Segurança e privacidade para administração de site no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Esta seção contém informações sobre segurança e privacidade para os sites do System Center 2012 Configuration Manager e a hierarquia:

  • Práticas recomendadas de segurança para administração de site

    • Práticas recomendadas de segurança para o servidor do site

    • Práticas recomendadas de segurança para o SQL Server

    • Práticas recomendadas de segurança para os sistemas de site que executam IIS

    • Práticas recomendadas de segurança para o ponto de gerenciamento

    • Práticas recomendadas de segurança para o ponto de status de fallback

    • Problemas de segurança para a administração do site

  • Informações de privacidade para descoberta

Práticas recomendadas de segurança para administração de site

Use as práticas recomendadas de segurança a seguir para ajudar a proteger o site do System Center 2012 Configuration Manager e a hierarquia.

Prática recomendada de segurança

Mais informações

Executar a instalação somente de uma fonte confiável e proteger o canal de comunicação entre a mídia de instalação e o servidor do site.

Para ajudar a evitar a violação dos arquivos de origem, execute a instalação de uma fonte confiável. Se você armazenar arquivos na rede, proteja o local de rede.

Se você executar a instalação de um local de rede, para ajudar a evitar que um invasor viole os arquivos enquanto eles são transmitidos pela rede, use a assinatura IPsec ou SMB entre o local de origem dos arquivos de instalação e o servidor do site.

Além disso, se você usar o Downloader de Instalação para baixar os arquivos solicitados pela instalação, assegure também a proteção do local onde esses arquivos são armazenados e proteja o canal de comunicação desse local ao executar a instalação.

Estender o esquema do Active Directory para o System Center 2012 Configuration Manager e publicar sites nos Serviços de Domínio Active Directory.

Não é exigido que as extensões do esquema executem o Microsoft System Center 2012 Configuration Manager, mas elas criam um ambiente mais seguro, pois os clientes do Gerenciador de Configurações e servidores do site podem recuperar informações de uma fonte confiável.

Se os clientes estiverem em um domínio não confiável, implante as seguintes funções do sistema de site no domínio dos clientes:

  • Ponto de gerenciamento

  • Ponto de distribuição

  • Ponto de sites da Web do catálogo de aplicativos

System_CAPS_noteObservação

Um domínio confiável para o Gerenciador de Configurações requer autenticação Kerberos; portanto, se os clientes estiverem em outra floresta que não tenha uma relação de confiança bidirecional com a floresta do servidor do site, considera-se que esses clientes estão em domínio não confiável. Uma relação de confiança externa não é suficiente para essa finalidade.

Usar o IPsec para proteger as comunicações entre os servidores do sistema de site e sites.

Embora o Gerenciador de Configurações proteja a comunicação entre o servidor do site e o computador que executa o SQL Server, o Gerenciador de Configurações não protege a comunicação entre funções do sistema de site e o SQL Server. Somente alguns sistemas de site (o ponto de registro e o ponto de serviços Web do catálogo de aplicativos) podem ser configurados para HTTPS para comunicação intrassite.

Se você não usar controles adicionais para proteger esses canais de servidor para servidor, os invasores poderão usar vários ataques de falsificação e intermediários. Usar a assinatura SMB quando você não pode usar o IPsec.

System_CAPS_noteObservação

É particularmente importante proteger o canal de comunicação entre o servidor do site e o servidor de origem do pacote. Essa comunicação usa SMB. Se você não pode usar o IPsec para proteger essa comunicação, use a assinatura SMB para assegurar que os arquivos não sejam violados antes de os clientes baixarem e executarem os arquivos.

Não altere os grupos de segurança que o Gerenciador de Configurações cria e gerencia para comunicação do sistema de site:

  • SMS_SiteSystemToSiteServerConnection_MP_

    Práticas recomendadas de segurança para o servidor do site

    Use as práticas recomendadas de segurança a seguir para ajudar a proteger o servidor do site do Gerenciador de Configurações.

    Prática recomendada de segurança

    Mais informações

    Instale o Gerenciador de Configurações em um servidor membro em vez de em um controlador de domínio.

    O servidor e os sistemas de site do Gerenciador de Configurações não requerem instalação em um controlador de domínio. Controladores de domínio não têm outro banco de dados SAM (Gerenciamento de Contas de Segurança) local além do banco de dados do domínio. Ao instalar o Gerenciador de Configurações em um servidor membro, você poderá manter as contas do Gerenciador de Configurações no banco de dados SAM local, em vez de manter no banco de dados do domínio.

