Configurar a segurança no System Center Configuration Manager

 

Aplica-se a: System Center Configuration Manager (current branch)

Utilize as informações deste tópico para o ajudar a configurar as seguintes opções relacionadas com segurança para o O System Center Configuration Manager:

Se pretender utilizar certificados da infraestrutura de chaves públicas (PKI) para ligações de cliente aos sistemas de sites que utilizam os Serviços de Informação Internet (IIS), utilize o seguinte procedimento para configurar as definições destes certificados.

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Configuração do Site, clique em Sites e clique no site primário a configurar.

  3. No separador Home Page, no grupo Propriedades, clique em Propriedades e clique no separador Comunicação com o Computador Cliente.

    System_CAPS_noteNota

    Este separador apenas está disponível num site primário. Se o separador Comunicação com o Computador Cliente não for apresentado, verifique se não se encontra ligado a um site de administração central ou a um site secundário.

  4. Clique em Apenas HTTPS se pretender que os clientes atribuídos ao site utilizem sempre um certificado PKI de cliente ao estabelecerem ligações aos sistemas de sites que utilizam IIS. Ou clique em HTTPS ou HTTP quando não precisar que os clientes utilizem certificados PKI.

  5. Se tiver selecionado HTTPS ou HTTP, clique em Utilizar um certificado PKI de cliente (capacidade de autenticação de cliente), se estiver disponível quando pretender utilizar um certificado PKI de cliente para as ligações HTTP. O cliente utiliza este certificado em vez de um certificado autoassinado para se autenticar perante os sistemas de site. Esta opção será selecionada automaticamente se selecionar Apenas HTTPS.

    System_CAPS_noteNota

    Quando os clientes são detetados como estando na Internet ou estão configurados para gestão de clientes apenas na Internet, utilizam sempre um certificado PKI de cliente.

  6. Clique em Modificar para configurar o seu método de seleção de clientes preferido para quando estiver disponível mais do que um certificado de cliente PKI válido num cliente e clique em OK.

    System_CAPS_noteNota

    Para mais informações sobre o método de seleção de certificados de cliente, consulte Planear a seleção do certificado PKI de cliente.

  7. Selecione ou desmarque a caixa de verificação para que os clientes verifiquem a lista de Revogação de Certificados (CRL).

    System_CAPS_noteNota

    Para mais informações sobre a verificação CRL para clientes, consulte Planear a revogação de certificados PKI.

  8. Se tiver de especificar certificados de autoridade de certificação (AC) de raiz confiável para os clientes, clique em Definir, importe os ficheiros de certificado da AC e clique em OK.

    System_CAPS_noteNota

    Para mais informações sobre esta definição, consulte Planear Certificados PKI de Raiz Fidedigna e a Lista de Emissores de Certificados.

  9. Clique em OK para fechar a caixa de diálogo de propriedades do site.

Repita este procedimento para todos os sites primários da hierarquia.

Configure as definições de assinatura e encriptação mais seguras para os sistemas de site que todos os clientes do site possam suportar. Estas definições são especialmente importantes quando permitir que os clientes comuniquem com os sistemas de site utilizando certificados autoassinados através de HTTP.

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Configuração do Site, clique em Sites e clique no site primário a configurar.

  3. No separador Home Page, no grupo Propriedades, clique em Propriedades e clique no separador Assinatura e Encriptação.

    System_CAPS_noteNota

    Este separador apenas está disponível num site primário. Se o separador Assinatura e Encriptação não for apresentado, verifique se não se encontra ligado a um site de administração central ou a um site secundário.

  4. Configure as opções de assinatura e encriptação pretendidas e clique em OK.

    System_CAPS_warningAviso

    Não selecione Exigir SHA-256 sem verificar primeiro se todos os clientes que possam ser atribuídos ao site podem suportar este algoritmo hash ou têm um certificado de autenticação de cliente PKI válido. Poderá ter de instalar atualizações ou correções nos clientes para suportarem SHA-256. Por exemplo, os computadores com o Windows Server 2003 SP2 têm de instalar uma correção que é mencionada no artigo KB 938397.

    Se selecionar esta opção e os clientes não puderem suportar SHA-256 e utilizarem certificados autoassinados, o Gestor de configuração rejeitá-los-á. Neste cenário, o componente SMS_MP_CONTROL_MANAGER regista o ID de mensagem 5443.

  5. Clique em OK para fechar a caixa de diálogo Propriedades do site.

Repita este procedimento para todos os sites primários da hierarquia.

A administração baseada em funções combina funções de segurança, âmbitos de segurança e coleções atribuídas para definir o âmbito administrativo de cada utilizador administrativo. Um âmbito administrativo inclui os objetos que um utilizador administrativo pode visualizar na consola do Gestor de configuração, bem como as tarefas relacionadas com esses objetos que o utilizador administrativo tem permissão para executar. As configurações de administração baseadas em funções são aplicadas em cada site de uma hierarquia.

As hiperligações seguintes são as secções relevantes do tópico Configurar a administração baseada em funções para o System Center Configuration Manager:

System_CAPS_importantImportante

O seu próprio âmbito administrativo define os objetos e definições que pode atribuir ao configurar a administração baseada em funções para outro utilizador administrativo. Para informações sobre o planeamento da administração baseada em funções, consulte Noções básicas da administração baseada em funções para o System Center Configuration Manager.

O Gestor de configuração suporta contas do Windows para muitas tarefas e utilizações diferentes.

Utilize o procedimento seguinte para ver quais as contas que estão configuradas para diferentes tarefas e para gerir a palavra-passe que o Gestor de configuração utiliza para cada conta.

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Contas para ver as contas que estão configuradas para o Gestor de configuração.

  3. Para alterar a palavra-passe de uma conta que está configurada para o Gestor de configuração, selecione a conta.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique em Definir para abrir a caixa de diálogo Conta de Utilizador do Windows e especificar a nova palavra-passe que o Gestor de configuração utilizará para a conta.

    System_CAPS_noteNota

    A palavra-passe que especificar tem de corresponder à palavra-passe especificada para a conta em Utilizadores e Computadores do Active Directory.

  6. Clique em OK para concluir o procedimento.

Mostrar: