Segurança e privacidade para clientes Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Este artigo descreve informações de segurança e privacidade para clientes Configuration Manager. Ele também inclui informações para dispositivos móveis gerenciados pelo conector Exchange Server.
Diretrizes de segurança para clientes
O site Configuration Manager aceita dados de dispositivos que executam o Configuration Manager cliente. Esse comportamento apresenta o risco de que os clientes possam atacar o site. Por exemplo, eles podem enviar inventário malformado ou tentar sobrecarregar os sistemas do site. Implante o Configuration Manager cliente somente em dispositivos em que você confia.
Use as diretrizes de segurança a seguir para ajudar a proteger o site contra dispositivos desonestos ou comprometidos.
Usar certificados PKI (infraestrutura de chave pública) para comunicações do cliente com sistemas de site que executam o IIS
Como uma propriedade do site, configure as configurações do sistema de site somente para HTTPS. Para obter mais informações, consulte Configurar segurança.
Instale clientes com a propriedade UsePKICert CCMSetup.
Use uma lista de revogação de certificado (CRL). Verifique se os clientes e os servidores de comunicação sempre podem acessá-lo.
Clientes de dispositivo móvel e alguns clientes baseados na Internet exigem esses certificados. A Microsoft recomenda esses certificados para todas as conexões de cliente na intranet.
Para obter mais informações sobre o uso de certificados em Configuration Manager, consulte Planejar certificados.
Importante
A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.
Aprovar automaticamente computadores cliente de domínios confiáveis e marcar manualmente e aprovar outros computadores
Quando você não pode usar a autenticação PKI, a aprovação identifica um computador em que você confia para ser gerenciado por Configuration Manager. A hierarquia tem as seguintes opções para configurar a aprovação do cliente:
- Manual
- Automático para computadores em domínios confiáveis
- Automático para todos os computadores
O método de aprovação mais seguro é aprovar automaticamente clientes que são membros de domínios confiáveis. Essa opção inclui clientes ingressados em domínio de nuvem de locatários conectados Microsoft Entra. Em seguida, marcar manualmente e aprove todos os outros computadores. A aprovação automática de todos os clientes não é recomendada, a menos que você tenha outros controles de acesso para impedir que computadores não confiáveis acessem sua rede.
Para obter mais informações sobre como aprovar computadores manualmente, consulte Gerenciar clientes do nó dispositivos.
Não confie no bloqueio para impedir que os clientes acessem a hierarquia de Configuration Manager
Os clientes bloqueados são rejeitados pela infraestrutura Configuration Manager. Se os clientes estiverem bloqueados, eles não poderão se comunicar com sistemas de site para baixar a política, carregar dados de inventário ou enviar mensagens de estado ou status.
O bloqueio foi projetado para os seguintes cenários:
- Para bloquear a mídia de inicialização perdida ou comprometida ao implantar um sistema operacional em clientes
- Quando todos os sistemas de site aceitam conexões de cliente HTTPS
Quando os sistemas de site aceitam conexões de cliente HTTP, não dependem do bloqueio para proteger a hierarquia Configuration Manager de computadores não confiáveis. Nesse cenário, um cliente bloqueado pode voltar ao site com um novo certificado autoassinado e uma ID de hardware.
A revogação do certificado é a principal linha de defesa contra certificados potencialmente comprometidos. Uma CRL (lista de revogação de certificado) só está disponível em uma PKI (infraestrutura de chave pública) com suporte. Bloquear clientes no Configuration Manager oferece uma segunda linha de defesa para proteger sua hierarquia.
Para obter mais informações, consulte Determinar se os clientes devem bloquear.
Use os métodos de instalação do cliente mais seguros que são práticos para seu ambiente
Para computadores de domínio, a instalação do cliente de política de grupo e os métodos de instalação de cliente baseados em atualização de software são mais seguros do que a instalação por push do cliente .
Se você aplicar controles de acesso e alterar controles, use métodos de instalação manuais e de imagem.
Use a autenticação mútua Kerberos com a instalação de push do cliente.
De todos os métodos de instalação do cliente, a instalação por push do cliente é a menos segura devido às muitas dependências que ela tem. Essas dependências incluem permissões administrativas locais, o Admin$
compartilhamento e exceções de firewall. O número e o tipo dessas dependências aumentam sua superfície de ataque.
Ao usar push do cliente, o site pode exigir a autenticação mútua Kerberos não permitindo o fallback para o NTLM antes de estabelecer a conexão. Esse aprimoramento ajuda a proteger a comunicação entre o servidor e o cliente. Para obter mais informações, consulte Como instalar clientes com push do cliente.
Para obter mais informações sobre os diferentes métodos de instalação do cliente, consulte Métodos de instalação do cliente.
Sempre que possível, selecione um método de instalação do cliente que exige as permissões de segurança mínimas em Configuration Manager. Restrinja os usuários administrativos atribuídos a funções de segurança com permissões que podem ser usadas para outras finalidades além da implantação do cliente. Por exemplo, configurar a atualização automática do cliente requer a função de segurança do Administrador Completo , que concede a um usuário administrativo todas as permissões de segurança.
Para obter mais informações sobre as dependências e permissões de segurança necessárias para cada método de instalação do cliente, consulte Pré-requisitos para clientes de computador.
Se você precisar usar a instalação por push do cliente, proteja a conta de instalação por push do cliente
A conta de instalação por push do cliente deve ser um membro do grupo administradores locais em cada computador que instala o cliente Configuration Manager. Nunca adicione a conta de instalação por push do cliente ao grupo de administradores de domínio . Em vez disso, crie um grupo global e adicione esse grupo global ao grupo administradores locais em seus clientes. Crie um objeto de política de grupo para adicionar uma configuração de Grupo Restrito para adicionar a conta de instalação por push do cliente ao grupo administradores locais.
Para maior segurança, crie várias contas de instalação por push do cliente, cada uma com acesso administrativo a um número limitado de computadores. Se uma conta estiver comprometida, somente os computadores cliente aos quais essa conta tem acesso serão comprometidos.
Remover certificados antes de clientes de imagem
Ao implantar clientes usando imagens do sistema operacional, sempre remova certificados antes de capturar a imagem. Esses certificados incluem certificados PKI para autenticação do cliente e certificados autoassinados. Se você não remover esses certificados, os clientes poderão se representar uns aos outros. Você não pode verificar os dados de cada cliente.
Para obter mais informações, consulte Criar uma sequência de tarefas para capturar um sistema operacional.
Verifique se Configuration Manager cliente obtém uma cópia autorizada de certificados
O Configuration Manager certificado de chave raiz confiável
Quando ambas as instruções a seguir são verdadeiras, os clientes dependem da chave raiz confiável Configuration Manager para autenticar pontos de gerenciamento válidos:
- Você não estendeu o esquema do Active Directory para Configuration Manager
- Os clientes não usam certificados PKI quando se comunicam com pontos de gerenciamento
Nesse cenário, os clientes não têm como verificar se o ponto de gerenciamento é confiável para a hierarquia, a menos que usem a chave raiz confiável. Sem a chave raiz confiável, um invasor qualificado poderia direcionar os clientes para um ponto de gerenciamento desonesto.
Quando os clientes não usam certificados PKI e não podem baixar a chave raiz confiável do catálogo global do Active Directory, pré-provisione os clientes com a chave raiz confiável. Essa ação garante que elas não possam ser direcionadas a um ponto de gerenciamento desonesto. Para obter mais informações, confira Planejamento para a chave raiz confiável.
O certificado de assinatura do servidor do site
Os clientes usam o certificado de assinatura do servidor do site para verificar se o servidor do site assinou a política baixada de um ponto de gerenciamento. Esse certificado é autoassinado pelo servidor do site e publicado no Active Directory Domain Services.
Quando os clientes não podem baixar esse certificado do catálogo global do Active Directory, por padrão, eles o baixam do ponto de gerenciamento. Se o ponto de gerenciamento for exposto a uma rede não confiável como a Internet, instale manualmente o certificado de assinatura do servidor do site em clientes. Essa ação garante que eles não possam baixar políticas de cliente adulteradas de um ponto de gerenciamento comprometido.
