Segurança e privacidade para gestão de conteúdo no System Center Configuration ManagerSecurity and privacy for content management for System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Este tópico contém informações de segurança e privacidade para gestão de conteúdos no System Center Configuration Manager.This topic contains security and privacy information for content management in System Center Configuration Manager. Leia-o em conjunto com os seguintes tópicos:Read it in conjunction with the following topics:

Melhores práticas de segurança para gestão de conteúdo Security best practices for content management

Utilize os seguintes procedimentos recomendados de segurança para gestão de conteúdo:Use the following security best practices for content management:

Para pontos de distribuição na intranet, considere as vantagens e desvantagens da utilização de HTTPS e HTTP: Na maioria dos cenários, a utilização de contas de acesso HTTP e o pacote para autorização fornece mais segurança ao através de HTTPS com encriptação, mas sem autorização.For distribution points on the intranet, consider the advantages and disadvantages of using HTTPS and HTTP: In most scenarios, using HTTP and package access accounts for authorization provides more security than using HTTPS with encryption but without authorization. No entanto, se o conteúdo incluir dados confidenciais que pretende encriptar durante a transferência, utilize o HTTPS.However, if you have sensitive data in your content that you want to encrypt during transfer, use HTTPS.

  • Quando utilizar o HTTPS para um ponto de distribuição, o Configuration Manager não utiliza contas de acesso de pacotes para autorizar o acesso ao conteúdo, mas o conteúdo é encriptado quando é transferido através da rede.When you use HTTPS for a distribution point, Configuration Manager does not use package access accounts to authorize access to the content, but the content is encrypted when it's transferred over the network.

  • Se utilizar HTTP para um ponto de distribuição, pode utilizar contas de acesso aos pacotes para autorização, mas o conteúdo não é encriptado quando é transferido através da rede.When you use HTTP for a distribution point, you can use package access accounts for authorization, but the content is not encrypted when it is transferred over the network.

Se utilizar um certificado de autenticação de cliente PKI em vez de um certificado autoassinado para o ponto de distribuição, proteja o ficheiro de certificado (.pfx) com uma palavra-passe segura. Se armazenar o ficheiro na rede, proteja o canal de rede quando importar o ficheiro para o Configuration Manager: Ao exigir uma palavra-passe para importar o certificado de autenticação de cliente que o ponto de distribuição utiliza para comunicar com pontos de gestão, ajuda a proteger o certificado de um atacante.If you use a PKI client authentication certificate rather than a self-signed certificate for the distribution point, protect the certificate file (.pfx) with a strong password. If you store the file on the network, secure the network channel when you import the file into Configuration Manager: When you require a password to import the client authentication certificate that the distribution point uses to communicate with management points, this helps to protect the certificate from an attacker. Utilize a assinatura de bloco de mensagem de servidor (SMB) ou IPsec entre a localização de rede e o servidor do site para impedir que um atacante adultere o ficheiro de certificado.Use Server Message Block (SMB) signing or IPsec between the network location and the site server to prevent an attacker from tampering with the certificate file.

Remover a função de ponto de distribuição do servidor do site: Por predefinição, um ponto de distribuição está instalado no mesmo servidor que o servidor do site.Remove the distribution point role from the site server: By default, a distribution point is installed on the same server as the site server. Os clientes não precisam de comunicar diretamente com o servidor do site; por conseguinte, para reduzir a superfície de ataque, atribua a função do ponto de distribuição a outros sistemas de sites e remova-a do servidor do site.Clients do not have to communicate directly with the site server, so to reduce the attack surface, assign the distribution point role to other site systems and remove it from the site server.

Proteger o conteúdo ao nível de acesso do pacote: A partilha do ponto de distribuição permite o acesso de leitura a todos os utilizadores.Secure content at the package access level: The distribution point share allows read access to all users. Para restringir os utilizadores que podem aceder ao conteúdo, utilize contas de acesso aos pacotes quando o ponto de distribuição estiver configurado para HTTP.To restrict which users can access the content, use package access accounts when the distribution point is configured for HTTP. Não é aplicável aos pontos de distribuição baseados na nuvem, que não suportam contas de acesso do pacote.This does not apply to cloud-based distribution points, which do not support package access accounts. Para obter mais informações sobre as contas de acesso de pacotes, consulte gerir contas para aceder ao conteúdo.For more information about package access accounts, see Manage accounts to access content.

