Referência técnica de controlos de criptografiaCryptographic controls technical reference

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

System Center Configuration Manager utiliza assinatura e encriptação para ajudar a proteger a gestão dos dispositivos na hierarquia do Configuration Manager.System Center Configuration Manager uses signing and encryption to help protect the management of the devices in the Configuration Manager hierarchy. Com assinatura, se os dados foram alterados em trânsito, a mesma é rejeitada.With signing, if data has been altered in transit, it's discarded. A encriptação ajuda a impedir que um atacante leia os dados utilizando um analisador de protocolo de rede.Encryption helps prevent an attacker from reading the data by using a network protocol analyzer.

O algoritmo hash principal utilizadas pelo Configuration Manager para a assinatura é o SHA-256.The primary hashing algorithm that Configuration Manager uses for signing is SHA-256. Quando dois sites do Configuration Manager comunicam entre si, assinam as respetivas comunicações com o SHA-256.When two Configuration Manager sites communicate with each other, they sign their communications with SHA-256. O algoritmo de encriptação principal implementado no Configuration Manager é o 3DES.The primary encryption algorithm implemented in Configuration Manager is 3DES. Isto é utilizado para armazenar dados na base de dados do Configuration Manager e para comunicações de clientes HTTP.This is used for storing data in the Configuration Manager database and for client HTTP communication. Quando forem utilizadas comunicações de cliente por HTTPS, pode configurar a sua infraestrutura de chaves públicas (PKI) para utilizar certificados RSA com os algoritmos de hash máximo e os comprimentos de chave documentados em requisitos de certificados PKI para o System Center Configuration Manager.When you use client communication over HTTPS, you can configure your public key infrastructure (PKI) to use RSA certificates with the maximum hashing algorithms and key lengths that are documented in PKI certificate requirements for System Center Configuration Manager.

Na maioria das operações de criptografia para sistemas operativos baseados no Windows, o Configuration Manager utiliza os algoritmos SHA-2, 3DES e AES e RSA do Rsaenh de biblioteca CryptoAPI do Windows.For most cryptographic operations for Windows-based operating systems, Configuration Manager uses SHA-2, 3DES and AES, and RSA algorithms from the Windows CryptoAPI library rsaenh.dll.

Importante

Ver informações sobre as alterações recomendadas em resposta a vulnerabilidades SSL no sobre vulnerabilidades de SSL.See information about recommended changes in response to SSL vulnerabilities in About SSL Vulnerabilities.

Controlos criptográficos para operações do Configuration ManagerCryptographic controls for Configuration Manager operations

Informações no Configuration Manager podem possível assinar e encriptar, quer tenha ou não utilizar certificados PKI com o Configuration Manager.Information in Configuration Manager can be signed and encrypted, whether or not you use PKI certificates with Configuration Manager.

Política de assinatura e encriptaçãoPolicy signing and encryption

As atribuições de políticas de cliente são assinadas pelo certificado de assinatura autoassinado do servidor do site para ajudar a evitar o risco de segurança que representa o envio de políticas que tenham sido adulteradas por um ponto de gestão comprometido.Client policy assignments are signed by the self-signed site server signing certificate to help prevent the security risk of a compromised management point sending policies that have been tampered with. Isto é importante se estiver a utilizar gestão de clientes baseados na Internet uma vez que este ambiente requer um ponto de gestão está exposto a comunicações de Internet.This is important if you are using Internet-based client management because this environment requires a management point that is exposed to Internet communication.

A política é encriptada com o algoritmo 3DES quando contém dados confidenciais.Policy is encrypted with 3DES when it contains sensitive data. Políticas que contenham dados confidenciais são enviadas apenas para clientes autorizados.Policy that contains sensitive data is sent to authorized clients only. Políticas que não tenham dados confidenciais não são encriptadas.Policy that does not have sensitive data is not encrypted.

Quando a política é armazenada nos clientes, é encriptada com a interface de programação de aplicações proteção de dados (DPAPI).When policy is stored on the clients, it is encrypted with Data Protection application programming interface (DPAPI).

Hash de políticasPolicy hashing

Quando os clientes do Configuration Manager pedem políticas, obtêm primeiro uma atribuição de políticas para saberem as políticas que se lhes aplicam e, em seguida, pedem apenas os corpos dessas política.When Configuration Manager clients request policy, they first get a policy assignment so that they know which policies apply to them, and then they request only those policy bodies. Cada atribuição de política contém o hash calculado para o corpo da política correspondente.Each policy assignment contains the calculated hash for the corresponding policy body. O cliente obtém os corpos de políticas aplicáveis e calcula o hash desses corpos.The client retrieves the applicable policy bodies and then calculates the hash on that body. Se o hash contido no corpo de política transferido não corresponder ao hash na atribuição de política, o cliente rejeita o corpo de política.If the hash on the downloaded policy body does not match the hash in the policy assignment, the client discards the policy body.

Os algoritmos hash para políticas são SHA-1 e SHA-256.The hashing algorithm for policy is SHA-1 and SHA-256.

Hash de conteúdoContent hashing

O serviço de gestão de distribuição no servidor do site calcula o hash dos ficheiros de conteúdo de todos os pacotes.The distribution manager service on the site server hashes the content files for all packages. O fornecedor de política inclui o hash na política de distribuição de software.The policy provider includes the hash in the software distribution policy. Quando o cliente do Configuration Manager transfere o conteúdo, o cliente gera de novo o hash localmente e compara-o com o fornecido na política.When the Configuration Manager client downloads the content, the client regenerates the hash locally and compares it to the one supplied in the policy. Se os hashes coincidirem, o conteúdo não foi alterado e o cliente instala-o.If the hashes match, the content has not been altered and the client installs it. Se um único byte do conteúdo tiver sido alterado, os hashes não coincidirão e o software não será instalado.If a single byte of the content has been altered, the hashes will not match and the software will not be installed. Esta verificação ajuda a garantir que é instalado o software correto, uma vez que o conteúdo real é verificado em relação à política.This check helps to ensure that the correct software is installed because the actual content is crosschecked with the policy.

O algoritmo hash predefinido para conteúdo é o SHA-256.The default hashing algorithm for content is SHA-256. Para alterar esta predefinição, consulte a documentação para o Configuration Manager Software Development Kit (SDK).To change this default, see the documentation for the Configuration Manager Software Development Kit (SDK).

Nem todos os dispositivos suportam hash de conteúdo.Not all devices can support content hashing. As exceções incluem:The exceptions include:

  • Clientes Windows, quando transmitem em fluxo conteúdo de App-V.Windows clients when they stream App-V content.

  • Os clientes Windows Phone, embora estes clientes verificam a assinatura de uma aplicação que esteja assinada por uma origem fidedigna.Windows Phone clients, though these clients verify the signature of an application that is signed by a trusted source.

  • Cliente com Windows RT, embora estes clientes verificam a assinatura de uma aplicação que esteja assinada por uma origem fidedigna e também utiliza a validação de nome completo (PFN) do pacote.Windows RT client, though these clients verify the signature of an application that is signed by a trusted source and also use package full name (PFN) validation.

  • iOS, embora estes dispositivos verificam a assinatura de uma aplicação que esteja assinada por qualquer certificado de Programador de uma origem fidedigna.iOS, though these devices verify the signature of an application that is signed by any developer certificate from a trusted source.

  • Clientes Nokia, no entanto, estes clientes verificam a assinatura de uma aplicação que utiliza um certificado autoassinado.Nokia client, though, these clients verify the signature of an application that uses a self-signed certificate. Em alternativa, a assinatura de um certificado de uma origem fidedigna e o certificado podem assinar aplicações SIS (Symbian Installation Source) da Nokia.Or, the signature of a certificate from a trusted source and the certificate can sign Nokia Symbian Installation Source (SIS) applications.

  • Android.Android. Além disso, estes dispositivos não utilizam validação de assinaturas para instalação de aplicações.In addition, these devices do not use signature validation for application installation.

  • Os clientes executados em versões do Linux e UNIX que não suportam SHA-256.Clients that run on versions of Linux and UNIX that do not support SHA-256. Para obter mais informações, consulte o artigo planeamento de implementação de cliente para computadores com Linux e UNIX no System Center Configuration Manager.For more information, see Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager.

Inventário de assinatura e encriptaçãoInventory signing and encryption

O inventário que os clientes enviam para os pontos de gestão é sempre assinado pelos dispositivos, independentemente de comunicarem com os pontos de gestão por HTTP ou HTTPS.Inventory that clients send to management points is always signed by devices, regardless of whether they communicate with management points over HTTP or HTTPS. Se utilizarem HTTP, pode optar por encriptar estes dados, que é a melhor prática de segurança.If they use HTTP, you can choose to encrypt this data, which is a security best practice.

Encriptação de migração de estadoState migration encryption

Os dados armazenados em pontos de migração de estado da implementação de sistemas operativos são sempre encriptados pela Ferramenta de Migração de Estado de Utilizador (USMT) utilizando 3DES.Data stored on state migration points for operating system deployment is always encrypted by the User State Migration Tool (USMT) by using 3DES.

Encriptação de pacotes multicast implementar sistemas operativosEncryption for multicast packages to deploy operating systems

Para cada pacote de implementação de sistema operativo, pode ativar a encriptação quando o pacote for transferido para computadores através da utilização de multicast.For every operating system deployment package, you can enable encryption when the package is transferred to computers by using multicast. A encriptação utiliza a norma AES (Advanced Encryption Standard).The encryption uses Advanced Encryption Standard (AES). Se ativar a encriptação, não é necessária qualquer configuração adicional de certificados.If you enable encryption, no additional certificate configuration is required. O ponto de distribuição de capacidade multicast gera automaticamente chaves simétricas para encriptar o pacote.The multicast-enabled distribution point automatically generates symmetric keys for encrypting the package. Cada pacote tem uma chave de encriptação diferente.Each package has a different encryption key. A chave é armazenada no ponto de distribuição de capacidade multicast utilizando APIs padrão do Windows.The key is stored on the multicast-enabled distribution point by using standard Windows APIs. Quando o cliente liga à sessão multicast, a troca de chaves ocorre através de um canal encriptado com o certificado de autenticação de cliente emitido pela PKI (quando o cliente utilizar HTTPS) ou o certificado autoassinado (quando o cliente utilizar HTTP).When the client connects to the multicast session, the key exchange occurs over a channel encrypted with either the PKI-issued client authentication certificate (when the client uses HTTPS) or the self-signed certificate (when the client uses HTTP). O cliente armazena a chave na memória apenas durante a sessão multicast.The client stores the key in memory only for the duration of the multicast session.

Encriptação de suportes de dados implementar sistemas operativosEncryption for media to deploy operating systems

Quando utiliza suportes de dados para implementar sistemas operativos e especifica uma palavra-passe para proteger os suportes de dados, as variáveis de ambiente são encriptadas utilizando AES (Advanced Encryption Standard).When you use media to deploy operating systems and specify a password to protect the media, the environment variables are encrypted by using Advanced Encryption Standard (AES). Outros dados existentes no suporte de dados, incluindo pacotes e conteúdo de aplicações, não estão encriptados.Other data on the media, including packages and content for applications, is not encrypted.

Encriptação de conteúdo alojado em pontos de distribuição baseado na nuvemEncryption for content that is hosted on cloud-based distribution points

O conteúdo que é carregado para estes pontos de distribuição a partir do System Center 2012 Configuration Manager SP1, quando utiliza pontos de distribuição baseado na nuvem, é encriptado utilizando padrão AES (Advanced Encryption) com um tamanho de chave de 256 bits.Beginning with System Center 2012 Configuration Manager SP1, when you use cloud-based distribution points, the content that you upload to these distribution points is encrypted by using Advanced Encryption Standard (AES) with a 256-bit key size. O conteúdo será novamente encriptado sempre que for atualizado.The content is re-encrypted whenever you update it. Quando os clientes transferirem o conteúdo, este será encriptado e protegido pela ligação HTTPS.When clients download the content, it is encrypted and protected by the HTTPS connection.

Assinatura de atualizações de softwareSigning in software updates

Todas as atualizações de software têm de ser assinadas por um fabricante fidedigno para proteção contra adulteração.All software updates must be signed by a trusted publisher to protect against tampering. Em computadores cliente, o Windows Update Agent (WUA) procura as atualizações no catálogo, mas não instalará uma atualização se não conseguir localizar o certificado digital no arquivo Fabricantes Fidedignos no computador local.On client computers, the Windows Update Agent (WUA) scans for the updates from the catalog, but will not install the update if it cannot locate the digital certificate in the Trusted Publishers store on the local computer. Se tiver sido utilizado um certificado autoassinado para publicar as atualizações no catálogo, como o certificado autoassinado WSUS Publishers, este terá de constar também no arquivo de certificados Autoridades de Certificação de Raiz Fidedigna, no computador local, para verificação da validade do certificado.If a self-signed certificate was used for publishing the updates catalog, such as WSUS Publishers Self-signed, the certificate must also be in the Trusted Root Certification Authorities certificate store on the local computer to verify the validity of the certificate. O WUA também verifica se a definição de Política de Grupo Permitir conteúdo assinado da localização do serviço de atualização da Microsoft na intranet está ativada no computador local.WUA also checks whether the Allow signed content from intranet Microsoft update service location Group Policy setting is enabled on the local computer. Esta definição de política tem de estar ativada para que o WUA procure atualizações criadas e publicadas com o Updates Publisher.This policy setting must be enabled for WUA to scan for the updates that were created and published with Updates Publisher.

Quando as atualizações de software são publicadas no System Center Updates Publisher, são assinadas por um certificado digital quando são publicadas ou atualizadas num servidor.When software updates are published in System Center Updates Publisher, a digital certificate signs the software updates when they are published to an update server. Pode especificar um certificado PKI ou configurar o Updates Publisher para gerar um certificado autoassinado para assinar a atualização de software.You can either specify a PKI certificate or configure Updates Publisher to generate a self-signed certificate to sign the software update.

Dados de configuração para definições de compatibilidade assinadosSigned configuration data for compliance settings

Quando importa dados de configuração, o Configuration Manager verifica a assinatura digital do ficheiro.When you import configuration data, Configuration Manager verifies the file's digital signature. Se os dados não tiverem sido assinados ou se a verificação da assinatura digital falhar, será apresentado um aviso e será perguntado se pretende continuar com a importação.If the files have not been signed, or if the digital signature verification check fails, you will be warned and prompted whether to continue with the import. Continue a importar os dados de configuração apenas se confiar explicitamente no fabricante e na integridade dos ficheiros.Continue to import the configuration data only if you explicitly trust the publisher and the integrity of the files.

Encriptação e hash de notificação do clienteEncryption and hashing for client notification

Se utilizar notificações de cliente, todas as comunicações utilizarão TLS e a encriptação mais elevada que os sistemas operativos do servidor e do cliente possam negociar.If you use client notification, all communication uses TLS and the highest encryption that the server and client operating systems can negotiate. Por exemplo, um computador cliente com o Windows 7 e um ponto de gestão com o Windows Server 2008 R2 suportam encriptação AES de 128 bits, enquanto um computador cliente com o Vista e o mesmo ponto de gestão negociarão com a encriptação 3DES.For example, a client computer running Windows 7 and a management point running Windows Server 2008 R2 can support 128-bit AES encryption, whereas a client computer running Vista to the same management point but will negotiate down to 3DES encryption. A mesma negociação ocorre para o hash dos pacotes que são transferidos durante a notificação do cliente, que utiliza SHA-1 ou SHA-2.The same negotiation occurs for hashing the packets that are transferred during client notification, which uses SHA-1 or SHA-2.

Certificados utilizados pelo Configuration ManagerCertificates used by Configuration Manager

Para obter uma lista dos certificados de infraestrutura de chaves públicas (PKI) que podem ser utilizadas pelo Configuration Manager, qualquer especiais requisitos ou limitações, e como os certificados são utilizados, consulte requisitos de certificados PKI para o System Center Configuration Manager.For a list of the public key infrastructure (PKI) certificates that can be used by Configuration Manager, any special requirements or limitations, and how the certificates are used, see PKI certificate requirements for System Center Configuration Manager. Esta lista inclui os comprimentos de chaves e algoritmos hash suportados.This list includes the supported hash algorithms and key lengths. A maioria dos certificados suporta SHA-256 e chaves de 2048 bits.Most certificates support SHA-256 and 2048 bits key length.

Nota

Todos os certificados que o Configuration Manager utiliza tem de conter apenas carateres de byte único no nome do requerente ou nome alternativo do requerente.All certificates that Configuration Manager uses must contain only single-byte characters in the subject name or subject alternative name.

Os certificados PKI são necessários para os seguintes cenários:PKI certificates are required for the following scenarios:

  • Quando gerir clientes do Configuration Manager na Internet.When you manage Configuration Manager clients on the Internet.

  • Quando gerir clientes do Configuration Manager em dispositivos móveis.When you manage Configuration Manager clients on mobile devices.

  • Quando gerir computadores Mac.When you manage Mac computers.

  • Quando utilizar pontos de distribuição baseados na nuvem.When you use cloud-based distribution points.

  • Quando gerir computadores baseados em Intel AMT fora de banda.When you manage Intel AMT-based computers out of band.

    Para a maioria dos outros comunicações do Configuration Manager que exigem certificados para autenticação, assinatura ou encriptação, o Configuration Manager utiliza automaticamente certificados PKI se estiverem disponíveis.For most other Configuration Manager communications that require certificates for authentication, signing, or encryption, Configuration Manager automatically uses PKI certificates if they are available. Se não estiverem disponíveis, o Configuration Manager gera certificados autoassinados.If they are not available, Configuration Manager generates self-signed certificates.

    O Configuration Manager não utiliza certificados PKI quando gere dispositivos móveis utilizando o conector do Exchange Server.Configuration Manager does not use PKI certificates when it manages mobile devices by using the Exchange Server connector.

Gestão de dispositivos móveis e certificados PKIMobile device management and PKI certificates

Se o dispositivo móvel não tiver sido bloqueado pela operadora de rede móvel, pode utilizar o Configuration Manager ou o Microsoft Intune para pedir e instalar um certificado de cliente.If the mobile device has not been locked by the mobile operator, you can use Configuration Manager or Microsoft Intune to request and install a client certificate. Este certificado fornece autenticação mútua entre o cliente do dispositivo móvel e os sistemas de sites do Configuration Manager ou serviços do Microsoft Intune.This certificate provides mutual authentication between the client on the mobile device and Configuration Manager site systems or Microsoft Intune services. Se o seu dispositivo móvel estiver bloqueado, não é possível utilizar o Configuration Manager ou o Intune para implementar certificados.If your mobile device is locked, you cannot use Configuration Manager or Intune to deploy certificates.

Se ativar o inventário de hardware para dispositivos móveis, o Configuration Manager ou o Intune também fará um inventário dos certificados que estão instalados no dispositivo móvel.If you enable hardware inventory for mobile devices, Configuration Manager or Intune also inventories the certificates that are installed on the mobile device.

Gestão fora de banda e certificados PKIOut of band management and PKI certificates

A gestão fora de banda de computadores baseados em Intel AMT utiliza, pelo menos, dois tipos de certificados emitidos pela PKI: um certificado de aprovisionamento AMT e um certificado do servidor Web.Out of band management for Intel AMT-based computers uses at least two types of PKI-issued certificates: an AMT provisioning certificate and a web server certificate.

O ponto de serviço fora de banda utiliza um certificado de aprovisionamento de AMT para preparar os computadores para a gestão fora de banda.The out of band service point uses an AMT provisioning certificate to prepare computers for out of band management. Os computadores baseados em AMT que serão aprovisionados têm de considerar fidedigno o certificado apresentado pelo ponto de gestão fora de banda.The AMT-based computers that will be provisioned must trust the certificate presented by the out of band management point. Por predefinição, os computadores baseados em AMT são configurados pelo fabricante de computadores para utilizar autoridades de certificação (AC) externas, como a VeriSign, Go Daddy, Comodo e Starfield.By default, AMT-based computers are configured by the computer manufacturer to use external certification authorities (CAs), such as VeriSign, Go Daddy, Comodo, and Starfield. Se adquirir um certificado de aprovisionamento de uma das CAs externas e configurar o Configuration Manager para utilizar este certificado de aprovisionamento, os computadores baseados em AMT considerarão fidedigna a AC do certificado de aprovisionamento e o aprovisionamento terá êxito.If you purchase a provisioning certificate from one of the external CAs and configure Configuration Manager to use this provisioning certificate, AMT-based computers will trust the CA of the provisioning certificate and provisioning can succeed. No entanto, a utilização de uma AC interna própria para emitir o certificado de aprovisionamento de AMT constitui uma melhor prática de segurança.However, it is a security best practice to use your own internal CA to issue the AMT provisioning certificate.

Os computadores baseados em AMT executam um componente de servidor Web no respetivo firmware e esse componente encripta o canal de comunicações com o ponto de serviço fora de banda utilizando TLS (Transport Layer Security).The AMT-based computers run a web server component within their firmware and that web server component encrypts the communication channel with the out of band service point by using Transport Layer Security (TLS). O BIOS de AMT não tem interface de utilizador para configuração manual de um certificado, pelo que necessita de uma autoridade de certificação empresarial da Microsoft que aprove automaticamente os pedidos de certificado de computadores baseados em AMT.There is no user interface into the AMT BIOS to manually configure a certificate, so you must have a Microsoft enterprise certification authority that automatically approves certificate requests from requesting AMT-based computers. O pedido utiliza PKCS#10 como formato do pedido, que, por sua vez, utiliza PKCS#7 para a transmissão das informações do certificado para o computador baseado em AMT.The request uses PKCS#10 for the request format, which in turn, uses PKCS#7 for transmitting the certificate information to the AMT-based computer.

Apesar de o computador baseado em AMT efetuar a autenticação no computador que o gere, não existe nenhum certificado PKI de cliente correspondente neste computador.Although the AMT-based computer is authenticated to the computer managing it, there is no corresponding client PKI certificate on the computer managing it. Em vez disso, estas comunicações utilizam autenticação Kerberos ou autenticação de Texto Implícita por HTTP.Instead, these communications use either Kerberos or HTTP Digest authentication. Quando é utilizada a autenticação de Texto Implícita por HTTP, é encriptada utilizando TLS.When HTTP Digest is used, it is encrypted by using TLS.

Poderá ser necessário um tipo de certificado adicional para gerir computadores baseados em AMT fora de banda: um certificado de cliente opcional para redes com e sem fios com autenticação 802.1X.An additional type of certificate might be required for managing AMT-based computers out of band: an optional client certificate for 802.1X authenticated wired networks and wireless networks. O computador baseado em AMT poderá necessitar do certificado de cliente para autenticação no servidor RADIUS.The client certificate might be required by the AMT-based computer for authentication to the RADIUS server. Quando o servidor RADIUS está configurado para autenticação EAP-TLS, é sempre necessário um certificado de cliente.When the RADIUS server is configured for EAP-TLS authentication, a client certificate is always required. Quando o servidor RADIUS está configurado para EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2, a configuração RADIUS especifica se é necessário um certificado de cliente ou não.When the RADIUS server is configured for EAP-TTLS/MSCHAPv2 or PEAPv0/EAP-MSCHAPv2, the RADIUS configuration specifies whether a client certificate is required or not. Este certificado é pedido pelo computador baseado em AMT utilizando os mesmos processos do pedido de certificado de servidor Web.This certificate is requested by the AMT-based computer by using the same processes as the web server certificate request.

Implementação do sistema operativo e certificados PKIOperating system deployment and PKI certificates

Quando utilizar o Configuration Manager para implementar sistemas operativos e um ponto de gestão requer ligações de cliente HTTPS, o computador cliente tem também de ter um certificado para comunicar com o ponto de gestão, mesmo que se encontre numa fase transitória, tais como o arranque a partir de suportes de dados de sequência de tarefas ou um ponto de distribuição com PXE ativado.When you use Configuration Manager to deploy operating systems and a management point requires HTTPS client connections, the client computer must also have a certificate to communicate with the management point, even though it is in a transitional phase such as booting from task sequence media or a PXE-enabled distribution point. Para suportar este cenário, terá de criar um certificado de autenticação de cliente PKI e exportá-lo com a chave privada e, em seguida, importá-lo para as propriedades do servidor de site e também adicionar o € de pointâ gestão™ certificado de AC de raiz fidedigna s.To support this scenario, you must create a PKI client authentication certificate and export it with the private key and then import it to the site server properties and also add the management point’s trusted root CA certificate.

Se criar suportes de dados de arranque, importa o certificado de autenticação de cliente quando criar o suporte de dados de arranque.If you create bootable media, you import the client authentication certificate when you create the bootable media. Configure uma palavra-passe no suporte de dados de arranque para ajudar a proteger a chave privada e outros dados confidenciais configurados na sequência de tarefas.Configure a password on the bootable media to help protect the private key and other sensitive data configured in the task sequence. Os computadores que iniciam a partir do suporte de dados de arranque irão apresentar o mesmo certificado ao ponto de gestão tal como necessário para as funções dos clientes, como o pedido de política de cliente.Every computer that boots from the bootable media will present the same certificate to the management point as required for client functions such as requesting client policy.

Se estiver a utilizar o arranque PXE, importará o certificado de autenticação de cliente para o ponto de distribuição ativado com PXE, que utiliza o mesmo certificado para todos os clientes que iniciam a partir de um ponto de distribuição ativado com PXE.If you use PXE boot, you import the client authentication certificate to the PXE-enabled distribution point and it uses the same certificate for every client that boots from that PXE-enabled distribution point. Como procedimento recomendado de segurança, solicite aos utilizadores que liguem os computadores a um serviço PXE para fornecer uma palavra-passe que ajude a proteger a chave privada e outros dados confidenciais nas sequências de tarefas.As a security best practice, require users who connect their computers to a PXE service to supply a password to help protect the private key and other sensitive data in the task sequences.

Se algum destes certificados de autenticação de cliente for comprometido, bloqueie os certificados no nó Certificados na área de trabalho Administração , nó Segurança .If either of these client authentication certificates is compromised, block the certificates in the Certificates node in the Administration workspace, Security node. Para gerir estes certificados, tem de ter a definição Gerir certificado de implementação do sistema operativo correta.To manage these certificates, you must have the Manage operating system deployment certificate right.

Depois do sistema operativo é implementado e o Configuration Manager está instalado, o cliente necessitará do seu próprio certificado de autenticação de cliente PKI para comunicações HTTPS de clientes.After the operating system is deployed and the Configuration Manager is installed, the client will require its own PKI client authentication certificate for HTTPS client communication.