    Essa prática também reduz a superfície sujeita a ataques nos controladores de domínio.

    Instale sites secundários, evitando copiar os arquivos no servidor do site secundário pela rede.

    Ao executar a Instalação e criar um site secundário, não selecione a opção para copiar os arquivos do site pai no site secundário nem use um local de origem na rede. Quando você copia arquivos pela rede, algum invasor habilidoso pode invadir o pacote de instalação do site secundário e adulterar os arquivos antes de serem instalados, apesar de que seria difícil cronometrar esse ataque. Esse ataque pode ser reduzido com o uso de IPsec ou SMB quando você transferir os arquivos.

    Em vez de copiar os arquivos pela rede, no servidor do site secundário, copie os arquivos de origem da mídia para uma pasta local. Depois, ao executar a Instalação para criar um site secundário, na página Arquivos de Origem de Instalação, selecione Usar os arquivos de origem no seguinte local no computador do site secundário (mais seguro) e especifique essa pasta.

    Para obter mais informações, veja a seção Instalar um site secundário no tópico Instalar sites e criar uma hierarquia para o Configuration Manager.

    Práticas recomendadas de segurança para o SQL Server

    O Gerenciador de Configuraçõesusa o SQL Server como banco de dados back-end. Se o banco de dados estiver comprometido, os invasores podem ignorar o Gerenciador de Configurações e acessar diretamente o SQL Server para lançar ataques por meio do Gerenciador de Configurações. Considere os ataques contra o SQL Server de risco muito elevado, os quais devem ser reduzidos adequadamente.

    Use as práticas recomendadas de segurança a seguir para ajudar a proteger o SQL Server do Gerenciador de Configurações.

    Prática recomendada de segurança

    Mais informações

    Não use o servidor de banco de dados do site do Gerenciador de Configurações para executar outros aplicativos do SQL Server.

    Quando você aumenta o acesso ao servidor de banco de dados do site do Gerenciador de Configurações, aumenta o risco aos dados doGerenciador de Configurações. Se o banco de dados do site do Gerenciador de Configurações estiver comprometido, outros aplicativos no mesmo computador SQL Server também estarão em risco.

    Configurar o SQL Server para usar autenticação do Windows.

    Embora o Gerenciador de Configurações acesse o banco de dados do site usando uma conta do Windows e autenticação do Windows, ainda é possível configurar o SQL Server para usar o modo misto do SQL Server. O modo misto do SQL Server permite logins adicionais do SQL para acessar o banco de dados, o que não é necessário e aumenta a superfície sujeita a ataques.

    Adote medidas adicionais para garantir que os sites secundários que usam o SQL Server Express tenham as últimas atualizações de software.

    Quando você instala um site primário, o Gerenciador de Configurações baixa o SQL Server Express do Centro de Download da Microsoft e copia os arquivos no servidor do site primário. Quando você instala um site secundário e seleciona a opção que instala o SQL Server Express, o Gerenciador de Configurações instala a versão baixada anteriormente e não verifica se há novas versões disponíveis. Para garantir que o site secundário tenha as versões mais recentes, execute um dos procedimentos a seguir:

    • Depois de instalado o site secundário, execute o Windows Update no servidor do site secundário.

    • Antes de instalar o site secundário, instale manualmente o SQL Server Express no computador que irá executar o servidor do site secundário e verifique se você instalou a versão mais recente, bem como as atualizações de software. Em seguida, instale o site secundário e selecione a opção de usar uma instância existente do SQL Server.

    Periodicamente, execute o Windows Update para esses sites e para todas as versões instaladas do SQL Server para garantir que eles tenham as últimas atualizações de software.

    Siga as práticas recomendadas para o SQL Server.

    Identifique e siga as práticas recomendadas para a sua versão do SQL Server. No entanto, leve em consideração os seguintes requisitos do Gerenciador de Configurações:

    • A conta de computador do servidor do site deve ser um membro do grupo de Administradores no computador que executa o SQL Server. Se você seguir a recomendação do SQL Server de "provisionar entidades de administração explicitamente", a conta que você usar para executar a Instalação no servidor do site deverá ser um membro do grupo de usuários do SQL.

    • Se você instalar o SQL Server usando uma conta de usuário de domínio, verifique se a conta de computador do servidor do site está configurada para um SPN (Nome da Entidade de Serviço), que é publicado em Serviços de Domínio Active Directory . Sem o SPN, a autenticação Kerberos e a instalação do Gerenciador de Configurações falharão.

    Práticas recomendadas de segurança para os sistemas de site que executam IIS

    Várias funções do sistema de site do Gerenciador de Configurações requerem IIS. Proteger o IIS permite que o Gerenciador de Configurações funcione corretamente e reduz o risco de ataques à segurança. Quando for viável, minimize o número de servidores que requerem IIS. Por exemplo, execute apenas o número de pontos de gerenciamento que você precisa para dar suporte à sua base de clientes, levando em consideração a alta disponibilidade e o isolamento da rede para o gerenciamento de clientes baseado na Internet.

    Use as práticas recomendadas de segurança a seguir para proteger os sistemas de site que executam IIS.

    Prática recomendada de segurança.

    Mais informações

    Desabilite as funções do IIS de que você não precisa.

    Instale o mínimo de recursos do IIS para a função do sistema de site que você instalar. Para obter mais informações, veja Requisitos do sistema de sites no tópico Configurações com suporte para o Configuration Manager.

    Configure as funções do sistema de site para exigir HTTPS.

    Quando os clientes se conectam a um sistema de site usando HTTP, em vez de HTTPS, eles usam a autenticação do Windows, que pode voltar a usar a autenticação NTLM em vez da autenticação Kerberos. Quando a autenticação NTLM é usada, os clientes podem se conectar a um servidor não autorizado.

    A exceção a essa prática recomendada de segurança podem ser os pontos de distribuição, pois as contas de acesso ao pacote não funcionam quando o ponto de distribuição está configurado para HTTPS. As contas de acesso ao pacote fornecem autorização para acesso ao conteúdo, de modo que você pode restringir quais usuários podem acessar o conteúdo. Para obter mais informações, consulte Práticas recomendadas de segurança para gerenciamento de conteúdo.

    Configure uma CTL (Lista de Certificados Confiáveis) no IIS para obter as seguintes funções do sistema de site:

    • Um ponto de distribuição configurado para HTTPS.

    • Um gerenciamento configurado para HTTPS e habilitado para oferecer suporte a dispositivos móveis.

    Uma CTL é uma lista definida de autoridades de certificação confiáveis. Quando você usa uma CTL com Política de Grupo e implantação de PKI, uma CTL permite complementar as autoridades de certificação confiáveis ​​existentes configuradas na rede, como aquelas instaladas automaticamente com o Microsoft Windows ou adicionadas por meio de autoridades de certificação raiz corporativas do Windows. No entanto, quando uma CTL é configurada no IIS, ela define um subconjunto dessas autoridades de certificação confiáveis.

    Esse subconjunto fornece mais controle sobre a segurança, pois a CTL restringe os certificados de cliente aceitos para somente aqueles emitidos a partir da lista de autoridades de certificação na CTL. Por exemplo, o Windows vem com um número de certificados de autoridades de certificação de terceiros bem conhecidas, como VeriSign e Thawte. Por padrão, computadores que executam o IIS confiam em certificados vinculados a essas autoridades de certificação bem conhecidas. Quando você não configurar o IIS com uma CTL para as funções do sistema de site listadas, todo dispositivo que tenha um certificado de cliente emitido por essas autoridades de certificação será aceito como um cliente válido do Gerenciador de Configurações. Se você configurar o IIS com uma CTL que não inclua essas autoridades de certificação, as conexões do cliente serão recusadas ​​se o certificado for vinculado a essas autoridades de certificação. Entretanto, para que os clientes do Gerenciador de Configurações sejam aceitos para as funções do sistema de site listadas, será necessário configurar o IIS com uma CTL que especifique as autoridades de certificação usadas pelos clientes do Gerenciador de Configurações.

    System_CAPS_noteObservação

    Somente as funções do sistema de site listadas requerem que você configure uma CTL no IIS; a lista de emissores de certificado que o Gerenciador de Configurações usa para pontos de gerenciamento fornece a mesma funcionalidade aos computadores cliente quando eles se conectam a pontos de gerenciamento de HTTPS.

    Para obter mais informações sobre como configurar uma lista de autoridades de certificação confiáveis ​​no IIS, consulte a documentação do IIS.

    Não coloque o servidor do site em um computador com IIS.

    A separação de funções ajuda a reduzir o perfil de ataque e a aumentar a capacidade de recuperação. Além disso, a conta de computador do servidor do site geralmente tem privilégios administrativos em todas as funções do sistema de site (e, possivelmente, em clientes do Gerenciador de Configurações, se você usar a instalação do cliente por push).

    Use servidores IIS dedicados para o Gerenciador de Configurações.

    Embora seja possível hospedar em servidores IIS vários aplicativos baseados na Web também usados pelo Gerenciador de Configurações, essa prática pode aumentar consideravelmente a superfície sujeita a ataques. Aplicativos mal configurados podem permitir que um invasor obtenha o controle de um sistema de site do Gerenciador de Configurações, o que poderia permitir que ele também obtivesse o controle da hierarquia.

    Se você precisar executar outros aplicativos baseados na Web em sistemas de site do Gerenciador de Configurações, crie um site da Web personalizado para os sistemas de site do Gerenciador de Configurações.

    Use um site da Web personalizado.

    Para sistemas de site que executam o IIS, você pode configurar o Gerenciador de Configurações para usar um site da Web personalizado em vez do site da Web padrão do IIS. Se for necessário executar outros aplicativos Web no sistema de site, você deverá usar um site da Web personalizado. Essa configuração abrange todo o site, não apenas um sistema de site específico.

    Além de fornecer segurança adicional, você deverá usar um site da Web personalizado se executar outros aplicativos Web no sistema de sites.

    Se você alternar do site da Web padrão para um site da Web personalizado depois que todas as funções do ponto de distribuição forem instaladas, remova os diretórios virtuais padrão.

    Quando você alterna do site da Web padrão para um site da Web personalizado, o Gerenciador de Configurações não remove diretórios virtuais antigos. Remova os diretórios virtuais que o Gerenciador de Configurações criou originalmente no site da Web padrão.

    Por exemplo, os diretórios virtuais a serem removidos de um ponto de distribuição são os seguintes:

    • SMS_DP_SMSPKG$

    • SMS_DP_SMSSIG$

    • NOCERT_SMS_DP_SMSPKG$

    • NOCERT_SMS_DP_SMSSIG$

    Siga as práticas recomendadas para o Servidor IIS.

    Identifique e siga as práticas recomendadas para a sua versão do Servidor IIS. No entanto, leve em consideração todos os requisitos do Gerenciador de Configurações para funções específicas do sistema de site. Para obter mais informações, veja a seção Requisitos do sistema de sites no tópico Configurações com suporte para o Configuration Manager.

    Práticas recomendadas de segurança para o ponto de gerenciamento

    Os pontos de gerenciamento são a principal interface entre dispositivos e o Gerenciador de Configurações. Considere os ataques contra o ponto de gerenciamento e o servidor em que ele é executado de risco muito elevado e a serem reparados adequadamente. Aplique todas as práticas recomendadas de segurança apropriadas e monitore atividades incomuns.

    Use as práticas recomendadas de segurança a seguir para ajudar a proteger um ponto de gerenciamento no Gerenciador de Configurações.

    Prática recomendada de segurança

    Mais informações

    Ao instalar um cliente do Gerenciador de Configurações em um ponto de gerenciamento, atribua-o ao site desse ponto de gerenciamento.

    Evite o cenário em que um cliente do Gerenciador de Configurações que está em um sistema de site do ponto de gerenciamento é atribuído a outro site além daquele do ponto de gerenciamento.

    Se você migrar do Configuration Manager 2007 para o System Center 2012 Configuration Manager, migre o cliente do Configuration Manager 2007 para o System Center 2012 Configuration Manager o mais breve possível.

    Práticas recomendadas de segurança para o ponto de status de fallback

    Use as práticas recomendadas de segurança a seguir ao instalar um ponto de status de fallback no Gerenciador de Configurações.

    Para obter mais informações sobre considerações sobre segurança ao instalar um ponto de status de fallback, veja Determinar se você precisa de um ponto de status de fallback.

    Prática recomendada de segurança

    Mais informações

    Não execute outras funções do sistema de site no sistema de site e não as instale em um controlador de domínio.

    Como o ponto de status de fallback é projetado para aceitar comunicação não autenticada de qualquer computador, a execução dessa função do sistema de site com outras funções do sistema de site ou em um controlador de domínio aumenta consideravelmente o risco a esse servidor.

    Quando usar certificados PKI para comunicação do cliente no Gerenciador de Configurações, instale o ponto de status de fallback antes de instalar os clientes.

    Se os sistemas de site do Gerenciador de Configurações não aceitarem a comunicação de cliente HTTP, você poderá não saber que os clientes não são gerenciados devido a problemas de certificado relacionados a PKI. No entanto, se os clientes forem atribuídos a um ponto de status de fallback, esses problemas de certificado serão relatados pelo ponto de status de fallback.

    Por motivos de segurança, não é possível atribuir um ponto de status de fallback a clientes após a instalação deles; você pode atribuir essa função somente durante a instalação do cliente.

    Evite usar o ponto de status de fallback na rede de perímetro.

    Por design, o ponto de status de fallback aceita dados de qualquer cliente. Embora um ponto de status de fallback na rede de perímetro possa ajudar a solucionar problemas de clientes baseados na Internet, balanceie os benefícios da solução de problemas com o risco de um sistema de site que aceita dados não autenticados em uma rede acessível publicamente.

    Se você instalar o ponto de status de fallback na rede de perímetro ou em qualquer rede não confiável, configure o servidor do site para iniciar as transferências de dados, em vez da configuração padrão, a qual permite que o ponto de status de fallback inicie uma conexão com o servidor do site.

    Problemas de segurança para a administração do site

    Verifique os seguintes problemas de segurança para o Gerenciador de Configurações:

    • O Gerenciador de Configurações não tem defesa contra um usuário administrativo autorizado que usa o Gerenciador de Configurações para atacar a rede. Usuários administrativos não autorizados são um alto risco à segurança e podem iniciar vários ataques, que incluem:

      • Usar a implantação de software para instalar e executar automaticamente softwares mal-intencionados em cada computador cliente do Gerenciador de Configurações na empresa.

      • Usar o controle remoto para assumir o controle remoto de um cliente do Gerenciador de Configurações sem a permissão dele.

      • Configurar intervalos de sondagem rápidos e grandes quantidades de inventário para criar ataques de negação de serviço a clientes e servidores.

      • Usar um único site na hierarquia para gravar dados em dados do Active Directory de outro site.

      A hierarquia do site é o limite de segurança; considere a possibilidade de sites serem apenas limites de gerenciamento.

      Audite todas as atividades do usuário administrativo e examine rotineiramente os logs de auditoria. Exija que todos os usuários administrativos do Gerenciador de Configurações passem por uma verificação em segundo plano antes de serem contratados e exija novas verificações periódicas como uma condição para sua admissão.

    • Se o ponto de registro estiver comprometido, um invasor poderá obter certificados de autenticação e roubar as credenciais de usuários que registram seus dispositivos móveis.

      O ponto de registro se comunica com uma autoridade de certificação e pode criar, modificar e excluir objetos do Active Directory. Nunca instale o ponto de registro na rede de perímetro e monitore a atividade incomum.

    • Se você permitir políticas de usuários para o gerenciamento de clientes baseado na Internet ou configurar o ponto de sites da Web do catálogo de aplicativos em usuários quando eles estiverem na Internet, você aumentará seu perfil de ataque.

      Além de usar certificados PKI para conexões de cliente para servidor, essas configurações requerem a autenticação do Windows, que pode retornar ao uso da autenticação NTLM em vez da Kerberos. A autenticação NTLM é vulnerável a ataques de repetição e de representação. Para autenticar com êxito um usuário na Internet, permita uma conexão a partir do servidor do sistema de site baseado na Internet com um controlador de domínio.

    • O compartilhamento Admin$ é necessário em servidores do sistema de site.

      O servidor de site do Gerenciador de Configurações utiliza o compartilhamento Admin$ para se conectar aos sistemas de site e executar operações de serviço neles. Não desative ou remova o compartilhamento Admin$.

    • O Gerenciador de Configurações usa serviços de resolução de nomes para se conectar a outros computadores, e é difícil proteger esses arquivos contra ataques de segurança, como falsificação, adulteração, repúdio, divulgação de informações confidenciais, negação de serviço e elevação de privilégio.

      Identifique e siga as práticas recomendadas de segurança para a versão do DNS e do WINS usada para a resolução de nomes.

    Informações de privacidade para descoberta

    A descoberta cria registros para recursos de rede e os armazena no banco de dados do System Center 2012 Configuration Manager. Registros de dados de descobertas contêm informações do computador, como endereço IP, sistema operacional e o nome do computador. Os métodos de descoberta do Active Directory também podem ser configurados para descobrir quaisquer informações armazenadas nos Serviços de Domínio Active Directory.

    O único método de descoberta habilitado por padrão é a descoberta de pulsação, mas esse método somente descobre computadores que já possuem o software cliente do System Center 2012 Configuration Manager instalado.

    As informações de descoberta não são enviadas à Microsoft. As informações de descoberta são armazenadas no banco de dados do Gerenciador de Configurações. As informações são retidas no banco de dados até que sejam excluídas pela tarefa de manutenção de site Excluir Dados Antigos de Descoberta a cada 90 dias. Você pode configurar o intervalo de exclusão.

    Para configurar métodos de descoberta adicionais ou estender a descoberta do Active Directory, considere seus requisitos de privacidade.