Segurança e privacidade para clientes no System Center Configuration ManagerSecurity and privacy for clients in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Este artigo contém informações de privacidade para clientes no System Center Configuration Manager e para dispositivos móveis que são geridos pelo conector do Exchange Server e de segurança:This article contains security and privacy information for clients in System Center Configuration Manager and for mobile devices that are managed by the Exchange Server connector:

Melhores práticas de segurança para clientes Security best practices for clients

Quando o Configuration Manager aceita dados de dispositivos que executam o cliente do Configuration Manager, ocorre o risco dos clientes poderem atacar o site.When Configuration Manager accepts data from devices that run the Configuration Manager client, this introduces the risk that the clients could attack the site. Por exemplo, poderiam enviar inventários incorretos ou tentar sobrecarregar os sistemas do site.For example, they could send malformed inventory, or attempt to overload the site systems. Implemente o cliente do Configuration Manager apenas a dispositivos que considera fidedignos.Deploy the Configuration Manager client only to devices that you trust. Além disso, utilize os seguintes procedimentos recomendados para ajudar a proteger o site contra dispositivos não autorizados ou comprometidos:In addition, use the following security best practices to help protect the site from rogue or compromised devices:

Utilize certificados de infraestrutura de chaves públicas (PKI) para comunicações de clientes com sistemas de sites que executam o IIS.Use public key infrastructure (PKI) certificates for client communications with site systems that run IIS.

  • Como uma propriedade do site, configure Definições do sistema de sites para Apenas HTTPS.As a site property, configure Site system settings for HTTPS only.

  • Instale os clientes com a propriedade /UsePKICert CCMSetupInstall clients with the /UsePKICert CCMSetup property

  • Utilize uma lista de revogação de certificados (CRL) e certifique-se de que os clientes e servidores em comunicação podem aceder-lhe sempre.Use a certificate revocation list (CRL) and make sure that clients and communicating servers can always access it.

    Estes certificados são necessários para as ligações à Internet dos clientes de dispositivos móveis e dos computadores cliente, e, à exceção dos pontos de distribuição, são recomendados para todas as ligações de cliente à intranet.These certificates are required for mobile device clients and for client computer connections on the Internet, and, with the exception of distribution points, are recommended for all client connections on the intranet.

    Para obter mais informações sobre os requisitos de certificados PKI e como são utilizados para ajudar a proteger o Configuration Manager, consulte requisitos de certificado PKI para o System Center Configuration Manager.For more information about the PKI certificate requirements and how they are used to help protect Configuration Manager, see PKI certificate requirements for System Center Configuration Manager.

    Aprovam automaticamente computadores cliente de domínios fidedignos e manualmente verificar e aprovar outros computadoresAutomatically approve client computers from trusted domains and manually check and approve other computers

    Pode configurar a aprovação para a hierarquia como manual, automática para computadores em domínios fidedignos ou automática para todos os computadores.You can configure approval for the hierarchy as manual, automatic for computers in trusted domains, or automatic for all computers. O método mais seguro de aprovação é aprovar automaticamente os clientes que são membros de domínios fidedignos e, em seguida, verificar manualmente e aprovar todos os outros computadores.The most secure approval method is to automatically approve clients that are members of trusted domains, and then manually check and approve all other computers. Não é recomendável aprovar automaticamente todos os clientes, a menos que tenha outros controlos de acesso para impedir que computadores não fidedignos acedam à rede.Automatically approving all clients is not recommended unless you have other access controls to prevent untrustworthy computers from accessing your network.

    Aprovação identifica um computador que considere de confiança, para serem geridos pelo Configuration Manager quando não é possível utilizar a autenticação de PKI.Approval identifies a computer that you trust to be managed by Configuration Manager when you cannot use PKI authentication.

    Para obter mais informações sobre como aprovar computadores manualmente, veja Gerir Clientes a partir do Nó Dispositivos.For more information about how to manually approve computers, see Manage Clients from the Devices Node.

    Não pode confiar no bloqueio para impedir que os clientes acedam à hierarquia do Configuration ManagerDo not rely on blocking to prevent clients from accessing the Configuration Manager hierarchy

    Os clientes bloqueados são rejeitados pela infraestrutura do Configuration Manager para que não conseguem comunicar com sistemas de sites para transferir políticas, carregar dados de inventário ou enviar mensagens de estado.Blocked clients are rejected by the Configuration Manager infrastructure so that they cannot communicate with site systems to download policy, upload inventory data, or send state or status messages. No entanto, não pode confie no bloqueio para proteger a hierarquia do Configuration Manager de computadores não fidedignos quando os sistemas de sites aceitam ligações de cliente HTTP.However, do not rely on blocking to protect the Configuration Manager hierarchy from untrusted computers when site systems accept HTTP client connections. Neste cenário, um cliente bloqueado poderia voltar a associar o site com um novo certificado autoassinado e um novo ID de hardware.In this scenario, a blocked client could re-join the site with a new self-signed certificate and hardware ID. O bloqueio foi concebido para ser utilizado no sentido de bloquear suportes de dados de arranque perdidos ou comprometidos ao implementar sistemas operativos nos clientes e quando todos os sistemas de sites aceitam ligações de cliente por HTTPS.Blocking is designed to be used to block lost or compromised boot media when you deploy an operating system to clients and when all site systems accept HTTPS client connections. Se utiliza uma infraestrutura de chaves públicas (PKI), e a mesma suportar uma lista de revogação de certificados (CRL), considere sempre a revogação de certificados como a primeira linha de defesa contra certificados potencialmente comprometidos.If you use a public key infrastructure (PKI) and it supports a certificate revocation list (CRL), always consider certificate revocation to be the primary line of defense against potentially compromised certificates. Bloqueio de clientes no Configuration Manager oferece uma segunda linha de defesa para proteger a hierarquia.Blocking clients in Configuration Manager offers a second line of defense to protect your hierarchy.

    Para obter mais informações, veja Determinar se deve bloquear clientes no System Center Configuration Manager.For more information, see Determine whether to block clients in System Center Configuration Manager.

    Utilize os métodos de instalação de cliente mais seguros e adequados ao seu ambiente:Use the most secure client installation methods that are practical for your environment:

  • Para computadores de domínio, os métodos de instalação de cliente de Política de Grupo e de instalação de cliente baseada em atualização de software são mais seguros do que a instalação push de cliente.For domain computers, Group Policy client installation and software update-based client installation methods are more secure than client push installation.

  • O processamento de imagens e a instalação manual podem ser muito seguros, se aplicar controlos de acesso e alterar os controlos.Imaging and manual installation can be very secure if you apply access controls and change controls.

    De todos os métodos de instalação de cliente, a instalação push de cliente é a menos segura devido à grande quantidade de dependências que possui, o que inclui permissões administrativas locais, a partilha Admin$ e muitas exceções de firewall.Of all the client installation methods, client push installation is the least secure because of the many dependencies it has, which includes local administrative permissions, the Admin$ share, and many firewall exceptions. Estas dependências aumentam a superfície de ataque.These dependencies increase your attack surface.

    Para obter mais informações sobre os diferentes métodos de instalação do cliente, veja Métodos de instalação de cliente no System Center Configuration Manager.For more information about the different client installation methods, see Client installation methods in System Center Configuration Manager.

    Além disso, sempre que possível, selecione um método de instalação de cliente necessita de, pelo menos, permissões de segurança no Configuration Manager e restrinja os utilizadores administrativos com atribuição de funções de segurança que incluam permissões que podem ser utilizadas para fins que não sejam de implementação do cliente.In addition, wherever possible, select a client installation method that requires the least security permissions in Configuration Manager, and restrict the administrative users that are assigned security roles that include permissions that can be used for purposes other than client deployment. Por exemplo, a atualização automática de cliente requer a função de segurança Administrador Total, que concede a um utilizador administrativo todas as permissões de segurança.For example, automatic client upgrade requires the Full Administrator security role, which grants an administrative user all security permissions.

    Para obter mais informações sobre as dependências e permissões de segurança necessárias para cada método de instalação de cliente, consulte "Dependências de método de instalação" em pré-requisitos para clientes de computador.For more information about the dependencies and security permissions required for each client installation method, see "Installation Method Dependencies" in Prerequisites for Computer Clients.

    Se tiver de utilizar a instalação push do cliente, tome medidas adicionais para proteger a conta de instalação de Push de clienteIf you must use client push installation, take additional steps to secure the Client Push Installation Account

    Embora esta conta tem de ser um membro do local administradores grupo em cada computador que irá instalar o software de cliente do Configuration Manager, nunca adicione a conta de instalação de Push do cliente para o Admins do domínio grupo.Although this account must be a member of the local Administrators group on each computer that will install the Configuration Manager client software, never add the Client Push Installation Account to the Domain Admins group. Em vez disso, crie um grupo global e adicione esse grupo global ao grupo local de Administradores nos computadores cliente.Instead, create a global group and add that global group to the local Administrators group on your client computers. Também pode criar um objeto de Política de Grupo para adicionar uma definição de Grupo Restrito, de modo a incluir a Conta de Instalação Push do Cliente no grupo local Administradores.You can also create a Group Policy object to add a Restricted Group setting to add the Client Push Installation Account to the local Administrators group.

    Para segurança adicional, crie várias Contas de Instalação Push do Cliente, cada uma com acesso administrativo a um número limitado de computadores, de forma que, no caso de uma conta ser comprometida, apenas os computadores cliente aos quais essa conta tem acesso sejam comprometidos.For additional security, create multiple Client Push Installation Accounts, each with administrative access to a limited number of computers so that if one account is compromised, only the client computers to which that account has access are compromised.

    Remover certificados antes do processamento de imagens no computador clienteRemove certificates prior to imaging client computer

    Se planeia implementar clientes através da utilização de tecnologia de processamento de imagens, remova sempre certificados tais como os certificados PKI que incluem autenticação de cliente e certificados autoassinados, antes da captura da imagem.If you plan to deploy clients by using imaging technology, always remove certificates such as PKI certificates that include client authentication and self-signed certificates prior to capturing the image. Se não remover estes certificados, os clientes poderão representar-se entre si, e não será possível verificar os dados para cada cliente.If you do not remove these certificates, clients might impersonate each other and you would not be able to verify the data for each client.

    Para mais informações sobre como utilizar o Sysprep para preparar um computador para o processamento de imagens, consulte a documentação de implementação do Windows.For more information about using Sysprep to prepare a computer for imaging, see your Windows deployment documentation..

    Certifique-se de que os clientes de computador do Configuration Manager obtêm uma cópia autorizada destes certificados:Ensure that the Configuration Manager computer clients get an authorized copy of these certificates:

  • A chave de raiz fidedigna do Configuration ManagerThe Configuration Manager trusted root key

    Se não tiver expandido o esquema do Active Directory para o Configuration Manager e os clientes não utilizarem certificados PKI quando comunicam com pontos de gestão, os clientes dependem da chave de raiz fidedigna do Configuration Manager para autenticar pontos de gestão válido.If you have not extended the Active Directory schema for Configuration Manager, and clients do not use PKI certificates when they communicate with management points, clients rely on the Configuration Manager trusted root key to authenticate valid management points. Neste cenário, os clientes não têm como verificar que o ponto de gestão é um ponto de gestão fidedigno para a hierarquia, a não ser que utilizem a chave de raiz fidedigna.In this scenario, clients have no way to verify that the management point is a trusted management point for the hierarchy unless they use the trusted root key. Sem a chave de raiz fidedigna, um intruso qualificado pode direcionar clientes para um ponto de gestão não autorizado.Without the trusted root key, a skilled attacker could direct clients to a rogue management point.

    Quando os clientes não conseguem transferir a chave de raiz fidedigna do Configuration Manager de Catálogo Global ou através da utilização de certificados PKI, pré-Aprovisione os clientes com a chave de raiz fidedigna para se certificar de que este não podem ser direcionado para um ponto de gestão não autorizado.When clients cannot download the Configuration Manager trusted root key from the Global Catalog or by using PKI certificates, pre-provision the clients with the trusted root key to make sure that they cannot be directed to a rogue management point. Para obter mais informações, veja Planear a Chave de Raiz Fidedigna.For more information, see Planning for the Trusted Root Key.

  • O certificado de assinatura do servidor do siteThe site server signing certificate

    Os clientes utilizam o certificado de assinatura do servidor de site para verificar se o servidor do site assinou a política de cliente que transferiram a partir de um ponto de gestão.Clients use the site server signing certificate to verify that the site server signed the client policy that they download from a management point. Este certificado é autoassinado pelo servidor do site e publicado nos Serviços de Domínio do Active Directory.This certificate is self-signed by the site server and published to Active Directory Domain Services.

    Quando os clientes não conseguem transferir o certificado de assinatura do servidor de site a partir do Catálogo Global, por predefinição transferem-no a partir do ponto de gestão.When clients cannot download the site server signing certificate from the Global Catalog, by default they download it from the management point. Quando o ponto de gestão está exposto a uma rede não fidedigna (tal como a Internet), instale manualmente o certificado de assinatura do servidor do site nos clientes, para garantir que não podem executar, a partir de um ponto de gestão comprometido, políticas de cliente que tenham sido adulteradas.When the management point is exposed to an untrusted network (such as the Internet), manually install the site server signing certificate on clients to make sure that they cannot run client policies that have been tampered with from a compromised management point.

