Noções básicas de segurança do System Center Configuration ManagerFundamentals of security for System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Segurança para o System Center Configuration Manager é composta por várias camadas.Security for System Center Configuration Manager consists of several layers. A primeira camada é fornecida por funcionalidades de segurança do Windows para o sistema operativo e da rede e inclui:The first layer is provided by Windows security features for both the operating system and the network and includes:

  • Partilha de ficheiros para transferir ficheiros entre componentes do Configuration Manager.File sharing to transfer files between Configuration Manager components.

  • Controlo de listas de acesso (ACL) para ajudar a proteger ficheiros e chaves de registo.Access Control Lists (ACLs) to help secure files and registry keys.

  • Segurança de protocolo de Internet (IPsec) para ajudar a comunicações seguras.Internet Protocol Security (IPsec) to help secure communications.

  • Política de grupo para definir a política de segurança.Group Policy to set security policy.

  • Distribuída componente DCOM (Object Model) permissões para aplicações distribuídas, incluindo a consola do Configuration Manager.Distributed Component Object Model (DCOM) permissions for distributed applications, like the Configuration Manager console.

  • Serviços de domínio do Active Directory para armazenar principais de segurança.Active Directory Domain Services to store security principals.

  • Segurança de conta do Windows, incluindo alguns grupos que são criados durante a configuração do Configuration Manager.Windows account security, including some groups that are created during Configuration Manager setup.

Em seguida, os componentes de segurança adicionais, como as firewalls e deteção de intrusões, ajudam a fornecer defesa da todo o ambiente.Then, additional security components, like firewalls and intrusion detection, help provide defense for the whole environment. Os certificados emitidos da indústria implementações de infraestrutura de chaves públicas (PKI) padrão fornecem autenticação, assinatura e encriptação.Certificates issued by industry standard public key infrastructure (PKI) implementations help provide authentication, signing, and encryption.

Além da segurança fornecida pela infraestrutura do servidor e da rede do Windows, o Configuration Manager controla o acesso à consola do Configuration Manager e os respetivos recursos de várias formas.In addition to security provided by the Windows server and network infrastructure, Configuration Manager controls access to the Configuration Manager console and its resources in several ways. Por predefinição, apenas os administradores locais possuem direitos sobre os ficheiros e chaves de registo que são necessárias para executar a consola do Configuration Manager em computadores onde está instalado.By default, only local administrators have rights to the files and registry keys that are required to run the Configuration Manager console on computers where it is installed.

A próxima camada de segurança baseia-se no acesso através do WMI (Windows Management Instrumentation), nomeadamente o Fornecedor de SMS.The next layer of security is based on access through Windows Management Instrumentation (WMI), specifically the SMS Provider. O fornecedor de SMS é um componente do Configuration Manager que concede um utilizador de acesso para consultar a base de dados do site para obter informações.The SMS Provider is a Configuration Manager component that grants a user access to query the site database for information. Por predefinição, o acesso ao fornecedor é restringido aos membros do grupo Admins de SMS local.By default, access to the provider is restricted to members of the local SMS Admins group. Este grupo no primeiro contém apenas o utilizador que instalou o Configuration Manager.This group at first contains only the user who installed Configuration Manager. Para conceder permissão a outras contas no repositório CIM (Common Information Model) e no fornecedor de SMS, adicione-as ao grupo de Administradores de SMS.To grant other accounts permission to the Common Information Model (CIM) repository and the SMS Provider, add the other accounts to the SMS Admins group.

A camada final de segurança baseia-se nas permissões para objetos da base de dados do site.The final layer of security is based on permissions to objects in the site database. Por predefinição, a conta de sistema Local e a conta de utilizador que utilizou para instalar o Configuration Manager podem administrar todos os objetos na base de dados do site.By default, the Local System account and the user account that you used to install Configuration Manager can administer all objects in the site database. Pode conceder e restringir as permissões a utilizadores administrativos adicionais na consola do Configuration Manager utilizando a administração baseada em funções.You can grant and restrict permissions to additional administrative users in the Configuration Manager console by using role-based administration.

Administração baseada em funçõesRole-based administration

O Configuration Manager utiliza a administração baseada em funções para ajudar a proteger objetos, como coleções, implementações e sites.Configuration Manager uses role-based administration to help secure objects like collections, deployments, and sites. Este modelo de administração define e gere de forma centralizada as definições de acesso de segurança de toda a hierarquia para todos os sites e definições do site.This administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings. Funções de segurança estão atribuídas a utilizadores administrativos e permissões de grupo.Security roles are assigned to administrative users and group permissions. As permissões estão ligadas a diferentes tipos de objeto do Configuration Manager, como as permissões que são utilizados para criar ou alterar as definições de cliente.The permissions are connected to different Configuration Manager object types, like the permissions that are used to create or change client settings. Os âmbitos de segurança agrupam instâncias específicas de objetos que um utilizador administrativo é da responsabilidade de gerir, como uma aplicação que instala o Microsoft Office.Security scopes the group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft Office. A combinação de funções de segurança, âmbitos de segurança e coleções define os objetos que um utilizador administrativo pode ver e gerir.The combination of security roles, security scopes, and collections define the objects that an administrative user can view and manage. O Configuration Manager instala algumas funções de segurança predefinidas para tarefas de gestão típicas.Configuration Manager installs some default security roles for typical management tasks. No entanto, pode criar as suas próprias funções de segurança para suportar necessidades comerciais específicas.But, you can create your own security roles to support your specific business requirements.

Para obter mais informações, consulte configurar a administração baseada em funções para o System Center Configuration Manager.For more information, see Configure role-based administration for System Center Configuration Manager.

Proteger pontos finais de clienteSecuring client endpoints

Comunicação de cliente para funções do sistema de sites é protegida com certificados autoassinados, ou utilizando certificados PKI.Client communication to site system roles is secured by using either self-signed certificates, or by using PKI certificates. Terá de utilizar um certificado PKI para clientes de computador que o Configuration Manager Deteta na Internet e para clientes de dispositivos móveis.You'll need to use a PKI certificate for computer clients that Configuration Manager detects to be on the Internet, and for mobile device clients. O certificado PKI utiliza HTTPS para proteger pontos finais de cliente.The PKI certificate uses HTTPS to secure the client endpoints. As funções do sistema de sites a que os clientes se ligam podem ser configuradas para comunicação HTTPS ou HTTP com o cliente.The site system roles that clients connect to can be configured for either HTTPS or HTTP client communication. Computadores cliente comunicam sempre utilizando o método mais seguro que está disponível.Client computers always communicate by using the most secure method that is available. Computadores cliente só voltam a utilizar o método de comunicação menos seguro de HTTP na intranet se possuir funções de sistemas de sites que permitem comunicação HTTP.Client computers only fall back to using the less secure communication method of HTTP on the intranet if you have site systems roles that allow HTTP communication.

Para obter mais informações, consulte Cryptographic controla referência técnica para o System Center Configuration Manager.For more information, see Cryptographic controls technical reference for System Center Configuration Manager.

Contas e grupos do Configuration ManagerConfiguration Manager accounts and groups

O Configuration Manager utiliza a conta de sistema Local para a maioria das operações do site.Configuration Manager uses the Local System account for most site operations. Algumas tarefas de gestão podem implicar a criar e manter as contas adicionais.Some management tasks might require you to create and maintain additional accounts. São criadas vários grupos predefinidos e funções do SQL Server durante a configuração.Several default groups and SQL Server roles are created during setup. Poderá ter de adicionar manualmente as contas de computador ou utilizador os grupos predefinidos e funções do SQL Server.You might have to manually add computer or user accounts to the default groups and SQL Server roles.

Para obter mais informações, veja Contas utilizadas no System Center Configuration Manager.For more information, see Accounts used in System Center Configuration Manager.

PrivacidadePrivacy

Embora os produtos de gestão empresarial ofereçam muitas vantagens por permitirem gerir muitos clientes de forma eficaz, também tem de estar ciente de como este software pode afetar a privacidade dos utilizadores na sua organização.Although enterprise management products offer many advantages because they can effectively manage lots of clients, you must also be aware of how this software might affect the privacy of users in your organization. System Center Configuration Manager inclui diversas ferramentas para recolher dados e monitorizar dispositivos.System Center Configuration Manager includes many tools to collect data and monitor devices. Algumas ferramentas podem criar problemas de privacidade.Some tools might raise privacy concerns.

Por exemplo, quando instala o cliente do Configuration Manager, muitas definições de gestão são ativadas por predefinição.For example, when you install the Configuration Manager client, many management settings are enabled by default. Isto faz com que o software de cliente enviar informações para o site do Configuration Manager.This causes the client software to send information to the Configuration Manager site. Informações de cliente são armazenadas na base de dados do Configuration Manager e as informações não são enviadas à Microsoft.Client information is stored in the Configuration Manager database, and the information is not sent to Microsoft. Antes de implementar o System Center Configuration Manager, considere os requisitos de privacidade.Before you implement System Center Configuration Manager, consider your privacy requirements.