OBSERVAÇÃO OBSERVAÇÃO
Quando você usa mídia para implantar sistemas operacionais e especificar uma senha para proteger a mídia, as variáveis de ambiente são criptografadas usando AES. Outros dados na mídia, incluindo pacotes e conteúdo para aplicativos, não são criptografados.
A partir do System Center 2012 Configuration Manager SP1, ao usar pontos de distribuição baseados em nuvem, o conteúdo carregado nesses pontos de distribuição é criptografado por meio da criptografia AES com um tamanho de chave de 256 bits. O conteúdo é criptografado novamente sempre que você atualizá-lo. Quando os clientes baixam o conteúdo, ele é criptografado e protegido pela conexão HTTPS.
Todas as atualizações de software devem ser assinadas por um editor confiável para proteção contra violação. Em computadores cliente, o WUA (Windows Update Agent) verifica atualizações do catálogo, mas não irá instalar a atualização se não conseguir localizar o certificado digital na loja de Editores Confiáveis no computador local. Se um certificado autoassinado foi usado para publicar o catálogo de atualizações, como os Editores WSUS
autoassinados, o certificado também deve estar na loja de certificados das Autoridades de Certificação Raiz Confiável no computador local para verificar a validade do certificado. O WUA também verifica se a configuração
Permitir conteúdo assinado da política de grupo de local do serviço de atualização da intranet da Microsoft está habilitada no computador local. Essa configuração da política deve ser habilitada para que o WUA
procure atualizações que foram criadas e publicadas com o Updates Publisher.
Quando as atualizações do software são publicadas no System Center Updates Publisher, um certificado digital assina as atualizações de software quando elas são publicadas em um servidor de atualização. Você pode especificar um certificado PKI ou configurar o Updates Publisher para gerar um certificado autoassinado para assinar a atualização de software.
Quando você importa dados de configuração, o Configuration Manager verifica a assinatura digital do arquivo. Se os arquivos não foram assinados, ou se a verificação da assinatura digital falhar, você será avisado e consultado se deseja continuar a importação. Continue a importar os dados de configuração somente se você confiar totalmente no editor e na integridade dos arquivos.
Se você usa notificação do cliente, todas as comunicações usam TLS e a criptografia máxima que o servidor e os sistemas operacionais do cliente podem negociar. Por exemplo, um computador cliente que executa Windows 7 e um ponto de gerenciamento que executa o Windows Server 2008 R2 podem oferecer suporte à criptografia AES de 128 bits, enquanto um computador cliente que executa Vista para o mesmo ponto de gerenciamento, mas irá negociar para a criptografia 3DES. A mesma negociação ocorre para misturar os pacotes que são transferidos durante a notificação do cliente, que usa SHA-1 ou SHA-2.
Para ver uma lista de certificados de PKI (infraestrutura de chave pública) que podem ser usados pelo
Configuration Manager, requisitos especiais ou limitações e saber como os certificados são usados, consulte PKI certificate requirements for System Center Configuration Manager (Os requisitos de certificado de PKI para System Center Configuration Manager). Essa lista inclui os algoritmos de hash e os comprimentos de chave com suporte. A maioria dos certificados tem suporte a SHA-256 e 2048 bits de comprimento de chave.
Todos os certificados que o Configuration Manager usa devem conter comente caracteres de byte único no nome da entidade ou no nome alternativo da entidade.
Gerenciamento de dispositivo móvel e certificados PKI Gerenciamento de dispositivo móvel e certificados PKI
Gerenciamento fora da banda e certificados PKI Gerenciamento fora da banda e certificados PKI
Certificados PKI são necessários para os seguintes cenários:
Quando você gerencia clientes do Configuration Manager na Internet.
Quando você gerencia clientes do Configuration Manager em dispositivos móveis. Quando você gerencia computadores Mac.
Quando você usa pontos de distribuição com base em nuvem.
Quando você gerencia computadores baseados no Intel AMT fora da banda.
Para a maioria das outras comunicações do Configuration Manager que requerem certificados para autenticação, assinatura ou criptografia, o Configuration Manager usará certificados PKI automaticamente, se estiverem disponíveis. Se não estiverem disponíveis, o Configuration Manager gerará certificados autoassinados.
O Configuration Manager não usa certificados PKI quando gerencia dispositivos móveis usando o conector do Exchange Server.
Se o dispositivo móvel não foi bloqueado pelo operador móvel, você pode usar o Configuration Manager ou o Microsoft Intune para solicitar e instalar um certificado do cliente. Esse certificado fornece autenticação mútua entre o cliente no dispositivo móvel e os sistemas do site do Configuration Manager ou os serviços do Microsoft Intune. Se o dispositivo móvel estiver bloqueado, você não poderá usar o Configuration Manager nem o Intune para implantar certificados.
Se você habilitar inventário de hardware para dispositivos móveis, o Configuration Manager ou o Intune também preparará inventários dos certificados instalados no dispositivo móvel.
