado, utilize a atribuição automática de site apenas nos cenários seguintes:

  • O cliente pode aceder às informações de site do Gestor de configuração que são publicadas nos Serviços de Domínio do Active Directory.

  • Pré-aprovisione o cliente com a chave de raiz fidedigna.

  • Utilize certificados PKI de uma autoridade de certificação empresarial para estabelecer fidedignidade entre o cliente e o ponto de gestão.

Para mais informações sobre a chave de raiz fidedigna, consulte a secção Planear a Chave de Raiz Fidedigna do tópico Planear Segurança no Configuration Manager.

Instalar computadores cliente com a opção CCMSetup Client.msi SMSDIRECTORYLOOKUP=NoWINS

O método mais seguro para a localização de serviço para os clientes localizarem sites e pontos de gestão é a utilização dos Serviços de Domínio do Active Directory. Se isto não for possível, por exemplo porque não é possível expandir o esquema do Active Directory para o Gestor de configuração, ou porque os clientes estão numa floresta ou grupo de trabalho não fidedignos, pode utilizar a publicação de DNS como método alternativo de localização de serviço. Se estes dois métodos falharem, os clientes podem reverter para a utilização de WINS quando o ponto de gestão não estiver configurado para ligações de cliente HTTPS.

Como publicar para o WINS é menos seguro do que os outros métodos de publicação, configure os computadores cliente para não recorrerem à utilização de WINS especificando SMSDIRECTORYLOOKUP=NoWINS. Se tiver de utilizar WINS para a localização de serviço, utilize SMSDIRECTORYLOOKUP=WINSSECURE (a predefinição), que utiliza a chave de raiz fidedigna do Gestor de configuração para validar o certificado autoassinado do ponto de gestão.

Nota

Quando o cliente é configurado para SMSDIRECTORYLOOKUP=WINSSECURE e localiza um ponto de gestão a partir do WINS, o cliente verifica a respetiva cópia da chave de raiz fidedigna do Gestor de configuração que está no WMI. Se a assinatura no certificado de ponto de gestão corresponder à chave de raiz fidedigna do cliente, o certificado é validado, e o cliente comunica com o ponto de gestão que localizou através da utilização de WINS. Se a assinatura no certificado de ponto de gestão não corresponder à chave de raiz fidedigna do cliente, o certificado não é validado, e o cliente não comunica com o ponto de gestão que localizou através da utilização de WINS.

Certifique-se de que as janelas de manutenção são suficientemente abrangentes para implementar atualizações de software críticas

Pode configurar as janelas de manutenção para coleções de dispositivos, para restringir o número de vezes que o Gestor de configuração pode instalar software nestes dispositivos. Se configurar a janela de manutenção para um período pequeno, o cliente pode não conseguir instalar as atualizações de software críticas, o que deixará o cliente vulnerável ao ataque que seria mitigado pela atualização de software.

Para os dispositivos Windows Embedded que possuem filtros de escrita, tome medidas adicionais de segurança para reduzir a superfície de ataque, caso o Gestor de configuração desative os filtros de escrita para manter as instalações e alterações de software

Quando os filtros de escrita são ativados nos dispositivos Windows Embedded, quaisquer instalações ou alterações de software são efetuadas apenas na sobreposição e não persistem após o reinício do dispositivo. Se utilizar o Gestor de configuração para desativar temporariamente os filtros de escrita para manter instalações e alterações de software, durante este período, o dispositivo incorporado é vulnerável a alterações em todos os volumes, o que inclui pastas partilhadas.

Embora o Gestor de configuração bloqueie o computador durante este período de forma que apenas os administradores locais possam iniciar sessão, sempre que possível, tome medidas adicionais de segurança para ajudar a proteger o computador. Por exemplo, ative restrições adicionais na firewall e desligue o dispositivo da rede.

Se utilizar as janelas de manutenção para manter as alterações, planeie estas janelas cuidadosamente de forma a minimizar o tempo em que os filtros de escrita estão desativados mas com tempo suficiente para permitir as instalações de software e o reinício para concluir.

Se utilizar a instalação de cliente baseada em atualização de software e instalar uma versão posterior do cliente no site, atualize a atualização do software que é publicada no ponto de atualização de software, para que os clientes recebam a versão mais recente

Se instalar uma versão posterior do cliente no site, por exemplo, se atualizar o site, a atualização de software para a implementação do cliente que é publicada no ponto de atualização de software não é atualizada automaticamente. Tem de voltar a publicar o cliente do Gestor de configuração no ponto de atualização de software e clicar em Sim para atualizar o número de versão.

Para mais informações, consulte o procedimento "Para publicar o cliente do Configuration Manager no ponto de atualização de software" na secção Como Instalar Clientes do Configuration Manager Utilizando a Instalação Baseada em Atualizações de Software do tópico Como Instalar Clientes em Computadores Baseados no Windows no Configuration Manager.

Configure a definição do dispositivo cliente do Agente do ComputadorSuspender introdução de PIN no BitLocker no reinício como Sempre apenas para computadores nos quais confia e que tenham acesso físico restrito

Com a definição de cliente configurada para Sempre, o Gestor de configuração pode concluir a instalação do software para ajudar a garantir que as atualizações de software críticas são instaladas e que os serviços são retomados. No entanto, se um intruso intercetar o processo de reinício, ele poderá assumir o controlo do computador. Utilize esta definição apenas quando confiar no computador e quando o acesso físico ao computador é restrito. Por exemplo, esta definição pode ser apropriada para servidores num centro de dados.

Não configure a definição do dispositivo cliente do Agente do ComputadorPolítica de execução do PowerShell como Ignorar.

Esta definição de cliente permite que o cliente do Gestor de configuração execute scripts PowerShell não assinados, o que poderia permitir a execução de software maligno em computadores cliente. Se tem de selecionar esta opção, utilize uma definição de cliente personalizada e atribua-a apenas aos computadores cliente que têm de executar scripts PowerShell não assinados.

Para os dispositivos móveis que inscrever no Gestor de configuração e que serão suportados na Internet: Instalar o ponto proxy de registo numa rede de perímetro e o ponto de registo na intranet

Esta separação de funções ajuda a proteger o ponto de registo contra ataques. Se o ponto de registo for comprometido, um intruso poderá obter certificados para autenticação e roubar as credenciais de utilizadores que inscrevem os respetivos dispositivos móveis.

Para dispositivos móveis: Configurar as definições de palavra-passe para ajudar a proteger dispositivos móveis contra acesso não autorizado

Para dispositivos móveis que são inscritos pelo Gestor de configuração: Utilize um item de configuração do dispositivo móvel para configurar a complexidade da palavra-passe para ser o PIN e, pelo menos, o comprimento predefinido para o comprimento mínimo da palavra-passe.

Para dispositivos móveis que não têm o cliente do Gestor de configuração instalado, mas que são geridos pelo conector do Exchange Server: Configure as Definições de Palavra-passe para o conector do Exchange Server de forma que a complexidade de palavra-passe seja o PIN, e especifique pelo menos o comprimento predefinido para o comprimento mínimo da palavra-passe.

Para dispositivos móveis: Ajude a impedir a adulteração de informações de inventário e de estado, permitindo que as aplicações sejam executadas apenas quando são assinadas por empresas nas quais confia, e não permita a instalação de ficheiros não assinados

Para mais dispositivos móveis que são inscritos pelo Gestor de configuração: Utilize um item de configuração do dispositivo móvel para configurar a definição de segurança Aplicações não assinadas como Proibido e configure Instalação de ficheiros não assinados como origem fidedigna.

Para dispositivos móveis que não têm o cliente do Gestor de configuração instalado, mas que são geridos pelo conector do Exchange Server: Configure as Definições da Aplicação para o conector do Exchange Server de modo que Instalação de ficheiros não assinados e Aplicações não assinadas sejam configuradas como Proibido.

Para dispositivos móveis: Ajudar a impedir ataques de elevação de privilégios bloqueando o dispositivo móvel quando não é utilizado

Para mais dispositivos móveis que são inscritos pelo Gestor de configuração: Utilize um item de configuração do dispositivo móvel para configurar a definição de palavra-passe Tempo de inatividade em minutos antes de o dispositivo móvel ser bloqueado.

Para dispositivos móveis que não têm o cliente do Gestor de configuração instalado, mas que são geridos pelo conector do Exchange Server: Configure as Definições de Palavra-passe para o conector do Exchange Server para configurar Tempo de inatividade em minutos antes de o dispositivo móvel ser bloqueado.

Para dispositivos móveis: Ajude a impedir ataques de elevação de privilégios, restringindo os utilizadores que podem inscrever os respetivos dispositivos móveis.

Utilize uma definição de cliente personalizada em vez de predefinições de cliente, para permitir que apenas utilizadores autorizados possam inscrever os respetivos dispositivos móveis.

Para dispositivos móveis: Não implemente aplicações para utilizadores que tenham dispositivos móveis inscritos pelo Configuration Manager ou Microsoft Intune nos seguintes cenários:

  • Quando o dispositivo móvel é utilizado por mais do que uma pessoa.

  • Quando o dispositivo é inscrito por um administrador em nome de um utilizador.

  • Quando o dispositivo é transferido para outra pessoa sem extinção e, em seguida, reinscrição do dispositivo.

Durante a inscrição é criada uma relação de afinidade dispositivo/utilizador, que mapeia o utilizador que efetua a inscrição para o dispositivo móvel. Se outro utilizador usar o dispositivo móvel, ele poderá executar as aplicações que são implementadas para o utilizador original, o que poderá resultar numa elevação de privilégios. Da mesma forma, se um administrador inscrever o dispositivo móvel para um utilizador, as aplicações implementadas para o utilizador não serão instaladas no dispositivo móvel e, em vez disso, as aplicações que são implementadas para o administrador poderão ser instaladas.

Ao contrário da afinidade dispositivo/utilizador para computadores Windows, não é possível definir manualmente as informações de afinidade dispositivo/utilizador para dispositivos móveis inscritos pelo Microsoft Intune.

Se transferir a propriedade de um dispositivo móvel inscrito pelo Intune, extinga o dispositivo móvel do Intune para remover a afinidade dispositivo/utilizador e, em seguida, peça ao utilizador atual para inscrever o dispositivo novamente.

Para dispositivos móveis: Certifique-se de que os utilizadores inscrevem os respetivos dispositivos móveis no Microsoft Intune

Uma vez que durante a inscrição é criada uma relação de afinidade dispositivo/utilizador, que mapeia o utilizador que efetua a inscrição para o dispositivo móvel, se um administrador inscrever o dispositivo móvel para um utilizador, as aplicações implementadas para o utilizador não serão instaladas no dispositivo móvel e, em vez disso, as aplicações que são implementadas para o administrador poderão ser instaladas.

Para o conector do Exchange Server: Certifique-se de que a ligação entre o servidor de site do Gestor de configuração e o computador do Exchange Server está protegida

Utilize IPsec se o Exchange Server for local; o Exchange alojado protege automaticamente a ligação utilizando SSL.

Para o conector do Exchange Server: Utilizar o princípio de menor privilégio para o conector

Para uma lista de cmdlets mínimos que o conector do Exchange Server requer, consulte Como Gerir Dispositivos Móveis Através do Configuration Manager e do Exchange.

Para computadores Mac: Armazenar e aceder aos ficheiros de origem do cliente a partir de uma localização segura.

Antes da instalação ou da inscrição do cliente em computadores Mac, o Gestor de configuração não verifica se estes ficheiros de origem de cliente foram adulterados. Transfira estes ficheiros a partir de uma origem fidedigna e armazene-os e aceda aos mesmos de forma segura.

Para computadores Mac: Independentemente do Gestor de configuração, monitorize e controle o período de validade do certificado inscrito para os utilizadores.

Para assegurar a continuidade do negócio, monitorize e controle o período de validade dos certificados que utiliza para computadores Mac. O Gestor de configuração SP1 não suporta a renovação automática deste certificado nem indica que o certificado está prestes a expirar. Um período de validade típico é 1 ano.

Para informações sobre como renovar o certificado, consulte as secções Renovar Certificado de Cliente Mac no tópico Como instalar clientes em computadores Mac no Configuration Manager.

Para computadores Mac: Pondere a configuração do certificado da AC de raiz fidedigna de forma a que apenas seja fidedigno para o protocolo SSL, de forma a prevenir privilégios de elevação.

Aquando da inscrição de computadores Mac, um certificado de utilizador para gerir o cliente do Gestor de configuração é instalado automaticamente, em conjunto com o certificado de raiz fidedigna ao qual o certificado de utilizador está encadeado. Se pretender restringir a fidedignidade deste certificado de raiz apenas para o protocolo SSL, pode utilizar o procedimento seguinte.

Depois de concluir este procedimento, o certificado de raiz não seria fidedigno para validar protocolos diferentes de SSL – por exemplo, Correio Seguro (S/MIME), Autenticação Extensível (EAP) ou assinatura de código.

Nota

Também pode utilizar este procedimento se tiver instalado o certificado de cliente independentemente do Gestor de configuração.

Para restringir o certificado de AC raiz apenas para o protocolo SSL:

  1. No computador Mac, abra uma janela de terminal.

  2. Introduza o comando sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. Na caixa de diálogo Acesso Keychain da secção Keychains, clique em Sistema e, em seguida, na secção Categoria, clique em Certificados.

  4. Localize e, em seguida, faça duplo clique sobre o certificado de AC raiz para o certificado de cliente Mac.

  5. Na caixa de diálogo para o certificado de AC raiz, expanda a secção Confiar e, em seguida, efetue as seguintes alterações:

    1. Para a definição Ao utilizar este certificado, altere a predefinição Confiar Sempre para Utilizar Predefinições do Sistema.

    2. Para a definição Secure Sockets Layer (SSL), altere nenhum valor especificado para Confiar Sempre.

  6. Feche a caixa de diálogo e, quando pedido, introduza a palavra-passe do administrador e, em seguida, clique em Atualizar Definições.

Problemas de Segurança nos Clientes do Configuration Manager

Os seguintes problemas de segurança não têm nenhuma atenuação:

  • As mensagens de estado que não são autenticadas

    A autenticação não é efetuada nas mensagens de estado. Quando um ponto de gestão aceita ligações de cliente HTTP, qualquer dispositivo pode enviar mensagens de estado para o ponto de gestão. Se o ponto de gestão apenas aceita ligações de cliente HTTPS, um dispositivo tem de obter um certificado de autenticação de cliente válido junto de uma autoridade de certificação de raiz fidedigna, mas também poderia enviar qualquer mensagem de estado. Se um cliente envia uma mensagem de estado inválida, a mesma será rejeitada.

    Há alguns potenciais ataques contra esta vulnerabilidade. Um intruso poderia enviar uma mensagem de estado fictícia para obter associação numa coleção baseada em consultas de mensagens de estado. Qualquer cliente poderia iniciar um denial of service contra o ponto de gestão, congestionando-o com mensagens de estado. Se as mensagens de estado estão a acionar ações nas regras de filtro de mensagem de estado, um intruso poderia acionar a regra de filtro de mensagens de estado. Um intruso também poderia enviar mensagens de estado que iriam tornar incorretas as informações dos relatórios.

  • As políticas podem ser redirecionadas para os clientes não direcionados

    Existem vários métodos que os atacantes poderiam utilizar para fazer com que uma política direcionada para um cliente fosse aplicada a um cliente completamente diferente. Por exemplo, um intruso num cliente fidedigno poderia enviar informações falsas de inventário ou deteção, para adicionar o computador a uma coleção a que não pertence, e depois receber todas as implementações a essa coleção. Embora existam controlos para ajudar a impedir os intrusos de modificarem as políticas diretamente, os intrusos poderiam utilizar uma política existente para reformatar e voltar a implementar um sistema operativo e enviá-lo para um computador diferente, criando um denial of service. Estes tipos de ataques necessitariam de temporização precisa e conhecimentos aprofundados da infraestrutura do Gestor de configuração.

  • Os registos de cliente permitem o acesso do utilizador

    Todos os ficheiros de registo de cliente permitem aos utilizadores acesso de Leitura e aos Utilizadores Interativos acesso de Escrita. Se ativar o registo verboso, os intrusos podem ler os ficheiros de registo para procurarem informações sobre vulnerabilidades de compatibilidade ou de sistema. Os processos tais como a instalação de software que são executados no contexto de um utilizador têm de conseguir escrever nos registos com uma conta de utilizador de direitos restritos. Isto significa que um intruso também poderia escrever nos registos com uma conta de direitos restritos.

    O risco mais grave é o facto de um intruso poder remover informações nos ficheiros de registo de que um administrador poderá necessitar para auditoria e deteção de intrusos.