Soluções de proxy ISV e certificados PKIISV proxy solutions and PKI certificates

Independentes de Software (ISV) podem criar aplicações que expandem o Configuration Manager.Independent Software Vendors (ISVs) can create applications that extend Configuration Manager. Por exemplo, um ISV poderia criar extensões para suportar plataformas de cliente não Windows, tais como computadores Macintosh ou UNIX.For example, an ISV could create extensions to support non-Windows client platforms such as Macintosh or UNIX computers. No entanto, se os sistemas de sites precisarem de ligações cliente HTTPS, estes clientes têm também de utilizar certificados KPI para a comunicação com o site.However, if the site systems require HTTPS client connections, these clients must also use PKI certificates for communication with the site. Gestor de configuração inclui a capacidade de atribuir um certificado ao proxy ISV que permite as comunicações entre os clientes proxy ISV e o ponto de gestão.Configuration Manager includes the ability to assign a certificate to the ISV proxy that enables communications between the ISV proxy clients and the management point. Se utilizar extensões que requerem certificados de proxy ISV, consulte a documentação desse produto.If you use extensions that require ISV proxy certificates, consult the documentation for that product. Para obter mais informações sobre como criar certificados de proxy ISV, consulte o Software Developer Kit (SDK) do Configuration Manager.For more information about how to create ISV proxy certificates, see the Configuration Manager Software Developer Kit (SDK).

Se o certificado ISV for comprometido, bloqueie o certificado no nó Certificados na área de trabalho Administração , nó Segurança .If the ISV certificate is compromised, block the certificate in the Certificates node in the Administration workspace, Security node.

O Asset intelligence e certificadosAsset intelligence and certificates

Configuration Manager instala com um certificado x. 509 que o ponto de sincronização do Asset Intelligence utiliza para ligar à Microsoft.Configuration Manager installs with an X.509 certificate that the Asset Intelligence synchronization point uses to connect to Microsoft. Configuration Manager utiliza este certificado para pedir um certificado de autenticação de cliente ao serviço da Microsoft certificado.Configuration Manager uses this certificate to request a client authentication certificate from the Microsoft certificate service. O certificado de autenticação de cliente é instalado no servidor de sistema de site do ponto de sincronização do Asset Intelligence e é utilizado para autenticar o servidor para a Microsoft.The client authentication certificate is installed on the Asset Intelligence synchronization point site system server and it is used to authenticate the server to Microsoft. O Configuration Manager utiliza o certificado de autenticação de cliente para transferir o catálogo do Asset Intelligence e para carregar os títulos de software.Configuration Manager uses the client authentication certificate to download the Asset Intelligence catalog and to upload software titles.

Este certificado tem um comprimento de chave de 1024 bits.This certificate has a key length of 1024 bits.

Pontos de distribuição baseado na nuvem e certificadosCloud-based distribution points and certificates

A partir do System Center 2012 Configuration Manager SP1, os pontos de distribuição baseado na nuvem necessitam de um certificado de gestão (autoassinado ou PKI) que é carregado para o Microsoft Azure.Beginning with System Center 2012 Configuration Manager SP1, cloud-based distribution points require a management certificate (self-signed or PKI) that you upload to Microsoft Azure. Este certificado de gestão requer a capacidade de autenticação de servidor e um comprimento de chave do certificado de 2048 bits.This management certificate requires server authentication capability and a certificate key length of 2048 bits. Além disso, é necessário configurar um certificado de serviço para cada ponto de distribuição baseado na nuvem, que não pode ser autoassinado mas tem de ter capacidade de autenticação de servidor e um comprimento de chave do certificado mínimo de 2048 bits.In addition, you must configure a service certificate for each cloud-based distribution point, which cannot be self-signed but also has server authentication capability and a minimum certificate key length of 2048 bits.

Nota

O certificado de gestão autoassinado destina-se apenas a fins de teste e não se destina a utilização em redes de produção.The self-signed management certificate is for testing purposes only and not for use on production networks.

Os clientes não necessitam de um certificado PKI de cliente para utilizarem pontos de distribuição baseados na nuvem; eles procedem à autenticação para a gestão através da utilização de um certificado autoassinado ou um certificado PKI de cliente.Clients do not require a client PKI certificate to use cloud-based distribution points; they authenticate to the management by using either a self-signed certificate or a client PKI certificate. O ponto de gestão, em seguida, emite um token de acesso do Configuration Manager para o cliente, que o cliente apresenta ao ponto de distribuição baseado na nuvem.The management point then issues a Configuration Manager access token to the client, which the client presents to the cloud-based distribution point. O token é válido durante 8 horas.The token is valid for 8 hours.

O Microsoft Intune Connector e certificadosThe Microsoft Intune Connector and certificates

Quando o Microsoft Intune inscreve dispositivos móveis, pode gerir estes dispositivos móveis no Configuration Manager criando um conector do Microsoft Intune.When Microsoft Intune enrolls mobile devices, you can manage these mobile devices in Configuration Manager by creating a Microsoft Intune connector. O conector utiliza um certificado PKI com capacidade de autenticação de cliente para autenticar o Configuration Manager para Microsoft Intune e para transferir todas as informações entre eles, utilizando SSL.The connector uses a PKI certificate with client authentication capability to authenticate Configuration Manager to Microsoft Intune and to transfer all information between them by using SSL. A chave do certificado tem o tamanho de 2048 bits e utiliza o algoritmo hash SHA-1.The certificate key size is 2048 bits and uses the SHA-1 hash algorithm.

Quando o conector é instalado, é criado um certificado de assinatura e armazenado no servidor do site para chaves de sideload e é criado um certificado de encriptação e armazenado no ponto de registo de certificados para encriptar o desafio SCEP (Simple Certificate Enrollment Protocol).When you install the connector, a signing certificate is created and stored on the site server for sideloading keys, and an encryption certificate is created and stored on the certificate registration point to encrypt the Simple Certificate Enrollment Protocol (SCEP) challenge. Estes certificados também têm um tamanho de chave de 2048 bits e utilizam o algoritmo hash SHA-1.These certificates also have a key size of 2048 bits and use the SHA-1 hash algorithm.

Quando o Intune inscreve dispositivos móveis, instala um certificado PKI no dispositivo móvel.When Intune enrolls mobile devices, it installs a PKI certificate onto the mobile device. Este certificado tem capacidade de autenticação de cliente, utiliza um tamanho de chave de 2048 bits e utiliza o algoritmo hash SHA-1.This certificate has client authentication capability, uses a key size of 2048 bits, and uses the SHA-1 hash algorithm.

Estes certificados PKI são automaticamente pedidos, gerados e instalados através do Microsoft Intune.These PKI certificates are automatically requested, generated, and installed by Microsoft Intune.