    Para instalar manualmente o certificado de assinatura do servidor do site, utilize a propriedade CCMSetup client.msi SMSSIGNCERT.To manually install the site server signing certificate, use the CCMSetup client.msi property SMSSIGNCERT. Para obter mais informações, veja Acerca das propriedades de instalação do cliente no System Center Configuration Manager.For more information, see About client installation properties in System Center Configuration Manager.

    Não utilize a atribuição automática de site, se o cliente irá transferir a chave de raiz fidedigna do primeiro ponto de gestão que contactarDo not use automatic site assignment if the client will download the trusted root key from the first management point it contacts

    Este procedimento recomendado de segurança está ligado à entrada anterior.This security best practice is linked to the preceding entry. Para evitar o risco de um novo cliente transferir a chave de raiz fidedigna a partir de um ponto de gestão não autorizado, utilize a atribuição automática de site apenas nos cenários seguintes:To avoid the risk of a new client downloading the trusted root key from a rogue management point, use automatic site assignment in the following scenarios only:

  • O cliente pode aceder às informações de site do Configuration Manager que são publicadas para serviços de domínio do Active Directory.The client can access Configuration Manager site information that is published to Active Directory Domain Services.

  • Pré-aprovisione o cliente com a chave de raiz fidedigna.You pre-provision the client with the trusted root key.

  • Utilize certificados PKI de uma autoridade de certificação empresarial para estabelecer fidedignidade entre o cliente e o ponto de gestão.You use PKI certificates from an enterprise certification authority to establish trust between the client and the management point.

    Para obter mais informações sobre a chave de raiz fidedigna, veja Planear a Chave de Raiz Fidedigna.For more information about the trusted root key, see Planning for the Trusted Root Key.

    Instalar computadores cliente com a opção CCMSetup Client.msi SMSDIRECTORYLOOKUP = NoWINSInstall client computers with the CCMSetup Client.msi option SMSDIRECTORYLOOKUP=NoWINS

    O método mais seguro para a localização de serviço para os clientes localizarem sites e pontos de gestão é a utilização dos Serviços de Domínio do Active Directory.The most secure service location method for clients to find sites and management points is to use Active Directory Domain Services. Se não for possível, por exemplo, porque não é possível expandir o esquema do Active Directory para o Configuration Manager, ou porque os clientes estão numa floresta não fidedigna ou um grupo de trabalho, pode utilizar a publicação de DNS como método de localização de serviço alternativo.If this is not possible, for example, because you cannot extend the Active Directory schema for Configuration Manager, or because clients are in an untrusted forest or a workgroup, you can use DNS publishing as an alternative service location method. Se estes dois métodos falharem, os clientes podem reverter para a utilização de WINS quando o ponto de gestão não estiver configurado para ligações de cliente HTTPS.If both these methods fail, clients can fall back to using WINS when the management point is not configured for HTTPS client connections.

    Como publicar para o WINS é menos seguro do que os outros métodos de publicação, configure os computadores cliente para não recorrerem à utilização de WINS especificando SMSDIRECTORYLOOKUP=NoWINS.Because publishing to WINS is less secure than the other publishing methods, configure client computers to not fall back to using WINS by specifying SMSDIRECTORYLOOKUP=NoWINS. Se tiver de utilizar WINS para a localização de serviço, utilize SMSDIRECTORYLOOKUP = WINSSECURE (a predefinição), que utiliza a chave de raiz fidedigna do Configuration Manager para validar o certificado autoassinado do ponto de gestão.If you must use WINS for service location, use SMSDIRECTORYLOOKUP=WINSSECURE (the default setting), which uses the Configuration Manager trusted root key to validate the self-signed certificate of the management point.

Nota

Quando o cliente é configurado para SMSDIRECTORYLOOKUP = WINSSECURE e localiza um ponto de gestão a partir do WINS, o cliente verifica a respetiva cópia da chave de raiz fidedigna do Configuration Manager que está no WMI.When the client is configured for SMSDIRECTORYLOOKUP=WINSSECURE and finds a management point from WINS, the client checks its copy of the Configuration Manager trusted root key that is in WMI. Se a assinatura de gestão de ponto de correspondências de certificado do cliente da chave de raiz fidedigna, o certificado é validado, e o cliente comunica com o ponto de gestão que localizou através da utilização de WINS.If the signature on the management point certificate matches the client's copy of the trusted root key, the certificate is validated, and the client communicates with the management point that it found by using WINS. Se a assinatura no certificado de ponto de gestão não corresponder do cliente da chave de raiz fidedigna, o certificado não é válido e o cliente não irá comunicar com o ponto de gestão que localizou através da utilização de WINS.If the signature on the management point certificate does not match the client's copy of the trusted root key, the certificate is not valid and the client will not communicate with the management point that it found by using WINS.

Certifique-se de que as janelas de manutenção são suficientemente abrangentes para implementar atualizações de software críticasMake sure that maintenance windows are large enough to deploy critical software updates

Pode configurar as janelas de manutenção para coleções de dispositivos restringir o número de vezes que o Configuration Manager pode instalar software nestes dispositivos.You can configure maintenance windows for device collections to restrict the times that Configuration Manager can install software on these devices. Se configurar a janela de manutenção para um período pequeno, o cliente pode não conseguir instalar as atualizações de software críticas, o que deixará o cliente vulnerável ao ataque que seria mitigado pela atualização de software.If you configure the maintenance window to be too small, the client might not be able to install critical software updates, which leaves the client vulnerable to the attack that is mitigated by the software update.

Para dispositivos Windows embedded que tenham filtros de escrita, tome medidas adicionais de segurança para reduzir a superfície de ataque se o Configuration Manager desative os filtros de escrita para manter as instalações de software e alteraçõesFor Windows embedded devices that have write filters, take additional security precautions to reduce the attack surface if Configuration Manager disables the write filters to persist software installations and changes

Quando os filtros de escrita são ativados nos dispositivos Windows Embedded, quaisquer instalações ou alterações de software são efetuadas apenas na sobreposição e não persistem após o reinício do dispositivo.When write filters are enabled on Windows Embedded devices, any software installations or changes are made to the overlay only and do not persist after the device restarts. Se utilizar o Configuration Manager para desativar temporariamente os filtros de escrita para manter as instalações de software e as alterações, durante este período, o dispositivo incorporado é vulnerável a alterações em todos os volumes, o que inclui pastas partilhadas.If you use Configuration Manager to temporarily disable the write filters to persist software installations and changes, during this period, the embedded device is vulnerable to changes to all volumes, which includes shared folders.