  • Um computador poderia ser utilizado para obter um certificado concebido para a inscrição do dispositivo móvel

    Quando o Gestor de configuração processa um pedido de inscrição, não consegue verificar se o pedido teve origem num dispositivo móvel ou num computador. Se o pedido tiver tido origem num computador, será instalado um certificado PKI que depois permite o registo no Gestor de configuração. Para ajudar a evitar um ataque de elevação de privilégios neste cenário, permita que apenas utilizadores fidedignos inscrevam os respetivos dispositivos móveis, e monitorize com cuidado as atividades de inscrição.

  • A ligação de um cliente ao ponto de gestão não é cancelada se um cliente for bloqueado, e o cliente bloqueado puder continuar a enviar pacotes de notificação de cliente para o ponto de gestão, como mensagens keep-alive

    Para o System Center 2012 Configuration Manager SP1 e posterior:

    Quando bloqueia um cliente no qual já não confia, e o mesmo tenha estabelecido uma comunicação de notificação de cliente, o Gestor de configuração não desliga a sessão. O cliente bloqueado pode continuar a enviar pacotes para o respetivo ponto de gestão, até o cliente desligar da rede. Estes pacotes são apenas pacotes pequenos, keep-alive, e estes clientes não podem ser geridos pelo Gestor de configuração antes de serem desbloqueados.

  • Quando utiliza a atualização automática de cliente e o cliente é direcionado para um ponto de gestão para transferir os ficheiros de origem do cliente, o ponto de gestão não é verificado como origem fidedigna

    Para o System Center 2012 Configuration Manager SP1 e posterior:

    Se utiliza a atualização automática de cliente numa hierarquia do Gestor de configuração em que alguns sites executam o Gestor de configuração SP1 e alguns sites executam o Gestor de configuração sem service pack, um cliente num site do Gestor de configuração sem service pack é direcionado para transferir os ficheiros de origem de cliente a partir do ponto de gestão atribuído em vez de a partir dos pontos de distribuição. Este procedimento assegura que os clientes que estão atribuídos a sites que executam o Gestor de configuração sem service pack não instalam os ficheiros de origem de cliente do Gestor de configuração SP1, o que faria com que o cliente permanecesse não gerido. Neste cenário, o ponto de gestão não é verificado pelos clientes como origem fidedigna, e é possível redirecionar os clientes para um ponto de gestão não autorizado relativamente aos ficheiros de instalação de cliente. No entanto, este risco é baixo porque os clientes irão rejeitar quaisquer ficheiros de instalação de cliente que não estejam assinados pela Microsoft. Os clientes verificam sempre a fidedignidade antes de transferirem a política de cliente a partir de pontos de gestão.

  • Quando os utilizadores inscrevem computadores Mac pela primeira vez, estão em risco de spoofing de DNS

    Quando o computador Mac liga ao ponto de proxy de registo durante a inscrição, não é provável que o computador Mac já tenha o certificado de AC raiz. Neste momento, o servidor não é considerado fidedigno pelo computador Mac e pede ao utilizador para continuar. Se o nome completamente qualificado do ponto de proxy de registo for resolvido por um servidor DNS não autorizado, poderá direcionar o computador Mac para um ponto proxy de registo não autorizado, e instalar certificados a partir de uma origem não fidedigna. Para ajudar a reduzir este risco, siga os procedimentos recomendados para evitar o spoofing de DNS no seu ambiente.

  • A inscrição de Mac não limita os pedidos de certificado

    Os utilizadores podem inscrever novamente os seus computadores Mac, pedindo de cada vez um novo certificado de cliente. O Gestor de configuração não verifica se existem múltiplos pedidos nem limita o número de certificados pedidos a partir de um único computador. Um utilizador não autorizado poderia executar um script que repete o pedido de inscrição de linha de comandos, provocando um denial of service na rede ou na autoridade de certificação (AC) emissora. Para ajudar a reduzir este risco, monitorize com cuidado a AC emissora para detetar este tipo de comportamento suspeito. Um computador que apresenta este padrão de comportamento deve ser bloqueado imediatamente da hierarquia do Gestor de configuração.

  • Uma confirmação de eliminação de dados não verifica se os dados do dispositivo foram eliminados com êxito

    Quando uma ação de eliminação de dados de um dispositivo móvel é iniciada e o Gestor de configuração apresenta o estado da eliminação de dados como a ser confirmada, a verificação é a ação de o Gestor de configuração ter enviado a mensagem com êxito e não o facto de o dispositivo ter procedido à eliminação. Além disso, para os dispositivos móveis que são geridos pelo conector do Exchange Server, uma confirmação de eliminação de dados verifica se o comando foi recebido pelo Exchange, e não pelo dispositivo.

