Segurança e privacidade para definições de compatibilidade no System Center Configuration ManagerSecurity and privacy for compliance settings in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Procedimentos recomendados de segurança para definições de compatibilidadeSecurity best practices for compliance settings

Procedimento recomendado de segurançaSecurity best practice Mais informaçõesMore information
Não monitorize dados confidenciais.Do not monitor sensitive data. Para ajudar a evitar a divulgação de informações, não configure os itens de configuração para monitorizar informações potencialmente confidenciais.To help avoid information disclosure, do not configure configuration items to monitor potentially sensitive information.
Não configure regras de conformidade que utilizem dados passíveis de serem modificados por utilizadores finais.Do not configure compliance rules that use data that can be modified by end users. Se criar uma regra de compatibilidade com base em dados que os utilizadores podem modificar, como definições de registo para opções de configuração, os resultados de compatibilidade não serão fiáveis.If you create a compliance rule based on data that users can modify, such as registry settings for configuration choices, the compliance results will not be reliable.
Importe pacotes de configuração do Microsoft System Center e outros dados de configuração de origens externas apenas se tiverem uma assinatura digital válida de um fabricante fidedigno.Import Microsoft System Center configuration packs and other configuration data from external sources only if they have a valid digital signature from a trusted publisher. Os dados de configuração publicados podem ser assinados digitalmente para que possa verificar a origem da publicação e certificar-se de que os dados não foram adulterados.Published configuration data can be digitally signed so that you can verify the publishing source and ensure that the data has not been tampered with. Se a verificação da assinatura digital falhar, é apresentado um aviso e é-lhe perguntado se pretende continuar com a importação.If the digital signature verification check fails, you are warned and prompted to continue with the import. Não importe dados não assinados se não conseguir verificar a origem e a integridade dos dados.Do not import unsigned data if you cannot verify the source and integrity of the data.
Implemente controlos de acesso para proteger computadores de referência.Implement access controls to protect reference computers. Certifique-se de que quando um utilizador administrativo configura uma definição de registo ou de sistema de ficheiros navegando para um computador de referência, o computador de referência não tinha sido comprometido.Ensure that when an administrative user configures a registry or file system setting by browsing to a reference computer, the reference computer had not been compromised.
Proteja o canal de comunicação ao navegar para um computador de referência.Secure the communication channel when you browse to a reference computer. Para impedir a adulteração dos dados quando é transferido através da rede, utilize a segurança de protocolo de Internet (IPsec) ou bloco de mensagem de servidor (SMB) entre o computador que executa a consola do Configuration Manager e o computador de referência.To prevent tampering of the data when it is transferred over the network, use Internet Protocol security (IPsec) or server message block (SMB) between the computer that runs the Configuration Manager console and the reference computer.
Restrinja e monitorize os utilizadores administrativos a quem é concedida a função de segurança baseada em funções de Gestor de Definições de Conformidade.Restrict and monitor the administrative users who are granted the Compliance Settings Manager role-based security role. Os utilizadores administrativos a quem é concedida a função Gestor de Definições de Compatibilidade podem implementar itens de configuração em todos os dispositivos e em todos os utilizadores na hierarquia.Administrative users who are granted the Compliance Settings Manager role can deploy configuration items to all devices and all users in the hierarchy. Os itens de configuração podem ser muito eficientes e podem incluir, por exemplo, scripts e reconfiguração do registo.Configuration items can be very powerful and can include, for example, scripts and registry reconfiguration.

Informações de privacidade para definições de compatibilidadePrivacy information for compliance settings

Pode utilizar definições de compatibilidade para avaliar se os dispositivos cliente são compatíveis com os itens de configuração que implementar em linhas de base de configuração.You can use compliance settings to evaluate whether your client devices are compliant with configuration items that you deploy in configuration baselines. Algumas definições podem ser remediadas automaticamente se não forem compatíveis.Some settings can be automatically remediated if they out of compliance. As informações de conformidade são enviadas para o servidor do site pelo ponto de gestão e armazenadas na base de dados do site.Compliance information is sent to the site server by the management point and stored in the site database. As informações são encriptadas quando os dispositivos as enviam para o ponto de gestão, mas não são armazenadas em formato encriptado na base de dados do site.The information is encrypted when devices send it to the management point, but it is not stored in encrypted format in the site database. As informações são retidas na base de dados até que a tarefa de manutenção do site Eliminar Dados de Gestão de Configuração Desatualizados as elimine todos os 90 dias.Information is retained in the database until the site maintenance task Delete Aged Configuration Management Data deletes it every 90 days. Pode configurar o intervalo de eliminação.You can configure the deletion interval. As informações de conformidade não são enviadas à Microsoft.Compliance information is not sent to Microsoft.

Por predefinição, os dispositivos não avaliam as definições de compatibilidade.By default, devices do not evaluate compliance settings. Além disso, tem de configurar os itens de configuração e as linhas de base de configuração e, em seguida, implementá-los nos dispositivos.In addition, you must configure the configuration items and configuration baselines, and then deploy them to devices.