Fundamentos de segurança para o Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Este artigo resume os seguintes componentes fundamentais de segurança de qualquer ambiente do Gestor de Configuração:

Camadas de segurança

A segurança do Gestor de Configuração consiste nas seguintes camadas:

Windows Segurança do SO e da rede

A primeira camada é fornecida por Windows funcionalidades de segurança tanto para o SO como para a rede. Esta camada inclui os seguintes componentes:

  • Partilha de ficheiros para transferir ficheiros entre componentes do Gestor de Configuração.

  • Listas de Controlo de Acesso (ACLs) para ajudar a proteger ficheiros e chaves de registo.

  • Internet Protocol Security (IPsec) para ajudar a garantir comunicações.

  • Política de grupo para definir a política de segurança.

  • Permissões distribuídas do Modelo de Objeto de Componente (DCOM) para aplicações distribuídas, como a consola Do Gestor de Configuração.

  • Serviços de Domínio do Diretório Ativo para armazenar diretores de segurança.

  • Windows segurança da conta, incluindo alguns grupos que o Gestor de Configuração cria durante a configuração.

Infraestrutura de rede

Componentes de segurança da rede, como firewalls e deteção de intrusões, ajudam a fornecer defesa para todo o ambiente. Os certificados emitidos pelas implementações padrão de infraestrutura de chaves públicas do setor (PKI) ajudam a fornecer autenticação, assinatura e encriptação.

Controlos de segurança do Gestor de Configuração

Por predefinição, apenas os administradores locais têm direitos sobre os ficheiros e chaves de registo que a consola Do Gestor de Configuração exige nos computadores onde o instala.

Fornecedor de SMS

A próxima camada de segurança baseia-se no acesso ao Fornecedor de SMS. O Fornecedor de SMS é um componente do Gestor de Configurações que concede acesso ao utilizador para consultar a base de dados do site para obter informações. O Fornecedor de SMS expõe principalmente o acesso através da Instrumentação de Gestão Windows (IMI), mas também uma API REST chamada serviço de administração.

Por predefinição, o acesso ao fornecedor é restringido aos membros do grupo Admins de SMS . Este grupo contém inicialmente apenas o utilizador que instalou o Gestor de Configuração. Para conceder permissão a outras contas no repositório CIM (Common Information Model) e no fornecedor de SMS, adicione-as ao grupo de Administradores de SMS.

Pode especificar o nível mínimo de autenticação para os administradores acederem aos sites do Gestor de Configuração. Esta funcionalidade obriga os administradores a iniciar sedução para Windows com o nível exigido. Para mais informações, consulte Plano para o Fornecedor de SMS.

Permissões de base de dados do site

A camada final de segurança baseia-se nas permissões para objetos da base de dados do site. Por predefinição, a conta do Sistema Local e a conta de utilizador que usou para instalar o Gestor de Configuração podem administrar todos os objetos na base de dados do site. Conceder e restringir permissões a outros utilizadores administrativos na consola Do Gestor de Configuração utilizando a administração baseada em funções.

Administração baseada em funções

O Gestor de Configuração usa a administração baseada em funções para ajudar a proteger objetos como coleções, implementações e sites. Este modelo de administração define e gere de forma centralizada as definições de acesso de segurança de toda a hierarquia para todos os sites e definições do site.

Um administrador atribui funções de segurança a utilizadores administrativos e permissões de grupo. As permissões estão ligadas a diferentes tipos de objetos do Gestor de Configuração, por exemplo, para criar ou alterar as definições do cliente.

Os âmbitos de segurança incluem casos específicos de objetos que um utilizador administrativo é responsável por gerir. Por exemplo, uma aplicação que instala a consola Do Gestor de Configuração.

A combinação de funções de segurança, âmbitos de segurança e coleções definem os objetos que um utilizador administrativo pode ver e gerir. O Gestor de Configuração instala algumas funções de segurança predefinidos para tarefas típicas de gestão. Crie as suas próprias funções de segurança para suportar os seus requisitos específicos de negócio.

Para mais informações, consulte os fundamentos da administração baseada em funções.

Proteger pontos finais de cliente

O Gestor de Configuração assegura a comunicação do cliente às funções do sistema de site utilizando certificados auto-assinados ou PKI, ou Azure Ative Directory fichas (Azure AD). Alguns cenários requerem a utilização de certificados PKI. Por exemplo, gestão de clientes baseados na Internet,e para clientes de dispositivos móveis.

Pode configurar as funções do sistema de site a que os clientes se conectam para comunicação do cliente HTTPS ou HTTP. Os computadores clientes comunicam sempre utilizando o método mais seguro disponível. Os computadores clientes só recuam para usar o método de comunicação menos seguro se tiver funções de sistemas de site que permitam a comunicação HTTP.

Importante

A partir da versão 2103 do Gestor de Configuração, os sites que permitem a comunicação do cliente HTTP são preprecados. Configure o site para HTTPS ou HTTP melhorado. Para obter mais informações, consulte Ativar o site apenas para HTTPS ou HTTP melhorado.

Para mais informações, consulte Plano de Segurança.

Contas e grupos do Configuration Manager

O Gestor de Configuração utiliza a conta do Sistema Local para a maioria das operações do site. Algumas operações do site permitem a utilização de uma conta de serviço, em vez de utilizar a conta de computador de domínio do servidor do site. Algumas tarefas de gestão podem exigir que crie e mantenha outras contas. Por exemplo, para juntar o domínio durante uma sequência de tarefas de implementação de SO.

O Gestor de Configuração cria vários grupos predefinidos e SQL Server funções durante a configuração. Poderá ter de adicionar manualmente contas de computador ou utilizador aos grupos predefinidos e SQL Server funções.

Para obter mais informações, consulte contas utilizadas no Gestor de Configurações.

Privacidade

Antes de implementar o Gestor de Configuração, considere os seus requisitos de privacidade. Embora os produtos de gestão empresarial ofereçam muitas vantagens porque podem gerir efetivamente muitos clientes, este software pode afetar a privacidade dos utilizadores na sua organização. O Gestor de Configuração inclui muitas ferramentas para recolher dados e monitorizar dispositivos. Algumas ferramentas podem levantar preocupações de privacidade na sua organização.

Por exemplo, quando instala o cliente Gestor de Configuração, ativa muitas definições de gestão por padrão. Esta configuração faz com que o software do cliente envie informações para o site do Gestor de Configurações. O site armazena informações do cliente na base de dados do site. A informação do cliente não é enviada diretamente para a Microsoft. Para obter mais informações, consulte diagnósticos e dados de utilização.

Passos seguintes

Noções básicas sobre a administração baseada em funções

Planear a segurança