Segurança e privacidade para a administração de sites no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Esta secção contém informações sobre segurança e privacidade dos sites e da hierarquia do O System Center Configuration Manager:

Utilize as melhores práticas de segurança seguintes para ajudar a proteger os sites e a hierarquia do O System Center Configuration Manager.

Execute a Configuração apenas a partir de uma origem fidedigna e proteja o canal de comunicação entre o suporte de dados da Configuração e o servidor de site.

Para ajudar a impedir a adulteração dos ficheiros de origem, execute a Configuração a partir de uma fonte fidedigna. Se armazenar os ficheiros na rede, proteja a localização de rede.

Se executar a Configuração a partir de uma localização de rede, para impedir que um atacante adultere os ficheiros durante a transmissão através da rede, utilize IPsec ou a assinatura SMB entre a localização de origem dos ficheiros da Configuração e o servidor de site.

Além disso, se utilizar o Dispositivo de Transferência da Configuração para transferir os ficheiros de que a Configuração necessita, certifique-se de que também protege a localização onde estes ficheiros estão armazenados e de que protege o canal de comunicação desta localização quando executar a Configuração.

Expanda o esquema do Active Directory para o O System Center Configuration Manager e publique os sites nos Serviços de Domínio do Active Directory.

Não são necessárias extensões de esquema para executar o O System Center Configuration Manager, mas criam um ambiente mais seguro porque os clientes e os servidores de site do Gestor de configuração podem obter informações a partir de uma origem fidedigna.

Se os clientes estiverem num domínio não fidedigno, implemente as seguintes funções de sistema de sites no domínio dos clientes:

  • Ponto de gestão

  • Ponto de distribuição

  • Ponto de Web site do Catálogo de Aplicações

System_CAPS_ICON_note.jpg Nota


Um domínio fidedigno do Gestor de configuração requer autenticação Kerberos, pelo que, se os clientes estiverem noutra floresta que não tenha uma confiança bidirecional com a floresta do servidor do site, será considerado que estes clientes estão num domínio não fidedigno. Uma confiança externa não é suficiente para este efeito.

Utilize IPsec para proteger as comunicações entre os sites e os servidores do sistema de sites.

Embora o Gestor de configuração assegure a comunicação entre o servidor do site e o computador que executa o SQL Server, o Gestor de configuração não assegura a comunicação entre as funções do sistema de sites e o SQL Server. Só alguns sistemas de sites (o ponto de registo e o ponto de serviço Web do catálogo de aplicações) podem ser configurados com HTTPS para comunicações intra-site.

Se não utilizar controlos adicionais para proteger estes canais servidor-servidor, os atacantes poderão utilizar vários ataques man-in-the-middle e de spoofing contra sistemas de sites. Utilize a assinatura SMB quando não for possível utilizar IPsec.

System_CAPS_ICON_note.jpg Nota


É especialmente importante proteger o canal de comunicação entre o servidor do site e o servidor de origem do pacote. Esta comunicação utiliza SMB. Se não for possível utilizar IPsec para proteger estas comunicações, utilize a assinatura SMB para assegurar que os ficheiros não são adulterados antes de os clientes os transferirem e executarem.

Não altere os grupos de segurança que o Gestor de configuração cria e gere para as comunicações do sistema de sites.

Grupos de segurança:

  • SMS_SiteSystemToSiteServerConnection_MP_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_SMSProv_<SiteCode>

  • SMS_SiteSystemToSiteServerConnection_Stat_<SiteCode>

Gestor de configuração cria e gere automaticamente estes grupos de segurança. Isto inclui a remoção de contas de computador quando uma função de sistema de sites é removida.

Para assegurar a continuidade de serviço e o mínimo de privilégios, não edite manualmente estes grupos.

Se os clientes não conseguirem consultar informações do Gestor de configuração no servidor de Catálogo Global, efetue a gestão do processo de aprovisionamento da chave de raiz fidedigna.