Para instalar manualmente o certificado de assinatura do servidor do site, use a propriedade CCMSetup client.msi SMSSIGNCERT.
Se o cliente baixar a chave raiz confiável do primeiro ponto de gerenciamento em contato, não use a atribuição automática do site
Para evitar o risco de um novo cliente baixar a chave raiz confiável de um ponto de gerenciamento desonesto, use apenas a atribuição automática do site nos seguintes cenários:
O cliente pode acessar Configuration Manager informações do site publicadas no Active Directory Domain Services.
Você pré-provisiona o cliente com a chave raiz confiável.
Você usa certificados PKI de uma autoridade de certificação corporativa para estabelecer a confiança entre o cliente e o ponto de gerenciamento.
Para obter mais informações sobre a chave raiz confiável, consulte Planejamento para a chave raiz confiável.
Verifique se as janelas de manutenção são grandes o suficiente para implantar atualizações de software críticas
Janelas de manutenção para coleções de dispositivos restringem os horários que Configuration Manager podem instalar software nesses dispositivos. Se você configurar a janela de manutenção para ser muito pequena, o cliente poderá não instalar atualizações de software críticas. Esse comportamento deixa o cliente vulnerável a qualquer ataque que a atualização de software atenua.
Tome precauções de segurança para reduzir a superfície de ataque em dispositivos Windows Embedded com filtros de gravação
Quando você habilita filtros de gravação em dispositivos Windows Embedded, quaisquer instalações de software ou alterações só são feitas na sobreposição. Essas alterações não persistem após a reinicialização do dispositivo. Se você usar Configuration Manager para desabilitar os filtros de gravação, durante esse período o dispositivo inserido ficará vulnerável a alterações em todos os volumes. Esses volumes incluem pastas compartilhadas.
Configuration Manager bloqueia o computador durante esse período para que apenas os administradores locais possam entrar. Sempre que possível, tome outras precauções de segurança para ajudar a proteger o computador. Por exemplo, habilite restrições no firewall.
Se você usar janelas de manutenção para persistir alterações, planeje essas janelas com cuidado. Minimize o tempo em que os filtros de gravação estão desabilitados, mas faça com que eles sejam longos o suficiente para permitir que instalações de software e reinicializações sejam concluídas.
Usar a versão mais recente do cliente com instalação de cliente baseada em atualização de software
Se você usar a instalação de cliente baseada em atualização de software e instalar uma versão posterior do cliente no site, atualize a atualização de software publicada. Em seguida, os clientes recebem a versão mais recente do ponto de atualização de software.
Quando você atualiza o site, a atualização de software para implantação do cliente publicada no ponto de atualização de software não é atualizada automaticamente. Republice o Configuration Manager cliente no ponto de atualização de software e atualize o número da versão.
Para obter mais informações, consulte Como instalar Configuration Manager clientes usando a instalação baseada em atualização de software.
Suspender somente a entrada do PIN do BitLocker em dispositivos confiáveis e de acesso restrito
Configure apenas a configuração do cliente para suspender a entrada PIN do BitLocker na reinicialização para Always para computadores em que você confia e que tenham acesso físico restrito.
Quando você define essa configuração de cliente como Always, Configuration Manager pode concluir a instalação do software. Esse comportamento ajuda a instalar atualizações de software críticas e retomar serviços. Se um invasor interceptar o processo de reinicialização, ele poderá assumir o controle do computador. Use essa configuração somente quando você confiar no computador e quando o acesso físico ao computador for restrito. Por exemplo, essa configuração pode ser apropriada para servidores em um data center.
Para obter mais informações sobre essa configuração de cliente, consulte Sobre as configurações do cliente.
Não ignore a política de execução do PowerShell
Se você configurar a configuração do cliente Configuration Manager para a política de execução do PowerShellignorar, o Windows permitirá que scripts não assinados do PowerShell sejam executados. Esse comportamento pode permitir que o malware seja executado em computadores cliente. Quando sua organização exigir essa opção, use uma configuração de cliente personalizada. Atribua-o apenas aos computadores cliente que devem executar scripts não assinados do PowerShell.
