Configurar a segurança no System Center Configuration ManagerConfigure security in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Utilize as informações neste artigo para o ajudar a configurar opções relacionadas com a segurança para o System Center Configuration Manager.Use the information in this article to help you set up security-related options for System Center Configuration Manager.

Configurar definições para certificados PKI de cliente Configure settings for client PKI certificates

Se pretender utilizar certificados da infraestrutura de chaves públicas (PKI) para ligações de cliente aos sistemas de sites que utilizam os Serviços de Informação Internet (IIS), utilize o seguinte procedimento para configurar as definições destes certificados.If you want to use public key infrastructure (PKI) certificates for client connections to site systems that use Internet Information Services (IIS), use the following procedure to configure settings for these certificates.

Para configurar as definições de certificados PKI de clienteTo configure client PKI certificate settings

  1. Na consola do Configuration Manager, escolha administração.In the Configuration Manager console, choose Administration.

  2. No administração área de trabalho, expanda configuração do Site, escolha Sitese, em seguida, selecione o site primário a configurar.In the Administration workspace, expand Site Configuration, choose Sites, and then choose the primary site to configure.

  3. No base no separador de propriedades grupo, selecione propriedadese, em seguida, escolha o comunicação com o computador cliente separador.On the Home tab, in the Properties group, choose Properties, and then choose the Client Computer Communication tab.

    Este separador apenas está disponível num site primário.This tab is available on a primary site only. Se o separador Comunicação com o Computador Cliente não for apresentado, verifique se não se encontra ligado a um site de administração central ou a um site secundário.If you do not see the Client Computer Communication tab, check that you are not connected to a central administration site or a secondary site.

  4. Escolher apenas HTTPS quando pretender que os clientes que estão atribuídos ao site utilizem sempre um certificado PKI de cliente ao estabelecerem ligações aos sistemas de sites que utilizam IIS.Choose HTTPS only when you want clients that are assigned to the site to always use a client PKI certificate when they connect to site systems that use IIS. Escolha HTTPS ou HTTP quando não precisar que os clientes utilizem certificados PKI.Or, choose HTTPS or HTTP when you do not require clients to use PKI certificates.

  5. Se optou por HTTPS ou HTTP, escolha utilizar um certificado cliente PKI (capacidade de autenticação de cliente) se estiver disponível quando pretender utilizar um certificado PKI de cliente para ligações HTTP.If you chose HTTPS or HTTP, choose Use client PKI certificate (client authentication capability) when available when you want to use a client PKI certificate for HTTP connections. O cliente utiliza este certificado em vez de um certificado autoassinado para se autenticar perante os sistemas de site.The client uses this certificate instead of a self-signed certificate to authenticate itself to site systems. Esta opção é selecionada automaticamente se escolher apenas HTTPS.This option is automatically chosen if you choose HTTPS only.

    Quando os clientes são detetados como estando na Internet ou estão configurados para gestão de clientes apenas na Internet, utilizam sempre um certificado PKI de cliente.When clients are detected to be on the Internet, or they are configured for Internet-only client management, they always use a client PKI certificate.

  6. Escolher modificar para configurar o seu método de seleção de clientes preferido para quando mais do que um válido certificado de cliente PKI estiver disponível num cliente e, em seguida, selecione OK.Choose Modify to configure your chosen client selection method for when more than one valid PKI client certificate is available on a client, and then choose OK.

    Para mais informações sobre o método de seleção de certificado de cliente, consulte o artigo planear a seleção de certificado de cliente PKI.For more about the client certificate selection method, see Planning for PKI client certificate selection.

  7. Selecione ou desmarque a caixa de verificação para que os clientes verifiquem a lista de Revogação de Certificados (CRL).Select or clear the check box for clients to check the Certificate Revocation list (CRL).

    Para mais informações sobre CRL verificação para os clientes, consulte o artigo planear a revogação de certificados PKI.For more about CRL checking for clients, see Planning for PKI certificate revocation.

  8. Se tiver de especificar certificados de autoridade (AC) de certificação de raiz confiável para os clientes, escolha definir, importe os ficheiros de certificado de AC de raiz e, em seguida, selecione OK.If you must specify trusted root certification authority (CA) certificates for clients, choose Set, import the root CA certificate files, and then choose OK.

    Para mais informações sobre esta definição, consulte o artigo planear os certificados de raiz fidedigna do PKI e da lista de emissores de certificados.For more about this setting, see Planning for the PKI Trusted Root certificates and the Certificate Issuers List.

  9. Escolher OK para fechar a caixa de diálogo de propriedades para o site.Choose OK to close the properties dialog box for the site.

Repita este procedimento para todos os sites primários da hierarquia.Repeat this procedure for all primary sites in the hierarchy.

Configurar a assinatura e encriptação Configure signing and encryption

Configure as definições de assinatura e encriptação mais seguras para os sistemas de site que todos os clientes do site possam suportar.Configure the most secure signing and encryption settings for site systems that all clients in the site can support. Estas definições são especialmente importantes quando permitir que os clientes comuniquem com os sistemas de site utilizando certificados autoassinados através de HTTP.These settings are especially important when you let clients communicate with site systems by using self-signed certificates over HTTP.

Para configurar a assinatura e encriptação para um siteTo configure signing and encryption for a site

  1. Na consola do Configuration Manager, escolha administração.In the Configuration Manager console, choose Administration.