Se o Configuration Manager instala o IIS quando adicionar uma função de sistema de sites de ponto de distribuição, remova o redirecionamento de HTTP ou ferramentas e Scripts de gestão do IIS quando a instalação do ponto de distribuição estiver concluída: O ponto de distribuição não necessita de redirecionamento de HTTP ou ferramentas e Scripts de gestão do IIS.If Configuration Manager installs IIS when you add a distribution point site system role, remove HTTP redirection or IIS Management Scripts and Tools when the distribution point installation is complete: The distribution point does not require HTTP redirection or IIS Management Scripts and Tools. Para reduzir a superfície de ataque, remova estes serviços de função para a função do servidor Web (IIS).To reduce the attack surface, remove these role services for the web server (IIS) role. Para obter mais informações sobre os serviços de função para a função de servidor (IIS) web para pontos de distribuição, consulte Site e os pré-requisitos de sistema de site.For more information about the role services for the web server (IIS) role for distribution points, see Site and site system prerequisites.

Definir as permissões de acesso do pacote ao criar o pacote: Porque as alterações às contas de acesso nos ficheiros do pacote só terão efeitas quando redistribuir o pacote, defina o pacote de permissões de acesso cuidadosamente quando criar primeiro o pacote.Set package access permissions when you create the package: Because changes to the access accounts on the package files become effective only when you redistribute the package, set the package access permissions carefully when you first create the package. Isto é especialmente importante quando o pacote é grande ou está distribuído por muitos pontos de distribuição e quando a capacidade de largura de banda de rede para a distribuição de conteúdo é limitada.This is particularly important when the package is large or distributed to many distribution points, and when the network bandwidth capacity for content distribution is limited.

Implementar controlos de acesso para proteger os suportes de dados que contém conteúdo pré-configurado: Conteúdo pré-configurado está comprimido, mas não encriptado.Implement access controls to protect media that contains prestaged content: Prestaged content is compressed but not encrypted. Um atacante poderia ler e modificar os ficheiros que, em seguida, são transferidos para dispositivos.An attacker could read and modify the files that are then downloaded to devices. Clientes do Configuration Manager rejeitar conteúdo adulterado, mas ainda o transferem.Configuration Manager clients reject content that is tampered with, but they still download it.

Importe o conteúdo pré-configurado utilizando apenas a linha de comandos ferramenta ExtractContent (ExtractContent.exe) fornecida com o Configuration Manager e certifique-se de que está assinado pela Microsoft: Para evitar a adulteração e a elevação de privilégios, utilize apenas a linha de comandos ferramenta autorizada que é fornecida com o Configuration Manager.Import prestaged content by using only the ExtractContent command-line tool (ExtractContent.exe) that is supplied with Configuration Manager, and make sure that is signed by Microsoft: To avoid tampering and elevation of privileges, use only the authorized command-line tool that is supplied with Configuration Manager.

Proteja o canal de comunicação entre o servidor do site e a localização de origem do pacote: Utilize IPsec ou assinatura SMB entre o servidor de site e a localização de origem do pacote ao criar aplicações e pacotes.Secure the communication channel between the site server and the package source location: Use IPsec or SMB signing between the site server and the package source location when you create applications and packages. Isto ajuda a impedir que um intruso adultere os ficheiros de origem.This helps to prevent an attacker from tampering with the source files.

Se alterar a opção de configuração do site para utilizar um Web site personalizado em vez de Web site predefinido, depois de instalar quaisquer funções de ponto de distribuição, remova os diretórios virtuais predefinidos: Quando muda do Web site predefinido para um Web site personalizado, o Configuration Manager não remove os diretórios virtuais antigos.If you change the site configuration option to use a custom website rather than the default website after any distribution point roles are installed, remove the default virtual directories: When you switch from the default website to a custom website, Configuration Manager does not remove the old virtual directories. Remova os diretórios virtuais que o Configuration Manager originalmente criado no Web site predefinido:Remove the virtual directories that Configuration Manager originally created under the default website:

  • SMS_DP_SMSPKG$SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$NOCERT_SMS_DP_SMSSIG$

Para pontos de distribuição baseado na nuvem, proteja os detalhes da subscrição e certificados: Quando utiliza pontos de distribuição baseado na nuvem, proteja os itens de valor elevado, incluindo o nome de utilizador e palavra-passe da sua subscrição do Azure, o certificado de gestão do Azure e o certificado de serviço do ponto de distribuição baseado na nuvem.For cloud-based distribution points, protect your subscription details and certificates: When you use cloud-based distribution points, protect high-value items including the user name and password for your Azure subscription, the Azure management certificate, and the cloud-based distribution point service certificate. Armazene os certificados de forma segura e se os procurar através da rede quando configurar o ponto de distribuição baseado na nuvem, utilize o IPsec ou a assinatura SMB entre o servidor do site e a localização de origem.Store the certificates securely and if you browse to them over the network when you configure the cloud-based distribution point, use IPsec or SMB signing between the site system server and the source location.

Para pontos de distribuição baseado na nuvem: Para continuidade do serviço, monitorize a data de expiração dos certificados: O Configuration Manager não avisar quando os certificados importados para a gestão de distribuição baseado na nuvem ponto dos serviços está prestes a expirar.For cloud-based distribution points: For service continuity, monitor the expiry date of the certificates: Configuration Manager does not warn you when the imported certificates for management of the cloud-based distribution point services are about to expire. Tem de monitorizar as datas de expiração independentemente do Configuration Manager e certifique-se de que renova e importa os novos certificados antes da data de expiração.You must monitor the expiry dates independently from Configuration Manager and make sure that you renew and then import the new certificates before the expiry date. Isto é especialmente importante se adquirir um Gestor de configuração baseado na nuvem do ponto de distribuição certificado do serviço de uma autoridade de certificação externa (AC), pois pode necessitar de mais tempo para obter um certificado renovado.This is particularly important if you purchase a Configuration Manager cloud-based distribution point service certificate from an external certification authority (CA), because you might need additional time to obtain a renewed certificate.

Se um dos certificados expirar, o Gestor de serviços em nuvem gera o ID de mensagem de estado 9425 e o ficheiro de CloudMgr.log contém uma entrada que indica que o certificado está no estado expirado, com a data de expiração também registada em UTC.If either certificate expires, Cloud Services Manager generates the status message ID 9425 and the CloudMgr.log file contains an entry to indicate that the certificate is in expired state, with the expiry date also logged in UTC.

Considerações de segurança para gestão de conteúdoSecurity considerations for content management

Quando planear a gestão de conteúdo, considere o seguinte:Consider the following when planning for content management:

  • Os clientes não validam o conteúdo até após a transferência.Clients do not validate content until after it is downloaded.

    Clientes do Configuration Manager validam o hash do conteúdo após a transferência para a respetiva cache do cliente.Configuration Manager clients validate the hash on content only after it is downloaded to their client cache. Se um intruso adulterar a lista de ficheiros para transferir ou com o próprio conteúdo, o processo de transferência pode demorar algum tempo considerável largura de banda, apenas para o cliente rejeite o conteúdo quando encontrar o hash inválido.If an attacker tampers with the list of files to download or with the content itself, the download process can take up considerable network bandwidth, only for the client to then discard the content when it encounters the invalid hash.

  • Quando utiliza pontos de distribuição baseado na nuvem, o acesso ao conteúdo é restringe-se automaticamente à sua empresa e não pode restringi-la utilizadores ou grupos selecionados.When you use cloud-based distribution points, access to the content is automatically restricted to your enterprise, and you cannot restrict it further to selected users or groups.

  • Quando utiliza pontos de distribuição baseado na nuvem, os clientes são autenticados pelo ponto de gestão e, em seguida, utilizam um token do Configuration Manager para aceder a pontos de distribuição baseado na nuvem.When you use cloud-based distribution points, clients are authenticated by the management point and then use a Configuration Manager token to access cloud-based distribution points. O token é válido para oito horas.The token is valid for eight hours. Isto significa que, se bloquear um cliente porque já não é fidedigno, este pode continuar a transferir conteúdo de um ponto de distribuição baseado na cloud, até que o período de validade do token expirou.This means that if you block a client because it is no longer trusted, it can continue to download content from a cloud-based distribution point until the validity period of this token has expired. Neste momento, o ponto de gestão não irá emitir outro token para o cliente, porque o cliente está bloqueado.At this point, the management point won't issue another token for the client because the client is blocked.

    Para evitar que um cliente bloqueado Transfira conteúdo durante este período de hora de oito, pode parar o serviço em nuvem no nuvem nó, configuração da hierarquia, no administração área de trabalho na consola do Configuration Manager.To avoid a blocked client from downloading content within this eight-hour window, you can stop the cloud service from the Cloud node, Hierarchy Configuration, in the Administration workspace in the Configuration Manager console.

Informações de privacidade da gestão de conteúdo Privacy information for content management

O Configuration Manager não inclui quaisquer dados de utilizador nos ficheiros de conteúdo, embora um utilizador administrativo possa optar por fazê-lo.Configuration Manager does not include any user data in content files, although an administrative user might choose to do this.

Antes de configurar a gestão de conteúdo, considere os requisitos de privacidade.Before you configure content management, consider your privacy requirements.