Para obter mais informações sobre essa configuração de cliente, consulte Sobre as configurações do cliente.
Diretrizes de segurança para dispositivos móveis
Instalar o ponto de proxy de registro em uma rede de perímetro e o ponto de registro na intranet
Para dispositivos móveis baseados na Internet que você registra com Configuration Manager, instale o ponto de proxy de registro em uma rede de perímetro e o ponto de registro na intranet. Essa separação de função ajuda a proteger o ponto de registro contra ataque. Se um invasor comprometer o ponto de registro, ele poderá obter certificados para autenticação. Eles também podem roubar as credenciais dos usuários que registram seus dispositivos móveis.
Configurar as configurações de senha para ajudar a proteger dispositivos móveis contra acesso não autorizado
Para dispositivos móveis registrados pelo Configuration Manager: use um item de configuração de dispositivo móvel para configurar a complexidade de senha como o PIN. Especifique pelo menos o comprimento mínimo padrão da senha.
Para dispositivos móveis que não têm o cliente Configuration Manager instalado, mas são gerenciados pelo conector Exchange Server: configure as Configurações de Senha para o conector Exchange Server de modo que a complexidade da senha seja o PIN. Especifique pelo menos o comprimento mínimo padrão da senha.
Permitir apenas que os aplicativos sejam executados com assinatura de empresas em quem você confia
Ajude a evitar a adulteração de informações de inventário e status informações, permitindo que os aplicativos sejam executados somente quando eles são assinados por empresas em quem você confia. Não permita que os dispositivos instalem arquivos não assinados.
Para dispositivos móveis registrados pelo Configuration Manager: use um item de configuração de dispositivo móvel para configurar a configuração de segurança Aplicativos não assinados como Proibido. Configure instalações de arquivo não assinadas para ser uma fonte confiável.
Para dispositivos móveis que não têm o cliente Configuration Manager instalado, mas são gerenciados pelo conector Exchange Server: configure as Configurações do Aplicativo para o conector Exchange Server de modo que a instalação de arquivos não assinados e aplicativos não assinados sejam proibidos.
Bloquear dispositivos móveis quando não estiver em uso
Ajude a evitar a elevação de ataques de privilégios bloqueando o dispositivo móvel quando ele não for usado.
Para dispositivos móveis registrados pelo Configuration Manager: use um item de configuração de dispositivo móvel para configurar a configuração de senha Tempo ocioso em minutos antes do dispositivo móvel ser bloqueado.
Para dispositivos móveis que não têm o cliente Configuration Manager instalado, mas são gerenciados pelo conector Exchange Server: configure as Configurações de Senha para o conector Exchange Server para definir o tempo ocioso em minutos antes que o dispositivo móvel seja bloqueado.
Restringir os usuários que podem registrar seus dispositivos móveis
Ajude a impedir a elevação de privilégios restringindo os usuários que podem registrar seus dispositivos móveis. Use uma configuração de cliente personalizada em vez de configurações padrão do cliente para permitir que apenas usuários autorizados registrem seus dispositivos móveis.
Diretrizes de afinidade do dispositivo de usuário para dispositivos móveis
Não implante aplicativos para usuários que têm dispositivos móveis registrados por Configuration Manager nos seguintes cenários:
O dispositivo móvel é usado por mais de uma pessoa.
O dispositivo é registrado por um administrador em nome de um usuário.
O dispositivo é transferido para outra pessoa sem se aposentar e, em seguida, registra novamente o dispositivo.
O registro de dispositivo cria uma relação de afinidade de dispositivo de usuário. Essa relação mapeia o usuário que faz o registro no dispositivo móvel. Se outro usuário usar o dispositivo móvel, ele poderá executar os aplicativos implantados no usuário original, o que pode resultar em uma elevação de privilégios. Da mesma forma, se um administrador registrar o dispositivo móvel para um usuário, os aplicativos implantados no usuário não serão instalados no dispositivo móvel. Em vez disso, os aplicativos implantados no administrador podem ser instalados.
Proteja a conexão entre o servidor do site Configuration Manager e o Exchange Server
Se o Exchange Server for local, use IPsec. O Exchange hospedado protege automaticamente a conexão com HTTPS.
Usar o princípio de privilégios mínimos para o conector do Exchange
Para obter uma lista dos cmdlets mínimos exigidos pelo conector Exchange Server, consulte Gerenciar dispositivos móveis com Configuration Manager e Exchange.
Diretrizes de segurança para dispositivos macOS
Armazenar e acessar os arquivos de origem do cliente de um local protegido
Antes de instalar ou registrar o cliente em um computador macOS, Configuration Manager não verifica se esses arquivos de origem do cliente foram adulterados. Baixe esses arquivos de uma fonte confiável. Armazene e acesse-os com segurança.
Monitorar e acompanhar o período de validade do certificado
Monitore e acompanhe o período de validade dos certificados que você usa para computadores macOS. Configuration Manager não dá suporte à renovação automática desse certificado ou avisa que o certificado está prestes a expirar. Um período de validade típico é de um ano.
Para obter mais informações sobre como renovar o certificado, consulte Renovando o certificado de cliente macOS manualmente.
Configurar o certificado raiz confiável somente para SSL
Para ajudar a proteger contra a elevação de privilégios, configure o certificado para a autoridade de certificado raiz confiável para que ele seja confiável apenas para o protocolo SSL.
Quando você registra computadores Mac, um certificado de usuário para gerenciar o Configuration Manager cliente é instalado automaticamente. Esse certificado de usuário inclui os certificados raiz confiáveis em sua cadeia de confiança. Para restringir a confiança desse certificado raiz apenas ao protocolo SSL, use o seguinte procedimento:
No computador Mac, abra uma janela de terminal.
Insira o seguinte comando:
sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
Na caixa de diálogo Acesso ao Keychain , na seção Keychains , selecione Sistema. Em seguida, na seção Categoria , selecione Certificados.
Localize e abra o certificado de AC raiz para o certificado cliente Mac.
Na caixa de diálogo do certificado de AC raiz, expanda a seção Confiança e faça as seguintes alterações:
Ao usar esse certificado: altere a configuração Always Trust para Usar Padrões do Sistema.
Camada de soquetes seguros (SSL): não altere nenhum valor especificado para Always Trust.
Feche a caixa de diálogo. Quando solicitado, insira a senha do administrador e selecione Atualizar Configurações.
Depois de concluir esse procedimento, o certificado raiz só é confiável para validar o protocolo SSL. Outros protocolos que agora não são confiáveis com esse certificado raiz incluem Email Seguro (S/MIME), Autenticação Extensível (EAP) ou assinatura de código.
Observação
Use esse procedimento também se você instalou o certificado do cliente independentemente do Configuration Manager.
Problemas de segurança para clientes
Os seguintes problemas de segurança não têm mitigação:
Mensagens de status não são autenticadas
O ponto de gerenciamento não autentica status mensagens. Quando um ponto de gerenciamento aceita conexões de cliente HTTP, qualquer dispositivo pode enviar mensagens status para o ponto de gerenciamento. Se o ponto de gerenciamento aceitar somente conexões de cliente HTTPS, um dispositivo deverá ter um certificado de autenticação de cliente válido, mas também poderá enviar qualquer mensagem status. O ponto de gerenciamento descarta qualquer mensagem de status inválida recebida de um cliente.
Há alguns ataques potenciais contra essa vulnerabilidade:
- Um invasor poderia enviar uma mensagem falsa status para obter associação em uma coleção baseada em consultas de mensagem status.
- Qualquer cliente pode iniciar uma negação de serviço contra o ponto de gerenciamento inundando-o com mensagens status.
- Se status mensagens estiverem disparando ações em status regras de filtro de mensagem, um invasor poderá disparar a regra status filtro de mensagem.
- Um invasor poderia enviar status mensagem que tornaria as informações de relatório imprecisas.
As políticas podem ser redirecionadas para clientes não direcionados
Há vários métodos que os invasores poderiam usar para fazer com que uma política direcionada a um cliente se aplique a um cliente totalmente diferente. Por exemplo, um invasor em um cliente confiável poderia enviar informações falsas de inventário ou descoberta para que o computador fosse adicionado a uma coleção à qual ele não deveria pertencer. Esse cliente então recebe todas as implantações para essa coleção.
Existem controles para ajudar a impedir que os invasores modifiquem diretamente a política. No entanto, os invasores podem pegar uma política existente que reformatiza e reimplanta um sistema operacional e enviá-lo para um computador diferente. Essa política redirecionada pode criar uma negação de serviço. Esses tipos de ataques exigiriam um tempo preciso e amplo conhecimento da infraestrutura Configuration Manager.
Os logs do cliente permitem o acesso do usuário
Todos os arquivos de log do cliente permitem o grupo Usuários com acesso de leitura e o usuário interativo especial com acesso a dados de gravação. Se você habilitar o log verboso, os invasores poderão ler os arquivos de log para procurar informações sobre conformidade ou vulnerabilidades do sistema. Processos como o software que o cliente instala no contexto de um usuário devem gravar em logs com uma conta de usuário de baixos direitos. Esse comportamento significa que um invasor também pode gravar nos logs com uma conta de baixos direitos.
O risco mais grave é que um invasor possa remover informações nos arquivos de log. Um administrador pode precisar dessas informações para auditoria e detecção de intrusões.
Um computador pode ser usado para obter um certificado projetado para registro de dispositivo móvel
Quando Configuration Manager processa uma solicitação de registro, ela não pode verificar se a solicitação se originou de um dispositivo móvel e não de um computador. Se a solicitação for de um computador, ela poderá instalar um certificado PKI que permite que ele se registre com Configuration Manager.
Para ajudar a evitar uma elevação do ataque de privilégios nesse cenário, permita apenas que usuários confiáveis registrem seus dispositivos móveis. Monitore cuidadosamente as atividades de registro de dispositivo no site.
Um cliente bloqueado ainda pode enviar mensagens para o ponto de gerenciamento
Quando você bloqueia um cliente em que não confia mais, mas ele estabeleceu uma conexão de rede para notificação do cliente, Configuration Manager não desconecta a sessão. O cliente bloqueado pode continuar enviando pacotes para seu ponto de gerenciamento até que o cliente se desconecte da rede. Esses pacotes são apenas pacotes pequenos e mantidos vivos. Esse cliente não pode ser gerenciado por Configuration Manager até que seja desbloqueado.
A atualização automática do cliente não verifica o ponto de gerenciamento
Quando você usa a atualização automática do cliente, o cliente pode ser direcionado a um ponto de gerenciamento para baixar os arquivos de origem do cliente. Nesse cenário, o cliente não verifica o ponto de gerenciamento como uma fonte confiável.
Quando os usuários registram pela primeira vez computadores macOS, eles estão em risco de falsificação de DNS
Quando o computador macOS se conecta ao ponto de proxy de registro durante o registro, é improvável que o computador macOS já tenha o certificado de AC raiz confiável. Neste ponto, o computador macOS não confia no servidor e solicita que o usuário continue. Se um servidor DNS desonesto resolver o FQDN (nome de domínio totalmente qualificado) do ponto de proxy de registro, ele poderá direcionar o computador macOS para um ponto de proxy de registro desonesto para instalar certificados de uma fonte não confiável. Para ajudar a reduzir esse risco, siga as diretrizes de DNS para evitar falsificação em seu ambiente.
O registro do macOS não limita as solicitações de certificado
Os usuários podem registrar novamente seus computadores macOS, sempre que solicitam um novo certificado de cliente. Configuration Manager não marcar para várias solicitações ou limita o número de certificados solicitados de um único computador. Um usuário desonesto pode executar um script que repete a solicitação de registro de linha de comando. Esse ataque pode causar uma negação de serviço na rede ou na autoridade de certificado de emissão (AC). Para ajudar a reduzir esse risco, monitore cuidadosamente a AC emissora para esse tipo de comportamento suspeito. Bloqueie imediatamente da hierarquia Configuration Manager qualquer computador que mostre esse padrão de comportamento.
Um reconhecimento de apagamento não verifica se o dispositivo foi apagado com êxito
Quando você inicia uma ação de apagamento de um dispositivo móvel e Configuration Manager reconhece o apagamento, a verificação é que Configuration Manager enviou a mensagem com êxito. Ele não verifica se o dispositivo agiu na solicitação.
Para dispositivos móveis gerenciados pelo conector Exchange Server, um reconhecimento de apagamento verifica se o comando foi recebido pelo Exchange, não pelo dispositivo.
Se você usar as opções para confirmar alterações em dispositivos Windows Embedded, as contas poderão ser bloqueadas mais cedo do que o esperado
Se o dispositivo Windows Embedded estiver executando uma versão do sistema operacional anterior ao Windows 7 e um usuário tentar entrar enquanto os filtros de gravação estiverem desabilitados por Configuration Manager, o Windows permitirá apenas metade do número configurado de tentativas incorretas antes que a conta seja bloqueada.
Por exemplo, você configura a política de domínio para o limite de bloqueio da conta para seis tentativas. Um usuário digita mal a senha três vezes e a conta é bloqueada. Esse comportamento efetivamente cria uma negação de serviço. Se os usuários precisarem entrar em dispositivos inseridos nesse cenário, alerte-os sobre o potencial de um limite de bloqueio reduzido.
Informações de privacidade para clientes
Ao implantar o cliente Configuration Manager, você habilita as configurações do cliente para recursos Configuration Manager. As configurações usadas para configurar os recursos podem ser aplicadas a todos os clientes na hierarquia Configuration Manager. Esse comportamento é o mesmo se eles estiverem diretamente conectados à rede interna, conectados por meio de uma sessão remota ou conectados à Internet.
As informações do cliente são armazenadas no banco de dados do site Configuration Manager em seu SQL Server e não são enviadas para a Microsoft. As informações são mantidas no banco de dados até serem excluídas pela tarefa de manutenção do site Excluir dados de descoberta envelhecidos a cada 90 dias. Você pode configurar o intervalo de exclusão.
Alguns dados de uso e diagnóstico de uso resumidos ou agregados são enviados para a Microsoft. Para obter mais informações, consulte Diagnóstico e dados de uso.
Você pode saber mais sobre a coleta e o uso de dados da Microsoft na Instrução de Privacidade da Microsoft.
Status do cliente
Configuration Manager monitora a atividade dos clientes. Ele avalia periodicamente o Configuration Manager cliente e pode corrigir problemas com o cliente e suas dependências. O status do cliente está habilitado por padrão. Ele usa métricas do lado do servidor para as verificações de atividade do cliente. O status do cliente usa ações do lado do cliente para auto-verificação, correção e para enviar informações de status cliente para o site. O cliente executa as auto-verificações de acordo com uma agenda que você configura. O cliente envia os resultados das verificações para o site Configuration Manager. Essas informações são criptografadas durante a transferência.
As informações de status do cliente são armazenadas no banco de dados Configuration Manager em seu SQL Server e não são enviadas para a Microsoft. As informações não são armazenadas em formato criptografado no banco de dados do site. Essas informações são mantidas no banco de dados até que sejam excluídas de acordo com o valor configurado para o histórico de status do cliente de retenção para o número de dias a seguir status configuração de status do cliente. O valor padrão dessa configuração é a cada 31 dias.
Informações de privacidade para o Conector Exchange Server
O Conector Exchange Server localiza e gerencia dispositivos que se conectam a um Exchange Server local ou hospedado usando o protocolo ActiveSync. Os registros encontrados pelo conector Exchange Server são armazenados no banco de dados Configuration Manager em seu SQL Server. As informações são coletadas do Exchange Server. Ele não contém nenhuma informação adicional do que os dispositivos móveis enviam para Exchange Server.
As informações do dispositivo móvel não são enviadas para a Microsoft. As informações do dispositivo móvel são armazenadas no banco de dados Configuration Manager em seu SQL Server. As informações são mantidas no banco de dados até serem excluídas pela tarefa de manutenção do site Excluir dados de descoberta envelhecidos a cada 90 dias. Você configura o intervalo de exclusão.
Você pode saber mais sobre a coleta e o uso de dados da Microsoft na Instrução de Privacidade da Microsoft.