Se os clientes não conseguirem consultar informações do Gestor de configuração no servidor de Catálogo Global, terão de depender da chave de raiz fidedigna para autenticar pontos de gestão válidos. A chave de raiz fidedigna é armazenada no registo do cliente e pode ser definida utilizando a Política de Grupo ou configuração manual.

Se o cliente não tiver uma cópia da chave de raiz fidedigna antes de contactar um ponto de gestão pela primeira vez, confiará no primeiro ponto de gestão com que comunicar. Para reduzir o risco de um atacante direcionar os clientes para um ponto de gestão não autorizado, pode aprovisionar previamente os clientes com a chave de raiz fidedigna. Para obter mais informações, veja Planear a Chave de Raiz Fidedigna.

Utilize números de porta não predefinidos.

A utilização de números de porta não predefinidos pode proporcionar segurança adicional porque dificulta aos atacantes a exploração do ambiente para preparar um ataque. Se decidir utilizar números de porta não predefinidos, planeie-os antes de instalar o Gestor de configuração e utilize-os de forma consistente em todos os sites da hierarquia. Pode utilizar números de porta não predefinidos para pedidos de portas dos clientes e na Reativação por LAN, por exemplo.

Utilize separação de funções nos sistemas de sites.

Apesar de poder instalar todos as funções de sistema de sites num único computador, esta prática raramente é utilizada em redes de produção porque cria um ponto de falha único.

Reduza o perfil de ataque.

Quando isola cada função de sistema de sites num servidor diferente, reduz a probabilidade de um ataque contra as vulnerabilidades de um sistema de sites ser utilizado contra outro sistema de sites. Muitas funções de sistema de sites requerem a instalação dos Serviços de Informação Internet (IIS) no sistema de sites e isto aumenta a superfície de ataque. Se tiver de combinar funções de sistema de sites para reduzir as despesas com hardware, combine funções de sistema de sites do IIS apenas com outras funções de sistema de sites que necessitem do IIS.

System_CAPS_ICON_important.jpg Importante


A função de ponto de estado de contingência é uma exceção: como esta função de sistema de sites aceita dados não autenticados de clientes, a função de ponto de estado de contingência nunca deve ser atribuída a nenhuma outra função de sistema de sites do Gestor de configuração.

Siga as melhores práticas de segurança do Windows Server e execute o Assistente de Configuração de Segurança em todos os sistemas de sites.

O Assistente de Configuração de Segurança (SCW) ajuda a criar uma política de segurança que pode aplicar a qualquer servidor da rede. Depois de instalar o modelo do O System Center Configuration Manager, o SCW reconhece as funções de sistema de sites, os serviços, as portas e as aplicações do Gestor de configuração. Depois, permite as comunicações necessárias para o Gestor de configuração e bloqueia as comunicações que não são necessárias.

O Assistente de Configuração de Segurança está incluído no toolkit do System Center 2012 Configuration Manager, que pode transferir do Centro de Transferências da Microsoft: System Center 2012 – Configuration Manager Component Add-ons and Extensions (System Center 2012 – Extensões e Suplementos do Componente Configuration Manager).

Configure endereços IP estáticos para os sistemas de sites.

Os endereços IP estáticos são mais fáceis de proteger contra ataques de resolução de nomes.

Os endereços IP estáticos também facilitam a configuração do IPsec, que é a melhor prática de segurança para a proteção das comunicações entre sistemas de sites no Gestor de configuração.

Não instale outras aplicações em servidores de sistemas de sites.

Quando instala outras aplicações em servidores de sistemas de sites, aumenta a superfície de ataque do Gestor de configuração e o risco de problemas de incompatibilidade.

Exija assinatura e ative a encriptação como uma opção de site.

Ative as opções de assinatura e encriptação para o site. Certifique-se de que todos os clientes suportam o algoritmo hash SHA-256 e, em seguida, ative a opção Exigir SHA-256.

Limite e monitorize os utilizadores administrativos do Gestor de configuração e utilize a administração baseada em funções para conceder a estes utilizadores as permissões mínimas de que necessitam.