Apesar do Configuration Manager bloqueia o computador durante este período, para que apenas os administradores locais possam iniciar sessão, sempre que possível, tome medidas adicionais de segurança para ajudar a proteger o computador.Although Configuration Manager locks the computer during this period so that only local administrators can log on, whenever possible, take additional security precautions to help protect the computer. Por exemplo, ative restrições adicionais na firewall e desligue o dispositivo da rede.For example, enable additional restrictions on the firewall and disconnect the device from the network.

Se utilizar as janelas de manutenção para manter as alterações, planeie estas janelas cuidadosamente de forma a minimizar o tempo em que os filtros de escrita estão desativados mas com tempo suficiente para permitir as instalações de software e o reinício para concluir.If you use maintenance windows to persist changes, plan these windows carefully to minimize the time that write filters might be disabled but long enough to allow software installations and restarts to complete.

Se utilizar a instalação de cliente baseada em atualização de software e instalar uma versão posterior do cliente no site, atualize a atualização de software que é publicada no ponto de atualização de software, para que os clientes recebam a versão mais recenteIf you use software update-based client installation and install a later version of the client on the site, update the software update that is published on the software update point so that clients receive the latest version

Se instalar uma versão posterior do cliente no site, por exemplo, se atualizar o site, a atualização de software para a implementação do cliente que é publicada no ponto de atualização de software não é atualizada automaticamente.If you install a later version of the client on the site, for example, you upgrade the site, the software update for client deployment that is published to the software update point is not automatically updated. Deve voltar a publicar o cliente do Configuration Manager no ponto de atualização de software e clicar em Sim para atualizar o número de versão.You must republish the Configuration Manager client to the software update point and click Yes to update the version number.

Para obter mais informações, consulte o procedimento "para publicar o cliente do Configuration Manager para o ponto de atualização de software" no como instalar clientes do Configuration Manager pela instalação based.For more information, see the procedure "To publish the Configuration Manager client to the software update point" in How to Install Configuration Manager Clients by Using Software Update-Based Installation.

Configurar o agente do computador definição do dispositivo cliente entrada suspender o PIN do BitLocker no reinício sempre apenas para computadores nos quais confia e que tenham acesso físico restritoConfigure the Computer Agent client device setting Suspend BitLocker PIN entry on restart to be Always only for computers that you trust and that have restricted physical access

Quando configurar esta definição de cliente para sempre, Configuration Manager pode concluir a instalação do software para ajudar a garantir que as atualizações de software críticas são instaladas e que os serviços são retomados.When you set this client setting to Always, Configuration Manager can complete the installation of software to help to ensure that critical software updates are installed and that services are resumed. No entanto, se um intruso intercetar o processo de reinício, ele poderá assumir o controlo do computador.However, if an attacker intercepts the restart process, she could take control of the computer. Utilize esta definição apenas quando confiar no computador e quando o acesso físico ao computador é restrito.Use this setting only when you trust the computer and when physical access to the computer is restricted. Por exemplo, esta definição pode ser apropriada para servidores num centro de dados.As an example, this setting might be appropriate for servers in a data center.

Não configure a política de execução de PowerShell de definição de dispositivo de cliente do agente do computador como "Ignorar".Do not configure the Computer Agent client device setting PowerShell execution policy to be Bypass.

Esta definição de cliente permite que o cliente de Configuration Manager executar scripts PowerShell não assinados, o que poderia permitir a software maligno ser executada em computadores cliente.This client setting allows the Configuration Manager client to run unsigned PowerShell scripts, which could allow malware to run on client computers. Se tem de selecionar esta opção, utilize uma definição de cliente personalizada e atribua-a apenas aos computadores cliente que têm de executar scripts PowerShell não assinados.If you must select this option, use a custom client setting and assign it to only the client computers that must run unsigned PowerShell scripts.

Melhores práticas de segurança para dispositivos móveis Security best practices for mobile devices

Para dispositivos móveis que inscrever com o Configuration Manager e que serão suportados na Internet: Instalar o ponto de proxy de registo numa rede de perímetro e o ponto de registo na intranetFor mobile devices that you enroll with Configuration Manager and will supported on the Internet: Install the enrollment proxy point in a perimeter network and the enrollment point in the intranet

Esta separação de funções ajuda a proteger o ponto de registo contra ataques.This role separation helps to protect the enrollment point from attack. Se o ponto de registo for comprometido, um intruso poderá obter certificados para autenticação e roubar as credenciais de utilizadores que inscrevem os respetivos dispositivos móveis.If the enrollment point is compromised, an attacker could obtain certificates for authentication and steal the credentials of users who enroll their mobile devices.

Para dispositivos móveis: Configurar as definições de palavra-passe para ajudar a proteger dispositivos móveis contra acesso não autorizadoFor mobile devices: Configure the password settings to help protect mobile devices from unauthorized access

Para dispositivos móveis que são inscritos pelo Configuration Manager: Utilize um item de configuração do dispositivo móvel para configurar a complexidade de palavra-passe para ser o PIN e, pelo menos, o comprimento predefinido para o comprimento mínimo da palavra-passe.For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the password complexity to be the PIN and at least the default length for the minimum password length.

Para dispositivos móveis que não tenham o cliente do Configuration Manager instalado, mas que são geridos pelo conector do Exchange Server: Configurar o definições de palavra-passe para o conector do Exchange Server, de modo a que a complexidade de palavra-passe seja o PIN e especifique, pelo menos, o comprimento predefinido para o comprimento mínimo da palavra-passe.For mobile devices that do not have the Configuration Manager client installed but that are managed by the Exchange Server connector: Configure the Password Settings for the Exchange Server connector such that the password complexity is the PIN and specify at least the default length for the minimum password length.

Para dispositivos móveis: Ajudar a impedir a adulteração de informações de inventário e as informações de estado, permitindo que as aplicações sejam executadas apenas quando são assinadas por empresas nas quais confia e não permite a ficheiros não assinadosFor mobile devices: Help prevent tampering of inventory information and status information by allowing applications to run only when they are signed by companies that you trust and do not allow unsigned files to be installed

Para mais dispositivos móveis que são inscritos pelo Configuration Manager: Utilize um item de configuração do dispositivo móvel para configurar a definição de segurança aplicações não assinadas como proibido e configurar ficheiros não assinados seja uma origem fidedigna.For more mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the security setting Unsigned applications as Prohibited and configure Unsigned file installations to be a trusted source.

Para dispositivos móveis que não tenham o cliente do Configuration Manager instalado, mas que são geridos pelo conector do Exchange Server: Configurar o definições da aplicação para o conector do Exchange Server, de modo que não assinados a instalação do ficheiro e aplicações não assinadas estão configuradas como proibido.For mobile devices that do not have the Configuration Manager client installed but that are managed by the Exchange Server connector: Configure the Application Settings for the Exchange Server connector such that Unsigned file installation and Unsigned applications are configured as Prohibited.

Para dispositivos móveis: Ajude a impedir ataques de elevação de privilégio ataques, bloqueando o dispositivo móvel quando não está a ser utilizadoFor mobile devices: Help prevent elevation of privilege attacks by locking the mobile device when it is not used

Para mais dispositivos móveis que são inscritos pelo Configuration Manager: Utilize um item de configuração do dispositivo móvel para configurar a definição de palavra-passe tempo de inatividade em minutos antes do dispositivo móvel ser bloqueado.For more mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the password setting Idle time in minutes before mobile device is locked.

Para dispositivos móveis que não tenham o cliente do Configuration Manager instalado, mas que são geridos pelo conector do Exchange Server: Configurar o definições de palavra-passe para o conector do Exchange Server configure tempo de inatividade em minutos antes do dispositivo móvel ser bloqueado.For mobile devices that do not have the Configuration Manager client installed but that are managed by the Exchange Server connector: Configure the Password Settings for the Exchange Server connector to configure Idle time in minutes before mobile device is locked.

Para dispositivos móveis: Ajude a impedir ataques de elevação de privilégios, restringindo os utilizadores que podem inscrever os respetivos dispositivos móveis.For mobile devices: Help prevent elevation of privileges by restricting the users who can enroll their mobile devices.

Utilize uma definição de cliente personalizada em vez de predefinições de cliente, para permitir que apenas utilizadores autorizados possam inscrever os respetivos dispositivos móveis.Use a custom client setting rather than default client settings to allow only authorized users to enroll their mobile devices.

Para dispositivos móveis: Não implemente aplicações para utilizadores que têm dispositivos móveis inscritos pelo Configuration Manager ou o Microsoft Intune nos seguintes cenários:For mobile devices: Do not deploy applications to users who have mobile devices enrolled by Configuration Manager or Microsoft Intune in the following scenarios:

  • Quando o dispositivo móvel é utilizado por mais do que uma pessoa.When the mobile device is used by more than one person.

  • Quando o dispositivo é inscrito por um administrador em nome de um utilizador.When the device is enrolled by an administrator on behalf of a user.

  • Quando o dispositivo é transferido para outra pessoa sem extinção e, em seguida, reinscrição do dispositivo.When the device is transferred to another person without retiring and then re-enrolling the device.

    Durante a inscrição é criada uma relação de afinidade dispositivo/utilizador, que mapeia o utilizador que efetua a inscrição para o dispositivo móvel.A user device affinity relationship is created during enrollment, which maps the user who performs enrollment to the mobile device. Se outro utilizador usar o dispositivo móvel, ele poderá executar as aplicações que são implementadas para o utilizador original, o que poderá resultar numa elevação de privilégios.If another user uses the mobile device, they will be able to run the applications that you deploy to the original user, which might result in an elevation of privileges. Da mesma forma, se um administrador inscrever o dispositivo móvel para um utilizador, as aplicações implementadas para o utilizador não serão instaladas no dispositivo móvel e, em vez disso, as aplicações que são implementadas para o administrador poderão ser instaladas.Similarly, if an administrator enrolls the mobile device for a user, applications deployed to the user will not be installed on the mobile device and instead, applications that are deployed to the administrator might be installed.

    Ao contrário da afinidade dispositivo / utilizador para computadores Windows, não é possível definir manualmente as informações de afinidade de dispositivo do utilizador para dispositivos móveis que são inscritos pelo Microsoft Intune.Unlike user device affinity for Windows computers, you cannot manually define the user device affinity information for mobile devices that are enrolled by Microsoft Intune.

    Se transferir a propriedade de um dispositivo móvel inscrito pelo Intune, extinga o dispositivo móvel do Intune para remover a afinidade dispositivo / utilizador e, em seguida, peça ao utilizador atual para inscrever o dispositivo novamente.If you transfer ownership of a mobile device that is enrolled by Intune, retire the mobile device from Intune to remove the user device affinity, and then ask the current user to enroll the device again.

    Para dispositivos móveis: Certifique-se de que os utilizadores inscrevem os seus próprios dispositivos móveis no Microsoft IntuneFor mobile devices: Make sure that users enroll their own mobile devices for Microsoft Intune

    Uma vez que durante a inscrição é criada uma relação de afinidade dispositivo/utilizador, que mapeia o utilizador que efetua a inscrição para o dispositivo móvel, se um administrador inscrever o dispositivo móvel para um utilizador, as aplicações implementadas para o utilizador não serão instaladas no dispositivo móvel e, em vez disso, as aplicações que são implementadas para o administrador poderão ser instaladas.Because a user device affinity relationship is created during enrollment, which maps the user who performs enrollment to the mobile device, if an administrator enrolls the mobile device for a user, applications deployed to the user will not be installed on the mobile device and instead, applications that are deployed to the administrator might be installed.

    Para o conector do Exchange Server: Certifique-se de que a ligação entre o servidor do site do Configuration Manager e o computador do Exchange Server está protegidaFor the Exchange Server connector: Make sure that the connection between the Configuration Manager site server and the Exchange Server computer is protected

    Utilize IPsec se o Exchange Server for local; o Exchange alojado protege automaticamente a ligação utilizando SSL.Use IPsec if the Exchange Server is on-premise; hosted Exchange automatically secures the connection by using SSL.

    Para o conector do Exchange Server: Utilize o princípio de menos privilégios para o conectorFor the Exchange Server connector: Use the principle of least privileges for the connector

    Para obter uma lista dos cmdlets mínimos de que o conector do Exchange Server precisa, veja Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange.For a list of the minimum cmdlets that the Exchange Server connector requires, see Manage mobile devices with System Center Configuration Manager and Exchange.

Melhores práticas de segurança para Macs Security best practices for Macs

Para computadores Mac: Armazenar e aceder os ficheiros de origem do cliente a partir de uma localização segura.For Mac computers: Store and access the client source files from a secured location.

Gestor de configuração não verifica se estes ficheiros de origem de cliente foram adulterados antes da instalação ou a inscrição do cliente no computador Mac.Configuration Manager does not verify whether these client source files have been tampered with before installing or enrolling the client on Mac computer. Transfira estes ficheiros a partir de uma origem fidedigna e armazene-os e aceda aos mesmos de forma segura.Download these files from a trustworthy source and store and access them securely.

Para computadores Mac: Independentemente do Configuration Manager, monitorize e controle o período de validade do certificado inscrito para os utilizadores.For Mac computers: Independently from Configuration Manager, monitor and track the validity period of the certificate that enrolled to users.

Para assegurar a continuidade do negócio, monitorize e controle o período de validade dos certificados que utiliza para computadores Mac.To ensure business continuity, monitor and track the validity period of the certificates that you use for Mac computers. O Configuration Manager não suporta a renovação automática deste certificado nem indica que o certificado está prestes a expirar.Configuration Manager does not support automatic renewal of this certificate or warn you that the certificate is about to expire. Um período de validade típico é 1 ano.A typical validity period is 1 year.

Para obter informações sobre como renovar o certificado, veja Renovar manualmente o certificado do cliente Mac.For information about how to renew the certificate, see Renewing the Mac Client Certificate Manually.

Para computadores Mac: Considere configurar o certificado de AC de raiz fidedigna de forma a que seja fidedigno para o protocolo SSL apenas para ajudar a proteger contra ataques de elevação de privilégios.For Mac computers: Consider configuring the trusted root CA certificate such that it is trusted for the SSL protocol only, to help protect against elevation of privileges.

Quando inscrever computadores Mac, um certificado de utilizador para gerir o cliente do Configuration Manager é instalado automaticamente, juntamente com o certificado de raiz fidedigna que o certificado de utilizador está encadeado.When you enroll Mac computers, a user certificate to manage the Configuration Manager client is automatically installed, together with the trusted root certificate that the user certificate chains to. Se pretender restringir a fidedignidade deste certificado de raiz apenas para o protocolo SSL, pode utilizar o procedimento seguinte.If you want to restrict the trust of this root certificate to the SSL protocol only, you can use the following procedure.

Depois de concluir este procedimento, o certificado de raiz não seria fidedigno para validar protocolos diferentes de SSL - por exemplo, correio seguro (S/MIME), autenticação extensível (EAP) ou assinatura de código.After you complete this procedure, the root certificate would not be trusted to validate protocols other than SSL - for example, Secure Mail (S/MIME), Extensible Authentication (EAP), or code signing.

Nota

Também pode utilizar este procedimento se tiver instalado o certificado de cliente independentemente do Configuration Manager.You can also use this procedure if you installed the client certificate independently from Configuration Manager.

Para restringir o certificado de AC raiz apenas para o protocolo SSL:To restrict the root CA certificate to the SSL protocol only:

  1. No computador Mac, abra uma janela de terminal.On the Mac computer, open a terminal window.

  2. Introduza o comando sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ AccessEnter the command sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. Na caixa de diálogo Acesso Keychain da secção Keychains, clique em Sistema e, em seguida, na secção Categoria, clique em Certificados.In the Keychain Access dialog box, in the Keychains section, click System, and then, in the Category section, click Certificates.

  4. Localize e, em seguida, faça duplo clique sobre o certificado de AC raiz para o certificado de cliente Mac.Locate and then double-click the root CA certificate for the Mac client certificate.

  5. Na caixa de diálogo do certificado de AC de raiz, expanda a secção Confiar e, em seguida, faça as seguintes alterações:In the dialog box for the root CA certificate, expand the Trust section, and then make the following changes:

    1. Na definição Ao utilizar este certificado, altere a predefinição Confiar Sempre para Utilizar Predefinições do Sistema.For the When using this certificate setting, change the Always Trust default setting to Use System Defaults.

    2. Na definição Secure Sockets Layer (SSL), altere nenhum valor especificado para Confiar Sempre.For the Secure Sockets Layer (SSL) setting, change the no value specified to Always Trust.

  6. Fechar a caixa de diálogo e, quando lhe for pedido, introduza a palavra-passe de administrador e, em seguida, clique em definições de atualização.Close the dialog box, and when prompted, enter the administrator's password, and then click Update Settings.

Problemas de segurança para clientes do Configuration Manager Security issues for Configuration Manager clients

Os seguintes problemas de segurança não têm nenhuma atenuação:The following security issues have no mitigation:

  • As mensagens de estado que não são autenticadasStatus messages are not authenticated

    A autenticação não é efetuada nas mensagens de estado.No authentication is performed on status messages. Quando um ponto de gestão aceita ligações de cliente HTTP, qualquer dispositivo pode enviar mensagens de estado para o ponto de gestão.When a management point accepts HTTP client connections, any device can send status messages to the management point. Se o ponto de gestão apenas aceita ligações de cliente HTTPS, um dispositivo tem de obter um certificado de autenticação de cliente válido junto de uma autoridade de certificação de raiz fidedigna, mas também poderia enviar qualquer mensagem de estado.If the management point accepts HTTPS client connections only, a device must obtain a valid client authentication certificate from a trusted root certification authority, but could also then send any status message. Se um cliente envia uma mensagem de estado inválida, a mesma será rejeitada.If a client sends an invalid status message it will be discarded.

    Há alguns potenciais ataques contra esta vulnerabilidade.There are a few potential attacks against this vulnerability. Um intruso poderia enviar uma mensagem de estado fictícia para obter associação numa coleção baseada em consultas de mensagens de estado.An attacker could send a bogus status message to gain membership in a collection that is based on status message queries. Qualquer cliente poderia iniciar um denial of service contra o ponto de gestão, congestionando-o com mensagens de estado.Any client could launch a denial of service against the management point by flooding it with status messages. Se as mensagens de estado estão a acionar ações nas regras de filtro de mensagem de estado, um intruso poderia acionar a regra de filtro de mensagens de estado.If status messages are triggering actions in status message filter rules, an attacker could trigger the status message filter rule. Um intruso também poderia enviar mensagens de estado que iriam tornar incorretas as informações dos relatórios.An attacker could also send status message that would render reporting information inaccurate.

  • As políticas podem ser redirecionadas para os clientes não direcionadosPolicies can be retargeted to non-targeted clients

    Existem vários métodos que os atacantes poderiam utilizar para fazer com que uma política direcionada para um cliente fosse aplicada a um cliente completamente diferente.There are several methods that attackers could use to make a policy targeted to one client apply to an entirely different client. Por exemplo, um intruso num cliente fidedigno poderia enviar informações falsas de inventário ou deteção, para adicionar o computador a uma coleção a que não pertence, e depois receber todas as implementações a essa coleção.For example, an attacker at a trusted client could send false inventory or discovery information to have the computer added to a collection it should not belong to, and then receive all the deployments to that collection. Embora existam controlos para ajudar a impedir os intrusos de modificarem as políticas diretamente, os intrusos poderiam utilizar uma política existente para reformatar e voltar a implementar um sistema operativo e enviá-lo para um computador diferente, criando um denial of service.While controls exist to help prevent attackers from modifying policy directly, attackers could take an existing policy to reformat and redeploy an operating system and send it to a different computer, creating a denial of service. Iriam requerer estes tipos de ataques necessitariam de temporização precisa e conhecimentos aprofundados da infraestrutura do Configuration Manager.These types of attacks would require precise timing and extensive knowledge of the Configuration Manager infrastructure.