  • Se utilizar as opções para confirmar alterações em dispositivos Windows Embedded do Gestor de configuração SP1, as contas poderão ser bloqueadas mais cedo do que o previsto

    Se o dispositivo Windows Embedded estiver a ser executado num sistema operativo anterior ao Windows 7 e um utilizador tentar iniciar sessão com os filtros de escrita desativados para confirmar alterações efetuadas pelo Gestor de configuração SP1, o número de tentativas incorretas de início de sessão permitido antes do bloqueio da conta será eficazmente reduzido para metade. Por exemplo, se a opção Limiar de Bloqueio de Conta estiver configurada em 6 e um utilizador errar 3 vezes a respetiva palavra-passe, a conta é bloqueada, criando uma situação de recusa de serviço. Se os utilizadores tiverem de iniciar sessão em dispositivos incorporados neste cenário, devem ser alertados para a possibilidade de um limiar de bloqueio reduzido.

Informações de privacidade dos clientes do Configuration Manager

Quando implementa o cliente do Gestor de configuração, ativa as definições do cliente para poder utilizar as funcionalidades de gestão do Gestor de configuração. As definições que utiliza para configurar as funcionalidades podem ser aplicadas a todos os clientes da hierarquia do Gestor de configuração, independentemente de estarem diretamente ligadas à rede empresarial, ligadas através de uma sessão remota ou ligadas à Internet, mas suportadas pelo Gestor de configuração.

As informações do cliente são armazenadas na base de dados do Gestor de configuração e não são enviadas à Microsoft. As informações são retidas na base de dados até serem eliminadas pelas tarefas de manutenção do site Eliminar Dados de Deteção Desatualizados todos os 90 dias. Pode configurar o intervalo de eliminação.

Antes de configurar o cliente do Gestor de configuração, considere os requisitos de privacidade.

Informações de privacidade dos clientes de dispositivos móveis inscritos pelo Configuration Manager

Para obter as informações de privacidade para inscrever um dispositivo móvel utilizando o Gestor de configuração, consulte Declaração de Privacidade do Microsoft System Center 2012 Configuration Manager - Adenda do dispositivo móvel.

Estado do cliente

O Gestor de configuração monitoriza as atividades dos clientes e avalia periodicamente e pode retificar o cliente do Gestor de configuração e as respetivas dependências. O estado do cliente está ativado por predefinição e utiliza a métrica do lado do servidor para verificações da atividade do cliente e ações do lado do cliente para autoverificações, remediação e envio de informações sobre o estado do cliente ao site do Gestor de configuração. O cliente execute as autoverificações de acordo com uma agenda que pode ser configurada. O cliente envia os resultados das verificações para o site do Gestor de configuração. Estas informações são encriptadas durante a transferência.

As informações do estado do cliente são armazenadas na base de dados do Gestor de configuração e não são enviadas à Microsoft. As informações não são armazenadas em formato encriptado na base de dados do site. Estas informações são mantidas na base de dados até serem eliminadas de acordo com o valor configurado na definição do estado do cliente Reter histórico do estado do cliente pelo seguinte número de dias. O valor predefinido para esta definição é de 31 dias.

Antes de instalar o cliente do Gestor de configuração com a verificação do estado do cliente, considere os requisitos de privacidade.

Informações de privacidade de dispositivos móveis geridos utilizando o conector do Exchange Server

O Conector do Exchange Server localiza e gere os dispositivos com ligação ao Exchange Server (no local ou alojado) utilizando o protocolo ActiveSync. Os registos localizados pelo Conector do Exchange Server são armazenados na base de dados do Gestor de configuração. As informações são recolhidas a partir do Exchange Server. Não contém qualquer informação adicional sobre o que é enviado para o Exchange Server pelos dispositivos móveis.

As informações do dispositivo móvel não são enviadas à Microsoft. As informações do dispositivo móvel são armazenadas na base de dados do Gestor de configuração. As informações são retidas na base de dados até serem eliminadas pelas tarefas de manutenção do site Eliminar Dados de Deteção Desatualizados todos os 90 dias. Pode configurar o intervalo de eliminação.

Antes de instalar e configurar o conector do Exchange Server, considere os requisitos de privacidade.