O gerenciamento fora da banda para computadores baseados em Intel AMT usa pelo menos dois tipos de certificados emitidos pela PKI: um certificado de provisionamento AMT e um certificado do servidor Web. O ponto de serviço fora da banda usa um certificado de provisionamento AMT para preparar computadores para gerenciamento fora da banda. Os computadores AMT que serão provisionados deve confiar no certificado apresentado pelo ponto de gerenciamento fora da banda. Por padrão, os computadores AMT são configurados pelo fabricante do computador para usar CAs (autoridades de certificação), como VeriSign, Go Daddy, Comodo e Starfield. Se você comprar um certificado de provisionamento de uma das ACs externas e configurar o
Configuration Manager para usar esse certificado de provisionamento, os computadores AMT confiarão na AC do certificado de provisionamento e o provisionamento poderá ter êxito. No entanto, é uma prática recomendada secundária usar sua própria CA interna para emitir o certificado de provisionamento AMT.
Os computadores AMT executam um componente do servidor Web dentro do firmware e esse componente criptografa o canal de comunicação com o ponto de serviço fora da banda usando TLS (Segurança de Camada de Transporte). Não há nenhuma interface do usuário no AMT BIOS para configurar manualmente um certificado, por isso você deve ter uma autoridade de certificação empresarial da Microsoft que aprove automaticamente as solicitações de certificado de computadores AMT. A solicitação usa PKCS#10 para o formato da solicitação que, por sua vez, usa PKCS#7 para transmitir as informações do certificado para o computador AMT.
Embora o computador AMT seja autenticado para o computador que o gerencia, não há nenhum certificado PKI correspondente do cliente no computador que o gerencia. Em vez disso, essas comunicações usam autenticação Kerberos ou HTTP Digest. Quando HTTP Digest é usado, ele é criptografado usando TLS.
Um tipo de certificado adicional pode ser necessário para gerenciar computadores baseados em AMT fora de banda: um certificado do cliente opcional para redes com fio e sem fio autenticadas pelo 802.1X. O certificado do cliente pode ser solicitado pelo computador AMT para a autenticação para o servidor RADIUS. Quando o servidor RADIUS estiver configurado para autenticação EAP-TLS, sempre será necessário um certificado do cliente. Quando
Implantação do sistema operacional e certificados PKI Implantação do sistema operacional e certificados PKI
Soluções de proxy de ISV e certificados PKI Soluções de proxy de ISV e certificados PKI
Asset Intelligence e certificados Asset Intelligence e certificados
Pontos de distribuição e certificados baseados em nuvem Pontos de distribuição e certificados baseados em nuvem
o servidor RADIUS estive configurado para EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2, a configuração RADIUS irá especificar se um certificado do cliente é necessário ou não. Esse certificado é solicitado pelo computador AMT usando os mesmos processos da solicitação do certificado do servidor Web.
Quando você usa o Configuration Manager para implantar sistemas operacionais e um ponto de gerenciamento exigir conexões de cliente HTTPS, o computador cliente também deve ter um certificado para se comunicar com o ponto de gerenciamento, mesmo que seja em uma fase de transição, como a inicialização de mídia de sequência de tarefas ou um ponto de distribuição habilitado para PXE. Para dar suporte a este cenário, você deve criar um certificado de autenticação de cliente PKI, exportá-lo com a chave privada e, em seguida, importá-lo para as propriedades do servidor do site, além de adicionar o certificado de AC raiz confiável do ponto de
gerenciamento’.
Se você criar uma mídia inicializável, importe o certificado de autenticação de cliente durante a criação da mídia inicializável. Configure uma senha na mídia inicializável para ajudar a proteger a chave privada e outros dados confidenciais configurados na sequência de tarefas. Cada computador que inicia por meio da mídia inicializável apresentará o mesmo certificado ao ponto de gerenciamento, conforme exigido para as funções de cliente, como a solicitação da política do cliente.
Se você usar inicialização PXE, importará o certificado de autenticação do cliente para o ponto de distribuição habilitado para PXE e ele usará o mesmo certificado para cada cliente que iniciar por meio daquele ponto de distribuição habilitado para PXE. Como prática recomendada de segurança, peça que os usuários que conectam seus computadores a um serviço PXE para fornecer uma senha para ajudar a proteger a chave privada e outros dados confidenciais nas sequências de tarefas.
Se um desses certificados de autenticação do cliente estiver comprometido, bloqueie os certificados no nó
Certificados no espaço de trabalho Administração , no nó Segurança . Para gerenciar esses certificados, você
deve ter direitos para Gerenciar certificado de implantação de sistema operacional .
Depois que o sistema operacional for implantado e o Configuration Manager for instalado, o cliente exigirá seu próprio certificado de autenticação de cliente PKI para comunicação do cliente HTTPS.
