Segurança e privacidade para definições de conformidade no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Este tópico contém informações de segurança e privacidade para definições de conformidade no System Center 2012 Configuration Manager.

Segurança melhores práticas para definições de conformidade

Utilize as seguintes práticas recomendadas de segurança ao gerir definições de conformidade em clientes.

Procedimento recomendado de segurança

Mais informações

Não monitorize dados confidenciais.

Para ajudar a evitar a divulgação de informações, não configure itens de configuração para monitorizar informações potencialmente confidenciais.

Não configure regras de conformidade que utilizem dados passíveis de serem modificados por utilizadores finais.

Se criar uma regra de conformidade com base em dados que os utilizadores podem modificar, tais como definições de registo para opções de configuração, os resultados de conformidade não será fiáveis.

Importe pacotes de configuração do Microsoft System Center e outros dados de configuração de origens externas apenas se tiverem uma assinatura digital válida a partir de um fabricante fidedigno.

Dados de configuração publicada podem ser assinados digitalmente para que possa verificar a origem de publicação e certifique-se de que os dados não foi adulterados.Se a verificação de assinatura digital falhar, for avisado e lhe for pedido para continuar com a importação.Não importe dados não assinados se não consegue verificar a origem e integridade dos dados.

Implemente controlos de acesso para proteger computadores de referência.

Certifique-se de que quando um utilizador administrativo configura um registo ou a definição do sistema de ficheiros ao navegar para um computador de referência, o computador de referência tinha não sido comprometido.

Proteja o canal de comunicação ao navegar para um computador de referência.

Para evitar a adulteração dos dados quando este é transferido através da rede, utilizar segurança de protocolo Internet (IPsec) ou bloco de mensagem de servidor (SMB) entre o computador que executa o Gestor de configuração consola e o computador de referência.

Restringir e monitorizar os utilizadores administrativos que são concedidos a função de segurança baseada em funções de Gestor de definições de conformidade.

Os utilizadores administrativos que são concedidos a função de Gestor de definições de conformidade podem implementar itens de configuração para todos os dispositivos e todos os utilizadores na hierarquia.Itens de configuração podem ser muito poderosas e podem a incluir, por exemplo, scripts e reconfiguração de registo.

Informações de privacidade para definições de conformidade

Pode utilizar definições de conformidade para avaliar se os seus dispositivos de cliente estão em conformidade com os itens de configuração que implementar em linhas de base de configuração.Algumas definições podem ser automaticamente resolvidas se estes fora de conformidade.As informações de conformidade são enviadas para o servidor do site pelo ponto de gestão e armazenadas na base de dados do site.As informações são encriptadas quando os dispositivos as enviam para o ponto de gestão, mas não são armazenadas em formato encriptado na base de dados do site.As informações são retidas na base de dados até que a tarefa de manutenção do site Eliminar Dados de Gestão de Configuração Desatualizados as elimine todos os 90 dias.Pode configurar o intervalo de eliminação.As informações de conformidade não são enviadas à Microsoft.

Por predefinição, dispositivos não avaliar definições de conformidade.Além disso, tem de configurar os itens de configuração e linhas de base de configuração e, em seguida, implemente-los para dispositivos.

Antes de configurar definições de conformidade, considere os requisitos de privacidade.