  2. No administração área de trabalho, expanda configuração do Site, escolha Sitese, em seguida, selecione o site primário a configurar.In the Administration workspace, expand Site Configuration, choose Sites, and then choose the primary site to configure.

  3. No base separador o propriedades grupo, selecione propriedadese, em seguida, escolha o assinatura e encriptação separador.On the Home tab, in the Properties group, choose Properties, and then choose the Signing and Encryption tab.

    Este separador apenas está disponível num site primário.This tab is available on a primary site only. Se o separador Assinatura e Encriptação não for apresentado, verifique se não se encontra ligado a um site de administração central ou a um site secundário.If you do not see the Signing and Encryption tab, check that you are not connected to a central administration site or a secondary site.

  4. Configure as opções de assinatura e encriptação pretendidas e, em seguida, escolha OK.Configure the signing and encryption options that you want, and then choose OK.

    Aviso

    Não escolha exigir SHA-256 sem verificar primeiro se todos os clientes que possam ser atribuídos ao site podem suportar este algoritmo hash ou têm um certificado de autenticação de cliente PKI válido.Do not choose Require SHA-256 without first checking that all clients that might be assigned to the site can support this hash algorithm or they have a valid PKI client authentication certificate. Poderá ter de instalar atualizações ou correções nos clientes para suportarem SHA-256.You might have to install updates or hotfixes on clients to support SHA-256. Por exemplo, os computadores com o Windows Server 2003 SP2 têm de instalar uma correção que é mencionada no artigo KB 938397.For example, computers that run Windows Server 2003 SP2 must install a hotfix that is referenced in the KB article 938397.

    Se selecionar esta opção e os clientes não puderem suportar SHA-256 e utilizarem certificados autoassinados, o Configuration Manager rejeita-los.If you choose this option and clients cannot support SHA-256 and use self-signed certificates, Configuration Manager rejects them. Neste cenário, o componente SMS_MP_CONTROL_MANAGER regista o ID de mensagem 5443.In this scenario, the SMS_MP_CONTROL_MANAGER component logs the message ID 5443.

  5. Escolher OK para fechar o propriedades caixa de diálogo para o site.Choose OK to close the Properties dialog box for the site.

Repita este procedimento para todos os sites primários da hierarquia.Repeat this procedure for all primary sites in the hierarchy.

Configurar a administração baseada em funções Configure role-based administration

A administração baseada em funções combina funções de segurança, âmbitos de segurança e coleções atribuídas para definir o âmbito administrativo de cada utilizador administrativo.Role-based administration combines security roles, security scopes, and assigned collections to define the administrative scope for each administrative user. Um âmbito administrativo inclui os objetos que um utilizador administrativo pode ver na consola do Configuration Manager e as tarefas relacionadas com esses objetos que o utilizador administrativo tem permissões para o fazer.An administrative scope includes the objects that an administrative user can view in the Configuration Manager console, and the tasks related to those objects that the administrative user has permission to do. As configurações de administração baseadas em funções são aplicadas em cada site de uma hierarquia.Role-based administration configurations are applied at each site in a hierarchy.

As hiperligações seguintes são as secções relevantes a partir de configurar a administração baseada em funções para o System Center Configuration Manager artigo:The following links are to the relevant sections from the Configure role-based administration for System Center Configuration Manager article:

Importante

O seu próprio âmbito administrativo define os objetos e definições que pode atribuir ao configurar a administração baseada em funções para outro utilizador administrativo.Your own administrative scope defines the objects and settings that you can assign when you configure role-based administration for another administrative user. Para obter informações sobre o planeamento da administração baseada em funções, consulte o artigo Noções básicas da administração baseada em funções para o System Center Configuration Manager.For information about planning for role-based administration, see Fundamentals of role-based administration for System Center Configuration Manager.

Gerir contas utilizadas pelo Configuration Manager Manage accounts that are used by Configuration Manager

Configuration Manager suporta contas do Windows para muitas tarefas diferentes e utiliza.Configuration Manager supports Windows accounts for many different tasks and uses.

Utilize o procedimento seguinte para contas de vista que estão configuradas para diferentes tarefas e para gerir a palavra-passe que o Configuration Manager utiliza para cada conta.Use the following procedure to view accounts that are configured for different tasks and to manage the password that Configuration Manager uses for each account.

Para gerir contas utilizadas pelo Configuration ManagerTo manage accounts that are used by Configuration Manager

  1. Na consola do Configuration Manager, escolha administração.In the Configuration Manager console, choose Administration.

  2. No administração área de trabalho, expanda segurançae, em seguida, escolha contas para ver as contas que estão configuradas para o Configuration Manager.In the Administration workspace, expand Security, and then choose Accounts to view the accounts that are configured for Configuration Manager.

  3. Para alterar a palavra-passe de uma conta que está configurada para o Configuration Manager, selecione a conta.To change the password for an account that is configured for Configuration Manager, choose the account.

  4. No base separador o propriedades grupo, selecione propriedades.On the Home tab, in the Properties group, choose Properties.

  5. Escolher definir para abrir o conta de utilizador do Windows diálogo caixa e especifique a palavra-passe para o Configuration Manager para utilizar para a conta de novo.Choose Set to open the Windows User Account dialog box and specify the new password for Configuration Manager to use for the account.

    Nota

    A palavra-passe que especificar tem de corresponder à palavra-passe especificada para a conta em Utilizadores e Computadores do Active Directory.The password that you specify must match the password that is specified for the account in Active Directory Users and Computers.

  6. Escolher OK para concluir o procedimento.Choose OK to complete the procedure.