Criptografia e assinatura de política Criptografia e assinatura de política
Hash de política Hash de política
Aplica-se a: System Center Configuration Manager (Branch Atual)
O System Center Configuration Manager usa a assinatura e a criptografia para ajudar a proteger o gerenciamento de dispositivos na hierarquia do Configuration Manager. Com a assinatura, se os dados foram alterados em trânsito, eles serão descartados. A criptografia ajuda a impedir que um invasor leia os dados usando um analisador de protocolo de rede.
O principal algoritmo de hash usado pelo Configuration Manager para a assinatura é SHA-256. Quando dois sites do Configuration Manager se comunicam entre si, eles assinam suas comunicações com o SHA-256. O principal algoritmo de criptografia implementado no Configuration Manager é o 3DES. Isso é usado para armazenar dados no banco de dados do Configuration Manager e para comunicação de cliente HTTP. Ao usar comunicação do cliente via HTTPS, você pode configurar sua PKI (infraestrutura de chave pública) para usar certificados RSA com o máximo de algoritmos de hash e comprimentos de chave que estão documentados no PKI certificate requirements for System Center Configuration Manager (Requisitos de certificado PKI para o System Center Configuration Manager).
Para a maioria das operações de criptografia para sistemas operacionais baseados no Windows, o Configuration Manager usa os algoritmos SHA-2, 3DES, AES e RSA do rsaenh.dll da biblioteca CryptoAPI do Windows.
Veja informações sobre as alterações recomendadas em resposta às vulnerabilidades do SSL em Sobre as vulnerabilidades do SSL.
As informações no Configuration Manager podem ser assinadas e criptografadas, quer você use ou não certificados PKI com o Configuration Manager.
As atribuições de política do cliente são assinadas pelo certificado de assinatura do servidor do site autoassinado para ajudar a evitar o risco de segurança de um ponto de gerenciamento comprometido enviando políticas que foram violadas. Isso será importante se você estiver usando o gerenciamento de clientes baseado na Internet, pois este ambiente requer um ponto de gerenciamento exposto à comunicação da Internet.
A política é criptografada com o 3DES quando ele contém dados confidenciais. A política que contém dados confidenciais é enviada somente aos clientes autorizados. A política que não tem dados confidenciais não é criptografada.
Ao armazenar a política em clientes, ela é criptografada com a DPAPI (Interface de programação de aplicativo de Proteção de Dados).
Quando os clientes do Configuration Manager solicitam a política, primeiro eles obtêm uma atribuição da política para que conheçam aquelas que se aplicam a eles e, em seguida, solicitam somente os corpos dessas políticas. Cada atribuição de política contém o hash calculado para o corpo da política correspondente. O cliente recupera o corpo de política aplicável e, em seguida, calcula o hash nesse corpo. Se o hash no corpo da política baixada não corresponder ao hash na atribuição da política, o cliente descartará o corpo da política.
Hash de conteúdo Hash de conteúdo
Criptografia e assinatura de inventário Criptografia e assinatura de inventário
Criptografia de migração de estado Criptografia de migração de estado
Criptografia de pacotes de multicast para implantar sistemas operacionais Criptografia de pacotes de multicast para implantar sistemas operacionais
O algoritmo de hash para a política é SHA-1 e SHA-256.
O serviço do gerenciador de distribuição no servidor do site mistura os arquivos de conteúdo para todos os pacotes. O provedor de política inclui o hash na política de distribuição de software. Quando o cliente do Configuration Manager baixa o conteúdo, o cliente regenera o hash localmente e o compara a um fornecido na política. Se os hashes corresponderem, o conteúdo não foi alterado e o cliente o instala. Se um único byte do conteúdo foi alterado, os hashes não irão corresponder e o software não será instalado. Essa verificação ajuda a garantir que o software correto seja instalado, pois o conteúdo real está comparado com a política.
O algoritmo de hash padrão para o conteúdo é o SHA-256. Para alterar este padrão, veja a documentação do SDK (Software Development Kit) do Configuration Manager.
Nem todos os dispositivos podem oferecer suporte a conteúdo de hash. As exceções incluem: Clientes do Windows quando transmitem conteúdo do App-V.
Clientes do Windows Phone, entretanto, esses clientes verificam a assinatura de um aplicativo que está assinado por uma fonte confiável.
Clientes do Windows RT, entretanto, esses clientes verificam a assinatura de um aplicativo que está assinado por uma fonte confiável e também usam validação PFN (nome completo do pacote).
O iOS, entretanto, esses dispositivos verificam a assinatura de um aplicativo que está assinado por algum certificado do desenvolvedor de uma fonte confiável.
Clientes Nokia, entretanto, esses clientes verificam a assinatura de um aplicativo que usa um certificado autoassinado. Ou, a assinatura de um certificado de uma fonte confiável e o certificado podem assinar aplicativos SIS (Symbian Installation Source) da Nokia.
Android. Além disso, esses dispositivos não usam a validação de assinatura para instalação do aplicativo. Clientes que executam versões do Linux e UNIX que não dão suporte ao SHA-256. Para mais informações, confira Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager (Planejando a implantação de cliente em computadores Linux e UNIX no System Center Configuration Manager).
O inventário que os clientes enviam para pontos de gerenciamento sempre é assinado por dispositivos, independentemente de eles se comunicarem com pontos de gerenciamento via HTTP ou HTTPS. Se eles usam HTTP, você pode optar por criptografar esses dados, que é uma prática recomendada de segurança.
Os dados armazenados em pontos de migração de estado para implantação do sistema operacional sempre são criptografados pela USMT (Ferramenta de Migração do Usuário) usando 3DES.
Para cada pacote de implantação de sistema operacional, você pode habilitar a criptografia quando o pacote é transferido para o computador usando multicast. A criptografia usa AES (Advanced Encryption Standard). Se você habilitar a criptografia, nenhuma configuração de certificado adicional será necessária. O ponto de distribuição habilitado para multicast gera automaticamente chaves simétricas para criptografar o pacote. Cada pacote tem uma chave de criptografia diferente. A chave é armazenada no ponto de distribuição habilitado para multicast usando APIs padrão do Windows. Quando o cliente se conecta a uma sessão de multicast, a troca de chaves ocorre em um canal criptografado com o certificado de autenticação do cliente emitido pela PKI (quando o cliente usa HTTPS) ou o certificado autoassinado (quando o cliente usa HTTP). O cliente armazena a chave na memória somente pela duração da sessão de multicast.
Criptografia de mídia para implantar sistemas operacionais Criptografia de mídia para implantar sistemas operacionais
Criptografia de conteúdo hospedado nos pontos de distribuição baseados em nuvem Criptografia de conteúdo hospedado nos pontos de distribuição baseados em nuvem
Assinando atualizações de software Assinando atualizações de software
Dados de configuração assinados para configurações de conformidade Dados de configuração assinados para configurações de conformidade
Criptografia e hash para notificação do cliente Criptografia e hash para notificação do cliente