Segurança e Privacidade para Implementar Sistemas Operativos no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Este tópico contém informações de segurança e privacidade para implementação do sistema operativo no System Center 2012 Configuration Manager.

Utilize os seguintes procedimentos de segurança recomendados ao implementar sistemas operativos com o Gestor de configuração:

Procedimento recomendado de segurança

Mais informações

Implementar controlos de acesso para proteger os suportes de dados de arranque

Ao criar suportes de dados de arranque, atribua sempre uma palavra-passe para ajudar a proteger os suportes de dados. No entanto, mesmo com uma palavra-passe, apenas os ficheiros que contêm informações sensíveis são encriptados, e todos os ficheiros podem ser substituídos.

Controle o acesso físico ao suporte de dados para impedir que um atacante utilize ataques criptográficos para obter o certificado de autenticação de cliente.

System_CAPS_noteNota

No Gestor de configuração SP1, para ajudar a impedir que um cliente instale conteúdo ou adultere a política de cliente, o conteúdo é protegido por hash e tem de ser utilizado com a política original. Se o hash de conteúdo ou a verificação de que o conteúdo corresponde à política falharem, o cliente não utilizará o suporte de dados de arranque. Só o conteúdo é protegido por hash: a política não é, mas é encriptada e protegida se especificar uma palavra-passe, o que dificulta a modificação da política por um atacante.

Utilizar uma localização protegida ao criar suportes de dados para imagens de sistema operativo

Se utilizadores não autorizados tiverem acesso à localização, poderão adulterar os ficheiros que criar. Além disso, poderão utilizar todo o espaço disponível no disco, provocando a falha da criação dos suportes de dados.

Proteja os ficheiros de certificado (.pfx) com uma palavra-passe segura e, se os armazenar na rede, proteja o canal de rede ao importá-los para o Gestor de configuração

Exigir uma palavra-passe ao importar o certificado de autenticação de cliente utilizado para os suportes de dados de arranque ajuda a proteger o certificado contra eventuais atacantes.

Utilize a assinatura SMB ou IPsec entre a localização de rede e o servidor de site para impedir que um atacante adultere o ficheiro de certificado.

Se o certificado de cliente for comprometido, bloqueie-o a partir do Gestor de configuração e revogue-o se se tratar de um certificado PKI

Para implementar um sistema operativo utilizando suportes de dados de arranque e arranque PXE, terá de possuir um certificado de autenticação de cliente com uma chave privada. Se esse certificado for comprometido, bloqueie o certificado no nó Certificados da área de trabalho Administração, nó Segurança.

Para mais informações sobre a diferença entre o bloqueio de um certificado e a sua revogação, consulte Comparação do Bloqueio de Clientes com a Revogação de Certificados de Cliente.

Quando o Fornecedor de SMS se encontrar num computador ou computadores que não o servidor de site, proteja o canal de comunicação para proteger as imagens de arranque

Quando as imagens de arranque são modificadas e o Fornecedor de SMS se encontra em execução num servidor que não seja o servidor de site, as imagens de arranque estão vulneráveis a ataques. Proteja o canal de rede entre estes computadores utilizando a assinatura SMB ou IPsec.

Ativar pontos de distribuição para comunicação de cliente PXE apenas em segmentos de rede seguros

Quando um cliente envia um pedido de arranque PXE, não tem nenhuma forma de garantir que o pedido é servido por um ponto de distribuição PXE ativado. Este cenário apresenta os seguintes riscos de segurança:

  • Um ponto de distribuição não autorizado que responda a pedidos PXE poderia fornecer uma imagem adulterada aos clientes.

  • Um atacante poderia lançar um ataque "man-in-the-middle" contra o protocolo TFTP utilizado pelo PXE e enviar código malicioso juntamente com os ficheiros do sistema operativo, ou criar um cliente não autorizado para fazer pedidos TFTP diretamente ao ponto de distribuição.

  • Um atacante poderia utilizar um cliente malicioso para lançar um ataque denial-of-service contra o ponto de distribuição.

Utilize defesa em profundidade para proteger os segmentos de rede onde os clientes acederão aos pontos de distribuição para pedidos PXE.

System_CAPS_warningAviso

Devido a estes riscos de segurança, não ative um ponto de distribuição para comunicação PXE quando este se encontrar numa rede não fidedigna, tal como uma rede de perímetro.

