Segurança e privacidade para gerenciamento de conteúdo no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Este artigo contém informações de segurança e privacidade para gerenciamento de conteúdo em Configuration Manager.
Diretrizes de segurança
Vantagens e desvantagens de HTTPS ou HTTP para pontos de distribuição de intranet
Para pontos de distribuição na intranet, considere as vantagens e desvantagens do uso de HTTPS ou HTTP. Na maioria dos cenários, o uso de contas de acesso a pacotes e HTTP para autorização fornece mais segurança do que usar HTTPS com criptografia, mas sem autorização. No entanto, se você tiver dados confidenciais no conteúdo que deseja criptografar durante a transferência, use HTTPS.
Quando você usa HTTPS para um ponto de distribuição: Configuration Manager não usa contas de acesso de pacote para autorizar o acesso ao conteúdo. O conteúdo é criptografado quando é transferido pela rede.
Quando você usa HTTP para um ponto de distribuição: você pode usar contas de acesso de pacote para autorização. O conteúdo não é criptografado quando é transferido pela rede.
Considere habilitar HTTP aprimorado para o site. Esse recurso permite que os clientes usem Microsoft Entra autenticação para se comunicar com segurança com um ponto de distribuição HTTP. Para obter mais informações, consulte HTTP aprimorado.
Importante
A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.
Proteger o arquivo de certificado de autenticação do cliente
Se você usar um certificado de autenticação de cliente PKI em vez de um certificado autoassinado para o ponto de distribuição, proteja o arquivo de certificado (.pfx) com uma senha forte. Se você armazenar o arquivo na rede, proteja o canal de rede ao importar o arquivo para Configuration Manager.
Quando você precisa de uma senha para importar o certificado de autenticação do cliente que o ponto de distribuição usa para se comunicar com pontos de gerenciamento, essa configuração ajuda a proteger o certificado de um invasor. Para evitar que um invasor altere o arquivo de certificado, use a assinatura do SMB (bloco de mensagens do servidor) ou o IPsec entre o local de rede e o servidor do site.
Remover a função de ponto de distribuição do servidor do site
Por padrão, Configuration Manager instalação instala um ponto de distribuição no servidor do site. Os clientes não precisam se comunicar diretamente com o servidor do site. Para reduzir a superfície de ataque, atribua a função de ponto de distribuição a outros sistemas de site e remova-a do servidor do site.
Proteger o conteúdo no nível de acesso ao pacote
O compartilhamento de ponto de distribuição permite acesso de leitura a todos os usuários. Para restringir quais usuários podem acessar o conteúdo, use contas de acesso ao pacote quando o ponto de distribuição estiver configurado para HTTP. Essa configuração não se aplica a gateways de gerenciamento de nuvem habilitados para conteúdo, que não dão suporte a contas de acesso a pacotes.
Para obter mais informações, confira Contas de acesso a pacotes.
Configurar o IIS na função de ponto de distribuição
Se Configuration Manager instalar o IIS ao adicionar uma função de sistema de site de ponto de distribuição, remova o redirecionamento HTTP e os Scripts e Ferramentas de Gerenciamento do IIS quando a instalação do ponto de distribuição for concluída. O ponto de distribuição não requer esses componentes. Para reduzir a superfície de ataque, remova esses serviços de função para a função de servidor Web.
Para obter mais informações sobre os serviços de função para a função de servidor Web para pontos de distribuição, consulte Pré-requisitos do sistema de sites e sites.
Definir permissões de acesso ao pacote ao criar o pacote
Como as alterações nas contas de acesso nos arquivos de pacote só se tornam eficazes quando você redistribui o pacote, defina as permissões de acesso ao pacote cuidadosamente quando você criar o pacote pela primeira vez. Essa configuração é importante quando o pacote é grande ou distribuído para muitos pontos de distribuição e quando a capacidade de largura de banda de rede para distribuição de conteúdo é limitada.
Implementar controles de acesso para proteger a mídia que contém conteúdo pré-configurado
O conteúdo prestaged é compactado, mas não criptografado. Um invasor pode ler e modificar os arquivos que são baixados em dispositivos. Configuration Manager clientes rejeitam o conteúdo adulterado, mas ainda o baixam.
Importar conteúdo prestaged com ExtractContent
Importe apenas o conteúdo pré-configurado usando a ferramenta de linha de comando ExtractContent.exe. Para evitar a adulteração e a elevação de privilégios, use apenas a ferramenta de linha de comando autorizada que vem com Configuration Manager.
Para obter mais informações, consulte Implantar e gerenciar conteúdo.
Proteger o canal de comunicação entre o servidor do site e o local de origem do pacote
Use a assinatura IPsec ou SMB entre o servidor do site e o local de origem do pacote ao criar aplicativos, pacotes e outros objetos com conteúdo. Essa configuração ajuda a impedir que um invasor altere os arquivos de origem.
Remover diretórios virtuais padrão para o site personalizado com a função de ponto de distribuição
Se você alterar a opção de configuração do site para usar um site personalizado em vez do site padrão depois de instalar uma função de ponto de distribuição, remova os diretórios virtuais padrão. Quando você alterna do site padrão para um site personalizado, Configuration Manager não remove os diretórios virtuais antigos. Remova os seguintes diretórios virtuais que Configuration Manager criados originalmente no site padrão:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
Para obter mais informações sobre como usar um site personalizado, consulte Sites para servidores do sistema de sites.
Para gateways de gerenciamento de nuvem habilitados para conteúdo, proteja seus detalhes e certificados de assinatura do Azure
Ao usar CMGs (gateways de gerenciamento de nuvem habilitados para conteúdo), proteja os seguintes itens de alto valor:
- O nome de usuário e a senha da sua assinatura do Azure
- As chaves secretas para registros de aplicativos do Azure
- O certificado de autenticação do servidor
Armazene os certificados com segurança. Se você navegar até eles pela rede ao configurar o CMG, use a assinatura IPsec ou SMB entre o servidor do sistema de site e o local de origem.
Para continuidade do serviço, monitore a data de validade dos certificados CMG
Configuration Manager não avisa quando os certificados importados para o CMG estão prestes a expirar. Monitore as datas de validade independentemente do Configuration Manager. Certifique-se de renovar e importar os novos certificados antes da data de validade. Essa ação é importante se você adquirir um certificado de autenticação de servidor de um provedor público externo, pois talvez seja necessário mais tempo para adquirir um certificado renovado.
Se um certificado expirar, o Configuration Manager gerenciador de serviços de nuvem gerará uma mensagem status com a ID 9425. O arquivo CloudMgr.log contém uma entrada para indicar que o certificado está em estado expirado, com a data de validade também registrada em UTC.
Considerações de segurança
Os clientes não validam o conteúdo até que ele seja baixado. Configuration Manager clientes validam o hash no conteúdo somente depois que ele é baixado no cache do cliente. Se um invasor adulterar a lista de arquivos a serem baixados ou com o conteúdo em si, o processo de download poderá ocupar uma largura de banda de rede considerável. Em seguida, o cliente descarta o conteúdo quando encontra o hash inválido.
Quando você usa gateways de gerenciamento de nuvem habilitados para conteúdo:
Ele restringe automaticamente o acesso ao conteúdo à sua organização. Você não pode restringi-lo ainda mais a usuários ou grupos selecionados.
O ponto de gerenciamento primeiro autentica o cliente. Em seguida, o cliente usa um token Configuration Manager para acessar o armazenamento em nuvem. O token é válido por oito horas. Esse comportamento significa que, se você bloquear um cliente porque ele não é mais confiável, ele poderá continuar baixando conteúdo do armazenamento em nuvem até que esse token expire. O ponto de gerenciamento não emitirá outro token para o cliente porque ele está bloqueado.
Para evitar que um cliente bloqueado baixe conteúdo nesta janela de oito horas, interrompa o serviço de nuvem. No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione o nó Gateway de Gerenciamento de Nuvem.
Informações de privacidade
Configuration Manager não inclui nenhum dado do usuário em arquivos de conteúdo, embora um usuário administrativo possa optar por fazer essa ação.