  • Os registos de cliente permitem o acesso do utilizadorClient logs allow user access

    Todos os ficheiros de registo de cliente permitem aos utilizadores acesso de Leitura e aos Utilizadores Interativos acesso de Escrita.All the client log files allow users Read access and Interactive Users Write access. Se ativar o registo verboso, os intrusos podem ler os ficheiros de registo para procurarem informações sobre vulnerabilidades de compatibilidade ou de sistema.If you enable verbose logging, attackers might read the log files to look for information about compliance or system vulnerabilities. Os processos tais como a instalação de software que são executados no contexto de um utilizador têm de conseguir escrever nos registos com uma conta de utilizador de direitos restritos.Processes such as software installation that are performed in a user's context must be able to write to logs with a low-rights user account. Isto significa que um intruso também poderia escrever nos registos com uma conta de direitos restritos.This means an attacker could also write to the logs with a low rights account.

    O risco mais grave é o facto de um intruso poder remover informações nos ficheiros de registo de que um administrador poderá necessitar para auditoria e deteção de intrusos.The most serious risk is that an attacker could remove information in the log files that an administrator might need for auditing and intruder detection.

  • Um computador poderia ser utilizado para obter um certificado concebido para a inscrição do dispositivo móvelA computer could be used to obtain a certificate that is designed for mobile device enrollment

    Quando o Configuration Manager processa um pedido de inscrição, não é possível verificar se o pedido teve origem num dispositivo móvel ou um computador.When Configuration Manager process an enrollment request, it cannot verify that the request originated from a mobile device rather than from a computer. Se o pedido de um computador, pode instalar um certificado PKI que depois permite o registo com o Configuration Manager.If the request is from a computer, it can install a PKI certificate that then allows it to register with Configuration Manager. Para ajudar a evitar um ataque de elevação de privilégios neste cenário, permita que apenas utilizadores fidedignos inscrevam os respetivos dispositivos móveis, e monitorize com cuidado as atividades de inscrição.To help prevent an elevation of privilege attack in this scenario, only allow trusted users to enroll their mobile devices and carefully monitor enrollment activities.

  • A ligação de um cliente ao ponto de gestão não é cancelada se um cliente for bloqueado, e o cliente bloqueado puder continuar a enviar pacotes de notificação de cliente para o ponto de gestão, como mensagens keep-aliveThe connection from a client to the management point is not dropped if you block a client and the blocked client could continue to send client notification packets to the management point, as keep-alive messages

    Quando bloqueia um cliente que já não confia, e o mesmo tenha estabelecido uma comunicação de notificação de cliente, o Configuration Manager não desliga a sessão.When you block a client that you no longer trust, and it has established a client notification communication, Configuration Manager does not disconnect the session. O cliente bloqueado pode continuar a enviar pacotes para o respetivo ponto de gestão, até o cliente desligar da rede.The blocked client can continue to send packets to its management point until the client disconnects from the network. Estes pacotes são apenas pacotes pequenos, keep-alive, e estes clientes não podem ser geridos pelo Configuration Manager antes de serem desbloqueados.These packets are only small, keep-alive packets and these clients cannot be managed by Configuration Manager until they are unblocked.

  • Quando utiliza a atualização automática de cliente e o cliente é direcionado para um ponto de gestão para transferir os ficheiros de origem do cliente, o ponto de gestão não é verificado como origem fidedignaWhen you use automatic client upgrade and the client is directed to a management point to download the client source files, the management point is not verified as a trusted source

  • Quando os utilizadores inscrevem computadores Mac pela primeira vez, estão em risco de spoofing de DNSWhen users first enroll Mac computers, they are at risk from DNS spoofing

    Quando o computador Mac liga ao ponto de proxy de registo durante a inscrição, não é provável que o computador Mac já tenha o certificado de AC raiz.When the Mac computer connects to the enrollment proxy point during enrollment, it is unlikely that the Mac computer will already have the root CA certificate. Neste momento, o servidor não é considerado fidedigno pelo computador Mac e pede ao utilizador para continuar.At this point, the server is untrusted by the Mac computer and prompts the user to continue. Se o nome completamente qualificado do ponto de proxy de registo for resolvido por um servidor DNS não autorizado, poderá direcionar o computador Mac para um ponto proxy de registo não autorizado, e instalar certificados a partir de uma origem não fidedigna.If the fully qualified name of the enrollment proxy point is resolved by a rogue DNS server, it could direct the Mac computer to a rogue enrollment proxy point, and install certificates from an untrusted source. Para ajudar a reduzir este risco, siga os procedimentos recomendados para evitar o spoofing de DNS no seu ambiente.To help reduce this risk, follow best practices to avoid DNS spoofing in your environment.

  • A inscrição de Mac não limita os pedidos de certificadoMac enrollment does not limit certificate requests

    Os utilizadores podem inscrever novamente os seus computadores Mac, pedindo de cada vez um novo certificado de cliente.Users can re-enroll their Mac computers, each time requesting a new client certificate. Do Configuration Manager não verifica pedidos múltiplos nem limita o número de certificados pedidos a partir de um único computador.Configuration Manager does not check for multiple requests or limit the number of certificates requested from a single computer. Um utilizador não autorizado poderia executar um script que repete o pedido de inscrição de linha de comandos, provocando um denial of service na rede ou na autoridade de certificação (AC) emissora.A rogue user could run a script that repeats the command-line enrollment request, causing a denial of service on the network or on the issuing certification authority (CA). Para ajudar a reduzir este risco, monitorize com cuidado a AC emissora para detetar este tipo de comportamento suspeito.To help reduce this risk, carefully monitor the issuing CA for this type of suspicious behavior. Um computador que apresenta este padrão de comportamento deve ser bloqueado imediatamente da hierarquia do Configuration Manager.A computer that shows this pattern of behavior should be immediately blocked from the Configuration Manager hierarchy.

  • Uma confirmação de eliminação de dados não verifica se os dados do dispositivo foram eliminados com êxitoA wipe acknowledgment does not verify that the device has been successfully wiped

    Quando seleciona uma ação de eliminação de um dispositivo móvel e o Configuration Manager apresenta o estado da eliminação de dados a ser confirmada, a verificação é que o Configuration Manager enviada com êxito a mensagem e não que o dispositivo ter procedido à eliminação no mesmo.When you initiate a wipe action for a mobile device and Configuration Manager displays the wipe status to be acknowledged, the verification is that Configuration Manager successfully sent the message and not that the device acted on it. Além disso, para os dispositivos móveis que são geridos pelo conector do Exchange Server, uma confirmação de eliminação de dados verifica se o comando foi recebido pelo Exchange, e não pelo dispositivo.In addition, for mobile devices that are managed by the Exchange Server connector, a wipe acknowledgment verifies that the command was received by Exchange, not by the device.

  • Se utilizar as opções para confirmar alterações nos dispositivos Windows Embedded, as contas podem ser bloqueadas mais cedo do que o esperadoIf you use the options to commit changes on Windows Embedded devices , accounts might be locked out sooner than expected

    Se o dispositivo Windows Embedded está a executar um sistema operativo anterior ao Windows 7 e um utilizador tenta iniciar sessão com os filtros de escrita desativados para confirmar as alterações efetuadas pelo Configuration Manager, o número de tentativas incorretas de início de sessão permitido antes da conta é bloqueada eficazmente para metade.If the Windows Embedded device is running an operating system that is prior to Windows 7 and a user attempts to log on while the write filters are disabled to commit changes made by Configuration Manager, the number of incorrect logon attempts that are allowed before the account is locked out is effectively halved. Por exemplo, se a opção Limiar de Bloqueio de Conta estiver configurada para 6 e um utilizador errar três vezes a respetiva palavra-passe, a conta é bloqueada, criando uma situação de recusa de serviço.For example, if the Account Lockout Threshhold is configured as 6 and a user mistypes their password 3 times, the account is locked out, effectively creating a denial of service situation. Se os utilizadores tiverem de iniciar sessão em dispositivos incorporados neste cenário, devem ser alertados para a possibilidade de um limiar de bloqueio reduzido.If users must log on to embedded devices in this scenario, caution them about the potential for a reduced lockout threshold.

Informações de privacidade para clientes do Configuration Manager Privacy information for Configuration Manager clients

Ao implementar o cliente do Configuration Manager, ative as definições de cliente para poder utilizar funcionalidades de gestão do Configuration Manager.When you deploy the Configuration Manager client, you enable client settings so you can use Configuration Manager management features. As definições que utiliza para configurar as funcionalidades podem ser aplicadas a todos os clientes na hierarquia do Configuration Manager, independentemente se estes são diretamente ligados à rede empresarial, ligadas através de uma sessão remota ou ligados à Internet, mas suportadas pelo Configuration Manager.The settings that you use to configure the features can apply to all clients in the Configuration Manager hierarchy, regardless of whether they are directly connected to the corporate network, connected through a remote session, or connected to the Internet but supported by Configuration Manager.

Informações de cliente são armazenadas na base de dados do Configuration Manager e não são enviadas à Microsoft.Client information is stored in the Configuration Manager database and is not sent to Microsoft. As informações são retidas na base de dados até serem eliminadas pelas tarefas de manutenção do site Eliminar Dados de Deteção Desatualizados todos os 90 dias.Information is retained in the database until it is deleted by the site maintenance tasks Delete Aged Discovery Data every 90 days. Pode configurar o intervalo de eliminação.You can configure the deletion interval.

Antes de configurar o cliente do Configuration Manager, considere os requisitos de privacidade.Before you configure the Configuration Manager client, consider your privacy requirements.

Informações de privacidade para dispositivos móveis inscritos pelo Configuration ManagerPrivacy information for mobile devices that are enrolled by Configuration Manager

Para informações de privacidade para inscrever um dispositivo móvel pelo Configuration Manager, consulte declaração de privacidade do System Center Configuration Manager - adenda do dispositivo móvel.For privacy information for when you enroll a mobile device by Configuration Manager, see System Center Configuration Manager privacy statement - Mobile device addendum.

Estado do clienteClient status

O Configuration Manager monitoriza as atividades dos clientes e periodicamente avalia e pode retificar o cliente do Configuration Manager e as respetivas dependências.Configuration Manager monitors the activity of clients and periodically evaluates and can remediate the Configuration Manager client and its dependencies. Estado do cliente está ativado por predefinição e utiliza a métrica do lado do servidor para verificações da atividade de cliente e, ações do lado do cliente para autoverificações, remediação e envio estado do cliente informações ao site do Configuration Manager.Client status is enabled by default, and it uses server-side metrics for the client activity checks, and client-side actions for self-checks, remediation, and for sending client status information to the Configuration Manager site. O cliente execute as autoverificações de acordo com uma agenda que pode ser configurada.The client runs the self-checks according to a schedule that you can configure. O cliente envia os resultados das verificações para o site do Configuration Manager.The client sends the results of the checks to the Configuration Manager site. Estas informações são encriptadas durante a transferência.This information is encrypted during transfer.

Informações de estado do cliente são armazenadas na base de dados do Configuration Manager e não são enviadas à Microsoft.Client status information is stored in the Configuration Manager database and is not sent to Microsoft. As informações não são armazenadas em formato encriptado na base de dados do site.The information is not stored in encrypted format in the site database. Estas informações são mantidas na base de dados até serem eliminadas de acordo com o valor configurado na definição do estado do cliente Reter histórico do estado do cliente pelo seguinte número de dias.This information is retained in the database until it is deleted according to the value that is configured for the Retain client status history for the following number of days client status setting. O valor predefinido para esta definição é de 31 dias.The default value for this setting is every 31 days.

Antes de instalar o cliente do Configuration Manager com a verificação de estado do cliente, considere os requisitos de privacidade.Before you install the Configuration Manager client with client status checking, consider your privacy requirements.

Informações de privacidade para dispositivos móveis que são geridos com o conector do Exchange Server Privacy information for mobile devices that are managed with the Exchange Server Connector

O Conector do Exchange Server localiza e gere os dispositivos com ligação ao Exchange Server (no local ou alojado) utilizando o protocolo ActiveSync.The Exchange Server Connector finds and manages devices that connect to Exchange Server (on-premise or hosted) by using the ActiveSync protocol. Os registos localizados pelo conector do Exchange Server são armazenados na base de dados do Configuration Manager.The records found by the Exchange Server Connector are stored in the Configuration Manager database. As informações são recolhidas a partir do Exchange Server.The information is collected from Exchange Server. Não contém qualquer informação adicional sobre o que é enviado para o Exchange Server pelos dispositivos móveis.It does not contain any additional information from what the mobile devices send to Exchange Server.

As informações do dispositivo móvel não são enviadas à Microsoft.The mobile device information is not sent to Microsoft. As informações do dispositivo móvel são armazenadas na base de dados do Configuration Manager.The mobile device information is stored in the Configuration Manager database. As informações são retidas na base de dados até serem eliminadas pelas tarefas de manutenção do site Eliminar Dados de Deteção Desatualizados todos os 90 dias.Information is retained in the database until it is deleted by the site maintenance tasks Delete Aged Discovery Data every 90 days. Pode configurar o intervalo de eliminação.You can configure the deletion interval.

Antes de instalar e configurar o conector do Exchange Server, considere os requisitos de privacidade.Before you install and configure the Exchange Server connector, consider your privacy requirements.