Configurar pontos de distribuição PXE ativados para responder a pedidos PXE apenas em interfaces de rede especificadas

Se permitir que o ponto de distribuição responda a pedidos PXE em todas as interfaces de rede, esta configuração poderá expor o serviço PXE a redes não fidedignas

Exigir uma palavra-passe para efetuar o arranque PXE

Ao exigir uma palavra-passe para o arranque PXE, esta configuração adiciona um nível de segurança extra ao processo de arranque PXE, ajudando a protegê-lo contra a adesão de clientes não autorizados à hierarquia do Gestor de configuração.

Não incluir aplicações ou software de linha de negócios que contenham dados confidenciais numa imagem que seja utilizada para arranque PXE ou multicast

Dados os riscos de segurança inerentes ao arranque PXE e multicast, reduza os riscos se o computador não autorizado transferir a imagem do sistema operativo.

Não incluir aplicações ou software de linha de negócios que contenham dados confidenciais em pacotes de software que sejam instalados utilizando variáveis de sequência de tarefas

Se implementar pacotes de software utilizando variáveis de sequência de tarefas, o software poderá ser instalado em computadores e para utilizadores que não estejam autorizados a recebê-lo.

Ao migrar o estado de utilizador, proteger o canal de rede entre o cliente e o ponto de migração de estado utilizando a assinatura SMB ou IPsec

Após a ligação inicial através de HTTP, os dados da migração de estado de utilizador são transferidos utilizando SMB. Se não proteger o canal de rede, um atacante poderá ler e modificar esses dados.

Utilizar a versão mais recente da Ferramenta de Migração de Estado do Utilizador (USMT) suportada pelo Gestor de configuração

A versão mais recente do USMT fornece melhoramentos de segurança e um maior controlo ao migrar dados de estado do utilizador.

Eliminar manualmente as pastas no ponto de migração de estado quando estas forem desativadas

Ao remover uma pasta de ponto de migração de estado na consola do Gestor de configuração nas propriedades do ponto de migração de estado, a pasta física não é eliminada. Para proteger os dados da migração de estado de utilizador contra divulgação de informações, terá de remover manualmente a partilha de rede e eliminar a pasta.

Não configurar a política de eliminação para eliminar imediatamente o estado de utilizador

Se configurar a política de eliminação no ponto de migração de estado para remover os dados marcados para eliminação imediata e se um atacante conseguir obter os dados de estado do utilizador antes do computador válido, os dados de estado do utilizador poderão ser imediatamente eliminados. Defina o intervalo Eliminar depois de de modo a ser suficientemente longo para permitir verificar o sucesso do restauro dos dados de estado de utilizador.

Eliminar manualmente as associações de computadores quando o restauro dos dados de migração de estado de utilizador estiver concluído e verificado

O Gestor de configuração não remove automaticamente as associações de computadores. Ajude a proteger a identidade dos dados de estado de utilizador eliminando manualmente as associações de computadores que já não sejam necessárias.

Fazer manualmente cópias de segurança dos dados de migração de estado de utilizador no ponto de migração de estado

A Cópia de Segurança do Gestor de configuração não inclui os dados de migração de estado de utilizador.

Lembrar de ativar o BitLocker após a instalação do sistema operativo

Se um computador suportar o BitLocker, terá de o desativar utilizando um passo de sequência de tarefas se pretender instalar o sistema operativo de forma automática. O Gestor de configuração não ativa o BitLocker após a instalação do sistema operativo, pelo que terá de o reativar manualmente.

Implementar controlos de acesso para proteger os suportes de dados pré-configurados

Controle o acesso físico ao suporte de dados para impedir que um atacante utilize ataques criptográficos para obter o certificado de autenticação de cliente e dados confidenciais.

Implementar controlos de acesso para proteger o processo de processamento de imagens do computador de referência

Certifique-se de que o computador de referência utilizado para capturar as imagens do sistema operativo se encontra num ambiente seguro, com controlos de acesso adequados, para que não seja possível instalar nem incluir software inesperado ou malicioso na imagem capturada. Ao capturar a imagem, certifique-se de que a localização de partilha de ficheiros na rede de destino é segura, para que não seja possível adulterar a imagem após a respetiva captura.

