Configurar a segurança no System Center Configuration ManagerConfigure security in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Utilize as informações neste artigo para o ajudar a configurar opções relacionadas com segurança para o System Center Configuration Manager.Use the information in this article to help you set up security-related options for System Center Configuration Manager.

Configurar definições para certificados PKI de clienteConfigure settings for client PKI certificates

Se pretender utilizar certificados da infraestrutura de chaves públicas (PKI) para ligações de cliente aos sistemas de sites que utilizam os Serviços de Informação Internet (IIS), utilize o seguinte procedimento para configurar as definições destes certificados.If you want to use public key infrastructure (PKI) certificates for client connections to site systems that use Internet Information Services (IIS), use the following procedure to configure settings for these certificates.

Para configurar as definições de certificados PKI de clienteTo configure client PKI certificate settings

  1. Na consola do Configuration Manager, escolha administração.In the Configuration Manager console, choose Administration.

  2. No administração área de trabalho, expanda configuração do Site, escolha Sitese, em seguida, selecione o site primário a configurar.In the Administration workspace, expand Site Configuration, choose Sites, and then choose the primary site to configure.

  3. No home page separador o propriedades grupo, escolha propriedadese, em seguida, escolha o comunicação com o computador cliente separador.On the Home tab, in the Properties group, choose Properties, and then choose the Client Computer Communication tab.

    Este separador apenas está disponível num site primário.This tab is available on a primary site only. Se o separador Comunicação com o Computador Cliente não for apresentado, verifique se não se encontra ligado a um site de administração central ou a um site secundário.If you do not see the Client Computer Communication tab, check that you are not connected to a central administration site or a secondary site.

  4. Escolha apenas HTTPS quando quiser que os clientes atribuídos ao site utilizem sempre um certificado PKI de cliente ao estabelecerem ligações aos sistemas de sites que utilizam IIS.Choose HTTPS only when you want clients that are assigned to the site to always use a client PKI certificate when they connect to site systems that use IIS. Em alternativa, escolha HTTPS ou HTTP quando não precisar que os clientes utilizem certificados PKI.Or, choose HTTPS or HTTP when you do not require clients to use PKI certificates.

  5. Se tiver escolhido HTTPS ou HTTP, escolha utilizar um certificado cliente PKI (capacidade de autenticação de cliente) se estiver disponível quando pretender utilizar um certificado PKI de cliente para ligações HTTP.If you chose HTTPS or HTTP, choose Use client PKI certificate (client authentication capability) when available when you want to use a client PKI certificate for HTTP connections. O cliente utiliza este certificado em vez de um certificado autoassinado para se autenticar perante os sistemas de site.The client uses this certificate instead of a self-signed certificate to authenticate itself to site systems. Esta opção é automaticamente escolhida se escolher apenas HTTPS.This option is automatically chosen if you choose HTTPS only.

    Quando os clientes são detetados como estando na Internet ou estão configurados para gestão de clientes apenas na Internet, utilizam sempre um certificado PKI de cliente.When clients are detected to be on the Internet, or they are configured for Internet-only client management, they always use a client PKI certificate.

  6. Escolha modificar para configurar o seu método de seleção de clientes preferido para quando mais do que uma válido certificado PKI de cliente estiver disponível num cliente e, em seguida, escolha OK.Choose Modify to configure your chosen client selection method for when more than one valid PKI client certificate is available on a client, and then choose OK.

    Para obter mais informações sobre o método de seleção de certificados de cliente, consulte planear a seleção de certificado de cliente PKI.For more about the client certificate selection method, see Planning for PKI client certificate selection.

  7. Selecione ou desmarque a caixa de verificação para que os clientes verifiquem a lista de Revogação de Certificados (CRL).Select or clear the check box for clients to check the Certificate Revocation list (CRL).

    Para mais informações sobre CRL a verificação de clientes, consulte planear a revogação de certificados PKI.For more about CRL checking for clients, see Planning for PKI certificate revocation.

  8. Se tiver de especificar certificados de autoridade (AC) de certificação de raiz fidedigna para os clientes, escolha definir, importe os ficheiros de certificado de AC de raiz e, em seguida, escolha OK.If you must specify trusted root certification authority (CA) certificates for clients, choose Set, import the root CA certificate files, and then choose OK.

    Para obter mais informações sobre esta definição, consulte planear os certificados PKI de raiz fidedigna e a lista de emissores de certificados.For more about this setting, see Planning for the PKI Trusted Root certificates and the Certificate Issuers List.

  9. Escolha OK para fechar a caixa de diálogo de propriedades para o site.Choose OK to close the properties dialog box for the site.

Repita este procedimento para todos os sites primários da hierarquia.Repeat this procedure for all primary sites in the hierarchy.

Configurar a assinatura e encriptaçãoConfigure signing and encryption

Configure as definições de assinatura e encriptação mais seguras para os sistemas de site que todos os clientes do site possam suportar.Configure the most secure signing and encryption settings for site systems that all clients in the site can support. Estas definições são especialmente importantes quando permitir que os clientes comuniquem com os sistemas de site utilizando certificados autoassinados através de HTTP.These settings are especially important when you let clients communicate with site systems by using self-signed certificates over HTTP.

Para configurar a assinatura e encriptação para um siteTo configure signing and encryption for a site

  1. Na consola do Configuration Manager, escolha administração.In the Configuration Manager console, choose Administration.

  2. No administração área de trabalho, expanda configuração do Site, escolha Sitese, em seguida, selecione o site primário a configurar.In the Administration workspace, expand Site Configuration, choose Sites, and then choose the primary site to configure.

  3. No home page separador o propriedades grupo, escolha propriedadese, em seguida, escolha o assinatura e encriptação separador.On the Home tab, in the Properties group, choose Properties, and then choose the Signing and Encryption tab.

    Este separador apenas está disponível num site primário.This tab is available on a primary site only. Se o separador Assinatura e Encriptação não for apresentado, verifique se não se encontra ligado a um site de administração central ou a um site secundário.If you do not see the Signing and Encryption tab, check that you are not connected to a central administration site or a secondary site.

  4. Configurar as opções de assinatura e encriptação pretendidas e, em seguida, escolha OK.Configure the signing and encryption options that you want, and then choose OK.

    Aviso

    Não escolher exigir SHA-256 sem verificar primeiro se todos os clientes que possam ser atribuídos ao site podem suportar este algoritmo hash ou têm um certificado de autenticação de cliente PKI válido.Do not choose Require SHA-256 without first checking that all clients that might be assigned to the site can support this hash algorithm or they have a valid PKI client authentication certificate. Poderá ter de instalar atualizações ou correções nos clientes para suportarem SHA-256.You might have to install updates or hotfixes on clients to support SHA-256. Por exemplo, os computadores com o Windows Server 2003 SP2 têm de instalar uma correção que é mencionada no artigo KB 938397.For example, computers that run Windows Server 2003 SP2 must install a hotfix that is referenced in the KB article 938397.

    Se escolher esta opção e os clientes não puderem suportar SHA-256 e utilizarem certificados autoassinados, o Configuration Manager rejeita-los.If you choose this option and clients cannot support SHA-256 and use self-signed certificates, Configuration Manager rejects them. Neste cenário, o componente SMS_MP_CONTROL_MANAGER regista o ID de mensagem 5443.In this scenario, the SMS_MP_CONTROL_MANAGER component logs the message ID 5443.

  5. Escolha OK para fechar o propriedades caixa de diálogo para o site.Choose OK to close the Properties dialog box for the site.

Repita este procedimento para todos os sites primários da hierarquia.Repeat this procedure for all primary sites in the hierarchy.

Configurar a administração baseada em funçõesConfigure role-based administration

A administração baseada em funções combina funções de segurança, âmbitos de segurança e coleções atribuídas para definir o âmbito administrativo de cada utilizador administrativo.Role-based administration combines security roles, security scopes, and assigned collections to define the administrative scope for each administrative user. Um âmbito administrativo inclui os objetos que um utilizador administrativo pode ver na consola do Configuration Manager e as tarefas relacionadas com esses objetos que o utilizador administrativo tem permissão para efetuar.An administrative scope includes the objects that an administrative user can view in the Configuration Manager console, and the tasks related to those objects that the administrative user has permission to do. As configurações de administração baseadas em funções são aplicadas em cada site de uma hierarquia.Role-based administration configurations are applied at each site in a hierarchy.

As hiperligações seguintes são as secções relevantes do configurar a administração baseada em funções para o System Center Configuration Manager artigo:The following links are to the relevant sections from the Configure role-based administration for System Center Configuration Manager article:

Importante

O seu próprio âmbito administrativo define os objetos e definições que pode atribuir ao configurar a administração baseada em funções para outro utilizador administrativo.Your own administrative scope defines the objects and settings that you can assign when you configure role-based administration for another administrative user. Para obter informações sobre o planeamento da administração baseada em funções, consulte Noções básicas da administração baseada em funções para o System Center Configuration Manager.For information about planning for role-based administration, see Fundamentals of role-based administration for System Center Configuration Manager.

Gerir contas utilizadas pelo Configuration ManagerManage accounts that are used by Configuration Manager

O Configuration Manager suporta contas do Windows para muitas tarefas diferentes e utiliza.Configuration Manager supports Windows accounts for many different tasks and uses.

Utilize o procedimento seguinte para contas de vista que estão configuradas para diferentes tarefas e para gerir a palavra-passe utilizadas pelo Configuration Manager para cada conta.Use the following procedure to view accounts that are configured for different tasks and to manage the password that Configuration Manager uses for each account.

Para gerir contas utilizadas pelo Configuration ManagerTo manage accounts that are used by Configuration Manager

  1. Na consola do Configuration Manager, escolha administração.In the Configuration Manager console, choose Administration.

  2. No administração área de trabalho, expanda segurançae, em seguida, escolha contas para ver as contas que estão configuradas para o Configuration Manager.In the Administration workspace, expand Security, and then choose Accounts to view the accounts that are configured for Configuration Manager.

  3. Para alterar a palavra-passe para uma conta que está configurada para o Configuration Manager, selecione a conta.To change the password for an account that is configured for Configuration Manager, choose the account.

  4. No home page separador o propriedades grupo, escolha propriedades.On the Home tab, in the Properties group, choose Properties.

  5. Escolha definir para abrir o conta de utilizador do Windows diálogo caixa e especifique a palavra-passe para o Configuration Manager para utilizar para a conta de novo.Choose Set to open the Windows User Account dialog box and specify the new password for Configuration Manager to use for the account.

    Nota

    A palavra-passe que especificar tem de corresponder à palavra-passe especificada para a conta em Utilizadores e Computadores do Active Directory.The password that you specify must match the password that is specified for the account in Active Directory Users and Computers.

  6. Escolha OK para concluir o procedimento.Choose OK to complete the procedure.