Conceda acesso administrativo para o Gestor de configuração apenas aos utilizadores em quem confie e conceda-lhes as permissões mínimas utilizando as funções de segurança incorporadas ou personalizando as funções de segurança. Os utilizadores administrativos que possam criar, modificar e implementar aplicações, sequências de tarefas, atualizações de software, itens de configuração e linhas de base de configuração poderão, eventualmente, controlar dispositivos na hierarquia do Gestor de configuração.

Realize auditorias periódicas às atribuições dos utilizadores administrativos e ao respetivo nível de autorização para verificar as alterações necessárias.

Para mais informações sobre a configuração da administração baseada em funções, veja Configurar a Administração Baseada em Funções do System Center Configuration Manager.

Proteja as cópias de segurança do Gestor de configuração e proteja o canal de comunicação quando a efetuar cópias de segurança e restauros.

Quando efetuar uma cópia de segurança do Gestor de configuração, estas informações incluem certificados e outros dados confidenciais que podem ser utilizados por um atacante para representação.

Utilize a assinatura SMB ou IPsec quando transferir estes dados através da rede e proteja a localização das cópias de segurança.

Sempre que exportar ou importar objetos da consola do Gestor de configuração para uma localização de rede, proteja a localização e o canal de rede.

Limite quem pode aceder à pasta de rede.

Utilize a assinatura SMB ou IPsec entre a localização de rede e o servidor do site e entre o computador que executa a consola do Gestor de configuração e o servidor do site para impedir que um atacante adultere os dados exportados. Utilize IPsec para encriptar os dados na rede para evitar a divulgação de informações.

Se um servidor do sistema de sites falhar ou deixar de funcionar e não for possível restaurá-lo, remova manualmente os certificados do Gestor de configuração para este servidor de outros servidores do Gestor de configuração.

Para remover a PeerTrust originalmente estabelecida com o sistema de sites e as funções de sistema de sites, remova manualmente os certificados do Gestor de configuração para o servidor que falhou do arquivo de certificados Pessoas Fidedignas noutros servidores do sistema de sites. Isto é especialmente importante se reutilizar o servidor sem o formatar.

Para obter mais informações sobre estes certificados, veja a secção Controlos Criptográficos para Comunicações de Servidor em Referência técnica para controlos criptográficos utilizados no System Center Configuration Manager.

Não configure sistemas de sites baseados na Internet para funcionar como bridge entre a rede de perímetro e a intranet.

Não configure servidores de sistema de sites como multihomed para ligarem à rede de perímetro e à intranet. Embora esta configuração permita que sistemas de sites baseados na Internet aceitem ligações de clientes da Internet e da intranet, elimina um limite de segurança entre a rede de perímetro e a intranet.

Se o servidor de sistema de sites estiver numa rede não fidedigna (como uma rede de perímetro), configure o servidor de site para iniciar as ligações ao sistema de sites.

Por predefinição, os sistemas de sites iniciam as ligações ao servidor de site para a transferência de dados, o que pode constituir um risco de segurança quando a ligação for iniciada a partir de uma rede não fidedigna para a rede fidedigna. Quando os sistemas de sites aceitarem ligações da Internet ou residirem numa floresta não fidedigna, configure a opção de sistema de sites Exigir que o servidor do site inicie ligações a este sistema de sites para que, depois da instalação do sistema de sites e de quaisquer funções de sistema de sites, todas as ligações sejam iniciadas a partir da rede fidedigna.

Se utilizar um servidor proxy Web para a gestão de clientes baseados na Internet, utilize o protocolo de bridge SSL para SSL utilizando terminação com autenticação.

Quando configura a terminação de SSL no servidor Web proxy, os pacotes da Internet são sujeitos a inspeção antes de serem reencaminhados para a rede interna. O servidor Web proxy autentica a ligação do cliente, termina-a e, em seguida, abre uma nova ligação autenticada para os sistemas de sites baseados na Internet.