Instalar sempre as atualizações de segurança mais recentes no computador de referência

Se o computador de referência tiver as atualizações de segurança mais recentes, isso ajudará a reduzir a janela de vulnerabilidade dos novos computadores durante o primeiro arranque.

Se tiver de implementar sistemas operativos num computador desconhecido, implemente controlos de acesso para impedir a ligação de computadores não autorizados à rede

Embora o aprovisionamento de computadores desconhecidos constitua um método cómodo para implementar novos computadores a pedido, poderá permitir que um atacante se torne, de forma eficiente, num cliente fidedigno na rede. Limite o acesso físico à rede e monitorize os clientes para detetar computadores não autorizados. Além disso, os computadores que respondam a implementações de sistema operativo iniciadas por PXE poderão ver todos os seus dados destruídos durante a implementação do sistema operativo, o que poderá resultar na redução da disponibilidade dos sistemas que sejam reformatados de forma inadvertida.

Ativar a encriptação de pacotes multicast

Para cada pacote de implementação de sistema operativo, tem a opção de ativar a encriptação quando o Gestor de configuração transfere o pacote utilizando multicast. Esta configuração ajuda a impedir a adesão de computadores não autorizados à sessão multicast e a impedir atacantes de adulterarem a transmissão.

Monitorizar pontos de distribuição multicast ativados não autorizados

Se os atacantes conseguirem aceder à rede, poderão configurar servidores multicast não autorizados para falsificar a implementação do sistema operativo.

Ao exportar sequências de tarefas para uma localização de rede, proteja a localização e o canal de rede

Limite quem pode aceder à pasta de rede.

Utilize a assinatura SMB ou IPsec entre a localização de rede e o servidor de site para impedir que um atacante adultere a sequência de tarefas exportada.

Para o System Center 2012 R2 Configuration Manager e posterior:

Proteja o canal de comunicação ao carregar um disco rígido virtual no Virtual Machine Manager.

Para impedir a adulteração dos dados transferidos através da rede, utilize o protocolo IPsec (Internet Protocol Security) ou bloco de mensagem de servidor (SMB) entre o computador com a consola do Gestor de configuração e o computador com o Virtual Machine Manager.

Se tiver de utilizar a Conta Run As de Sequência de Tarefas, tome precauções de segurança adicionais

Implemente as seguintes medidas de precaução se utilizar a Conta Run As de Sequência de Tarefas:

  • Utilize uma conta com o mínimo de permissões necessárias.

  • Não utilize a conta de Acesso à Rede para esta conta.

  • Nunca torne a conta num administrador do domínio.

Além disso:

  • Nunca configure perfis itinerantes para essa conta. Quando a sequência de tarefas for executada, transferirá o perfil itinerante para a conta, o que deixará o perfil vulnerável a acesso no computador local.

  • Limite o âmbito da conta. Por exemplo, crie Contas Run As de Sequência de Tarefas diferentes para cada sequência de tarefas, de modo a que, se uma conta for comprometida, apenas sejam comprometidos os computadores cliente a que essa conta tenha acesso. Se a linha de comandos exigir acesso administrativo no computador, considere a criação de uma conta de administrador local apenas para a Conta Run As de Sequência de Tarefas em todos os computadores que executarão a sequência de tarefas, eliminando-a assim que deixar de ser necessária.

Restringir e monitorizar os utilizadores administrativos a quem é concedida a função de segurança Gestor de Implementação do Sistema Operativo

Os utilizadores administrativos a quem é concedida a função de segurança Gestor de Implementação do Sistema Operativo podem criar certificados autoassinados, que podem ser utilizados para representar um cliente e obter a política de cliente do Gestor de configuração.

Embora a implementação do sistema operativo possa constituir uma forma cómoda de implementar os sistemas operativos e configurações mais seguras em computadores da rede, apresenta os seguintes riscos de segurança:

  • Divulgação de informações e denial-of-service

    Se um atacante obtiver o controlo da infraestrutura do Gestor de configuração, poderá executar quaisquer sequências de tarefas, o que poderá incluir a formatação das unidades de disco rígido dos computadores cliente. As sequências de tarefas podem ser configuradas para conter informações confidenciais, tais como contas que tenham permissões para aderir ao domínio e chaves de licenciamento em volume.

  • Representação e elevação de privilégios

    As sequências de tarefas permitem associar um computador ao domínio, o que poderá fornecer acesso autenticado de rede a um computador não autorizado. Outra consideração de segurança importante na implementação do sistema operativo é a proteção do certificado de autenticação de cliente utilizado para suportes de dados de sequências de tarefas de arranque e para implementação de arranque PXE. Ao capturar um certificado de autenticação de cliente, está a dar oportunidade a um atacante de obter a chave privada do certificado, passando a representar um cliente válido na rede.

    Se um intruso obtiver o certificado do cliente utilizado para suportes de dados de sequências de tarefas de arranque e para implementação de arranque PXE, este certificado pode ser utilizado para representar um cliente válido no Gestor de configuração. Neste cenário, o computador não autorizado pode transferir a política, que pode conter dados confidenciais.

    Se os clientes utilizarem a Conta de Acesso à Rede para aceder a dados armazenados no ponto de migração de estado, estes clientes partilham efetivamente a mesma identidade e podem aceder aos dados de migração de estado de outro cliente que utilize a Conta de Acesso à Rede. Os dados são encriptados para poderem ser lidos apenas pelo cliente original, mas podem ser adulterados ou eliminados.

  • O ponto de migração de estado não utiliza a autenticação no Gestor de configuração sem service pack

    No Gestor de configuração sem service pack, o ponto de migração de estado não autentica ligações, por conseguinte, qualquer pessoa pode enviar dados para o ponto de migração de estado e obter dados armazenados no mesmo. Embora os dados de estado de utilizador obtidos só possam ser lidos pelo computador original, não os considere seguros.

    No Gestor de configuração SP1, a autenticação de cliente para o ponto de migração de estado é efetuada através de um token do Gestor de configuração que é emitido pelo ponto de gestão.

    Além disso, o Gestor de configuração não limita nem gere o volume de dados armazenados no ponto de migração de estado e um intruso pode preencher o espaço em disco disponível e causar uma recusa de serviço.

  • Se utilizar variáveis de coleção, os administradores locais podem ler informações potencialmente confidenciais

    Embora as variáveis de coleção ofereçam um método flexível de implementar sistemas operativos, isto pode resultar em divulgação de informações.

Para além de implementar sistemas operativos em computadores sem sistema operativo, o Gestor de configuração pode ser utilizado para migrar ficheiros e definições de utilizadores de um computador para outro. O administrador configura as informações para transferência, incluindo ficheiros de dados pessoais, definições de configuração e cookies do browser.

As informações são armazenadas num ponto de migração de estado e encriptadas durante a transmissão e o armazenamento. As informações podem ser obtidas pelo novo computador associado às informações de estado. Se o novo computador perder a chave para obter as informações, um administrador do Configuration Manager com direito para Ver Informações de Recuperação em objetos de instância da associação do computador pode aceder às informações e associá-las a um novo computador. Depois do restauro das informações de estado pelo computador novo, por predefinição, este elimina os dados ao fim de um dia. Pode configurar o momento de remoção dos dados marcados para eliminação pelo ponto de migração de estado. As informações de migração de estado não são armazenadas na base de dados do site e não são enviadas à Microsoft.

Se utilizar o suporte de dados de arranque para implementar imagens do sistema operativo, utilize sempre a opção predefinida para proteger por palavra-passe o suporte de dados de arranque. A palavra-passe encripta todas as variáveis armazenadas na sequência de tarefas, mas informações não armazenadas numa variável poderão ficar sujeitas a divulgação.

A implementação do sistema operativo pode utilizar sequências de tarefa para executar muitas tarefas diferentes durante o processo de implementação, que inclui a instalação de aplicações e atualizações de software. Quando configurar sequências de tarefas, também deve estar ciente das implicações de privacidade da instalação de software.

Se carregar um disco rígido virtual para o Virtual Machine Manager sem primeiro utilizar o Sysprep para limpar a imagem, o disco rígido virtual carregado pode conter dados pessoais da imagem original.

O Gestor de configuração não implementa implementações de sistema operativo por predefinição e requer diversos passos de configuração para poder recolher informações do estado do utilizador ou criar sequências de tarefas ou imagens de arranque.

Antes de configurar a implementação do sistema operativo, considere os requisitos de privacidade.

Mostrar: