Configure a segurança no Gestor de Configuração

Aplica-se a: Gestor de Configuração (ramo atual)

Utilize as informações neste artigo para ajudá-lo a configurar opções relacionadas com a segurança para o Gestor de Configuração. Antes de começar, certifique-se de ter um Plano de Segurança.

Importante

A partir da versão 2103 do Gestor de Configuração, os sites que permitem a comunicação do cliente HTTP são preprecados. Configure o site para HTTPS ou HTTP melhorado. Para obter mais informações, consulte Ativar o site apenas para HTTPS ou HTTP melhorado.

Certificados PKI do cliente

Se pretender utilizar certificados da infraestrutura de chaves públicas (PKI) para ligações de cliente aos sistemas de sites que utilizam os Serviços de Informação Internet (IIS), utilize o seguinte procedimento para configurar as definições destes certificados.

  1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda a configuração do site e selecione o nó 'Sites'. Selecione o local primário para configurar.

  2. Na fita, escolha Propriedades. Em seguida, mude para o separador De Segurança da Comunicação.

  3. Selecione as definições para sistemas de site que utilizam o IIS.

    • HTTPS apenas: Os clientes que são designados para o site usam sempre um certificado PKI cliente quando se ligam aos sistemas de site que utilizam o IIS. Por exemplo, um ponto de gestão e ponto de distribuição.

    • HTTPS ou HTTP: Não é necessário que os clientes utilizem certificados PKI.

    • Utilize certificados gerados pelo Gestor de Configuração para sistemas de sítios HTTP: Para obter mais informações sobre esta definição, consulte HTTP Melhorado.

  4. Selecione as definições para computadores clientes.

    • Utilize o certificado PKI do cliente (capacidade de autenticação do cliente) quando estiver disponível: Se escolher a definição do servidor https ou http site, escolha esta opção para utilizar um certificado PKI do cliente para ligações HTTP. O cliente utiliza este certificado em vez de um certificado autoassinado para se autenticar perante os sistemas de site. Se escolheu apenas HTTPS, esta opção é escolhida automaticamente.

      Quando estiver disponível mais de um certificado de cliente PKI válido num cliente, selecione Modificar para configurar os métodos de seleção do certificado do cliente. Para mais informações sobre o método de seleção de certificados de cliente, consulte Planning for PKI client certificate selection.

    • Os clientes verificam a lista de revogação de certificados (CRL) para sistemas de site: Ative esta definição para os clientes verificarem o CRL da sua organização para obter certificados revogados. Para mais informações sobre a verificação CRL para clientes, consulte Planning for PKI certificate revocation.

  5. Para importar, ver e eliminar os certificados para as autoridades de certificação de raiz fidedignas, selecione set. Para obter mais informações, consulte o Planeamento dos certificados de raiz fidedignos do PKI e a Lista de emitentes de certificados.

Repita este procedimento para todos os sites primários da hierarquia.

Gerir a chave de raiz de confiança

Utilize estes procedimentos para pré-provisão e verificar a chave de raiz fidedigna para um cliente Gestor de Configuração.

Nota

Se os clientes conseguirem obter a chave raiz fidedigna dos Serviços de Domínio do Diretório Ativo ou do impulso do cliente, não é preciso pré-provisões.

Quando os clientes usam a comunicação HTTPS para pontos de gestão, não é preciso pré-a provisionar a chave raiz fidedigna. Estabelecem confiança pelos certificados PKI.

Para obter mais informações sobre a chave de raiz fidedigna, consulte Plano de segurança.

Pré-fornecimento de um cliente com a chave raiz fidedigna usando um ficheiro

  1. No servidor do site, navegue no diretório de instalação do Gestor de Configuração. Abra o seguinte ficheiro num editor de texto: \bin\mobileclient.tcf

  2. Localize a entrada, SMSPublicRootKey . Copie o valor dessa linha e feche o ficheiro sem guardar quaisquer alterações.

  3. Crie um novo ficheiro de texto e cole o valor chave que copiou a partir do ficheiro mobileclient.tcf.

  4. Guarde o ficheiro num local onde todos os computadores possam aceder ao mesmo, mas onde o ficheiro está a salvo de adulteração.

  5. Instale o cliente utilizando qualquer método de instalação que aceite client.msi propriedades. Especificar a seguinte propriedade: SMSROOTKEYPATH=<full path and file name>

    Importante

    Quando especificar a chave de raiz fidedigna durante a instalação do cliente, especifique também o código do site. Utilize a seguinte propriedade client.msi: SMSSITECODE=<site code>

Pré-fornecimento de um cliente com a chave raiz fidedigna sem usar um ficheiro

  1. No servidor do site, navegue no diretório de instalação do Gestor de Configuração. Abra o seguinte ficheiro num editor de texto: \bin\mobileclient.tcf

  2. Localize a entrada, SMSPublicRootKey . Copie o valor dessa linha e feche o ficheiro sem guardar quaisquer alterações.

  3. Instale o cliente utilizando qualquer método de instalação que aceite client.msi propriedades. Especifique a seguinte propriedade client.msi: SMSPublicRootKey=<key> onde está a cadeia que <key> copiou de mobileclient.tcf.

    Importante

    Quando especificar a chave de raiz fidedigna durante a instalação do cliente, especifique também o código do site. Utilize a seguinte propriedade client.msi: SMSSITECODE=<site code>

Verifique a chave de raiz confiável de um cliente

  1. Abra uma consola Windows PowerShell como administrador.

  2. Execute o seguinte comando:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

A corda devolvida é a chave de raiz de confiança. Verifique se corresponde ao valor SMSPublicRootKey no ficheiro mobileclient.tcf no servidor do site.

Remova ou substitua a chave de raiz fidedigna

Remova a chave de raiz fidedigna de um cliente utilizando a propriedade client.msi, RESETKEYINFORMATION = TRUE .

Para substituir a chave raiz fidedigna, reinstale o cliente juntamente com a nova chave de raiz fidedigna. Por exemplo, use o cliente push, ou especifique a propriedade client.msi SMSPublicRootKey.

Para obter mais informações sobre estas propriedades de instalação, consulte sobre os parâmetros e propriedades de instalação do cliente.

Assinatura e encriptação

Configure as definições de assinatura e encriptação mais seguras para os sistemas de site que todos os clientes do site possam suportar. Estas definições são especialmente importantes quando permitir que os clientes comuniquem com os sistemas de site utilizando certificados autoassinados através de HTTP.

  1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda a configuração do site e selecione o nó 'Sites'. Selecione o local primário para configurar.

  2. Na fita, selecione Propriedades e, em seguida, mude para o separador Assinatura e Encriptação.

    Este separador apenas está disponível num site primário. Se não vir o separador Descrevição e Encriptação, certifique-se de que não está ligado a um site da administração central ou a um site secundário.

  3. Configure as opções de assinatura e encriptação para que os clientes se comuniquem com o site.

    • Requerer a assinatura: Os clientes assinam dados antes de enviar para o ponto de gestão.

    • Requer SHA-256: Os clientes usam o algoritmo SHA-256 ao assinar dados.

      Aviso

      Não exija SHA-256 sem confirmar primeiro que todos os clientes suportam este algoritmo de hash. Estes clientes incluem aqueles que poderão vir a ser atribuídos ao site no futuro.

      Se escolher esta opção e os clientes com certificados auto-assinados não puderem suportar SHA-256, o Gestor de Configuração rejeita-os. O componente SMS_MP_CONTROL_MANAGER regista o ID 5443 da mensagem.

    • Utilização da encriptação: Os clientes encriptam os dados de inventário do cliente e as mensagens de estado antes de enviarem para o ponto de gestão.

Repita este procedimento para todos os sites primários da hierarquia.

Administração baseada em funções

A administração baseada em funções combina funções de segurança, âmbitos de segurança e coleções atribuídas para definir o âmbito administrativo de cada utilizador administrativo. Um âmbito inclui os objetos que um utilizador pode ver na consola, e as tarefas relacionadas com os objetos que têm permissão para fazer. As configurações de administração baseadas em funções são aplicadas em cada site de uma hierarquia.

Para obter mais informações, consulte a administração baseada em funções. Este artigo detalha as seguintes ações:

  • Criar funções de segurança personalizadas

  • Configurar funções de segurança

  • Configurar âmbitos de segurança para um objeto

  • Configurar coleções para gerir a segurança

  • Criar um novo utilizador administrativo

  • Modificar o âmbito administrativo de um utilizador administrativo

Importante

O seu próprio âmbito administrativo define os objetos e definições que pode atribuir ao configurar a administração baseada em funções para outro utilizador administrativo. Para obter informações sobre o planeamento da administração baseada em funções, consulte os fundamentos da administração baseada em funções.

Gerir contas

O Gestor de Configuração suporta Windows contas para muitas tarefas e utilizações diferentes. Para visualizar contas configuradas para diferentes tarefas e para gerir a palavra-passe que o Gestor de Configuração utiliza para cada conta, utilize o seguinte procedimento:

  1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda a Segurança e, em seguida, escolha o nó Contas.

  2. Para alterar a palavra-passe de uma conta, selecione a conta na lista. Em seguida, escolha propriedades na fita.

  3. Escolha definir para abrir a caixa de diálogo Windows conta de utilizador. Especifique a nova palavra-passe para o Gestor de Configuração utilizar para esta conta.

    Nota

    A palavra-passe que especifique deve corresponder à palavra-passe desta conta no Ative Directory.

Para obter mais informações, consulte contas utilizadas no Gestor de Configurações.

Azure Active Directory

Integre o Gestor de Configuração com Azure Ative Directory (Azure AD) para simplificar e capacitar o ambiente. Capacitar o site e os clientes a autenticar utilizando a Azure AD.

Para mais informações, consulte o serviço de Gestão de Nuvens nos serviços Configure Azure.

Autenticação do fornecedor de SMS

Pode especificar o nível mínimo de autenticação para os administradores acederem aos sites do Gestor de Configuração. Esta funcionalidade obriga os administradores a iniciar sedução para Windows com o nível exigido antes de poderem aceder ao Gestor de Configuração. Para mais informações, consulte Plano de autenticação do Fornecedor de SMS.

Importante

Esta configuração é uma configuração de toda a hierarquia. Antes de alterar esta definição, certifique-se de que todos os administradores do Gestor de Configuração podem iniciar sação para Windows com o nível de autenticação exigido.

Para configurar esta definição, utilize os seguintes passos:

  1. Primeiro sinal para Windows com o nível de autenticação pretendido.

  2. Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda a configuração do site e selecione o nó 'Sites'.

  3. Selecione hierarquia Definições na fita.

  4. Mude para o separador Autenticação. Selecione o nível de autenticaçãopretendido e, em seguida, selecione OK.

    • Apenas quando necessário, selecione Adicionar para excluir utilizadores ou grupos específicos. Para mais informações, consulte Exclusões.

Exclusões

A partir do separador Autenticação da Hierarquia Definições, também pode excluir determinados utilizadores ou grupos. Utilize esta opção com moderação. Por exemplo, quando utilizadores específicos exigem acesso à consola Do Gestor de Configuração, mas não conseguem autenticar para Windows ao nível exigido. Pode também ser necessário para a automatização ou serviços que são executados no contexto de uma conta do sistema.

Passos seguintes