Quando os computadores cliente do Gestor de configuração utilizam um servidor Web proxy para ligar a sistemas de sites baseados na Internet, a identidade do cliente (GUID do cliente) é colocada de forma segura na payload do pacote para que o ponto de gestão não considere o servidor Web proxy como o cliente. Se o servidor Web proxy não suportar os requisitos do o protocolo de bridge SSL, a utilização de túnel SSL também é suportada. Esta é uma opção menos segura porque os pacotes SSL da Internet são reencaminhados para os sistemas de sites sem terminação, pelo que não é possível inspecioná-los relativamente a conteúdo malicioso.

Se o servidor Web proxy não suportar os requisitos do o protocolo de bridge SSL, pode utilizar o túnel SSL. No entanto, esta é uma opção menos segura porque os pacotes SSL da Internet são reencaminhados para os sistemas de sites sem terminação, pelo que não é possível inspecioná-los relativamente a conteúdo malicioso.

System_CAPS_ICON_warning.jpg Aviso


Os dispositivos móveis inscritos pelo Gestor de configuração não podem utilizar o protocolo de bridge SSL e têm de utilizar apenas o túnel SSL.

Configurações de utilização no caso de configurar o site para reativar computadores para instalação de software:

  • Se utilizar pacotes de reativação tradicionais, utilize unicast em vez de difusões direcionadas para sub-redes

  • Se tiver de utilizar difusões direcionadas para sub-redes, configure os routers para permitirem difusões direcionadas para IP apenas a partir do servidor do site e apenas num número de porta não predefinido

Para obter mais informações sobre as diferentes tecnologias de reativação por LAN, veja Planear como Reativar Clientes no System Center Configuration Manager.

Se utilizar notificações por correio eletrónico, configure o acesso autenticado ao servidor de correio SMTP.

Sempre que possível, utilize um servidor de correio que suporte acesso autenticado e utilize a conta de computador do servidor do site para autenticação. Se tiver de especificar uma conta de utilizador para autenticação, utilize uma conta que tenha privilégios mínimos.

Utilize as melhores práticas de segurança seguintes para o ajudar a proteger o server do site do Gestor de configuração.

Instale o Gestor de configuração num servidor membro e não num controlador de domínio.

Os sistemas de sites e o servidor do site do Gestor de configuração não precisam de ser instalados num controlador de domínio. Os controladores de domínio não têm uma base de dados SAM (Security Accounts Management) local além da base de dados do domínio. Quando instala o Gestor de configuração num servidor membro, pode manter as contas do Gestor de configuração na base de dados SAM local, em vez de na base de dados do domínio.

Esta prática também reduz a superfície de ataque nos controladores de domínio.

Instale sites secundários evitando copiar os ficheiros para o servidor do site secundário através da rede.

Quando executar a Configuração e criar um site secundário, não selecione a opção para copiar os ficheiros do site principal para o site secundário nem utilize uma localização de origem de rede. Quando copia ficheiros através da rede, um atacante hábil pode apoderar-se do pacote de instalação do site secundário e adulterar os ficheiros antes da sua instalação, apesar de a coordenação de um ataque destes ser difícil. Este ataque pode ser atenuado utilizando IPsec ou SMB quando transferir os ficheiros.

Em vez de copiar os ficheiros através da rede, no servidor do site secundário, copie os ficheiros de origem de um suporte de dados para uma pasta local. Em seguida, quando executar a Configuração para criar um site secundário, na página Ficheiros de Origem de Instalação, selecione Utilizar os ficheiros de origem disponíveis na seguinte localização do computador do site secundário (mais seguro) e especifique esta pasta.

Para obter mais informações, veja Instalar um site secundário no tópico Utilizar o Assistente de Configuração para instalar sites.

Gestor de configuração utiliza o SQL Server como a base de dados back-end. Se a base de dados for comprometida, os atacantes podem ignorar o Gestor de configuração e aceder ao SQL Server diretamente para iniciar ataques através do Gestor de configuração. Considere os ataques contra o SQL Server um risco muito elevado que deve ser atenuado adequadamente.

