Segurança e privacidade para a administração de sites no System Center Configuration ManagerSecurity and privacy for site administration in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Este tópico contém segurança e informações de privacidade para sites do Configuration Manager do System Center e a hierarquia.This topic contains security and privacy information for System Center Configuration Manager sites and the hierarchy.

Melhores práticas de segurança para a administração de sites Security best practices for site administration

Utilize os seguintes procedimentos recomendados de segurança para o ajudar a segurança de sites do Configuration Manager do System Center e a hierarquia.Use the following security best practices to help you secure System Center Configuration Manager sites and the hierarchy.

Execute o programa de configuração apenas a partir de uma origem fidedigna e Proteja o canal de comunicação entre o suporte de dados de configuração e o servidor do site.Run setup only from a trusted source and secure the communication channel between the setup media and the site server.

Para ajudar a impedir que alguém adultere os ficheiros de origem, execute a configuração de uma origem fidedigna.To help prevent someone from tampering with the source files, run setup from a trusted source. Se armazenar os ficheiros na rede, proteja a localização de rede.If you store the files on the network, secure the network location.

Se executar a configuração a partir de uma localização de rede, para ajudar a impedir que um atacante adultere os ficheiros à medida que são transmitidos através da rede, utilize a assinatura IPsec ou Server Message Block (SMB) entre a localização de origem dos ficheiros de configuração e o servidor do site.If you do run setup from a network location, to help prevent an attacker from tampering with the files as they are transmitted over the network, use IPsec or Server Message Block (SMB) signing between the source location of the setup files and the site server.

Além disso, se utilizar a transferência da configuração para transferir os ficheiros que sejam exigidos pelo programa de configuração, certifique-se de que também protege a localização onde estes ficheiros são armazenados e Proteja o canal de comunicação para esta localização quando executar a configuração.In addition, if you use the Setup Downloader to download the files that are required by setup, make sure that you also secure the location where these files are stored and secure the communication channel for this location when you run setup.

Expandir o esquema do Active Directory para o System Center Configuration Manager e publique os sites Active Directory Domain Services.Extend the Active Directory schema for System Center Configuration Manager and publish sites to Active Directory Domain Services.

Não são necessárias extensões de esquema para executar o System Center Configuration Manager, mas criam um ambiente mais seguro porque os clientes do Configuration Manager e servidores de sites podem obter informações a partir de uma origem fidedigna.Schema extensions are not required to run System Center Configuration Manager, but they do create a more secure environment because Configuration Manager clients and site servers can retrieve information from a trusted source.

Se os clientes estão num domínio não fidedigno, implemente as seguintes funções de sistema de sites nos domínios dos clientes:If clients are in an untrusted domain, deploy the following site system roles in the clients' domains:

  • Ponto de gestãoManagement point

  • Ponto de distribuiçãoDistribution point

  • Ponto de site do Catálogo de AplicaçõesApplication Catalog website point

Nota

Num domínio fidedigno para o Configuration Manager requer autenticação Kerberos.A trusted domain for Configuration Manager requires Kerberos authentication. Isto significa que se os clientes estiverem noutra floresta que não possui uma fidedignidade de floresta bidirecional com a floresta do servidor de site, estes clientes são considerados como num domínio não fidedigno.This means that if clients are in another forest that does not have a two-way forest trust with the site server's forest, these clients are considered to be in untrusted domain. Uma confiança externa não é suficiente para este efeito.An external trust is not sufficient for this purpose.

Utilize IPsec para proteger as comunicações entre os sites e os servidores do sistema de sites.Use IPsec to secure communications between site system servers and sites.

Apesar do Configuration Manager protegem a comunicação entre o servidor do site e o computador que executa o SQL Server, o Configuration Manager não proteger as comunicações entre funções de sistema de sites e o SQL Server.Although Configuration Manager does secure communication between the site server and the computer that runs SQL Server, Configuration Manager does not secure communications between site system roles and SQL Server. Só alguns sistemas de sites (o ponto de registo e o ponto de serviço Web do catálogo de aplicações) podem ser configurados com HTTPS para comunicações intra-site.Only some site systems (the enrollment point and the Application Catalog web service point) can be configured for HTTPS for intrasite communication.

Se não utilizar controlos adicionais para proteger estes canais servidor-servidor, os atacantes poderão utilizar vários ataques man-in-the-middle e de spoofing contra sistemas de sites.If you do not use additional controls to secure these server-to-server channels, attackers can use various spoofing and man-in-the-middle attacks against site systems. Utilize a assinatura SMB quando não for possível utilizar IPsec.Use SMB signing when you cannot use IPsec.

Nota

É especialmente importante proteger o canal de comunicação entre o servidor do site e o servidor de origem do pacote.It is particularly important to secure the communication channel between the site server and the package source server. Esta comunicação utiliza SMB.This communication uses SMB. Se não for possível utilizar IPsec para proteger estas comunicações, utilize a assinatura SMB para assegurar que os ficheiros não são adulterados antes de os clientes os transferirem e executarem.If you cannot use IPsec to secure this communication, use SMB signing to ensure that the files are not tampered with before clients download and run them.

Não altere os grupos de segurança do Configuration Manager cria e gere para as comunicações do sistema de sites.Do not change the security groups that Configuration Manager creates and manages for site system communication.

Grupos de segurança:Security groups:

  • SMS_SiteSystemToSiteServerConnection_MP_<SiteCode>SMS_SiteSystemToSiteServerConnection_MP_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_SMSProv_<SiteCode>SMS_SiteSystemToSiteServerConnection_SMSProv_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_Stat_<SiteCode>SMS_SiteSystemToSiteServerConnection_Stat_<SiteCode>

O Configuration Manager cria e gere destes grupos de segurança automaticamente.Configuration Manager automatically creates and manages these security groups. Isto inclui a remoção de contas de computador quando uma função de sistema de sites é removida.This includes removing computer accounts when a site system role is removed.

Para assegurar a continuidade de serviço e o mínimo de privilégios, não edite manualmente estes grupos.To ensure service continuity and least privileges, do not manually edit these groups.

Se os clientes não conseguirem consultar o servidor de Catálogo Global para informações do Configuration Manager, gerir a processo de aprovisionamento de chave de raiz fidedigna.If clients cannot query the Global Catalog server for Configuration Manager information, manage the trusted root key provisioning process.

Se os clientes não conseguirem consultar informações do Configuration Manager no Catálogo Global, terão de depender da chave de raiz fidedigna para autenticar pontos de gestão válidos.If clients cannot query the Global Catalog for Configuration Manager information, they must rely on the trusted root key to authenticate valid management points. A chave de raiz fidedigna é armazenada no registo do cliente e pode ser definida utilizando a Política de Grupo ou configuração manual.The trusted root key is stored in the client registry and can be set by using Group Policy or manual configuration.

Se o cliente não tiver uma cópia da chave de raiz fidedigna antes de contactar um ponto de gestão pela primeira vez, confiará no primeiro ponto de gestão com que comunicar.If the client does not have a copy of the trusted root key before it contacts a management point for the first time, it trusts the first management point it communicates with. Para reduzir o risco de um atacante direcionar os clientes para um ponto de gestão não autorizado, pode aprovisionar previamente os clientes com a chave de raiz fidedigna.To reduce the risk of an attacker misdirecting clients to an unauthorized management point, you can pre-provision the clients with the trusted root key. Para obter mais informações, consulte o artigo planear a chave de raiz fidedigna.For more information, see Planning for the trusted root key.

Utilize números de porta não predefinidos.Use non-default port numbers.

Utilizar números de porta não predefinidos pode proporcionar segurança adicional porque tornar mais difícil aos atacantes a exploração do ambiente preparar um ataque.Using non-default port numbers can provide additional security because they make it harder for attackers to explore the environment in preparation for an attack. Se optar por utilizar não predefinidos, planeie-os antes de instalar o Configuration Manager e utilizá-los de forma consistente em todos os sites na hierarquia.If you decide to use non-default ports, plan for them before you install Configuration Manager, and use them consistently across all sites in the hierarchy. As portas de pedido do cliente e Wake On LAN são exemplos onde pode utilizar números de porta não predefinidos.Client request ports and Wake On LAN are examples where you can use non-default port numbers.

Utilize separação de funções nos sistemas de sites.Use role separation on site systems.

Apesar de poder instalar todos as funções de sistema de sites num único computador, esta prática raramente é utilizada em redes de produção porque cria um ponto de falha único.Although you can install all the site system roles on a single computer, this practice is rarely used on production networks because it creates a single point of failure.

Reduza o perfil de ataque.Reduce the attack profile.

Isolando cada função do sistema de sites num servidor diferente reduz a possibilidade de um ataque contra as vulnerabilidades de um sistema de sites pode ser utilizado contra outro sistema de sites.Isolating each site system role on a different server reduces the chance that an attack against vulnerabilities on one site system can be used against a different site system. Muitas funções de sistema de sites requerem a instalação dos serviços de informação Internet (IIS) no sistema de sites e Isto aumenta a superfície de ataque.Many site system roles require the installation of Internet Information Services (IIS) on the site system, and this increases the attack surface. Se tiver de combinar funções de sistema de sites para reduzir as despesas com hardware, combine funções de sistema de sites do IIS apenas com outras funções de sistema de sites que necessitem do IIS.If you must combine site system roles to reduce hardware expenditure, combine IIS site system roles only with other site system roles that require IIS.

Importante

A função de ponto de estado de contingência é uma exceção.The fallback status point role is an exception. Como esta função do sistema de sites aceita dados não autenticados de clientes, recomendamos que alguma vez não atribuir a função de ponto de estado de contingência para outras do Configuration Manager site funções do sistema.Because this site system role accepts unauthenticated data from clients, we recommend that you don't ever assign the fallback status point role to any other Configuration Manager site system role.

Siga as melhores práticas de segurança do Windows Server e execute o Assistente de Configuração de Segurança em todos os sistemas de sites.Follow security best practices for Windows Server and run the Security Configuration Wizard on all site systems.

O Assistente de Configuração de Segurança (SCW) ajuda a criar uma política de segurança que pode aplicar a qualquer servidor da rede.The Security Configuration Wizard (SCW) helps you to create a security policy that you can apply to any server on your network. Depois de instalar o modelo do System Center Configuration Manager, o SCW reconhece funções de sistema de sites do Configuration Manager, serviços, portas e aplicações.After you install the System Center Configuration Manager template, SCW recognizes Configuration Manager site system roles, services, ports, and applications. Depois, permite a comunicação de que é necessário para o Configuration Manager e bloqueia as comunicações que não são necessárias.It then permits the communication that is required for Configuration Manager and blocks communication that is not required.

O Assistente de configuração de segurança está incluído com o toolkit do System Center 2012 Configuration Manager, que pode transferir a partir de Center Download Microsoft: System Center 2012-Configuration Manager Component add-ons e extensões.The Security Configuration Wizard is included with the toolkit for System Center 2012 Configuration Manager, which you can download from the Microsoft Download Center: System Center 2012 — Configuration Manager Component Add-ons and Extensions.

Configure endereços IP estáticos para os sistemas de sites.Configure static IP addresses for site systems.

Os endereços IP estáticos são mais fáceis de proteger contra ataques de resolução de nomes.Static IP addresses are easier to protect from name resolution attacks.

Endereços IP estáticos também facilitam a configuração do IPsec.Static IP addresses also make the configuration of IPsec easier. Utilizar IPsec é a melhor prática de segurança para proteger a comunicação entre sistemas de sites no Configuration Manager.Using IPsec is a security best practice for securing communication between site systems in Configuration Manager.

Não instale outras aplicações em servidores de sistemas de sites.Do not install other applications on site system servers.

Quando instala outras aplicações em servidores de sistema de sites, aumenta a superfície de ataque do Configuration Manager e problemas de incompatibilidade de risco.When you install other applications on site system servers, you increase the attack surface for Configuration Manager and risk incompatibility issues.

Exija assinatura e ative a encriptação como uma opção de site.Require signing and enable encryption as a site option.

Ative as opções de assinatura e encriptação para o site.Enable the signing and encryption options for the site. Certifique-se de que todos os clientes suportam o algoritmo hash SHA-256 e, em seguida, ative a opção exigir SHA-256.Ensure that all clients can support the SHA-256 hash algorithm, and then enable the option Require SHA-256.

Restringir e monitorizar os utilizadores administrativos do Configuration Manager e utilizar a administração baseada em funções para conceder a estes utilizadores as permissões mínimas de que necessitam.Restrict and monitor Configuration Manager administrative users and use role-based administration to grant these users the minimum permissions that they require.

Conceda acesso administrativo para o Configuration Manager apenas aos utilizadores em quem confie e conceda-lhes permissões mínimas utilizando as funções de segurança incorporadas ou personalizando as funções de segurança.Grant administrative access to Configuration Manager only to users that you trust and then grant them minimum permissions by using the built-in security roles or by customizing the security roles. Os utilizadores administrativos que podem criar, modificar e implementar aplicações, sequência de tarefas, atualizações de software, itens de configuração e linhas de base de configuração, podem eventualmente, controlar dispositivos na hierarquia do Configuration Manager.Administrative users who can create, modify, and deploy applications, task sequence, software updates, configuration items, and configuration baselines, can potentially control devices in the Configuration Manager hierarchy.

Realize auditorias periódicas às atribuições dos utilizadores administrativos e ao respetivo nível de autorização para verificar as alterações necessárias.Periodically audit administrative user assignments and their authorization level to verify required changes.

Para mais informações sobre a configuração da administração baseada em funções, veja Configurar a Administração Baseada em Funções do System Center Configuration Manager.For more information about configuring role-based administration, see Configure role-based administration for System Center Configuration Manager.

Proteja as cópias de segurança do Configuration Manager e o canal de comunicação quando a cópia de segurança e restauros.Secure Configuration Manager backups and secure the communication channel when you back up and restore.

Quando efetua uma segurança o Gestor de configuração, estas informações incluem certificados e outros dados confidenciais que podem ser utilizados por um atacante para representação.When you back up Configuration Manager, this information includes certificates and other sensitive data that could be used by an attacker for impersonation.

Utilize a assinatura SMB ou IPsec quando transferir estes dados através da rede e proteja a localização das cópias de segurança.Use SMB signing or IPsec when you transfer this data over the network, and secure the backup location.

Sempre que exporta ou importar objetos a partir da consola do Configuration Manager para uma localização de rede, proteja a localização e Proteja o canal de rede.Whenever you export or import objects from the Configuration Manager console to a network location, secure the location and secure the network channel.

Limite quem pode aceder à pasta de rede.Restrict who can access the network folder.

Utilize a assinatura SMB ou IPsec entre a localização de rede e o servidor do site e entre o computador que executa o Gestor de configuração do servidor de consola e o site, para impedir que um atacante adultere os dados exportados.Use SMB signing or IPsec between the network location and the site server, and between the computer that runs the Configuration Manager console and site server, to prevent an attacker from tampering with the exported data. Utilize IPsec para encriptar os dados na rede para evitar a divulgação de informações.Use IPsec to encrypt the data on the network to prevent information disclosure.

Se um sistema de sites não está corretamente desinstalado ou deixa de funcionar e não pode ser restaurado, remova manualmente os certificados do Configuration Manager para este servidor a partir de outros servidores do Configuration Manager.If a site system isn't uninstalled properly or stops functioning and cannot be restored, manually remove the Configuration Manager certificates for this server from other Configuration Manager servers.

Para remover a PeerTrust originalmente estabelecida com o sistema de sites e funções do sistema de sites, remova manualmente os certificados do Configuration Manager para o servidor que falhou o pessoas fidedignas arquivo de certificados noutros servidores do sistema de sites.To remove the PeerTrust that was originally established with the site system and site system roles, manually remove the Configuration Manager certificates for the failed server in the Trusted People certificate store on other site system servers. Isto é especialmente importante se reutilizar o servidor sem o formatar.This is particularly important if you repurpose the server without reformatting it.

Para obter mais informações sobre estes certificados, consulte a secção controlos criptográficos para comunicações de servidor no Cryptographic controla referência técnica para o System Center Configuration Manager.For more information about these certificates, see the section Cryptographic controls for server communication in Cryptographic controls technical reference for System Center Configuration Manager.

Não configure sistemas de sites baseados na Internet para funcionar como bridge entre a rede de perímetro e a intranet.Do not configure Internet-based site systems to bridge the perimeter network and the intranet.

Não configure servidores de sistema de sites como multihomed para que se ligar à rede de perímetro e à intranet.Do not configure site system servers to be multi-homed so that they connect to the perimeter network and the intranet. Embora esta configuração permita que sistemas de sites baseados na Internet aceitem ligações de clientes da Internet e da intranet, elimina um limite de segurança entre a rede de perímetro e a intranet.Although this configuration allows Internet-based site systems to accept client connections from the Internet and the intranet, it eliminates a security boundary between the perimeter network and the intranet.

Se o servidor de sistema de sites estiver numa rede não fidedigna (como uma rede de perímetro), configure o servidor de site para iniciar as ligações ao sistema de sites.If the site system server is on an untrusted network (such as a perimeter network), configure the site server to initiate connections to the site system.

Por predefinição, os sistemas de sites iniciam as ligações ao servidor de site para a transferência de dados, o que pode constituir um risco de segurança quando a ligação for iniciada a partir de uma rede não fidedigna para a rede fidedigna.By default, site systems initiate connections to the site server to transfer data, which can be a security risk when the connection initiation is from an untrusted network to the trusted network. Quando os sistemas de sites aceitarem ligações da Internet ou residirem numa floresta não fidedigna, configure a opção de sistema de sites Exigir que o servidor do site inicie ligações a este sistema de sites para que, depois da instalação do sistema de sites e de quaisquer funções de sistema de sites, todas as ligações sejam iniciadas a partir da rede fidedigna.When site systems accept connections from the Internet or reside in an untrusted forest, configure the site system option Require the site server to initiate connections to this site system so that after the installation of the site system and any site system roles, all connections are initiated from the trusted network.

Se utilizar um servidor proxy Web para a gestão de clientes baseados na Internet, utilize o protocolo de bridge SSL para SSL utilizando terminação com autenticação.If you use a web proxy server for Internet-based client management, use SSL bridging to SSL, by using termination with authentication.

Quando configura a terminação de SSL no servidor Web proxy, os pacotes da Internet são sujeitos a inspeção antes de serem reencaminhados para a rede interna.When you configure SSL termination at the proxy web server, packets from the Internet are subject to inspection before they are forwarded to the internal network. O servidor Web proxy autentica a ligação do cliente, termina-a e, em seguida, abre uma nova ligação autenticada para os sistemas de sites baseados na Internet.The proxy web server authenticates the connection from the client, terminates it, and then opens a new authenticated connection to the Internet-based site systems.

Quando os computadores de cliente do Configuration Manager utilizam um servidor web proxy para estabelecer ligação com sistemas de sites baseados na Internet, a identidade do cliente (GUID do cliente) está contida em segurança no payload do pacote para que o ponto de gestão não considere o servidor web proxy como o cliente.When Configuration Manager client computers use a proxy web server to connect to Internet-based site systems, the client identity (client GUID) is securely contained within the packet payload so that the management point does not consider the proxy web server to be the client. Se o servidor Web proxy não suportar os requisitos do o protocolo de bridge SSL, a utilização de túnel SSL também é suportada.If your proxy web server cannot support the requirements for SSL bridging, SSL tunneling is also supported. Esta é uma opção menos segura porque os pacotes SSL da Internet são reencaminhados para os sistemas de sites sem terminação, pelo que não é possível inspecioná-los relativamente a conteúdo malicioso.This is a less secure option because the SSL packets from the Internet are forwarded to the site systems without termination, so they cannot be inspected for malicious content.

Se o servidor Web proxy não suportar os requisitos do o protocolo de bridge SSL, pode utilizar o túnel SSL.If your proxy web server cannot support the requirements for SSL bridging, you can use SSL tunneling. No entanto, esta é uma opção menos segura porque os pacotes SSL da Internet são reencaminhados para os sistemas de sites sem terminação, pelo que não é possível inspecioná-los relativamente a conteúdo malicioso.However, this is a less secure option because the SSL packets from the Internet are forwarded to the site systems without termination, so they cannot be inspected for malicious content.

Aviso

Dispositivos móveis que são inscritos pelo Configuration Manager não é possível utilizar o protocolo de bridge SSL e têm de utilizar apenas o túnel SSL.Mobile devices that are enrolled by Configuration Manager cannot use SSL bridging and must use SSL tunneling only.

Configurações de utilização no caso de configurar o site para reativar computadores para instalação de software:Configurations to use if you configure the site to wake up computers to install software.

  • Se utilizar pacotes de reativação tradicionais, utilize unicast em vez de difusões direcionadas para a sub-rede.If you use traditional wake-up packets, use unicast rather than subnet-directed broadcasts.

  • Se tiver de utilizar difusões direcionadas para sub-redes, configure os routers para permitirem difusões direcionadas para IP apenas a partir do servidor do site e apenas num número de porta não predefinidos.If you must use subnet-directed broadcasts, configure routers to allow IP-directed broadcasts only from the site server and only on a non-default port number.

Para mais informações sobre as diferentes tecnologias de reativação por LAN, consulte o artigo planear como reativar clientes no System Center Configuration Manager.For more information about the different Wake On LAN technologies, see Planning how to wake up clients in System Center Configuration Manager.

Se utilizar notificações por correio eletrónico, configure o acesso autenticado ao servidor de correio SMTP.If you use email notification, configure authenticated access to the SMTP mail server.

Sempre que possível, utilize um servidor de correio que suporte acesso autenticado e utilize a conta de computador do servidor do site para autenticação.Whenever possible, use a mail server that supports authenticated access, and use the computer account of the site server for authentication. Se tiver de especificar uma conta de utilizador para autenticação, utilize uma conta que tenha privilégios mínimos.If you must specify a user account for authentication, use an account that has the least privileges.

Melhores práticas de segurança para o servidor do site Security best practices for the site server

Utilize os seguintes procedimentos recomendados de segurança para ajudar a proteger o Gestor de configuração do servidor do site.Use the following security best practices to help you secure the Configuration Manager site server.

Instale o Configuration Manager num servidor membro e não num controlador de domínio.Install Configuration Manager on a member server instead of a domain controller.

Os sistemas de site e o servidor de sites do Configuration Manager não necessitam de instalação num controlador de domínio.The Configuration Manager site server and site systems do not require installation on a domain controller. Os controladores de domínio não têm uma base de dados SAM (Security Accounts Management) local além da base de dados do domínio.Domain controllers do not have a local Security Accounts Management (SAM) database other than the domain database. Quando instalar o Configuration Manager num servidor membro, pode manter as contas do Configuration Manager na base de dados SAM local, em vez de na base de dados do domínio.When you install Configuration Manager on a member server, you can maintain Configuration Manager accounts in the local SAM database rather than in the domain database.

Esta prática também reduz a superfície de ataque nos controladores de domínio.This practice also lowers the attack surface on your domain controllers.

Instale sites secundários evitando copiar os ficheiros para o servidor do site secundário através da rede.Install secondary sites by avoiding copying the files to the secondary site server over the network.

Quando executar a configuração e criar um site secundário, não selecione a opção para copiar os ficheiros do site principal para o site secundário e não utilize uma localização de origem de rede.When you run setup and create a secondary site, do not select the option to copy the files from the parent site to the secondary site, and don't use a network source location. Quando copia ficheiros através da rede, um atacante hábil pode apoderar-se do pacote de instalação do site secundário e adulterar os ficheiros antes da sua instalação, apesar de a coordenação de um ataque destes ser difícil.When you copy files over the network, a skilled attacker could hijack the secondary site installation package and tamper with the files before they are installed, although timing this attack would be difficult. Este ataque pode ser atenuado utilizando IPsec ou SMB quando transferir os ficheiros.This attack can be mitigated by using IPsec or SMB when you transfer the files.

Em vez de copiar os ficheiros através da rede, no servidor do site secundário, copie os ficheiros de origem a partir da pasta de suporte de dados para uma pasta local.Instead of copying the files over the network, on the secondary site server, copy the source files from media folder to a local folder. Em seguida, quando executar a configuração para criar um site secundário, o ficheiros de origem de instalação página, selecione utilizar os ficheiros de origem disponíveis na seguinte localização no computador do site secundário (mais seguro), e especifique esta pasta.Then, when you run setup to create a secondary site, on the Installation Source Files page, select Use the source files at the following location on the secondary site computer (most secure), and specify this folder.

Para obter mais informações, veja Instalar um site secundário no tópico Utilizar o Assistente de Configuração para instalar sites.For more information, see Install a secondary site in the Use the Setup Wizard to install sites topic.

Melhores práticas de segurança para o SQL Server Security best practices for SQL Server

O Configuration Manager utiliza o SQL Server como a base de dados back-end.Configuration Manager uses SQL Server as the back-end database. Se a base de dados for comprometida, os atacantes podem ignorar do Configuration Manager e aceder ao SQL Server diretamente para iniciar ataques através do Configuration Manager.If the database is compromised, attackers could bypass Configuration Manager and access SQL Server directly to launch attacks through Configuration Manager. Considere os ataques contra o SQL Server um risco muito elevado e mitigar adequadamente.Consider attacks against SQL Server to be very high risk and mitigate appropriately.

Utilize os seguintes procedimentos recomendados de segurança para o ajudar a proteger o SQL Server para o Configuration Manager.Use the following security best practices to help you secure SQL Server for Configuration Manager.

Não utilize o servidor de base de dados do site do Configuration Manager para executar outras aplicações do SQL Server.Do not use the Configuration Manager site database server to run other SQL Server applications.

Quando aumenta o acesso ao servidor de base de dados do site do Configuration Manager, isto aumenta o risco aos dados do Configuration Manager.When you increase the access to the Configuration Manager site database server, this increases the risk to your Configuration Manager data. Se a base de dados do site do Configuration Manager for comprometida, outras aplicações no mesmo computador do SQL Server, em seguida, são também colocar em risco.If the Configuration Manager site database is compromised, other applications on the same SQL Server computer are then also put at risk.

Configure o SQL Server para utilizar a autenticação do Windows.Configure SQL Server to use Windows authentication.

Apesar do Configuration Manager acede a base de dados do site utilizando uma conta do Windows e autenticação do Windows, é possível configurar o SQL Server para utilizar o modo misto do SQL Server.Although Configuration Manager accesses the site database by using a Windows account and Windows authentication, it is still possible to configure SQL Server to use SQL Server mixed mode. O modo misto do SQL Server permite adicionais SQL inícios de sessão aceder à base de dados, o que não é necessários e aumenta a superfície de ataque.SQL Server mixed mode allows additional SQL sign-ins to access the database, which is not required and increases the attack surface.

Efetue passos adicionais para garantir que os sites secundários que utilizam o SQL Server Express têm as atualizações de software mais recentes.Take additional steps to ensure that secondary sites that use SQL Server Express have the latest software updates.

Quando instala um site primário, o Configuration Manager transfere o SQL Server Express a partir do Center Download Microsoft e copia os ficheiros para o servidor de site primário.When you install a primary site, Configuration Manager downloads SQL Server Express from the Microsoft Download Center and copies the files to the primary site server. Quando instala um site secundário e seleciona a opção que instala o SQL Server Express, o Configuration Manager instala a versão transferida anteriormente e não verifica se existem novas versões.When you install a secondary site and select the option that installs SQL Server Express, Configuration Manager installs the previously downloaded version and does not check whether new versions are available. Para garantir que o site secundário tem as versões mais recentes, efetue uma das seguintes tarefas:To ensure that the secondary site has the latest versions, do one of the following tasks:

  • Depois do site secundário foi instalado, execute o Windows Update no servidor do site secundário.After the secondary site has been installed, run Windows Update on the secondary site server.

  • Antes de instalar o site secundário, instale manualmente o SQL Server Express no computador que irá executar o servidor do site secundário e certifique-se de que instala a versão mais recente e as atualizações de software existentes.Before you install the secondary site, manually install SQL Server Express on the computer that will run the secondary site server and ensure that you install the latest version and any software updates. Em seguida, instalar o site secundário e selecione a opção para utilizar uma instância existente do SQL Server.Then install the secondary site, and select the option to use an existing SQL Server instance.

Execute periodicamente o Windows Update nestes sites e todas as versões instaladas do SQL Server para garantir que têm as atualizações de software mais recentes.Periodically run Windows Update for these sites and all installed versions of SQL Server to make sure that they have the latest software updates.

Siga as melhores práticas para o SQL Server.Follow best practices for SQL Server.

Identifique e siga as melhores práticas para a sua versão do SQL Server.Identify and follow the best practices for your version of SQL Server. No entanto, tenha em consideração os seguintes requisitos para o Configuration Manager:However, take into consideration the following requirements for Configuration Manager:

  • A conta de computador do servidor do site tem de ser membro do grupo Administradores no computador que executa o SQL Server.The computer account of the site server must be a member of the Administrators group on the computer that runs SQL Server. Se seguir a recomendação do SQL Server "aprovisionar principais de administrador explicitamente", a conta que utiliza para executar a configuração no servidor do site tem de ser um membro do grupo de utilizadores do SQL Server.If you follow the SQL Server recommendation of "provision administrator principals explicitly", the account that you use to run setup on the site server must be a member of the SQL Users group.

  • Se instalar o SQL Server utilizando uma conta de utilizador de domínio, certifique-se de que a conta de computador do servidor do site é configurada para um Nome do Principal do Serviço (SPN) publicado nos Serviços de Domínio do Active Directory.If you install SQL Server by using a domain user account, make sure that the site server computer account is configured for a Service Principal Name (SPN) that is published to Active Directory Domain Services. Sem o SPN, a autenticação Kerberos falhar e a configuração do Configuration Manager falha.Without the SPN, Kerberos authentication fails and Configuration Manager setup fails.

Melhores práticas de segurança para sistemas de sites que executam o IIS Security best practices for site systems that run IIS

Várias funções de sistema de sites no Configuration Manager necessitam do IIS.Several site system roles in Configuration Manager require IIS. O processo de proteger IIS ativa do Configuration Manager funcione corretamente e reduz o risco de ataques de segurança.The process of securing IIS enables Configuration Manager to operate correctly and reduces the risk of security attacks. Quando práticos, estará a minimizar o número de servidores que necessitam do IIS.When practical, minimize the number of servers that require IIS. Por exemplo, execute apenas o número de pontos de gestão necessário para suportar a base de clientes, tendo em conta a disponibilidade elevada e o isolamento de rede da gestão de clientes baseados na Internet.For example, run only the number of management points that you require to support your client base, taking into consideration high availability and network isolation for Internet-based client management.

Utilize as melhores práticas de segurança seguintes para ajudar a proteger os sistemas de sites que executam o IIS.Use the following security best practices to help you secure the site systems that run IIS.

Desative as funções do IIS que não seja necessário.Disable IIS functions that you don't require.

Instale apenas as funcionalidades mínimas do IIS para a função de sistema de sites que instalar.Install only the minimum IIS features for the site system role that you install. Para obter mais informações, veja Pré-requisitos de site e sistema de sites.For more information, see Site and site system prerequisites.

Configure as funções de sistema de sites para exigirem HTTPS.Configure the site system roles to require HTTPS.

Quando os clientes ligam a um sistema de sites utilizando HTTP em vez de HTTPS, utilizam a autenticação do Windows e poderão, em caso de contingência, utilizar a autenticação NTLM em vez da autenticação Kerberos.When clients connect to a site system by using HTTP rather than by using HTTPS, they use Windows authentication, which might fall back to using NTLM authentication rather than Kerberos authentication. Quando é utilizada a autenticação NTLM, os clientes podem ligar a um servidor não autorizado.When NTLM authentication is used, clients might connect to a rogue server.

A exceção a esta melhor prática de segurança poderão ser os pontos de distribuição, uma vez que as contas de acesso a pacotes não funcionam quando o ponto de distribuição está configurado para HTTPS.The exception to this security best practice might be distribution points because package access accounts do not work when the distribution point is configured for HTTPS. As contas de acesso a pacotes fornecem autorização para o conteúdo, para que possa restringir os utilizadores que podem aceder ao conteúdo.Package access accounts provide authorization to the content, so that you can restrict which users can access the content. Para obter mais informações, consulte o artigo melhores práticas de segurança para gestão de conteúdo.For more information, see Security best practices for content management.

Configure uma lista fidedigna de certificados (CTL) no IIS para as funções de sistema de sites.Configure a certificate trust list (CTL) in IIS for site system roles.

Funções do sistema de sites:Site system roles:

  • Um ponto de distribuição que esteja configurado para HTTPSA distribution point that is configured for HTTPS

  • Um ponto de gestão que está configurado para HTTPS e ativado para suportar dispositivos móveisA management point that is configured for HTTPS and enabled to support mobile devices

Uma lista fidedigna de certificados (CTL) é uma lista definida de autoridades de certificação de raiz fidedigna.A certificate trust list (CTL) is a defined list of trusted root certification authorities. Quando utiliza uma CTL com a política de grupo e uma implementação de infraestrutura de chaves públicas (PKI), uma CTL permite-lhe complementar as autoridades de certificação de raiz fidedigna existentes configuradas na sua rede, como os que são automaticamente instaladas com o Microsoft Windows ou adicionadas através das autoridades de certificação do Windows enterprise raiz.When you use a CTL with Group Policy and a public key infrastructure (PKI) deployment, a CTL enables you to supplement the existing trusted root certification authorities that are configured on your network, such as those that are automatically installed with Microsoft Windows or added through Windows enterprise root certification authorities. No entanto, quando uma CTL é configurada no IIS, define um subconjunto dessas autoridades de certificação de raiz fidedigna.However, when a CTL is configured in IIS, it defines a subset of those trusted root certification authorities.

Este subconjunto proporciona maior controlo da segurança porque a CTL restringe os certificados de cliente que são aceites apenas aos que são emitidos pela lista de autoridades de certificação na CTL.This subset provides you with more control over security because the CTL restricts the client certificates that are accepted to only those that are issued from the list of certification authorities in the CTL. Por exemplo, o Windows é fornecido com um número de certificados de autoridade de certificação bem conhecidas e de terceiros, como VeriSign e a Thawte.For example, Windows comes with a number of well-known, third-party certification authority certificates, such as VeriSign and Thawte.

Por predefinição, o computador que executa o IIS confia em certificados que encadeiem nestas autoridades de certificação conhecidas.By default, the computer that runs IIS trusts certificates that chain to these well-known certification authorities. Quando não configura o IIS com uma CTL para as funções do sistema de sites listadas, qualquer dispositivo que tenha um certificado de cliente emitido por estas autoridades de certificação é aceite como um cliente válido do Configuration Manager.When you do not configure IIS with a CTL for the listed site system roles, any device that has a client certificate issued from these certification authorities is accepted as a valid Configuration Manager client. Se configurar o IIS com uma CTL que não inclua estas autoridades de certificação, as ligações de cliente serão recusadas se o certificado encadear nestas autoridades de certificação.If you configure IIS with a CTL that did not include these certification authorities, client connections are refused if the certificate chained to these certification authorities. No entanto, para os clientes do Configuration Manager sejam aceites para as funções do sistema de sites listadas, tem de configurar IIS com uma CTL que especifique as autoridades de certificação que são utilizadas por clientes do Configuration Manager.However, for Configuration Manager clients to be accepted for the listed site system roles, you must configure IIS with a CTL that specifies the certification authorities that are used by Configuration Manager clients.

Nota

Apenas as funções de sistema de sites listadas necessitam que configure uma CTL no IIS.Only the listed site system roles require you to configure a CTL in IIS. A lista de emissores de certificados que o Configuration Manager utiliza para pontos de gestão fornece a mesma funcionalidade para computadores cliente quando estes ligam a pontos de gestão HTTPS.The certificate issuers list that Configuration Manager uses for management points provides the same functionality for client computers when they connect to HTTPS management points.

Para mais informações sobre como configurar uma lista de autoridades de certificação fidedignas no IIS, consulte a documentação do IIS.For more information about how to configure a list of trusted certification authorities in IIS, refer to your IIS documentation.

Não coloque o servidor do site num computador com o IIS.Do not put the site server on a computer with IIS.

A separação de funções ajuda a reduzir o perfil de ataques e a melhorar a capacidade de recuperação.Role separation helps to reduce the attack profile and improve recoverability. Além disso, a conta de computador do servidor do site tem normalmente privilégios administrativos em todas as funções de sistema de sites (e possivelmente nos clientes do Configuration Manager, se utilizar a instalação de push de cliente).In addition, the computer account of the site server typically has administrative privileges on all site system roles (and possibly on Configuration Manager clients, if you use client push installation).

Utilize servidores de IIS dedicados para o Configuration Manager.Use dedicated IIS servers for Configuration Manager.

Embora possa alojar várias aplicações baseadas na web nos servidores de IIS que também sejam utilizados pelo Configuration Manager, esta prática pode aumentar significativamente a superfície de ataque.Although you can host multiple web-based applications on the IIS servers that are also used by Configuration Manager, this practice can significantly increase your attack surface. Uma aplicação mal configurada pode permitir a um atacante obter o controlo de um Gestor de configuração do sistema de sites, que poderia permitir um atacante obter o controlo da hierarquia.A poorly configured application could allow an attacker to gain control of a Configuration Manager site system, which could allow an attacker to gain control of the hierarchy.

Se tiver de executar outras aplicações baseadas na web em sistemas de sites do Configuration Manager, crie um web site personalizado para sistemas de sites do Configuration Manager.If you must run other web-based applications on Configuration Manager site systems, create a custom web site for Configuration Manager site systems.

Utilize um Web site personalizado.Use a custom website.

Para sistemas de sites que executam o IIS, pode configurar o Configuration Manager para utilizar um Web site personalizado em vez do Web site predefinido do IIS.For site systems that run IIS, you can configure Configuration Manager to use a custom website instead of the default website for IIS. Se tiver de executar outras aplicações web no sistema de sites, tem de utilizar um Web site personalizado.If you have to run other web applications on the site system, you must use a custom website. Esta definição é uma definição ao nível do site em vez de uma definição para um sistema de sites específicas.This setting is a site-wide setting rather than a setting for a specific site system.

Além de fornecer segurança adicional, deve utilizar um Web site personalizado se executar outras aplicações Web no sistema de sites.In addition to providing additional security, you must use a custom website if you run other web applications on the site system.

Se mudar do Web site predefinido para um Web site personalizado depois serem instaladas funções de ponto de distribuição, remova os diretórios virtuais predefinidos.If you switch from the default website to a custom website after any distribution point roles are installed, remove the default virtual directories.

Quando alterar do Web site predefinido para um Web site personalizado, o Configuration Manager não remove os diretórios virtuais antigos.When you change from using the default website to using a custom website, Configuration Manager does not remove the old virtual directories. Remova os diretórios virtuais que originalmente criou o Configuration Manager no Web site predefinido.Remove the virtual directories that Configuration Manager originally created under the default website.

Por exemplo, os diretórios virtuais a remover de um ponto de distribuição são os seguintes:For example, the virtual directories to remove for a distribution point are the following:

  • SMS_DP_SMSPKG$SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$NOCERT_SMS_DP_SMSSIG$

Siga as melhores práticas para o Servidor do IIS.Follow best practices for IIS Server.

Identifique e siga as melhores práticas para a sua versão do Servidor do IIS.Identify and follow the best practices for your version of IIS Server. No entanto, tenha em consideração os requisitos que o Configuration Manager possui para funções de sistema de sites específicas.However, take into consideration any requirements that Configuration Manager has for specific site system roles. Para obter mais informações, veja Pré-requisitos de site e sistema de sites.For more information, see Site and site system prerequisites.

Melhores práticas de segurança para o ponto de gestão Security best practices for the management point

Pontos de gestão são a interface primária entre dispositivos e o Configuration Manager.Management points are the primary interface between devices and Configuration Manager. Considere os ataques contra o ponto de gestão e o servidor que executa no risco muito elevado e mitigar adequadamente.Consider attacks against the management point and the server that it runs on to be very high risk, and mitigate appropriately. Aplique as melhores práticas de segurança adequadas e monitorize a ocorrência de atividade invulgar.Apply all appropriate security best practices and monitor for unusual activity.

Utilize os seguintes procedimentos recomendados de segurança para ajudar a proteger um ponto de gestão no Configuration Manager.Use the following security best practices to help secure a management point in Configuration Manager.

Quando instala um cliente do Configuration Manager no ponto de gestão, atribua-o ao site desse ponto de gestão.When you install a Configuration Manager client on the management point, assign it to that management point's site.

Evite o cenário onde um cliente de Configuration Manager que se encontra num sistema de sites de ponto de gestão é atribuído a um site diferente do site do ponto de gestão.Avoid the scenario where a Configuration Manager client that is on a management point site system is assigned to a site other than the management point's site.

Se efetuar a migração de uma versão anterior para o System Center Configuration Manager, migre o software de cliente no ponto de gestão para o System Center Configuration Manager logo que possível.If you migrate from an earlier version to System Center Configuration Manager, migrate the client software on the management point to System Center Configuration Manager as soon as possible.

Melhores práticas de segurança para o ponto de estado de contingência Security best practices for the fallback status point

Utilize os seguintes procedimentos recomendados de segurança se instalar um ponto de estado de contingência no Configuration Manager.Use the following security best practices if you install a fallback status point in Configuration Manager.

Para mais informações sobre as considerações de segurança quando instala um ponto de estado de contingência, veja Determinar se Necessita de um Ponto de Estado de Contingência.For more information about the security considerations when you install a fallback status point, see Determine Whether You Require a Fallback Status Point.

Não execute outras funções de sistema de sites no sistema de sites e não instale o ponto de estado de contingência num controlador de domínio.Do not run other site system roles on the site system, and do not install the status fallback point on a domain controller.

Como o ponto de estado de contingência é concebido para aceitar comunicações não autenticadas de qualquer computador, a execução desta função de sistema de sites com outras funções de sistema de sites ou num controlador de domínio aumenta significativamente o risco desse servidor.Because the fallback status point is designed to accept unauthenticated communication from any computer, running this site system role with other site system roles or on a domain controller greatly increases the risk to that server.

Quando utiliza certificados PKI para comunicações de clientes no Configuration Manager, instale o ponto de estado de contingência antes de instalar os clientes.When you use PKI certificates for client communication in Configuration Manager, install the fallback status point before you install the clients.

Se os sistemas de sites do Configuration Manager não deve aceitar comunicações de cliente HTTP, poderá não saber que os clientes são geridos devido a problemas de certificados relacionados com PKI.If Configuration Manager site systems do not accept HTTP client communication, you might not know that clients are unmanaged because of PKI-related certificate issues. No entanto, se os clientes são atribuídos a um ponto de estado de contingência, estes problemas de certificados são reportados pelo ponto de estado de contingência.However, if clients are assigned to a fallback status point, these certificate issues are reported by the fallback status point.

Por motivos de segurança, não é possível atribuir um ponto de estado de contingência a clientes após serem instalados.For security reasons, you cannot assign a fallback status point to clients after they are installed. Em vez disso, pode atribuir esta função apenas durante a instalação do cliente.Instead, you can assign this role only during client installation.

Evite utilizar o ponto de estado de contingência na rede de perímetro.Avoid using the fallback status point in the perimeter network.

Por predefinição, o ponto de estado de contingência aceita dados a partir de qualquer cliente.By design, the fallback status point accepts data from any client. Embora um ponto de estado de contingência na rede de perímetro possa ajudar a resolver problemas com clientes baseados na Internet, tem de equilibrar os benefícios da resolução de problemas com o risco de um sistema de sites aceitar dados não autenticados numa rede de acesso público.Although a fallback status point in the perimeter network could help you to troubleshoot Internet-based clients, you must balance the troubleshooting benefits with the risk of a site system that accepts unauthenticated data in a publicly accessible network.

Se instalar o ponto de estado de contingência na rede de perímetro ou em qualquer rede não fidedigna, configure o servidor de site para iniciar as transferências de dados em vez de utilizar a predefinição que permite que o ponto de estado de contingência inicie uma ligação ao servidor do site.If you do install the fallback status point in the perimeter network or any untrusted network, configure the site server to initiate data transfers rather than using the default setting that allows the fallback status point to initiate a connection to the site server.

Problemas de segurança de administração de sites Security issues for site administration

Reveja os seguintes problemas de segurança para o Configuration Manager:Review the following security issues for Configuration Manager:

  • O Configuration Manager não possui nenhuma defesa contra um utilizador administrativo autorizado que utiliza o Configuration Manager para atacar a rede.Configuration Manager has no defense against an authorized administrative user who uses Configuration Manager to attack the network. Os utilizadores administrativos não autorizados constituem um risco de segurança elevado e, podem iniciar vários ataques, incluindo as seguintes estratégias:Unauthorized administrative users are a high security risk and could launch numerous attacks, which include the following strategies:

    • Utilize a implementação de software para instalar e executar automaticamente software malicioso em todos os computadores de cliente do Configuration Manager na empresa.Use software deployment to automatically install and run malicious software on every Configuration Manager client computer in the enterprise.

    • Utilize o controlo remoto para assumir o controlo remoto de um cliente do Configuration Manager sem permissão do mesmo.Use remote control to take remote control of a Configuration Manager client without client permission.

    • Configurar intervalos de consulta rápida e valores excessivos de inventário para criar ataques de recusa de serviço contra clientes e servidores.Configure rapid polling intervals and extreme amounts of inventory to create denial of service attacks against the clients and servers.

    • Utilizar um site na hierarquia para escrever dados nos dados do Active Directory de outro site.Use one site in the hierarchy to write data to another site's Active Directory data.

    A hierarquia de sites é o limite de segurança.The site hierarchy is the security boundary. Considere sites serem apenas limites de gestão.Consider sites to be management boundaries only.

    Audite todas as atividades do utilizador administrativo e reveja regularmente os registos de auditoria.Audit all administrative user activity and routinely review the audit logs. Necessitam de todos os utilizadores administrativos do Configuration Manager para undergo uma verificação de fundo, antes de serem recrutados e exigem verificações periódicas como condição de emprego.Require all Configuration Manager administrative users to undergo a background check before they are hired and require periodic rechecks as a condition of employment.

  • Se o ponto de registo for comprometido, um intruso poderá obter certificados para autenticação e roubar as credenciais de utilizadores que inscrevem os respetivos dispositivos móveis.If the enrollment point is compromised, an attacker could obtain certificates for authentication and steal the credentials of users who enroll their mobile devices.

    O ponto de registo comunica com uma autoridade de certificação e pode criar, modificar e eliminar objetos do Active Directory.The enrollment point communicates with a certification authority and can create, modify, and delete Active Directory objects. Nunca instale o ponto de inscrição na rede de perímetro e monitorize sempre de atividade invulgar.Never install the enrollment point in the perimeter network, and always monitor for unusual activity.

  • Se permitir políticas de utilizador para a gestão de clientes baseada na Internet ou configurar o ponto de serviço Web do Catálogo de Aplicações para utilizadores que estão na Internet, aumenta o seu perfil de ataque.If you allow user policies for Internet-based client management or configure the Application Catalog website point for users when they are on the Internet, you increase your attack profile.

    Para além de utilizar certificados PKI para ligações de cliente-servidor, estas configurações requerem a autenticação do Windows, podendo voltar a utilizar a autenticação NTLM em vez da autenticação Kerberos.In addition to using PKI certificates for client-to-server connections, these configurations require Windows authentication, which might fall back to using NTLM authentication rather than Kerberos. A autenticação NTLM é vulnerável a ataques de representação e repetição.NTLM authentication is vulnerable to impersonation and replay attacks. Para autenticar com sucesso um utilizador na Internet, tem de permitir a ligação do servidor do sistema de sites baseado na Internet a um controlador de domínio.To successfully authenticate a user on the Internet, you must allow a connection from the Internet-based site system server to a domain controller.

  • A partilha Admin$ é obrigatória em servidores do sistema de sites.The Admin$ share is required on site system servers.

    O servidor do site do Configuration Manager utiliza a partilha Admin$ para estabelecer ligação ao e efetuar operações de serviço em sistemas de sites.The Configuration Manager site server uses the Admin$ share to connect to and perform service operations on site systems. Não desative nem remova a partilha Admin$.Do not disable or remove the Admin$ share.

  • O Configuration Manager utiliza serviços de resolução de nome para ligar a outros computadores e estes serviços são difíceis de proteger contra ataques de segurança, como spoofing, adulteração, rejeição, divulgação de informações, recusa de serviço e elevação de privilégios.Configuration Manager uses name resolution services to connect to other computers, and these services are hard to secure against security attacks such as spoofing, tampering, repudiation, information disclosure, denial of service, and elevation of privilege.

    Identifique e siga os procedimentos recomendados de segurança para a versão do DNS e WINS que utiliza para resolução de nomes.Identify and follow any security best practices for the version of DNS and WINS that you use for name resolution.

Informações de privacidade para deteção Privacy information for Discovery

A deteção cria registros para recursos de rede e armazena-os na base de dados do System Center Configuration Manager.Discovery creates records for network resources and stores them in the System Center Configuration Manager database. Os registos de dados de deteção contêm informações sobre o computador como endereços IP, sistemas operativos e nomes de computador.Discovery data records contain computer information such as IP addresses, operating systems, and computer names. Os métodos de deteção do Active Directory também podem ser configurados para detetar informações armazenadas nos Serviços de Domínio do Active Directory.Active Directory discovery methods can also be configured to discover any information that is stored in Active Directory Domain Services.

O único método de deteção que está ativado por predefinição é a deteção de Heartbeat, mas que método apenas Deteta os computadores que ainda têm o software de cliente do System Center Configuration Manager instalado.The only discovery method that is enabled by default is Heartbeat Discovery, but that method only discovers computers that are already have the System Center Configuration Manager client software installed.

As informações de deteção não são enviadas à Microsoft.Discovery information is not sent to Microsoft. Em vez disso, este é armazenado na base de dados do Configuration Manager.Instead, it's stored in the Configuration Manager database. As informações são retidas na base de dados até serem eliminada pela tarefa de manutenção do site todos os 90 dias eliminar dados de deteção desatualizados.Information is retained in the database until it is deleted every 90 days by the site maintenance task Delete Aged Discovery Data.

Antes de configurar métodos de deteção adicionais ou expandir a deteção do Active Directory, considere os requisitos de privacidade.Before you configure additional discovery methods or extend Active Directory discovery, consider your privacy requirements.