Verificação CRL para certificados PKICRL checking for PKI certificates

Uma lista de revogação de certificados PKI (CRL) aumenta a sobrecarga administrativa e de processamento, mas apresenta mais segurança.A PKI certificate revocation list (CRL) increases administrative and processing overhead but it is more secure. No entanto, se a verificação CRL está ativada, mas a CRL está inacessível, a ligação de PKI falha.However, if CRL checking is enabled but the CRL is inaccessible, the PKI connection fails. Para obter mais informações, consulte o artigo segurança e privacidade para o System Center Configuration Manager.For more information, see Security and privacy for System Center Configuration Manager.

Verificação da lista (CRL) de revogação de certificados está ativada por predefinição no IIS, portanto, se estiver a utilizar uma CRL com a sua implementação PKI, não há nada adicional a configurar na maior parte dos sistemas de sites do Configuration Manager que executam o IIS.Certificate revocation list (CRL) checking is enabled by default in IIS, so if you are using a CRL with your PKI deployment, there is nothing additional to configure on most Configuration Manager site systems that run IIS. A exceção é para atualizações de software, que requerem um passo manual para ativar a verificação CRL para verificar as assinaturas nos ficheiros de atualização de software.The exception is for software updates, which requires a manual step to enable CRL checking to verify the signatures on software update files.

A verificação CRL está ativada por predefinição para computadores cliente quando utilizam ligações de cliente HTTPS.CRL checking is enabled by default for client computers when they use HTTPS client connections. A verificação CRL não é ativada por predefinição quando é executada a consola de Gestão Fora de Banda para ligar a um computador baseado em AMT, sendo possível ativar esta opção.CRL checking is not enabled by default when you run the Out of Band Management console to connect to AMT-based computer, and you can enable this option. Não é possível desativar a verificação CRL para clientes em computadores Mac no Configuration Manager SP1 ou posterior.You cannot disable CRL checking for clients on Mac computers in Configuration Manager SP1 or later.

A verificação CRL não é suportada para as seguintes ligações no Configuration Manager:CRL checking is not supported for the following connections in Configuration Manager:

  • Ligações de servidor a servidor.Server-to-server connections.

  • Dispositivos móveis inscritos pelo Configuration Manager.Mobile devices that are enrolled by Configuration Manager.

  • Dispositivos móveis inscritos pelo Microsoft Intune.Mobile devices that are enrolled by Microsoft Intune.

Controlos criptográficos para comunicações de servidorCryptographic controls for server communication

Configuration Manager utiliza os controlos criptográficos seguintes para comunicações de servidor.Configuration Manager uses the following cryptographic controls for server communication.

Comunicações de servidor num siteServer communication within a site

Cada servidor de sistema de sites utiliza um certificado para transferir dados para outros sistemas de sites no mesmo site do Configuration Manager.Each site system server uses a certificate to transfer data to other site systems in the same Configuration Manager site. Algumas funções de sistema do site também utilizam certificados para autenticação.Some site system roles also use certificates for authentication. Por exemplo, se instalar o ponto proxy de registo num servidor e o ponto de registo noutro servidor, eles podem autenticar-se entre si utilizando este certificado de identidade.For example, if you install the enrollment proxy point on one server and the enrollment point on another server, they can authenticate one another by using this identity certificate. Quando Configuration Manager utiliza um certificado para esta comunicação, se existir um certificado PKI disponível que tenha capacidade de autenticação de servidor, o Configuration Manager utiliza-o automaticamente; caso contrário, o Configuration Manager gera um certificado autoassinado.When Configuration Manager uses a certificate for this communication, if there is a PKI certificate available that has server authentication capability, Configuration Manager automatically uses it; if not, Configuration Manager generates a self-signed certificate. Este certificado autoassinado tem capacidade de autenticação de servidor, utiliza SHA-256 e tem um comprimento de chave de 2048 bits.This self-signed certificate has server authentication capability, uses SHA-256, and has a key length of 2048 bits. O Configuration Manager copia o certificado para arquivo de pessoas fidedignas noutros servidores de sistema de sites que possam necessitar de confiar no sistema de sites.Configuration Manager copies the certificate to the Trusted People store on other site system servers that might need to trust the site system. Os sistemas de sites podem depois confiar um do outro utilizando estes certificados e PeerTrust.Site systems can then trust one another by using these certificates and PeerTrust.

Além deste certificado para cada servidor de sistema de sites, o Configuration Manager gera um certificado autoassinado para a maioria das funções de sistema de sites.In addition to this certificate for each site system server, Configuration Manager generates a self-signed certificate for most site system roles. Quando existe mais do que uma instância da função de sistema do site no mesmo site, elas partilham o mesmo certificado.When there is more than one instance of the site system role in the same site, they share the same certificate. Por exemplo, pode ter vários pontos de gestão ou vários pontos de registo no mesmo site.For example, you might have multiple management points or multiple enrollment points in the same site. Este certificado autoassinado também utiliza SHA-256 e tem um comprimento de chave de 2048 bits.This self-signed certificate also uses SHA-256 and has a key length of 2048 bits. É também copiado para o Arquivo de Pessoas Fidedignas nos servidores de sistema do site que poderão necessitar de confiar nele.It is also copied to the Trusted People Store on site system servers that might need to trust it. As seguintes funções de sistema do site geram este certificado:The following site system roles generate this certificate:

  • Ponto de serviço Web do Catálogo de AplicaçõesApplication Catalog web service point

  • Ponto de Web site do Catálogo de AplicaçõesApplication Catalog website point

  • Ponto de sincronização do Asset IntelligenceAsset Intelligence synchronization point

  • Ponto de registo de certificadosCertificate registration point

  • Ponto de Endpoint ProtectionEndpoint Protection point

  • Ponto de inscriçãoEnrollment point

  • Ponto de estado de contingênciaFallback status point

  • Ponto de gestãoManagement point

  • Ponto de distribuição com multicast ativadoMulticast-enabled distribution point

  • Ponto de serviço fora de bandaOut of band service point

  • Ponto do Reporting ServicesReporting services point

  • Ponto de atualização de SoftwareSoftware update point

  • Ponto de migração de estadoState migration point

  • Ponto de Validação do Estado de Funcionamento do SistemaSystem Health Validator point

  • Conector do Microsoft IntuneMicrosoft Intune connector

    Estes certificados são geridos automaticamente pelo Configuration Manager e, sempre que necessário, gerados automaticamente.These certificates are managed automatically by Configuration Manager, and where necessary, automatically generated.

    O Configuration Manager também utiliza um certificado de autenticação de cliente para enviar mensagens de estado do ponto de distribuição ao ponto de gestão.Configuration Manager also uses a client authentication certificate to send status messages from the distribution point to the management point. Quando o ponto de gestão está configurado apenas para ligações de cliente HTTPS, é necessário utilizar um certificado PKI.When the management point is configured for HTTPS client connections only, you must use a PKI certificate. Se o ponto de gestão aceita ligações HTTP, é possível utilizar um certificado PKI ou selecionar a opção para utilizar um certificado autoassinado que tenha capacidade de autenticação de cliente, utilize SHA-256 e tenha um comprimento de chave de 2048 bits.If the management point accepts HTTP connections, you can use a PKI certificate or select the option to use a self-signed certificate that has client authentication capability, uses SHA-256, and has a key length of 2048 bits.

Comunicações de servidor entre sitesServer communication between sites

O Configuration Manager transfere dados entre sites através da replicação de base de dados e a replicação baseada em ficheiros.Configuration Manager transfers data between sites by using database replication and file-based replication. Para obter mais informações, consulte o artigo as comunicações entre os pontos finais no System Center Configuration Manager.For more information, see Communications between endpoints in System Center Configuration Manager.

Configuration Manager automaticamente configura a replicação de base de dados entre sites e utiliza certificados PKI que tenham capacidade de autenticação de servidor se estes estiverem disponíveis; caso contrário, o Configuration Manager cria certificados autoassinados para autenticação de servidor.Configuration Manager automatically configures the database replication between sites and uses PKI certificates that have server authentication capability if these are available; if not, Configuration Manager creates self-signed certificates for server authentication. Em ambos os casos, a autenticação entre sites é estabelecida utilizando os certificados do Arquivo de Pessoas Fidedignas que utilize PeerTrust.In both cases, authentication between sites is established by using certificates in the Trusted People Store that uses PeerTrust. Este arquivo de certificados é utilizado para garantir que apenas os computadores do SQL Server que são utilizados pela hierarquia do Configuration Manager participam na replicação de site para site.This certificate store is used to ensure that only the SQL Server computers that are used by the Configuration Manager hierarchy participate in site-to-site replication. Enquanto os sites primários e o site de administração central podem replicar alterações à configuração de todos os sites na hierarquia, os sites secundários podem replicar alterações à configuração apenas do respetivo site principal.Whereas primary sites and the central administration site can replicate configuration changes to all sites in the hierarchy, secondary sites can replicate configuration changes only to their parent site.

Os servidores de site estabelecem comunicação site a site através da utilização de uma troca de chaves segura que ocorre automaticamente.Site servers establish site-to-site communication by using a secure key exchange that happens automatically. O servidor de site remetente gera um hash e assina-o com a respetiva chave privada.The sending site server generates a hash and signs it with its private key. O servidor de site recetor verifica a assinatura, utilizando a chave pública e compara o hash com um valor gerado localmente.The receiving site server checks the signature by using the public key and compares the hash with a locally generated value. Se coincidirem, o site recetor aceita os dados replicados.If they match, the receiving site accepts the replicated data. Se os valores não corresponderem, o Configuration Manager rejeita os dados de replicação.If the values do not match, Configuration Manager rejects the replication data.

Replicação de base de dados no Configuration Manager utiliza o SQL Server Service Broker para transferir dados entre sites utilizando os mecanismos seguintes:Database replication in Configuration Manager uses the SQL Server Service Broker to transfer data between sites by using the following mechanisms:

  • Ligação SQL Server a SQL Server: Esta opção utiliza credenciais do Windows para autenticação de servidor e certificados autoassinados com 1024 bits para assinar e encriptar os dados utilizando Advanced Encryption Standard (AES).SQL Server to SQL Server connection: This uses Windows credentials for server authentication and self-signed certificates with 1024 bits to sign and encrypt the data by using Advanced Encryption Standard (AES). Se existirem certificados PKI com capacidade de autenticação de servidor disponíveis, serão utilizados.If PKI certificates with server authentication capability are available, these will be used. O certificado tem de estar localizado no arquivo Pessoal para o arquivo de certificados de Computador.The certificate must be located in the Personal store for the Computer certificate store.

  • SQL Server Service Broker: Esta opção utiliza os certificados autoassinados com 2048 bits para assinar e encriptar os dados utilizando Advanced Encryption Standard (AES).SQL Service Broker: This uses self-signed certificates with 2048 bits for authentication and to sign and encrypt the data by using Advanced Encryption Standard (AES). O certificado tem de estar localizado na base de dados mestre do SQL Server.The certificate must be located in the SQL Server master database.

    A replicação baseada em ficheiros utiliza o protocolo Bloco de Mensagem de Servidor (SMB) e utiliza SHA-256 para assinar estes dados que não estão encriptados mas não contêm dados confidenciais.File-based replication uses the Server Message Block (SMB) protocol, and uses SHA-256 to sign this data that is not encrypted but does not contain any sensitive data. Se pretende encriptar estes dados, que poderá utilizar IPsec, devendo proceder a esta forma independente do Configuration Manager.If you want to encrypt this data, you can use IPsec and must implement this independently from Configuration Manager.

Controlos criptográficos para clientes que utilizam comunicações HTTPS para sistemas de sitesCryptographic controls for clients that use HTTPS communication to site systems

Quando as funções de sistema do site aceitam ligações de cliente, pode configurá-las para aceitarem ligações HTTPS e HTTP ou apenas ligações HTTPS.When site system roles accept client connections, you can configure them to accept HTTPS and HTTP connections, or only HTTPS connections. As funções de sistema do site que aceitam ligações a partir da Internet só aceitam ligações de cliente através de HTTPS.Site system roles that accept connections from the Internet only accept client connections over HTTPS.

As ligações de cliente através de HTTPS oferecem um nível mais elevado de segurança, integrando com uma infraestrutura de chaves públicas (PKI), para ajudar a proteger a comunicação cliente-servidor.Client connections over HTTPS offer a higher level of security by integrating with a public key infrastructure (PKI) to help protect client-to-server communication. No entanto, configurar ligações de cliente HTTPS sem conhecimentos abrangentes de planeamento, implementação e operações PKI poderia deixá-lo vulnerável.However, configuring HTTPS client connections without a thorough understanding of PKI planning, deployment, and operations could still leave you vulnerable. Por exemplo, se não proteger a AC raiz, as pessoas mal intencionadas poderão comprometer a confiança de toda a sua infraestrutura PKI.For example, if you do not secure your root CA, attackers could compromise the trust of your entire PKI infrastructure. Não conseguir implementar e gerir os certificados PKI utilizando processos controlados e seguros poderá ter como resultado clientes não geridos que não recebem atualizações ou pacotes de software críticos.Failing to deploy and manage the PKI certificates by using controlled and secured processes might result in unmanaged clients that cannot receive critical software updates or packages.

Importante

Os certificados PKI que são utilizados na comunicação de cliente protegem a comunicação apenas entre o cliente e alguns sistemas de sites.The PKI certificates that are used for client communication protect the communication only between the client and some site systems. Não protegem o canal de comunicação entre o servidor de site e os sistemas de sites ou entre servidores de site.They do not protect the communication channel between the site server and site systems or between site servers.

Comunicação sem encriptação quando os clientes utilizam comunicação HTTPSCommunication that is unencrypted when clients use HTTPS communication

Quando os clientes comunicam com sistemas de sites utilizando HTTPS, as comunicações são geralmente encriptadas através de SSL.When clients communicate with site systems by using HTTPS, communications are usually encrypted over SSL. No entanto, nas seguintes situações, os clientes comunicam com sistemas de sites sem utilizar a encriptação:However, in the following situations, clients communicate with site systems without using encryption:

  • O cliente não consegue efetuar uma ligação HTTPS através da intranet e reverter para a utilização de HTTP quando os sistemas de sites permitem esta configuraçãoClient fails to make an HTTPS connection on the intranet and fall back to using HTTP when site systems allow this configuration

  • Comunicação para as seguintes funções de sistema do site:Communication to the following site system roles:

    • O cliente envia mensagens de estado para o ponto de estado de contingênciaClient sends state messages to the fallback status point

    • O cliente envia pedidos PXE para um ponto de distribuição com PXE ativadoClient sends PXE requests to a PXE-enabled distribution point

    • O cliente envia dados de notificação para um ponto de gestãoClient sends notification data to a management point

    Os pontos do Reporting Services estão configurados para utilizar HTTP ou HTTPS independentemente do modo de comunicação do cliente.Reporting services points are configured to use HTTP or HTTPS independently from the client communication mode.

Controlos criptográficos para chat os clientes utilizam comunicação HTTP para sistemas de sitesCryptographic controls for clients chat use HTTP communication to site systems

Quando os clientes utilizam comunicação HTTP às funções de sistema de sites, podem utilizar certificados PKI para autenticação de cliente ou certificados autoassinados, que o Configuration Manager gera.When clients use HTTP communication to site system roles, they can use PKI certificates for client authentication, or self-signed certificates that Configuration Manager generates. Quando o Configuration Manager gera certificados autoassinados, que tenham um identificador de objeto personalizado para assinatura e encriptação e estes certificados são utilizados para identificar o cliente de forma exclusiva.When Configuration Manager generates self-signed certificates, they have a custom object identifier for signing and encryption, and these certificates are used to uniquely identify the client. Para todos os sistemas operativos suportados exceto o Windows Server 2003, estes certificados autoassinados utilizam SHA-256 e têm um comprimento de chave de 2048 bits.For all supported operating systems except Windows Server 2003, these self-signed certificates use SHA-256, and have a key length of 2048 bits. Para o Windows Server 2003, é utilizado SHA1 com um comprimento de chave de 1024 bits.For Windows Server 2003, SHA1 is used with a key length of 1024 bits.

Implementação do sistema operativo e certificados autoassinadosOperating system deployment and self-signed certificates

Quando utilizar o Configuration Manager para implementar sistemas operativos com certificados autoassinados, um computador cliente tem também de ter um certificado para comunicar com o ponto de gestão, mesmo que se encontre numa fase transitória, tais como o arranque a partir de suportes de dados de sequência de tarefas ou um ponto de distribuição com PXE ativado.When you use Configuration Manager to deploy operating systems with self-signed certificates, a client computer must also have a certificate to communicate with the management point, even if the computer is in a transitional phase such as booting from task sequence media or a PXE-enabled distribution point. Para suportar este cenário para ligações de cliente HTTP, o Configuration Manager gera certificados autoassinados com um identificador de objeto personalizado para assinatura e encriptação, e estes certificados são utilizados para identificar o cliente de forma exclusiva.To support this scenario for HTTP client connections, Configuration Manager generates self-signed certificates that have a custom object identifier for signing and encryption, and these certificates are used to uniquely identify the client. Para todos os sistemas operativos suportados exceto o Windows Server 2003, estes certificados autoassinados utilizam SHA-256 e têm um comprimento de chave de 2048 bits.For all supported operating systems except Windows Server 2003, these self-signed certificates use SHA-256, and have a key length of 2048 bits. Para o Windows Server 2003, é utilizado SHA1 com um comprimento de chave de 1024 bits.For Windows Server 2003, SHA1 is used with a key length of 1024 bits.. Se estes certificados autoassinados forem comprometidos, para impedir a sua utilização por atacantes para representar clientes fidedignos, bloqueie os certificados no nó Certificados da área de trabalho Administração , nó Segurança .If these self-signed certificates are compromised, to prevent attackers from using them to impersonate trusted clients, block the certificates in the Certificates node in the Administration workspace, Security node.

Autenticação de cliente e servidorClient and server authentication

Quando os clientes ligam por HTTP, efetuam a autenticação dos pontos de gestão, utilizando qualquer um dos serviços de domínio do Active Directory ou utilizando a chave de raiz fidedigna do Configuration Manager.When clients connect over HTTP, they authenticate the management points by using either Active Directory Domain Services or by using the Configuration Manager trusted root key. Os clientes não autenticam outras funções de sistema de sites, como pontos de migração de estado ou pontos de atualização de software.Clients do not authenticate other site system roles, such as state migration points or software update points.

Quando um ponto de gestão autentica pela primeira vez um cliente utilizando o certificado de cliente autoassinado, este mecanismo fornece uma segurança mínima porque qualquer computador pode gerar um certificado autoassinado.When a management point first authenticates a client by using the self-signed client certificate, this mechanism provides minimal security because any computer can generate a self-signed certificate. Neste cenário, o processo de identificação de clientes tem de ser aumentado mediante aprovação.In this scenario, the client identity process must be augmented by approval. Apenas os computadores fidedignos tem de ser aprovados, quer automaticamente pelo Configuration Manager, ou manualmente, por um utilizador administrativo.Only trusted computers must be approved, either automatically by Configuration Manager, or manually, by an administrative user. Para mais informações, consulte a secção sobre aprovação em as comunicações entre os pontos finais no System Center Configuration Manager.For more information, see the approval section in Communications between endpoints in System Center Configuration Manager.

Sobre vulnerabilidades de SSLAbout SSL vulnerabilities

Recomendamos que desative o SSL 3.0, que ative o TLS 1.1 e 1.2 e que volte a ordenar os conjuntos relacionados com cifras TLS para melhorar a segurança dos seus servidores do Configuration Manager.We recommend the disabling of SSL 3.0, the enabling of TLS 1.1, and 1.2, and the reordering of TLS-related cipher suites, to improve the security of your Configuration Manager servers. Pode saber como realizar estas ações neste artigo BDC.You can learn how to take these actions in this KB article. Esta ação não afetará a funcionalidade do Configuration Manager.This action will not affect Configuration Manager functionality.