Seguridad y privacidad para la administración de contenido en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Este tema aparece en la guía Implementación de software y sistemas operativos en System Center 2012 Configuration Manager y la guía Seguridad y privacidad en System Center 2012 Configuration Manager.
Este tema contiene recomendaciones de seguridad e información de privacidad respecto de la administración de contenido en System Center 2012 Configuration Manager. Lea este artículo en conjunto con los temas siguientes:
Prácticas recomendadas de seguridad para la administración de contenido
Utilice las siguientes prácticas recomendadas de seguridad para la administración de contenido:
Práctica recomendada de seguridad |
Más información |
|---|---|
Para los puntos de distribución en la intranet, tenga en cuenta las ventajas y desventajas de usar HTTPS y HTTP |
Diferencias entre HTTPS y HTTP para los puntos de distribución:
En la mayoría de los escenarios, el uso de HTTP y cuentas de acceso de paquete para la autorización proporciona mayor seguridad que usar HTTPS con cifrado pero sin autorización. Sin embargo, si tiene datos confidenciales en el contenido que desea cifrar durante la transferencia, utilice HTTPS. |
Si utiliza un certificado de autenticación de cliente de PKI en lugar de un certificado autofirmado para el punto de distribución, proteja el archivo de certificado (.pfx) con una contraseña fuerte. Si almacena el archivo en la red, proteja el canal de red al importar el archivo en el Configuration Manager. |
Si requiere una contraseña para importar el certificado de autenticación del cliente que usa para que el punto de distribución se comunique con los puntos de administración, esto ayuda a proteger el certificado contra posibles ataques. Use la firma SMB o IPsec entre la ubicación de red y el servidor de sitio para impedir que un atacante pueda manipular el archivo del certificado. |
Quite el rol de punto de distribución desde el servidor de sitio. |
De manera predeterminada, un punto de distribución se instala en el mismo servidor que el servidor de sitio. Los clientes no tienen que comunicarse directamente con el servidor de sitio; por eso, para reducir la superficie expuesta a ataques, asigne el rol de punto de distribución a otros sistemas de sitio y quítelo del servidor de sitio. |
Asegure el contenido en el nivel de acceso de paquete. Nota Esto no se aplica a puntos de distribución basados en la nube en Configuration Manager SP1, ya que no admite cuentas de acceso de paquete. |
El recurso compartido de punto de distribución permite acceso de lectura a todos los usuarios. Para restringir qué usuarios pueden acceder al contenido, utilice cuentas de acceso de paquete si el punto de distribución está configurado para HTTP. Para obtener más información sobre la cuenta de acceso de paquetes, consulte la sección Administrar cuentas para acceder al contenido de paquetes del tema Operaciones y mantenimiento de administración de contenido en Configuration Manager. |
Si Configuration Manager instala IIS cuando se agrega un rol de sistema de sitio de punto de distribución, quite las herramientas y los scripts de administración de IIS y redirección de HTTP una vez que la instalación de punto de distribución esté completa. |
El punto de distribución no requiere herramientas ni scripts de administración de IIS y redirección de HTTP. Para reducir la superficie expuesta a ataques, quite estos servicios de rol del rol de servidor web (IIS). Para obtener más información acerca de los servicios de rol para el rol de servidor web (IIS) para puntos de distribución, consulte la sección del tema .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq |
Establezca permisos de acceso de paquete al crear el paquete |
Dado que los cambios que se hagan en las cuentas de acceso en los archivos de paquete entran en vigencia solo cuando se redistribuye el paquete, defina los permisos de acceso de paquete cuidadosamente al crear el paquete. Esto es especialmente importante en los siguientes escenarios:
|
Implemente controles de acceso para proteger los medios que tienen contenido preconfigurado |
El contenido preconfigurado está comprimido pero no cifrado. Un atacante podría leer y modificar los archivos que luego se descargarán a los dispositivos. Los clientes de Configuration Manager rechazarán el contenido que se haya alterado, pero igualmente lo descargarán. |
Importe el contenido preconfigurado utilizando únicamente la herramienta de línea de comandos ExtractContent (ExtractContent.exe) suministrada con Configuration Manager y asegúrese de que esté firmada por Microsoft |
Para evitar que alguien pueda manipular y elevar los privilegios, use solo la herramienta de línea de comandos autorizada que se suministra con Configuration Manager. |
Proteja el canal de comunicación entre el servidor de sitio y la ubicación de origen del paquete |
Use la firma SMB o IPsec entre el servidor de sitio y la ubicación de origen del paquete al crear aplicaciones y paquetes. Esto ayuda a evitar que un atacante pueda manipular los archivos de origen. |
Si cambia la opción de configuración de sitio para utilizar un sitio web personalizado en lugar del sitio web predeterminado una vez instalados los roles de punto de distribución, quite los directorios virtuales predeterminados |
Cuando se pasa de utilizar el sitio web predeterminado a utilizar un sitio web personalizado, Configuration Manager no quita los directorios virtuales antiguos. Quite los directorios virtuales que Configuration Manager creó originalmente en el sitio web predeterminado:
|
Para los puntos de distribución basados en la nube que están disponibles a partir de Configuration Manager SP1: proteja los certificados y datos de suscripción |
Si usa puntos de distribución basados en la nube, proteja los siguientes elementos de gran valor:
Almacene los certificados en forma segura y, si llega hasta ellos a través de la red al configurar el punto de distribución basado en la nube, use la firma SMB o IPsec entre el servidor de sitio y la ubicación de origen. |
Para los puntos de distribución basados en la nube que están disponibles a partir de Configuration Manager SP1: a fin de minimizar las interrupciones del servicio, supervise la fecha de expiración de los certificados |
Configuration Manager no avisa cuando los certificados importados para administración o el servicio de punto de distribución basado en la nube están a punto de expirar. Debe supervisar las fechas de expiración independientemente de Configuration Manager y asegurarse de renovar e importar el nuevo certificado antes de la fecha de expiración. Esto es especialmente importante si el certificado de servicio de punto de distribución basado en la nube para Configuration Manager lo compró a una autoridad de certificación (CA) externa, porque podría necesitar tiempo adicional para obtener la renovación del certificado. Nota Si el certificado expira, el Administrador de servicios de nube genera el identificador de mensaje de estado 9425 y el archivo CloudMgr.log contiene una entrada para indicar que el certificado is in expired state, con la fecha de expiración también registrada en UTC. |
Problemas de seguridad para la administración de contenido
La administración de contenido tiene los siguientes problemas de seguridad:
Los clientes no validan el contenido hasta después de descargarlo
Los clientes de Configuration Manager validan el hash de contenido solo después de descargarlo en la memoria caché del cliente. Si un atacante manipula la lista de archivos para descargar o el contenido en sí, el proceso de descarga puede ocupar un ancho de banda considerable hasta que el cliente después encuentra que debe desechar el contenido al detectar un hash no válido.
No se puede restringir el acceso al contenido hospedado por puntos de distribución basados en la nube a usuarios o grupos
A partir de Configuration Manager SP1, si usa puntos de distribución basados en la nube, el acceso al contenido se restringe automáticamente a la empresa y no puede restringirse aún más a usuarios o grupos determinados.
Un cliente bloqueado puede seguir descargando contenido desde un punto de distribución basado en la nube por un plazo de hasta 8 horas
A partir de Configuration Manager SP1, si usa puntos de distribución basados en la nube, los clientes son autenticados por el punto de administración y, a continuación, emplean un token de Configuration Manager para tener acceso a los puntos de distribución basados en la nube. El token es válido por 8 horas; por eso, si se bloquea un cliente porque deja de ser de confianza, igualmente puede seguir descargando contenido desde un punto de distribución basado en la nube hasta que expira el período de validez del token. En ese momento, el punto de administración no emitirá otro token para el cliente porque el cliente está bloqueado.
Para evitar que un cliente bloqueado descargue contenido en este período de 8 horas, puede detener el servicio de nube desde el nodo Nube, Configuración de jerarquía, en el área de trabajo Administración de la consola de Configuration Manager. Para obtener más información, vea Administración de servicios de nube para Configuration Manager.
Información de privacidad para la administración de contenido
Configuration Manager no incluye ningún dato de usuario en los archivos de contenido, aunque un usuario administrativo podría optar por incluirlos.
Antes de configurar la administración de contenido, tenga en cuenta los requisitos de privacidad.