ISVs (Fornecedores Independentes de Software) podem criar aplicativos que estendem o Configuration Manager. Por exemplo, um ISV pode criar extensões para dar suporte a plataformas de cliente não Windows, como
computadores Macintosh ou UNIX. No entanto, se os sistemas de sites exigirem conexões de cliente HTTPS, esses clientes também devem usar certificados PKI para a comunicação com o site. O Configuration Manager inclui a capacidade de atribuir um certificado ao proxy de ISV que habilita a comunicação entre os clientes de proxy de ISV e o ponto de gerenciamento. Se você usa extensões que requerem certificados de proxy de ISV, consulte a
documentação do produto. Para mais informações sobre como criar certificados de proxy de ISV, consulte o SDK (Software Developer Kit) do Configuration Manager.
Se um desses certificados ISV estiver comprometido, bloqueie os certificados no nó Certificados no espaço de trabalho Administração , no nó Segurança .
O Configuration Manager instala um certificado X.509 usado pelo ponto de sincronização do Asset Intelligence para se conectar à Microsoft. O Configuration Manager usa este certificado para solicitar um certificado de autenticação de cliente do serviço de certificado da Microsoft. O certificado de autenticação do cliente é instalado no servidor de sistema de site do ponto de sincronização do Asset Intelligence e é usado para autenticar o servidor na Microsoft. O Configuration Manager usa o certificado de autenticação do cliente para baixar o catálogo do Asset Intelligence e carregar os títulos do software.
OBSERVAÇÃO OBSERVAÇÃO
O conector e os certificados do Microsoft Intune O conector e os certificados do Microsoft Intune
Verificação CRL de certificados PKI Verificação CRL de certificados PKI
A partir do System Center 2012 Configuration Manager SP1, os pontos de distribuição baseados em nuvem exigem um certificado de gerenciamento (autoassinado ou PKI) que você carrega no Microsoft Azure. Esse certificado de gerenciamento requer recursos de autenticação de servidor e um comprimento de chave de certificado de 2.048 bits. Além disso, você deve configurar um certificado de serviço para cada ponto de
distribuição baseado em nuvem, que não pode ser autoassinado, mas também tenha recurso de autenticação de servidor e um comprimento mínimo de chave de certificado de 2.048 bits.
O certificado de gerenciamento autoassinado é para fins apenas de teste e não para uso em redes de produção.
Os clientes não necessitam de um certificado PKI para usar os pontos de distribuição baseados em nuvem; eles se autenticam no gerenciamento usando um certificado autoassinado ou um certificado PKI de cliente. O ponto de gerenciamento emite então um token de acesso ao Configuration Manager ao cliente, que o cliente apresenta ao ponto de distribuição baseado em nuvem. O token é válido por 8 horas.
Quando o Microsoft Intune registra dispositivos móveis, você pode gerenciá-los no Configuration Manager criando um conector do Microsoft Intune. O conector usa um certificado PKI com funcionalidade de autenticação de cliente para autenticar o Configuration Manager no Microsoft Intune e transferir todas as informações entre eles usando SSL. O tamanho da chave do certificado é de 2.048 bits e usa o algoritmo de hash SHA-1.
Ao instalar o conector, um certificado de assinatura é criado e armazenado no servidor do site para as chaves de sideload, e um certificado de criptografia é criado e armazenado no ponto de registro de certificado a fim de criptografar o desafio do Protocolo SCEP. Esses certificados também têm um tamanho de chave de 2048 bits e usam o algoritmo de hash SHA-1.
Quando o Intune registra dispositivos móveis, ele instala um certificado PKI no dispositivo móvel. Esse certificado tem recurso de autenticação do cliente, usa um tamanho de chave de 2.048 bits e usa o algoritmo de hash SHA. Esses certificados PKI são automaticamente solicitados, gerados e instalados pelo Microsoft Intune.
Uma CRL (Lista de Certificados Revogados) aumenta a sobrecarga administrativa e o processamento, mas é mais segura. No entanto, se a verificação de CRL estiver habilitada, mas a CRL estiver inacessível, a conexão de PKI falhará. Para mais informações, consulte Security and privacy for System Center Configuration Manager
(Segurança e privacidade para System Center Configuration Manager).
A verificação da CRL (lista de certificados revogados) é habilitada por padrão no IIS, por isso, se você está usando uma CRL com a implantação de PKI, não há nada adicional para configurar na maioria dos sistemas de sites do Configuration Manager que executa IIS. A exceção são as atualizações de software, que requerem uma etapa manual para permitir a verificação da CRL para verificar as assinaturas nos arquivos de atualização de software. A verificação da CRL é habilitada por padrão em computadores cliente quando eles usam conexões de cliente HTTPS. A verificação da CRL não é habilitada por padrão quando você executa o console de gerenciamento fora da faixa para se conectar a um computador baseado em AMT, e você pode habilitar essa opção. Não é possível desabilitar a verificação CRL para clientes em computadores Mac no Configuration Manager SP1 ou posterior. A verificação da CRL não tem suporte nas seguintes conexões no Configuration Manager:
Conexões de servidor para servidor.
Dispositivos móveis registrados pelo Configuration Manager. Dispositivos móveis registrados pelo Microsoft Intune.