Utilize as melhores práticas de segurança seguintes para proteger o SQL Server para o Gestor de configuração.

Não utilize o servidor da base de dados do site do Gestor de configuração para executar outras aplicações do SQL Server.

O aumento do acesso ao servidor da base de dados do site do Gestor de configuração aumenta o risco dos dados do Gestor de configuração. Se a base de dados do site do Gestor de configuração for comprometida, outras aplicações existentes mesmo computador do SQL Server também ficam em risco.

Configure o SQL Server para utilizar a autenticação do Windows.

Apesar de o Gestor de configuração aceder à base de dados do site utilizando uma conta do Windows e a autenticação do Windows, é possível configurar o SQL Server para utilizar o modo misto do SQL Server. O modo misto do SQL Server permite inícios de sessão do SQL adicionais para aceder à base de dados, que não são necessários e aumentam a superfície de ataque.

Efetue passos adicionais para garantir que os sites secundários que utilizam o SQL Server Express têm as atualizações de software mais recentes.

Quando é instalado um site primário, o Gestor de configuração transfere o SQL Server Express a partir do Centro de Transferências da Microsoft e copia os ficheiros para o servidor do site primário. Quando instala um site secundário e seleciona a opção que instala o SQL Server Express, o Gestor de configuração instala a versão transferida anteriormente e não verifica se existem novas versões. Para garantir que o site secundário tem as versões mais recentes, efetue um dos seguintes procedimentos:

  • Após a instalação do site secundário, execute o Windows Update no servidor do site secundário.

  • Antes de instalar o site secundário, instale manualmente o SQL Server Express no computador que irá executar o servidor do site secundário e certifique-se de que instala a versão mais recente e as atualizações de software existentes. Em seguida, instale o site secundário e selecione a opção para utilizar uma instância do SQL Server existente.

Execute periodicamente o Windows Update nestes sites e todas as versões instaladas do SQL Server para garantir que têm as atualizações de software mais recentes.

Siga as melhores práticas para o SQL Server.

Identifique e siga as melhores práticas para a sua versão do SQL Server. No entanto, tenha em consideração os seguintes requisitos do Gestor de configuração:

  • A conta de computador do servidor do site tem de ser membro do grupo Administradores no computador que executa o SQL Server. Se seguir a recomendação "aprovisionar principais de admin explicitamente" do SQL Server, a conta que utilizar para executar a Configuração no servidor do site tem de ser membro do grupo Utilizadores do SQL.

  • Se instalar o SQL Server utilizando uma conta de utilizador de domínio, certifique-se de que a conta de computador do servidor do site é configurada para um Nome do Principal do Serviço (SPN) publicado nos Serviços de Domínio do Active Directory. Sem o SPN, a autenticação Kerberos falhará e a Configuração do Gestor de configuração falhará.

Várias funções de sistema de sites do Gestor de configuração necessitam do IIS. Quando protege o IIS, isto permite que o Gestor de configuração funcione corretamente e reduz o risco de ataques de segurança. Quando for possível, minimize o número de servidores que necessitam do IIS. Por exemplo, execute apenas o número de pontos de gestão necessário para suportar a base de clientes, tendo em conta a disponibilidade elevada e o isolamento de rede da gestão de clientes baseados na Internet.

Utilize as melhores práticas de segurança seguintes para ajudar a proteger os sistemas de sites que executam o IIS.

Desative as funções do IIS de que não necessita.

Instale apenas as funcionalidades mínimas do IIS para a função de sistema de sites que instalar. Para obter mais informações, veja Pré-requisitos de site e sistema de sites

Configure as funções de sistema de sites para exigirem HTTPS.

Quando os clientes ligam a um sistema de sites utilizando HTTP em vez de HTTPS, utilizam a autenticação do Windows e poderão, em caso de contingência, utilizar a autenticação NTLM em vez da autenticação Kerberos. Quando é utilizada a autenticação NTLM, os clientes podem ligar a um servidor não autorizado.

