Configurar a segurança no Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Use as informações neste artigo para ajudá-lo a configurar opções relacionadas à segurança para Configuration Manager. Antes de começar, certifique-se de ter um plano de segurança.

Importante

A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.

Certificados PKI do cliente

Se você quiser usar certificados PKI (infraestrutura de chave pública) para conexões de cliente com sistemas de sites que usam o IIS (Internet Information Services), use o procedimento a seguir para configurar as configurações desses certificados.

  1. No console Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione o nó Sites. Selecione o site primário a ser configurado.

  2. Na faixa de opções, escolha Propriedades. Em seguida, alterne para a guia Segurança de Comunicação .

  3. Selecione as configurações para sistemas de site que usam o IIS.

    • Somente HTTPS: os clientes atribuídos ao site sempre usam um certificado PKI do cliente quando se conectam aos sistemas de sites que usam o IIS. Por exemplo, um ponto de gerenciamento e um ponto de distribuição.

    • HTTPS ou HTTP: você não exige que os clientes usem certificados PKI.

    • Use certificados gerados por Configuration Manager para sistemas de sites HTTP: para obter mais informações sobre essa configuração, consulte HTTP aprimorado.

  4. Selecione as configurações para computadores cliente.

    • Use o certificado PKI do cliente (funcionalidade de autenticação do cliente) quando estiver disponível: se você escolheu a configuração do servidor de site HTTP OU HTTP , escolha essa opção para usar um certificado PKI do cliente para conexões HTTP. O cliente usa esse certificado em vez de um certificado autoassinado para se autenticar nos sistemas do site. Se você escolheu somente HTTPS, essa opção será escolhida automaticamente.

      Quando mais de um certificado cliente PKI válido estiver disponível em um cliente, selecione Modificar para configurar os métodos de seleção de certificado do cliente. Para obter mais informações sobre o método de seleção de certificado do cliente, consulte Planejamento para seleção de certificado de cliente PKI.

    • Os clientes marcar a CRL (lista de revogação de certificado) para sistemas de site: habilite essa configuração para os clientes marcar CRL da sua organização para certificados revogados. Para obter mais informações sobre a verificação de CRL para clientes, consulte Planejamento para revogação de certificado PKI.

  5. Para importar, exibir e excluir os certificados para autoridades de certificação raiz confiáveis, selecione Definir. Para obter mais informações, consulte Planejamento para os certificados raiz confiáveis PKI e a Lista de emissores de certificado.

Repita esse procedimento para todos os sites primários na hierarquia.

Gerenciar a chave raiz confiável

Use esses procedimentos para pré-provisionar e verificar a chave raiz confiável de um cliente Configuration Manager.

Observação

Se os clientes puderem obter a chave raiz confiável de Active Directory Domain Services ou push do cliente, você não precisará provisioná-la previamente.

Quando os clientes usam a comunicação HTTPS para pontos de gerenciamento, você não precisa pré-provisionar a chave raiz confiável. Eles estabelecem confiança pelos certificados PKI.

Para obter mais informações sobre a chave raiz confiável, consulte Planejar segurança.

Pré-provisionar um cliente com a chave raiz confiável usando um arquivo

  1. No servidor do site, navegue até o diretório de instalação Configuration Manager. \bin\<platform> Na subpasta, abra o seguinte arquivo em um editor de texto:mobileclient.tcf

  2. Localize a entrada, SMSPublicRootKey. Copie o valor dessa linha e feche o arquivo sem salvar nenhuma alteração.

  3. Crie um novo arquivo de texto e cole o valor de chave copiado do arquivo mobileclient.tcf.

  4. Salve o arquivo em um local onde todos os computadores possam acessá-lo, mas onde o arquivo está seguro contra adulteração.

  5. Instale o cliente usando qualquer método de instalação que aceite client.msi propriedades. Especifique a seguinte propriedade: SMSROOTKEYPATH=<full path and file name>

    Importante

    Ao especificar a chave raiz confiável durante a instalação do cliente, especifique o código do site. Use a seguinte propriedade client.msi: SMSSITECODE=<site code>

Pré-provisionar um cliente com a chave raiz confiável sem usar um arquivo

  1. No servidor do site, navegue até o diretório de instalação Configuration Manager. \bin\<platform> Na subpasta, abra o seguinte arquivo em um editor de texto:mobileclient.tcf

  2. Localize a entrada, SMSPublicRootKey. Copie o valor dessa linha e feche o arquivo sem salvar nenhuma alteração.

  3. Instale o cliente usando qualquer método de instalação que aceite client.msi propriedades. Especifique a seguinte propriedade client.msi: SMSPublicRootKey=<key> onde <key> está a cadeia de caracteres copiada de mobileclient.tcf.

    Importante

    Ao especificar a chave raiz confiável durante a instalação do cliente, especifique o código do site. Use a seguinte propriedade client.msi: SMSSITECODE=<site code>

Verificar a chave raiz confiável em um cliente

  1. Abra um console Windows PowerShell como administrador.

  2. Execute o seguinte comando:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

A cadeia de caracteres retornada é a chave raiz confiável. Verifique se ele corresponde ao valor SMSPublicRootKey no arquivo mobileclient.tcf no servidor do site.

Remover ou substituir a chave raiz confiável

Remova a chave raiz confiável de um cliente usando a propriedade client.msi, RESETKEYINFORMATION = TRUE.

Para substituir a chave raiz confiável, reinstale o cliente junto com a nova chave raiz confiável. Por exemplo, use push do cliente ou especifique a propriedade client.msi SMSPublicRootKey.

Para obter mais informações sobre essas propriedades de instalação, consulte Sobre parâmetros e propriedades de instalação do cliente.

Assinatura e criptografia

Configure as configurações de assinatura e criptografia mais seguras para sistemas de site que todos os clientes no site podem dar suporte. Essas configurações são especialmente importantes quando você permite que os clientes se comuniquem com sistemas de site usando certificados autoassinados por HTTP.

  1. No console Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione o nó Sites. Selecione o site primário a ser configurado.

  2. Na faixa de opções, selecione Propriedades e, em seguida, alterne para a guia Assinatura e Criptografia .

    Essa guia está disponível somente em um site primário. Se você não vir a guia Assinatura e Criptografia , verifique se você não está conectado a um site de administração central ou a um site secundário.

  3. Configure as opções de assinatura e criptografia para os clientes se comunicarem com o site.

    • Exigir assinatura: os clientes assinam dados antes de enviar para o ponto de gerenciamento.

    • Exigir SHA-256: os clientes usam o algoritmo SHA-256 ao assinar dados.

      Aviso

      Não exija SHA-256 sem antes confirmar que todos os clientes dão suporte a esse algoritmo de hash. Esses clientes incluem os que podem ser atribuídos ao site no futuro.

      Se você escolher essa opção e os clientes com certificados autoassinados não puderem dar suporte ao SHA-256, Configuration Manager os rejeitará. O componente SMS_MP_CONTROL_MANAGER registra a ID da mensagem 5443.

    • Usar criptografia: os clientes criptografam dados de inventário do cliente e status mensagens antes de enviar para o ponto de gerenciamento.

Repita esse procedimento para todos os sites primários na hierarquia.

Administração baseada em funções

A administração baseada em função combina funções de segurança, escopos de segurança e coleções atribuídas para definir o escopo administrativo para cada usuário administrativo. Um escopo inclui os objetos que um usuário pode exibir no console e as tarefas relacionadas aos objetos que eles têm permissão para fazer. As configurações de administração baseadas em função são aplicadas em cada site em uma hierarquia.

Para obter mais informações, consulte Configurar administração baseada em função. Este artigo detalha as seguintes ações:

  • Criar funções de segurança personalizadas

  • Configurar funções de segurança

  • Configurar escopos de segurança para um objeto

  • Configurar coleções para gerenciar a segurança

  • Criar um novo usuário administrativo

  • Modificar o escopo administrativo de um usuário administrativo

Importante

Seu próprio escopo administrativo define os objetos e as configurações que você pode atribuir ao configurar a administração baseada em função para outro usuário administrativo. Para obter informações sobre o planejamento para administração baseada em função, consulte Fundamentos da administração baseada em função.

Gerenciar contas

Configuration Manager dá suporte a contas do Windows para muitas tarefas e usos diferentes. Para exibir contas configuradas para tarefas diferentes e gerenciar a senha que Configuration Manager usa para cada conta, use o seguinte procedimento:

  1. No console Configuration Manager, acesse o workspace Administração, expanda Segurança e escolha o nó Contas.

  2. Para alterar a senha de uma conta, selecione a conta na lista. Em seguida, escolha Propriedades na faixa de opções.

  3. Escolha Definir para abrir a caixa de diálogo Conta de Usuário do Windows . Especifique a nova senha para Configuration Manager usar para essa conta.

    Observação

    A senha especificada deve corresponder à senha dessa conta no Active Directory.

Para obter mais informações, consulte Contas usadas em Configuration Manager.

Microsoft Entra ID

Integre Configuration Manager com Microsoft Entra ID para simplificar e habilitar o ambiente na nuvem. Habilite o site e os clientes para se autenticar usando Microsoft Entra ID.

Para obter mais informações, consulte o serviço de Gerenciamento de Nuvem em Configurar serviços do Azure.

Autenticação do Provedor de SMS

Você pode especificar o nível mínimo de autenticação para os administradores acessarem Configuration Manager sites. Esse recurso impõe que os administradores entrem no Windows com o nível necessário antes de poderem acessar Configuration Manager. Para obter mais informações, consulte Planejar a autenticação do Provedor de SMS.

Importante

Essa configuração é uma configuração em toda a hierarquia. Antes de alterar essa configuração, verifique se todos os administradores Configuration Manager podem entrar no Windows com o nível de autenticação necessário.

Para configurar essa configuração, use as seguintes etapas:

  1. Primeiro entre no Windows com o nível de autenticação pretendido.

  2. No console Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione o nó Sites.

  3. Selecione Configurações de Hierarquia na faixa de opções.

  4. Alterne para a guia Autenticação . Selecione o nível de autenticação desejado e selecione OK.

    • Somente quando necessário, selecione Adicionar para excluir usuários ou grupos específicos. Para obter mais informações, consulte Exclusões.

Exclusões

Na guia Autenticação de Configurações de Hierarquia, você também pode excluir determinados usuários ou grupos. Use essa opção com moderação. Por exemplo, quando usuários específicos exigem acesso ao console Configuration Manager, mas não podem se autenticar no Windows no nível necessário. Também pode ser necessário para automação ou serviços executados no contexto de uma conta do sistema.

Próximas etapas