Planear a segurança no System Center Configuration ManagerPlan for security in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Planear certificados (autoassinados e PKI) Plan for certificates (self-signed and PKI)

O Configuration Manager utiliza uma combinação de certificados autoassinados e certificados de infraestrutura de chaves públicas (PKI).Configuration Manager uses a combination of self-signed certificates and public key infrastructure (PKI) certificates.

Como melhor prática de segurança, utilize certificados PKI sempre que possível.As a security best practice, use PKI certificates whenever possible. Para mais informações sobre requisitos de certificado PKI, consulte requisitos de certificado PKI para o System Center Configuration Manager.For more about PKI certificate requirements, see PKI certificate requirements for System Center Configuration Manager. Quando o Configuration Manager pedidos de certificados PKI, tal como durante a inscrição de dispositivos móveis e o aprovisionamento do Intel Active Management Technology (AMT), tem de utilizar serviços de domínio do Active Directory e uma autoridade de certificação empresarial.When Configuration Manager requests PKI certificates, such as during enrollment for mobile devices and Intel Active Management Technology (AMT) provisioning, you must use Active Directory Domain Services and an enterprise certification authority. Para todos os outros certificados PKI, tem de implementar e geri-los de forma independente do Configuration Manager.For all other PKI certificates, you must deploy and manage them independently from Configuration Manager.

Certificados PKI também são necessários quando os computadores cliente se ligar a sistemas de sites baseados na Internet e recomendamos que utilize certificados PKI quando os clientes ligam aos sistemas de sites que executam os serviços de informação Internet (IIS).PKI certificates are also required when client computers connect to Internet-based site systems, and we recommend that you use PKI certificates when clients connect to site systems that run Internet Information Services (IIS). Para obter mais informações sobre a comunicação de cliente, consulte como configurar portas de comunicação de cliente no System Center Configuration Manager.For more about client communication, see How to configure client communication ports in System Center Configuration Manager.

Quando utilizar uma PKI, também pode utilizar IPsec para ajudar a proteger a comunicação de servidor para servidor entre sistemas de sites num site, entre locais e para outra transferência de dados entre computadores.When you use a PKI, you can also use IPsec to help secure the server-to-server communication between site systems in a site, between sites, and for other data transfer between computers. Implementação de IPsec não é independente do Configuration Manager.Implementation of IPsec is independent from Configuration Manager.

O Configuration Manager pode gerar automaticamente certificados autoassinados quando não estão disponíveis certificados PKI e alguns certificados no Configuration Manager são sempre autoassinados.Configuration Manager can automatically generate self-signed certificates when PKI certificates are not available, and some certificates in Configuration Manager are always self-signed. Na maioria dos casos, o Configuration Manager gere automaticamente os certificados autoassinados e não precisa de tomar medidas adicionais.In most cases, Configuration Manager automatically manages the self-signed certificates, and you do not have to take additional action. Uma exceção possível é o certificado de assinatura do servidor do site.One possible exception is the site server signing certificate. O certificado de assinatura do servidor do site é sempre autoassinado e assegura que as políticas de cliente que os clientes transferem a partir do ponto de gestão foram enviadas pelo servidor do site e que não foram adulteradas.The site server signing certificate is always self-signed, and it ensures that the client policies that clients download from the management point were sent from the site server and were not tampered with.

Planear o servidor certificado de assinatura site (autoassinado)Plan for the site server signing certificate (self-signed)

Os clientes em segurança podem obter uma cópia do certificado de assinatura do servidor de site do Active Directory Domain Services e da instalação push do cliente.Clients can securely get a copy of the site server signing certificate from Active Directory Domain Services and from client push installation. Se os clientes não é possível obter uma cópia do certificado de assinatura do servidor de site por um destes mecanismos, como melhor prática de segurança, instale uma cópia do certificado de assinatura do servidor de site quando instala o cliente.If clients cannot get a copy of the site server signing certificate by one of these mechanisms, as a security best practice, install a copy of the site server signing certificate when you install the client. Isto é especialmente importante se comunicação primeiro do cliente com o site é a partir da Internet, porque o ponto de gestão está ligado a uma rede não fidedigna e, por isso, vulnerável a ataques.This is especially important if the client's first communication with the site is from the Internet, because the management point is connected to an untrusted network and, therefore, vulnerable to attack. Se não efetuar este passo adicional, os clientes transferirão automaticamente uma cópia do certificado de assinatura do servidor do site a partir do ponto de gestão.If you do not take this additional step, clients automatically download a copy of the site server signing certificate from the management point.

Cenários de quando os clientes de forma segura não é possível obter uma cópia do certificado de servidor de site incluem o seguinte:Scenarios when clients cannot securely get a copy of the site server certificate include the following:

  • O cliente não é instalado utilizando a instalação push de cliente e qualquer uma das seguintes condições é verdadeira:You do not install the client by using client push, and any of the following conditions is true:

    • O esquema do Active Directory não estiver expandido para o Configuration Manager.The Active Directory schema is not extended for Configuration Manager.

    • O site do cliente não está publicado para serviços de domínio do Active Directory.The client's site is not published to Active Directory Domain Services.

    • O cliente pertence a uma floresta ou um grupo de trabalho não fidedigno.The client is from an untrusted forest or a workgroup.

  • O cliente é instalado quando está na Internet.You install the client when it is on the Internet.

Para instalar clientes com uma cópia do certificado de assinatura do servidor do siteTo install clients with a copy of the site server signing certificate
  1. Localize o certificado de assinatura de servidor de site no servidor de site primário do cliente.Locate the site server signing certificate on the client's primary site server. O certificado é armazenado no SMS arquivo de certificados e tem o nome do requerente servidor do Site e o nome amigável, certificado de assinatura do servidor do Site.The certificate is stored in the SMS certificate store and has the Subject name Site Server and the friendly name, Site Server Signing Certificate.

  2. Exportar o certificado sem a chave privada, guarde o ficheiro de forma segura e aceder ao mesmo apenas a partir de um canal protegido, por exemplo, utilizando a assinatura do bloco de mensagem de servidor (SMB) ou IPsec.Export the certificate without the private key, store the file securely, and access it only from a secured channel, for example, by using Server Message Block (SMB) signing or IPsec.

  3. Instalar o cliente utilizando a propriedade de Client.msi SMSSIGNCERT =<nome de ficheiro e caminho completo>, com o CCMSetup.exe.Install the client by using the Client.msi property, SMSSIGNCERT=<Full path and file name>, with CCMSetup.exe.

Plano de revogação de certificados PKI Plan for PKI certificate revocation

Quando utiliza certificados PKI com o Configuration Manager, planeie como e quando os clientes e servidores irão utilizar uma lista de revogação de certificados (CRL) para verificar o certificado no computador de ligação.When you use PKI certificates with Configuration Manager, plan for how and whether clients and servers will use a certificate revocation list (CRL) to verify the certificate on the connecting computer. A CRL é um ficheiro que cria uma autoridade de certificação (AC) e inicia e tem uma lista de certificados de AC tem de ser emitido mas revogado.The CRL is a file that a certification authority (CA) creates and signs and, it has a list of certificates that the CA has issued but revoked. Um administrador de AC pode revogar certificados, por exemplo, se um certificado emitido está saiba ou suspeite ficar comprometida.A CA admin can revoke certificates, for example, if an issued certificate is known or suspected to be compromised.

Importante

Como a localização da CRL é adicionada a um certificado quando uma AC emite-lo, certifique-se de que planeia a CRL antes de implementar quaisquer certificados PKI que irá utilizar o Configuration Manager.Because the location of the CRL is added to a certificate when a CA issues it, ensure that you plan for the CRL before you deploy any PKI certificates that Configuration Manager will use.

Por predefinição, o IIS verifica sempre a CRL para certificados de cliente, e não é possível alterar esta configuração no Configuration Manager.By default, IIS always checks the CRL for client certificates, and you cannot change this configuration in Configuration Manager. Por predefinição, clientes do Configuration Manager sempre a existência de sistemas de sites na CRL.By default, Configuration Manager clients always check the CRL for site systems. Pode desativar esta definição especificando uma propriedade de site e especificando uma propriedade de CCMSetup.You can disable this setting by specifying a site property and by specifying a CCMSetup property. Quando gerir computadores baseados em Intel AMT fora de banda, também pode ativar a verificação CRL para o ponto de serviço fora de banda e para computadores que executam a consola de gestão fora de banda.When you manage Intel AMT-based computers out of band, you can also enable CRL checking for the out-of-band service point and for computers that run the Out of Band Management console.

Computadores que utilizam a verificação de revogação do certificado, mas não é possível localizar a CRL, comportar-se como se todos os certificados na cadeia de certificação estivessem revogados, porque não é possível verificar a sua ausência da lista.Computers that use certificate revocation checking but cannot locate the CRL behave as if all certificates in the certification chain are revoked because their absence from the list cannot be verified. Neste cenário, todas as ligações que necessitem de certificados e utilizem uma CRL falharão.In this scenario, all connections that require certificates and use a CRL fail.

A verificação da CRL sempre que é utilizado um certificado oferece mais segurança contra a utilização de um certificado revogado, mas provoca um atraso de ligação e processamento adicional no cliente.Checking the CRL every time that a certificate is used offers more security against using a certificate that has been revoked, but it introduces a connection delay and additional processing on the client. Esta verificação de segurança adicional é mais necessária quando os clientes se encontram na Internet ou numa rede não fidedigna.You are more likely to require this additional security check when clients are on the Internet or on an untrusted network.

Consulte os seus administradores PKI antes de decidir se clientes do Configuration Manager tem de verificar a CRL e, em seguida, considere manter esta opção ativada no Configuration Manager quando ambas as condições seguintes forem verdadeiras:Consult your PKI admins before you decide whether Configuration Manager clients must check the CRL, and then consider keeping this option enabled in Configuration Manager when both of the following conditions are true:

  • A sua infraestrutura PKI suporta uma CRL e esta está publicada onde todos os clientes do Configuration Manager possam localizar.Your PKI infrastructure supports a CRL, and it is published where all Configuration Manager clients can locate it. Lembre-se de que estes poderão incluir clientes na Internet, se estiver a utilizar a gestão de clientes baseados na Internet, e clientes em florestas não fidedignas.Remember that this might include clients on the Internet if you are using Internet-based client management, and clients in untrusted forests.

  • O requisito de verificação da CRL para cada ligação a um sistema de sites que está configurado para utilizar um certificado PKI é maior do que o requisito de ligações mais rápidas, processamento eficientes no cliente e o risco dos clientes não conseguirem ligar a servidores se não conseguirem localizar a CRL.The requirement to check the CRL for each connection to a site system that's configured to use a PKI certificate is greater than the requirement for faster connections, efficient processing on the client, and the risk of clients failing to connect to servers if they cannot locate the CRL.

Planear a PKI fidedigno certificados e a lista de emissores de certificados de raiz Plan for the PKI trusted root certificates and the certificate issuers list

Se os sistemas de sites do IIS utilizarem certificados PKI de cliente para autenticação de clientes por HTTP ou autenticação e encriptação de clientes por HTTPS, poderá ter de importar certificados de AC de raiz como uma propriedade de site.If your IIS site systems use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, you might have to import root CA certificates as a site property. Seguem-se os dois cenários:Here are the two scenarios:

  • Implementar sistemas operativos utilizando o Gestor de configuração e os pontos de gestão só aceitam ligações de cliente HTTPS.You deploy operating systems by using Configuration Manager, and the management points only accept HTTPS client connections.

  • Utiliza certificados PKI de cliente que não encadeiam num certificado de autoridade de certificação (AC) de raiz considerado fidedigno pelos pontos de gestão.You use PKI client certificates that do not chain to a root certification authority (CA) certificate that is trusted by management points.

    Nota

    Quando emite certificados PKI de cliente a partir da mesma hierarquia de AC que emite os certificados de servidor utilizados para os pontos de gestão, não é necessário especificar este certificado de AC de raiz.When you issue client PKI certificates from the same CA hierarchy that issues the server certificates that you use for management points, you do not have to specify this root CA certificate. No entanto, se utilizar várias hierarquias de AC e tem a não certeza se eles confiam uns nos outros, importe a AC de raiz para a hierarquia de AC dos clientes.However, if you use multiple CA hierarchies and you are not sure whether they trust each other, import the root CA for the clients' CA hierarchy.

Se tiver de importar certificados de AC de raiz para o Configuration Manager, exportá-las a partir da AC emissora ou do computador cliente.If you must import root CA certificates for Configuration Manager, export them from the issuing CA or from the client computer. Se exportar o certificado a partir da AC emissora e esta também for a AC de raiz, certifique-se de que a chave privada não é exportada.If you export the certificate from the issuing CA that is also the root CA, ensure that the private key is not exported. Armazene o ficheiro de certificado exportado numa localização segura para impedir a adulteração.Store the exported certificate file in a secure location to prevent tampering. Tem de ser capazes de aceder ao ficheiro quando configurar o site.You must be able to access the file when you set up the site. Se aceder ao ficheiro através da rede, certifique-se de que a comunicação é protegida contra adulteração utilizando a assinatura SMB ou IPsec.If you access the file over the network, ensure that the communication is protected from tampering by using SMB signing or IPsec.

Se qualquer certificado da AC de raiz que importar for renovado, terá de importar o certificado renovado.If any root CA certificate that you import is renewed, you must import the renewed certificate.

Estes certificados de AC de raiz importados e o certificado de AC de raiz de cada ponto de gestão criam a lista de emissores de certificados que utilizam computadores do Configuration Manager das seguintes formas:These imported root CA certificates and the root CA certificate of each management point create the certificate issuers list that Configuration Manager computers use in the following ways:

  • Quando os clientes ligam a pontos de gestão, o ponto de gestão verifica que o certificado de cliente encadeia a uma raiz fidedigna de certificados na lista de emissores de certificados do site.When clients connect to management points, the management point verifies that the client certificate chains to a trusted root certificate in the site's certificate issuers list. Caso não encadeie, o certificado é rejeitado e a ligação PKI falha.If it does not, the certificate is rejected, and the PKI connection fails.

  • Quando os clientes selecionam um certificado PKI e tem uma lista de emissores de certificados, selecionarão um certificado de cliente que encadeie num certificado de raiz fidedigna na lista de emissores de certificados.When clients select a PKI certificate and have a certificate issuers list, they select a certificate that chains to a trusted root certificate in the certificate issuers list. Se não existir nenhuma correspondência, o cliente não selecionará um certificado PKI.If there is no match, the client does not select a PKI certificate. Para obter mais informações sobre o processo de certificado de cliente, consulte o planear a seleção de certificado de cliente PKI secção deste artigo.For more about the client certificate process, see the Plan for PKI client certificate selection section in this article.

Independentemente da configuração do site, também poderá ter de importar um certificado de AC de raiz quando inscrever dispositivos móveis, inscrever computadores Mac e configurar computadores baseados em Intel AMT para redes sem fios.Independent from the site configuration, you might also have to import a root CA certificate when you enroll mobile devices, enroll Mac computers, and set up Intel AMT-based computers for wireless networks.

Planear a seleção de certificado de cliente PKI Plan for PKI client certificate selection

Se os sistemas de site do IIS utilizar certificados PKI de cliente para autenticação de cliente de encriptação e autenticação de cliente por HTTP ou através de HTTPS, planeie como clientes do Windows irão selecionar o certificado a utilizar para o Configuration Manager.If your IIS site systems will use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, plan for how Windows clients will select the certificate to use for Configuration Manager.

Nota

Alguns dispositivos não suportam um método de seleção de certificado.Some devices do not support a certificate selection method. Em vez disso, se selecionarem automaticamente o primeiro certificado que satisfaz os requisitos de certificado.Instead, they automatically select the first certificate that fulfills the certificate requirements. Por exemplo, os clientes em computadores Mac e dispositivos móveis não suportam um método de seleção de certificado.For example, clients on Mac computers and mobile devices do not support a certificate selection method.

Em muitos casos, a configuração e o comportamento predefinidos serão suficientes.In many cases, the default configuration and behavior will be sufficient. O cliente do Configuration Manager em computadores Windows filtra vários certificados utilizando estes critérios pela seguinte ordem:The Configuration Manager client on Windows computers filters multiple certificates by using these criteria in this order:

  1. A lista de emissores de certificados: O certificado encadeie a uma AC de raiz que seja considerada fidedigna pelo ponto de gestão.The certificate issuers list: The certificate chains to a root CA that is trusted by the management point.

  2. O certificado está no arquivo de certificados predefinido Pessoal.The certificate is in the default certificate store of Personal.

  3. O certificado é válido, não foi revogado e não expirou.The certificate is valid, not revoked, and not expired. A verificação da validade verifica que a chave privada é acessível e que o certificado não foi criado com um modelo de certificado de versão 3, que não é compatível com o Configuration Manager.The validity check verifies that the private key is accessible and that the certificate is not created with a Version 3 certificate template, which is not compatible with Configuration Manager.

  4. O certificado tem capacidade de autenticação de cliente ou foi emitido para o nome do computador.The certificate has client authentication capability, or it is issued to the computer name.

  5. O certificado tem o período de validade mais longo.The certificate has the longest validity period.

Os clientes podem ser configurados para utilizar a lista de emissores de certificados com os seguintes mecanismos:Clients can be configured to use the certificate issuers list by using the following mechanisms:

  • Está publicada como informações de site do Configuration Manager para serviços de domínio do Active Directory.It is published as Configuration Manager site information to Active Directory Domain Services.

  • Os clientes são instalados utilizando a instalação push de cliente.Clients are installed by using client push.

  • Os clientes transferem-na a partir do ponto de gestão depois de atribuídos com êxito ao respetivo site.Clients download it from the management point after they are successfully assigned to their site.

  • É especificada durante a instalação de cliente como uma propriedade de client.msi do CCMSetup de CCMCERTISSUERS.It is specified during client installation as a CCMSetup client.msi property of CCMCERTISSUERS.

Clientes que não têm a lista de emissores de certificados quando são instalados pela primeira vez e ainda não estão atribuídos ao site ignorar esta verificação.Clients that do not have the certificate issuers list when they are first installed and are not yet assigned to the site skip this check. Quando os clientes tiverem a lista de emissores de certificados e é necessário um certificado PKI que encadeie a um certificado de raiz fidedigna na lista de emissores de certificados, seleção de certificado falhará e os clientes não avançarão com os outros critérios de seleção de certificado.When clients do have the certificate issuers list and do not have a PKI certificate that chains to a trusted root certificate in the certificate issuers list, certificate selection fails, and clients do not continue with the other certificate selection criteria.

Na maioria dos casos, o cliente do Configuration Manager identifica corretamente um certificado PKI exclusivo e adequado.In most cases, the Configuration Manager client correctly identifies a unique and appropriate PKI certificate. No entanto, quando este é não as maiúsculas e minúsculas, em vez de selecionar o certificado com base na capacidade de autenticação de cliente, que pode configurar dois métodos de seleção alternativos:However, when this is not the case, instead of selecting the certificate based on the client authentication capability, you can set up two alternative selection methods:

  • Uma correspondência parcial no nome de Requerente do certificado de cliente.A partial string match on the client certificate Subject name. Esta é uma correspondência não sensível a maiúsculas e minúsculas adequada se estiver a utilizar o nome de domínio completamente qualificado (FQDN) de um computador no campo do requerente e pretender que a seleção de certificado seja baseada no sufixo de domínio, por exemplo contoso.com.This is a case-insensitive match that is appropriate if you are using the fully qualified domain name (FQDN) of a computer in the subject field and want the certificate selection to be based on the domain suffix, for example contoso.com. No entanto, pode utilizar este método de seleção para identificar qualquer cadeia de carateres sequenciais no nome de Requerente do certificado que o diferencie de outros no arquivo de certificados do cliente.However, you can use this selection method to identify any string of sequential characters in the certificate Subject name that differentiate the certificate from others in the client certificate store.

    Nota

    Não é possível utilizar a correspondência de cadeia parcial com o nome alternativo do requerente (SAN) como definição do site.You cannot use the partial string match with the Subject Alternative Name (SAN) as a site setting. Apesar de ser possível especificar uma correspondência de cadeia parcial para o SAN utilizando o CCMSetup, esta será substituída pelas propriedades do site nos cenários seguintes:Although you can specify a partial string match for the SAN by using CCMSetup, it will be overwritten by the site properties in the following scenarios:

    • Os clientes obtém informações do site que estão publicadas nos Serviços de Domínio do Active Directory.Clients retrieve site information that is published to Active Directory Domain Services.

      • Os clientes são instalados utilizando a instalação push do cliente.Clients are installed by using client push installation.

      Utilize uma correspondência parcial de cadeia no SAN apenas quando instalar clientes manualmente e quando estes não obterem informações do site do Active Directory Domain Services.Use a partial string match in the SAN only when you install clients manually and when they do not retrieve site information from Active Directory Domain Services. Por exemplo, estas condições aplicam-se a clientes apenas de Internet.For example, these conditions apply to Internet-only clients.

  • Uma correspondência nos valores do atributo do nome do requerente do certificado do cliente ou nos valores do atributo do nome alternativo do requerente (SAN).A match on the client certificate Subject name attribute values or the Subject Alternative Name (SAN) attribute values. Esta é uma correspondência de maiúsculas e minúsculas adequada se estiver a utilizar um X500 único nome, ou equivalente identificadores de objetos (OIDs) em conformidade com RFC 3280 e pretende que a seleção de certificado com base nos valores do atributo.This is a case-sensitive match that is appropriate if you are using an X500 distinguished name or equivalent Object Identifiers (OIDs) in compliance with RFC 3280, and you want the certificate selection to be based on the attribute values. É possível especificar apenas os atributos e os respetivos valores necessários para identificar ou validar exclusivamente o certificado e distinguir o certificado de outros num arquivo de certificados.You can specify only the attributes and their values that you require to uniquely identify or validate the certificate and differentiate the certificate from others in the certificate store.

A tabela seguinte mostra os valores de atributo que o Configuration Manager suporta para os critérios de seleção de certificado de cliente.The following table shows the attribute values that Configuration Manager supports for the client certificate selection criteria.

Atributo OIDOID Attribute Atributo de nome únicoDistinguished name attribute Definição do atributoAttribute definition
0.9.2342.19200300.100.1.250.9.2342.19200300.100.1.25 DCDC Componente do domínioDomain component
1.2.840.113549.1.9.11.2.840.113549.1.9.1 E ou E-mailE or E-mail Endereço de e-mailEmail address
2.5.4.32.5.4.3 CNCN Nome comumCommon name
2.5.4.42.5.4.4 SNSN Nome do requerenteSubject name
2.5.4.52.5.4.5 SERIALNUMBERSERIALNUMBER Número de sérieSerial number
2.5.4.62.5.4.6 CC Código de paísCountry code
2.5.4.72.5.4.7 LL LocalidadeLocality
2.5.4.82.5.4.8 S ou STS or ST Nome do estado ou distritoState or province name
2.5.4.92.5.4.9 STREETSTREET MoradaStreet address
2.5.4.102.5.4.10 OO Nome da organizaçãoOrganization name
2.5.4.112.5.4.11 OUOU Unidade organizacionalOrganizational unit
2.5.4.122.5.4.12 T ou TitleT or Title TítuloTitle
2.5.4.422.5.4.42 G ou GN ou GivenNameG or GN or GivenName Nome próprioGiven name
2.5.4.432.5.4.43 I ou InitialsI or Initials IniciaisInitials
2.5.29.172.5.29.17 (sem valor)(no value) Nome Alternativo do RequerenteSubject Alternative Name

Se encontra-se mais do que um certificado apropriado após os critérios de seleção, pode substituir a configuração predefinida para selecionar o certificado com o período de validade mais longo e, em vez disso, especificar que não está selecionado nenhum certificado.If more than one appropriate certificate is located after the selection criteria are applied, you can override the default configuration to select the certificate that has the longest validity period and instead, specify that no certificate is selected. Neste cenário, o cliente não poderá comunicar com sistemas de sites do IIS com um certificado PKI.In this scenario, the client will not be able to communicate with IIS site systems with a PKI certificate. O cliente envia uma mensagem de erro para o respetivo ponto de estado de contingência atribuído para alerta de falha de seleção de certificado para que possa alterar ou refinar os critérios de seleção de certificado.The client sends an error message to its assigned fallback status point to alert you to the certificate selection failure so that you can change or refine your certificate selection criteria. Em seguida, o comportamento do cliente depende se a falha de ligação falha através de HTTPS ou HTTP:The client behavior then depends on whether the failed connection was over HTTPS or HTTP:

  • Se a falha de ligação Ocorreu através de HTTPS: O cliente tenta ligar através de HTTP e utiliza o certificado autoassinado do cliente.If the failed connection was over HTTPS: The client tries to connect over HTTP and uses the client self-signed certificate.

  • Se a falha de ligação Ocorreu através de HTTP: O cliente tenta estabelecer novamente a ligação através de HTTP utilizando o certificado autoassinado do cliente.If the failed connection was over HTTP: The client tries to connect again over HTTP by using the self-signed client certificate.

Para ajudar a identificar um certificado de cliente PKI único, também pode especificar um arquivo personalizado, diferente da predefinição de pessoais no computador armazenar.To help identify a unique PKI client certificate, you can also specify a custom store other than the default of Personal in the Computer store. No entanto, tem de criar este arquivo independentemente do Configuration Manager e tem de poder implementar certificados neste arquivo personalizado e renová-los antes do período de validade.However, you must create this store independently from Configuration Manager and must be able to deploy certificates to this custom store and renew them before the validity period expires.

Para obter informações sobre como configurar as definições para certificados de cliente, consulte o configurar definições para certificados PKI de cliente secção o configurar a segurança no System Center Configuration Manager artigo.For information about how to configure the settings for client certificates, see the Configure Settings for Client PKI Certificates section in the Configure security in System Center Configuration Manager article.

Planear uma estratégia de transição para certificados PKI e gestão de clientes baseados na Internet Plan a transition strategy for PKI certificates and Internet-based client management

As opções de configuração flexíveis no Configuration Manager permitem-lhe gradualmente transição de clientes e o site para utilizar certificados PKI para ajudar a pontos finais de cliente seguras.The flexible configuration options in Configuration Manager let you gradually transition clients and the site to use PKI certificates to help secure client endpoints. Os certificados PKI proporcionam uma maior segurança e permitem-lhe gerir os clientes de Internet.PKI certificates provide better security and enable you to manage Internet clients.

Devido ao número de opções de configuração e de escolhas no Configuration Manager, não há nenhuma única forma de transição de um site, para que todos os clientes utilizem ligações HTTPS.Because of the number of configuration options and choices in Configuration Manager, there is no single way to transition a site so that all clients use HTTPS connections. No entanto, pode seguir estes passos como orientação:However, you can follow these steps as guidance:

  1. Instalar o site do Configuration Manager e configure-o para que os sistemas de sites aceitam ligações de cliente através de HTTPS e HTTP.Install the Configuration Manager site and configure it so that site systems accept client connections over HTTPS and HTTP.

  2. Configurar o comunicação com o computador cliente separador nas propriedades do site, por isso, o definições do sistema de Site é HTTP ou HTTPSe selecione certificado de cliente PKI de utilização (capacidade de autenticação de cliente) se estiver disponível.Configure the Client Computer Communication tab in the site properties so that the Site System Settings is HTTP or HTTPS, and select Use PKI client certificate (client authentication capability) when available. Para obter mais informações, consulte o configurar definições para certificados PKI de cliente secção o configurar a segurança no System Center Configuration Manager artigo.For more information, see the Configure settings for client PKI certificates section in the Configure security in System Center Configuration Manager article.

  3. Efetue uma implementação PKI para os certificados de cliente.Pilot a PKI rollout for client certificates. Para um exemplo de implementação, consulte o implementar o cliente certificados para computadores com o Windows secção o exemplo passo a passo de implementação da PKI certificados para o System Center Configuration Manager: Autoridade de certificação do Windows Server 2008 artigo.For an example deployment, see the Deploying the Client Certificate for Windows Computers section in the Step-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 Certification Authority article.

  4. Instale clientes utilizando o método de instalação push do cliente.Install clients by using the client push installation method. Para obter mais informações, consulte o como instalar clientes do Configuration Manager utilizando a emissão de cliente secção o como implementar clientes em computadores Windows no System Center Configuration Manager artigo.For more information, see the How to Install Configuration Manager Clients by Using Client Push section in the How to deploy clients to Windows computers in System Center Configuration Manager article.

  5. Monitorizar a implementação do cliente e o estado utilizando os relatórios e as informações na consola do Configuration Manager.Monitor client deployment and status by using the reports and information in the Configuration Manager console.

  6. Verifique quantos clientes estão a utilizar um certificado PKI de cliente visualizando a coluna Certificado de Cliente na área de trabalho Ativos e Compatibilidade , nó Dispositivos .Track how many clients are using a client PKI certificate by viewing the Client Certificate column in the Assets and Compliance workspace, Devices node.

    Também pode implementar a ferramenta de avaliação de preparação do HTTPS do Configuration Manager (cmHttpsReadiness.exe) em computadores e utilizar os relatórios para verificar quantos computadores podem utilizar um PKI de cliente de certificado com o Configuration Manager.You can also deploy the Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe) to computers and use the reports to view how many computers can use a client PKI certificate with Configuration Manager.

    Nota

    Quando o cliente do Configuration Manager está instalado, o cmHttpsReadiness.exe ferramenta está instalada no % windir %\ccm. pasta.When the Configuration Manager client is installed, the cmHttpsReadiness.exe tool is installed in the %windir%\CCM folder. Quando executa esta ferramenta em clientes, é possível especificar as seguintes opções:When you run this tool on clients, you can specify the following options:

  7. Quando tiver a certeza de que suficiente clientes são com êxito utilizando o respetivo certificado PKI de cliente para autenticação através de HTTP, siga estes passos:When you are confident that enough clients are successfully using their client PKI certificate for authentication over HTTP, follow these steps:

    1. Implemente um certificado de servidor Web PKI para um servidor membro que vai executar um ponto de gestão adicional para o site e configurar esse certificado no IIS.Deploy a PKI web server certificate to a member server that will run an additional management point for the site, and configure that certificate in IIS. Para obter mais informações, consulte o implementar o certificado de servidor Web para sistemas de sites que executam o IIS secção o exemplo passo a passo de implementação da PKI certificados para o System Center Configuration Manager: Autoridade de certificação do Windows Server 2008 artigo.For more information, see the Deploying the Web Server Certificate for Site Systems that Run IIS section in the Step-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 Certification Authority article.

    2. Instale a função do ponto de gestão neste servidor e configure a opção Ligações de cliente nas propriedades do ponto de gestão para HTTPS.Install the management point role on this server and configure the Client connections option in the management point properties for HTTPS.

  8. Monitorize e certifique-se de que os clientes que tenham um certificado PKI utilizam o novo ponto de gestão utilizando HTTPS.Monitor and verify that clients that have a PKI certificate use the new management point by using HTTPS. É possível utilizar contadores de registo ou desempenho do IIS para verificar isto.You can use IIS logging or performance counters to verify this.

  9. Reconfigure as outras funções do sistema de site para utilizar ligações de cliente HTTPS.Reconfigure other site system roles to use HTTPS client connections. Se pretender gerir clientes na Internet, certifique-se de que os sistemas de sites possuem um FQDN de Internet e configure os pontos de gestão e os pontos de distribuição individuais para aceitarem ligações de cliente a partir da Internet.If you want to manage clients on the Internet, ensure that site systems have an Internet FQDN and configure individual management points and distribution points to accept client connections from the Internet.

    Importante

    Antes de configurar funções de sistema de sites para aceitar ligações a partir da Internet, reveja as informações de planeamento e os pré-requisitos para a gestão de clientes baseada na Internet.Before you set up site system roles to accept connections from the Internet, review the planning information and prerequisites for Internet-based client management. Para obter mais informações, consulte comunicações entre pontos finais no System Center Configuration Manager.For more information, see Communications between endpoints in System Center Configuration Manager.

  10. Expanda a implementação do certificado PKI para clientes e sistemas de sites que executam o IIS e configurar as funções de sistema de sites para ligações de cliente HTTPS e ligações de Internet, conforme necessário.Extend the PKI certificate rollout for clients and for site systems that run IIS, and set up the site system roles for HTTPS client connections and Internet connections, as required.

  11. Para máxima segurança: Quando tiver a certeza de que todos os clientes estão a utilizar um certificado PKI de cliente para autenticação e encriptação, altere as propriedades de site para utilizar apenas HTTPS.For the highest security: When you are confident that all clients are using a client PKI certificate for authentication and encryption, change the site properties to use HTTPS only.

    Quando seguir este plano para introduzir gradualmente os certificados PKI, primeiro para autenticação apenas por HTTP e, em seguida, para autenticação e encriptação através de HTTPS, reduz o risco de que os clientes deixarão de ser geridos.When you follow this plan to gradually introduce PKI certificates, first for authentication only over HTTP and then for authentication and encryption over HTTPS, you reduce the risk that clients will become unmanaged. Além disso, beneficia da mais elevada segurança que suporte do Configuration Manager.In addition, you will benefit from the highest security that Configuration Manager supports.

Plano para a chave de raiz fidedigna Plan for the trusted root key

Fidedigna do Configuration Manager a chave de raiz fornece um mecanismo para clientes do Configuration Manager verificar que os sistemas de sites pertencem à respetiva hierarquia.The Configuration Manager trusted root key provides a mechanism for Configuration Manager clients to verify that site systems belong to their hierarchy. Cada servidor de site gera uma chave de troca de site para comunicar com outros sites.Every site server generates a site exchange key to communicate with other sites. A chave de troca de site do site de nível superior na hierarquia chama-se chave de raiz fidedigna.The site exchange key from the top-level site in the hierarchy is called the trusted root key.

A função da chave de raiz fidedigna no Configuration Manager assemelha-se um certificado de raiz numa infraestrutura de chave pública em que algo assinado pela chave privada da chave de raiz fidedigna é fidedigno a hierarquia.The function of the trusted root key in Configuration Manager resembles a root certificate in a public key infrastructure in that anything signed by the private key of the trusted root key is trusted further down the hierarchy. Por exemplo, ao inscrever o certificado de ponto de gestão com a chave privada do par de chaves de raiz fidedigna e fazendo uma cópia da chave pública do par de chaves de raiz fidedigna disponíveis para os clientes, possível os clientes diferenciarem entre os pontos de gestão que estão na respetiva hierarquia e pontos de gestão que não estão na respetiva hierarquia.For example, by signing the management point certificate with the private key of the trusted root key pair, and by making a copy of the public key of the trusted root key pair available to clients, clients can differentiate between management points that are in their hierarchy and management points that are not in their hierarchy. Os clientes utilizam o Windows Management Instrumentation (WMI) para armazenar uma cópia da chave de raiz fidedigna no root\ccm\locationservices espaço de nomes.Clients use Windows Management Instrumentation (WMI) to store a copy of the trusted root key in the root\ccm\locationservices namespace.

É possível os clientes obterem automaticamente a cópia pública da chave de raiz fidedigna através de dois mecanismos:Clients can automatically retrieve the public copy of the trusted root key by using two mechanisms:

  • O esquema do Active Directory é expandido para o Configuration Manager, o site é publicado para serviços de domínio do Active Directory e os clientes podem obter estas informações de site a partir de um servidor de catálogo global.The Active Directory schema is extended for Configuration Manager, the site is published to Active Directory Domain Services, and clients can retrieve this site information from a global catalog server.

  • Os clientes são instalados utilizando a instalação push de cliente.Clients are installed by using client push.

Se não for possível os clientes obterem a chave de raiz fidedigna através de um destes mecanismos, os clientes confiam na chave de raiz fidedigna que é fornecida pelo primeiro ponto de gestão com o qual comunicam.If clients cannot retrieve the trusted root key by using one of these mechanisms, they trust the trusted root key that is provided by the first management point that they communicate with. Neste cenário, um cliente poderia ser redirecionado para o ponto de gestão de um atacante onde receberia política partir do ponto de gestão não autorizado.In this scenario, a client might be misdirected to an attacker's management point where it would receive policy from the rogue management point. Provavelmente, esta seria a ação de um atacante sofisticado e a sua ocorrência seria possível apenas por um período de tempo limitado antes de o cliente obter a chave de raiz fidedigna de um ponto de gestão válido.This would likely be the action of a sophisticated attacker and might occur only in a limited time before the client retrieves the trusted root key from a valid management point. No entanto, para reduzir este risco de um atacante direcionar clientes para um ponto de gestão não autorizado, é possível pré-aprovisionar os clientes com a chave de raiz fidedigna.However, to reduce this risk of an attacker misdirecting clients to a rogue management point, you can pre-provision the clients with the trusted root key.

Utilize os seguintes procedimentos para pré-aprovisionar e verificar a chave de raiz fidedigna para um cliente de Configuration Manager:Use the following procedures to pre-provision and verify the trusted root key for a Configuration Manager client:

  • Pré-Aprovisione um cliente com a chave de raiz fidedigna utilizando um ficheiro.Pre-provision a client with the trusted root key by using a file.

  • Pré-Aprovisione um cliente com a chave de raiz fidedigna sem utilizar um ficheiro.Pre-provision a client with the trusted root key without using a file.

  • Verifique a chave de raiz fidedigna num cliente.Verify the trusted root key on a client.

Nota

Não é necessário pré-aprovisionar um cliente utilizando a chave de raiz fidedigna, se, podem obter este do serviços de domínio do Active Directory ou são instalados utilizando push de cliente.You do not have to pre-provision a client by using the trusted root key if they can get this from Active Directory Domain Services or they are installed by using client push. Além disso, não é necessário pré-aprovisionar os clientes ao utilizarem a comunicação por HTTPS para pontos de gestão porque a confiança é estabelecida pela certificados PKI.In addition, you do not have to pre-provision clients when they use HTTPS communication to management points because trust is established by PKI certificates.

Pode remover a chave de raiz fidedigna a partir de um cliente utilizando a propriedade de Client.msi RESETKEYINFORMATION = TRUE, com o CCMSetup.exe.You can remove the trusted root key from a client by using the Client.msi property, RESETKEYINFORMATION = TRUE, with CCMSetup.exe. Para substituir a chave de raiz fidedigna, reinstale o cliente em conjunto com a nova chave de raiz fidedigna, por exemplo, utilizando a instalação push do cliente ou especificando a propriedade Client.msi SMSPublicRootKey através do CCMSetup.exe.To replace the trusted root key, reinstall the client together with the new trusted root key, for example, by using client push, or by specifying the Client.msi SMSPublicRootKey property by using CCMSetup.exe.

Para pré-aprovisionar um cliente com a chave de raiz fidedigna utilizando um ficheiroTo pre-provision a client with the trusted root key by using a file

  1. Num editor de texto, abra o ficheiro, <diretório do Configuration Manager>\bin\mobileclient.tcf.In a text editor, open the file, <Configuration Manager directory>\bin\mobileclient.tcf.

  2. Localize a entrada, SMSPublicRootKey =, copie a chave dessa linha e feche o ficheiro sem quaisquer alterações.Locate the entry, SMSPublicRootKey=, copy the key from that line, and close the file without any changes.

  3. Criar um novo ficheiro de texto e cole as informações da chave que copiou do ficheiro mobileclient.tcf.Create a new text file, and paste the key information that you copied from the mobileclient.tcf file.

  4. Guarde o ficheiro e coloque-o numa localização onde todos os computadores podem aceder ao mesmo, mas onde o ficheiro está protegido para impedir a adulteração.Save the file, and place it in a location where all computers can access it, but where the file is secured to prevent tampering.

  5. Instalar o cliente utilizando um método de instalação que aceite propriedades Client.msi e especifique a propriedade de Client.msi SMSROOTKEYPATH =<nome de ficheiro e caminho completo>.Install the client by using any installation method that accepts Client.msi properties, and specify the Client.msi property, SMSROOTKEYPATH=<Full path and file name>.

    Importante

    Quando especificar a chave de raiz fidedigna para segurança adicional durante a instalação de cliente, também tem de especificar o código do site utilizando a propriedade de Client.msi SMSSITECODE =<código do site>.When you specify the trusted root key for additional security during client installation, you must also specify the site code by using the Client.msi property, SMSSITECODE=<site code>.

Para pré-aprovisionar um cliente com a chave de raiz fidedigna sem utilizar um ficheiroTo pre-provision a client with the trusted root key without using a file

  1. Num editor de texto, abra o ficheiro, <diretório do Configuration Manager>\bin\mobileclient.tcf.In a text editor, open the file, <Configuration Manager directory>\bin\mobileclient.tcf.

  2. Localize a entrada, SMSPublicRootKey =, anote a chave dessa linha ou copie-a para a área de transferência e, em seguida, feche o ficheiro sem quaisquer alterações.Locate the entry, SMSPublicRootKey=, note the key from that line or copy it to the Clipboard, and then close the file without any changes.

  3. Instalar o cliente utilizando um método de instalação que aceite propriedades Client.msi e especifique a propriedade de Client.msi SMSPublicRootKey =<chave>, onde <chave> é a cadeia que copiou de mobileclient.tcf.Install the client by using any installation method that accepts Client.msi properties, and specify the Client.msi property, SMSPublicRootKey=<key>, where <key> is the string that you copied from mobileclient.tcf.

    Importante

    Quando especificar a chave de raiz fidedigna para segurança adicional durante a instalação de cliente, também tem de especificar o código do site utilizando a propriedade de Client.msi SMSSITECODE =<código do site>.When you specify the trusted root key for additional security during client installation, you must also specify the site code by using the Client.msi property, SMSSITECODE=<site code>.

Para verificar a chave de raiz fidedigna num clienteTo verify the trusted root key on a client

  1. No iniciar menu, escolha executare, em seguida, introduza Wbemtest.On the Start menu, choose Run, and then enter Wbemtest.

  2. No o recurso de teste do Windows Management Instrumentation diálogo caixa, escolha Connect.In the Windows Management Instrumentation Tester dialog box, choose Connect.

  3. No Connect caixa de diálogo a espaço de nomes box, introduza root\ccm\locationservicese, em seguida, escolha Connect.In the Connect dialog box, in the Namespace box, enter root\ccm\locationservices, and then choose Connect.

  4. No o recurso de teste do Windows Management Instrumentation caixa de diálogo a IWbemServices secção, escolha Enum Classes.In the Windows Management Instrumentation Tester dialog box, in the IWbemServices section, choose Enum Classes.

  5. No informações sobre a superclasse diálogo caixa, escolha recursivae, em seguida, escolha OK.In the Superclass Info dialog box, choose Recursive, and then choose OK.

  6. Na janela Resultados da Consulta , desloque até ao final da lista e depois faça duplo clique em TrustedRootKey ().The Query Result window, scroll to the end of the list, and then double-click TrustedRootKey ().

  7. No editor de objetos TrustedRootKey diálogo caixa, escolha instâncias.In the Object editor for TrustedRootKey dialog box, choose Instances.

  8. Na nova resultado da consulta janela que apresenta as instâncias de TrustedRootKey, faça duplo clique em TrustedRootKey = @.In the new Query Result window that shows the instances of TrustedRootKey, double-click TrustedRootKey=@.

  9. No editor de objetos TrustedRootKey = @ caixa de diálogo a propriedades secção, desloque para baixo até TrustedRootKey CIM_STRING.In the Object editor for TrustedRootKey=@ dialog box, in the Properties section, scroll down to TrustedRootKey CIM_STRING. A cadeia na coluna da direita é a chave de raiz fidedigna.The string in the right column is the trusted root key. Certifique-se de que corresponde à SMSPublicRootKey valor no ficheiro, <diretório do Configuration Manager>\bin\mobileclient.tcf.Verify that it matches the SMSPublicRootKey value in the file, <Configuration Manager directory>\bin\mobileclient.tcf.

Plano para assinatura e encriptação Plan for signing and encryption

Quando utiliza certificados PKI para todas as comunicações de cliente, não é necessário planear a assinatura e encriptação para ajudar a proteger a comunicação de dados de cliente.When you use PKI certificates for all client communications, you do not have to plan for signing and encryption to help secure client data communication. No entanto, se configurar sistemas de sites que executam o IIS para permitir ligações de cliente HTTP, tem de decidir como ajudar a proteger a comunicação de cliente para o site.But, if you set up any site systems that run IIS to allow HTTP client connections, you must decide how to help secure the client communication for the site.

Para ajudar a proteger os dados que os clientes enviam para os pontos de gestão, pode solicitar dados sejam assinados.To help protect the data that clients send to management points, you can require data to be signed. Além disso, é possível requerer que todos os dados assinados de clientes que utilizam HTTP sejam assinados utilizando o algoritmo SHA-256.In addition, you can require that all signed data from clients that use HTTP is signed by using the SHA-256 algorithm. Embora esta definição seja mais segura, não ative esta opção a não ser que todos os clientes suportem SHA-256.Although this is a more secure setting, do not enable this option unless all clients support SHA-256. Muitos sistemas operativos suportam SHA-256 nativamente, mas os sistemas operativos mais antigos poderão necessitar de uma atualização ou correção.Many operating systems natively support SHA-256, but older operating systems might require an update or hotfix. Por exemplo, os computadores com o Windows Server 2003 SP2 têm de instalar uma correção que é mencionada no artigo KB 938397.For example, computers that run Windows Server 2003 SP2 must install a hotfix that is referenced in the KB article 938397.

Enquanto a assinatura ajuda a proteger os dados contra adulteração, a encriptação ajuda a proteger os dados contra a divulgação de informações.Whereas signing helps protect the data from tampering, encryption helps protect the data from information disclosure. Pode ativar a encriptação 3DES para os dados de inventário e as mensagens de estado que os clientes enviam para os pontos de gestão do site.You can enable 3DES encryption for the inventory data and state messages that clients send to management points in the site. Não é necessário instalar quaisquer atualizações nos clientes para suportarem esta opção, mas tenha em atenção a utilização da CPU adicional, que será necessária nos clientes e o ponto de gestão para efetuar a encriptação e desencriptação.You do not have to install any updates on clients to support this option, but consider the additional CPU usage that will be required on clients and the management point to do the encryption and decryption.

Para obter mais informações sobre como configurar as definições de assinatura e encriptação, consulte o configurar assinatura e encriptação secção o configurar a segurança no System Center Configuration Manager artigo.For more about how to configure the settings for signing and encryption, see the Configure Signing and Encryption section in the Configure security in System Center Configuration Manager article.

Planear a administração baseada em funções Plan for role-based administration

Para obter estas informações, consulte Noções básicas da administração baseada em funções para o System Center Configuration Manager.For this information, see Fundamentals of role-based administration for System Center Configuration Manager.

Consulte tambémSee also

Referência técnica de controlos criptográficos para o System Center Configuration Manager.Cryptographic controls technical reference for System Center Configuration Manager.