A exceção a esta melhor prática de segurança poderão ser os pontos de distribuição, uma vez que as contas de acesso a pacotes não funcionam quando o ponto de distribuição está configurado para HTTPS. As contas de acesso a pacotes fornecem autorização para o conteúdo, para que possa restringir os utilizadores que podem aceder ao conteúdo. Para mais informações, veja Melhores Práticas de Segurança para a Gestão de Conteúdo.

Configure uma lista fidedigna de certificados (CTL) no IIS para as funções de sistema de sites.

Funções do sistema de sites:

  • Um ponto de distribuição configurado para HTTPS.

  • Um ponto de gestão configurado para HTTPS e com capacidade para suportar dispositivos móveis.

Uma lista fidedigna de certificados (CTL) é uma lista definida de autoridades de certificação de raiz fidedigna. Quando utiliza uma CTL com a Política de Grupo e uma implementação de PKI, uma CTL permite-lhe complementar as autoridades de certificação de raiz fidedigna existentes configuradas na rede, como as que são instaladas automaticamente com o Microsoft Windows ou adicionadas através das autoridades de certificação de raiz empresarial do Windows. No entanto, quando uma CTL é configurada no IIS, a CTL define um subconjunto dessas autoridades de certificação de raiz fidedigna.

Este subconjunto proporciona maior controlo da segurança porque a CTL restringe os certificados de cliente que são aceites apenas aos que são emitidos pela lista de autoridades de certificação na CTL. Por exemplo, o Windows é fornecido com diversos certificados de autoridades de certificação terceiras conhecidas, como VeriSign e a Thawte. Por predefinição, o computador que executa o IIS confia em certificados que encadeiem nestas autoridades de certificação conhecidas. Quando não configura o IIS com uma CTL para as funções de sistema de sites listadas, qualquer dispositivo que tenha um certificado de cliente emitido por estas autoridades de certificação é aceite como um cliente válido do Gestor de configuração. Se configurar o IIS com uma CTL que não inclua estas autoridades de certificação, as ligações de cliente serão recusadas se o certificado encadear nestas autoridades de certificação. No entanto, para que os clientes do Gestor de configuração sejam aceites para as funções de sistema de sites listadas, tem de configurar o IIS com uma CTL que especifique as autoridades de certificação utilizadas pelos clientes do Gestor de configuração.

System_CAPS_ICON_note.jpg Nota


Apenas as funções de sistema de sites listadas necessitam que configure uma CTL no IIS; a lista de emissores de certificados que o Gestor de configuração utiliza para pontos de gestão fornece a mesma funcionalidade para computadores cliente, quando estes ligam a pontos de gestão HTTPS.

Para mais informações sobre como configurar uma lista de autoridades de certificação fidedignas no IIS, consulte a documentação do IIS.

Não coloque o servidor do site num computador com o IIS.

A separação de funções ajuda a reduzir o perfil de ataques e a melhorar a capacidade de recuperação. Além disso, a conta de computador do servidor do site tem normalmente privilégios administrativos em todas as funções de sistema de sites (e possivelmente nos clientes do Gestor de configuração, se utilizar a instalação push de cliente).

Utilizar servidores de IIS dedicados para o Gestor de configuração.

Embora possa alojar várias aplicações baseadas na Web nos servidores de IIS que também sejam utilizados pelo Gestor de configuração, esta prática pode aumentar significativamente a superfície de ataque. Uma aplicação mal configurada pode permitir a um atacante obter o controlo de um sistema de sites do Gestor de configuração, o que pode permitir a um atacante obter o controlo da hierarquia.

Se tiver de executar outras aplicações baseadas na Web em sistemas de sites do Gestor de configuração, crie um Web site personalizado para os sistemas de sites do Gestor de configuração.

Utilize um Web site personalizado.

Para sistemas de sites com o IIS, pode configurar o Gestor de configuração para utilizar um Web site personalizado em vez do Web site predefinido do IIS. Se tiver de executar outras aplicações Web no sistema de sites, terá de utilizar um Web site personalizado. Esta é uma definição ao nível do site e não uma definição para um sistema de sites específico.

Além de fornecer segurança adicional, deve utilizar um Web site personalizado se executar outras aplicações Web no sistema de sites.

Se mudar do Web site predefinido para um Web site personalizado depois serem instaladas funções de ponto de distribuição, remova os diretórios virtuais predefinidos.

Quando muda do Web site predefinido para um Web site personalizado, o Gestor de configuração não remove os diretórios virtuais antigos. Remova os diretórios virtuais criados originalmente pelo Gestor de configuração no Web site predefinido.

Por exemplo, os diretórios virtuais a remover de um ponto de distribuição são os seguintes:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Siga as melhores práticas para o Servidor do IIS.

Identifique e siga as melhores práticas para a sua versão do Servidor do IIS. No entanto, tenha em conta quaisquer requisitos do Gestor de configuração relativamente a funções de sistema de sites específicas. Para obter mais informações, veja Pré-requisitos de site e sistema de sites.

Os pontos de gestão são a interface primária entre dispositivos e o Gestor de configuração. Considere os ataques contra o ponto de gestão e o servidor em que ele é executado um risco muito elevado que deve ser atenuado adequadamente. Aplique as melhores práticas de segurança adequadas e monitorize a ocorrência de atividade invulgar.

Utilize as melhores práticas de segurança seguintes para ajudar a proteger um ponto de gestão no Gestor de configuração.

Quando instalar um cliente do Gestor de configuração no ponto de gestão, atribua-o ao site desse ponto de gestão.

Evite o cenário em que o cliente do Gestor de configuração que está num sistema de sites do ponto de gestão é atribuído a um site diferente do site desse ponto de gestão.

Se migrar a partir de uma versão anterior para o O System Center Configuration Manager, migre o software de cliente no ponto de gestão para o O System Center Configuration Manager o mais rapidamente possível.

Utilize as melhores práticas de segurança seguintes se instalar um ponto de estado de contingência no Gestor de configuração.

Para mais informações sobre as considerações de segurança quando instala um ponto de estado de contingência, veja Determinar se Necessita de um Ponto de Estado de Contingência.

Não execute outras funções de sistema de sites no sistema de sites e não a instale num controlador de domínio.

Como o ponto de estado de contingência é concebido para aceitar comunicações não autenticadas de qualquer computador, a execução desta função de sistema de sites com outras funções de sistema de sites ou num controlador de domínio aumenta significativamente o risco desse servidor.

Quando utilizar certificados PKI para comunicações de clientes no Gestor de configuração, instale o ponto de estado de contingência antes de instalar os clientes.

Se os sistemas de sites do Gestor de configuração não aceitarem comunicações de clientes por HTTP, poderá não saber que os clientes não são geridos devido a problemas de certificados relacionados com PKI. No entanto, se os clientes forem atribuídos a um ponto de estado de contingência, estes problemas de certificados serão reportados pelo ponto de estado de contingência.

Por razões de segurança, não é possível atribuir um ponto de estado de contingência a clientes depois de estes serem instalados; só pode atribuir esta função durante a instalação do cliente.

Evite utilizar o ponto de estado de contingência na rede de perímetro.

Por predefinição, o ponto de estado de contingência aceita dados a partir de qualquer cliente. Embora um ponto de estado de contingência na rede de perímetro possa ajudar a resolver problemas com clientes baseados na Internet, tem de equilibrar os benefícios da resolução de problemas com o risco de um sistema de sites aceitar dados não autenticados numa rede de acesso público.

Se instalar o ponto de estado de contingência na rede de perímetro ou em qualquer rede não fidedigna, configure o servidor do site para iniciar as transferências de dados, em vez da predefinição que permite que o ponto de estado de contingência inicie uma ligação ao servidor do site.

Reveja os seguintes problemas de segurança do Gestor de configuração:

  • Gestor de configuração não está protegido contra um utilizador administrativo autorizado que utiliza o Gestor de configuração para atacar a rede. Os utilizadores administrativos não autorizados constituem um risco elevado em termos de segurança, podendo iniciar vários ataques, incluindo:

    • Utilizar a implementação de software para instalar e executar automaticamente software malicioso em todos os computadores cliente do Gestor de configuração da empresa.

    • Utilizar o controlo remoto para assumir o controlo remoto de um cliente do Gestor de configuração sem permissão do mesmo.

    • Configurar intervalos de consulta rápida e valores excessivos de inventário para criar ataques de recusa de serviço contra clientes e servidores.

    • Utilizar um site na hierarquia para escrever dados nos dados do Active Directory de outro site.

    A hierarquia do site é o limite de segurança. Considere a possibilidade de sites serem apenas limites de gestão.

    Audite todas as atividades do utilizador administrativo e reveja regularmente os registos de auditoria. Exija que todos os utilizadores administrativos do Gestor de configuração sejam submetidos a uma verificação dos antecedentes antes de serem recrutados e exija verificações periódicas como condição para a sua admissão.

  • Se o ponto de registo for comprometido, um intruso poderá obter certificados para autenticação e roubar as credenciais de utilizadores que inscrevem os respetivos dispositivos móveis.

    O ponto de registo comunica com uma autoridade de certificação e pode criar, modificar e eliminar objetos do Active Directory. Nunca instale o ponto de registo na rede de perímetro e monitorize a ocorrência de atividade invulgar.

  • Se permitir políticas de utilizador para a gestão de clientes baseada na Internet ou configurar o ponto de serviço Web do Catálogo de Aplicações para utilizadores que estão na Internet, aumenta o seu perfil de ataque.

    Para além de utilizar certificados PKI para ligações de cliente-servidor, estas configurações requerem a autenticação do Windows, podendo voltar a utilizar a autenticação NTLM em vez da autenticação Kerberos. A autenticação NTLM é vulnerável a ataques de representação e repetição. Para autenticar com sucesso um utilizador na Internet, tem de permitir a ligação do servidor do sistema de sites baseado na Internet a um controlador de domínio.

  • A partilha Admin$ é obrigatória em servidores do sistema de sites.

    O servidor do site do Gestor de configuração utiliza a partilha Admin$ para estabelecer ligação e efetuar operações de serviço em sistemas de sites. Não desative nem remova a partilha Admin$.

  • Gestor de configuração utiliza serviços de resolução de nomes para estabelecer ligação com outros computadores, sendo difícil proteger estes ficheiros de ataques de segurança, como spoofing, adulteração, rejeição, divulgação de informações, recusa de serviço e elevação de privilégios.

    Identifique e siga os procedimentos recomendados de segurança para a versão do DNS e WINS que utiliza para resolução de nomes.

A deteção cria registros para recursos de rede e armazena-os na base de dados do O System Center Configuration Manager. Os registos de dados de deteção contêm informações do computador, como o endereço IP, o sistema operativo e o nome do computador. Os métodos de deteção do Active Directory também podem ser configurados para detetar informações armazenadas nos Serviços de Domínio do Active Directory.

O único método de deteção ativado por predefinição é a Deteção de Heartbeat, mas este método apenas deteta computadores com o software de cliente do O System Center Configuration Manager já instalado.

As informações de deteção não são enviadas à Microsoft. As informações de deteção são armazenadas na base de dados do Gestor de configuração. As informações são mantidas na base de dados até serem eliminadas pela tarefa de manutenção do site Eliminar Dados de Deteção Desatualizados todos os 90 dias. Pode configurar o intervalo de eliminação.

Antes de configurar métodos de deteção adicionais ou expandir a deteção do Active Directory, considere os requisitos de privacidade.

Planear a infraestrutura do System Center Configuration Manager
Segurança e privacidade no System Center Configuration Manager

Mostrar: