Partilhar via


Segurança e privacidade para clientes do Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Este artigo descreve informações de segurança e privacidade para clientes Do Gestor de Configuração. Também inclui informações para dispositivos móveis que são geridos pelo conector Exchange Server.

Orientação de segurança para clientes

O site Do Gestor de Configuração aceita dados de dispositivos que executam o cliente Gestor de Configuração. Este comportamento introduz o risco de os clientes poderem atacar o site. Por exemplo, poderiam enviar inventários incorretos ou tentar sobrecarregar os sistemas do site. Implemente o cliente Gestor de Configuração apenas para dispositivos em que confia.

Utilize as seguintes orientações de segurança para ajudar a proteger o site de dispositivos fraudulentos ou comprometidos.

Utilizar certificados de infraestrutura chave pública (PKI) para comunicações de clientes com sistemas de site que executam iIS

  • Como uma propriedade do site, configure Definições do sistema de sites para Apenas HTTPS. Para mais informações, consulte a segurança configure.

  • Instale clientes com a propriedade UsePKICert CCMSetup.

  • Utilize uma lista de revogação de certificados (CRL). Certifique-se de que os clientes e os servidores comunicadores podem sempre aceder-lhe.

Os clientes de dispositivos móveis e alguns clientes baseados na Internet requerem estes certificados. A Microsoft recomenda estes certificados para todas as ligações do cliente na intranet.

Para obter mais informações sobre a utilização de certificados no Gestor de Configuração, consulte Plano de Certificados.

Importante

A partir da versão 2103 do Gestor de Configuração, os sites que permitem a comunicação do cliente HTTP são preprecados. Configure o site para HTTPS ou HTTP melhorado. Para obter mais informações, consulte Ativar o site apenas para HTTPS ou HTTP melhorado.

Aprovar automaticamente computadores cliente de domínios fidedignos, e verificar e aprovar manualmente outros computadores

Quando não pode utilizar a autenticação PKI, a aprovação identifica um computador em que confia ser gerido pelo Gestor de Configurações. A hierarquia tem as seguintes opções para configurar a aprovação do cliente:

  • Manual
  • Automático para computadores em domínios fidedignos
  • Automático para todos os computadores

O método de aprovação mais seguro é aprovar automaticamente clientes que sejam membros de domínios fidedignos. Esta opção inclui clientes unidos de domínio em nuvem de inquilinos ligados Azure Ative Directory (Azure AD). Em seguida, verifique manualmente e aprove todos os outros computadores. A aprovação automática de todos os clientes não é recomendada, a menos que tenha outros controlos de acesso para impedir que computadores não confiáveis acedam à sua rede.

Para obter mais informações sobre como aprovar manualmente computadores, consulte Gerir os clientes a partir do nó de dispositivos.

Não confie no bloqueio para impedir que os clientes acedam à hierarquia do Gestor de Configuração

Os clientes bloqueados são rejeitados pela infraestrutura do Gestor de Configuração. Se os clientes estiverem bloqueados, não podem comunicar com os sistemas de site para descarregar a política, carregar dados de inventário ou enviar mensagens de estado ou de estado.

O bloqueio é concebido para os seguintes cenários:

  • Bloquear os meios de arranque perdidos ou comprometidos quando implantar um SISTEMA aos clientes
  • Quando todos os sistemas de site aceitam ligações ao cliente HTTPS

Quando os sistemas de site aceitarem ligações de clientes HTTP, não confie no bloqueio para proteger a hierarquia do Gestor de Configuração de computadores não fidedqui nemtivos. Neste cenário, um cliente bloqueado poderia voltar a juntar-se ao site com um novo certificado auto-assinado e ID de hardware.

A revogação do certificado é a principal linha de defesa contra certificados potencialmente comprometidos. Uma lista de revogação de certificados (CRL) só está disponível a partir de uma infraestrutura de chaves públicas suportada (PKI). Bloquear clientes no Gestor de Configuração oferece uma segunda linha de defesa para proteger a sua hierarquia.

Para mais informações, consulte determine se bloqueia os clientes.

Utilize os métodos de instalação do cliente mais seguros que são práticos para o seu ambiente

  • Para computadores de domínio, a instalação de clientes de política de grupo e os métodos de instalação de clientes baseados em atualizações de software são mais seguros do que a instalação de push do cliente.

  • Se aplicar controlos de acesso e alterar controlos, utilize métodos de imagem e instalação manual.

  • Utilize a autenticação mútua kerberos com a instalação de push do cliente.

De todos os métodos de instalação do cliente, a instalação de push do cliente é a menos segura devido às muitas dependências que tem. Estas dependências incluem permissões administrativas locais, a Admin$ partilha e exceções de firewall. O número e o tipo destas dependências aumentam a sua superfície de ataque.

Ao utilizar o impulso do cliente, o site pode exigir a autenticação mútua da Kerberos, não permitindo o retorno à NTLM antes de estabelecer a ligação. Esta melhoria ajuda a garantir a comunicação entre o servidor e o cliente. Para obter mais informações, consulte Como instalar clientes com impulso do cliente.

Para obter mais informações sobre os diferentes métodos de instalação do cliente, consulte os métodos de instalação do Cliente.

Sempre que possível, selecione um método de instalação do cliente que requer menos permissões de segurança no Gestor de Configuração. Restringir os utilizadores administrativos que lhes são atribuídas funções de segurança com permissões que podem ser usadas para outros fins que não a implementação do cliente. Por exemplo, configurar a atualização automática do cliente requer a função de segurança full Administrator, que concede a um utilizador administrativo todas as permissões de segurança.

Para obter mais informações sobre as dependências e permissões de segurança necessárias para cada método de instalação do cliente, consulte Pré-requisitos para clientes informáticos.

Se tiver de utilizar a instalação de push do cliente, fixe a conta de instalação push do cliente

A conta de instalação push do cliente deve ser um membro do grupo de Administradores locais em cada computador que instala o cliente Gestor de Configuração. Nunca adicione a conta de instalação push do cliente ao grupo Domain Admins. Em vez disso, crie um grupo global e, em seguida, adicione esse grupo global ao grupo de administradores locais nos seus clientes. Crie um objeto de política de grupo para adicionar uma definição de Grupo Restrito para adicionar a conta de instalação push do cliente ao grupo de administradores locais.

Para uma maior segurança, crie várias contas de instalação push cliente, cada uma com acesso administrativo a um número limitado de computadores. Se uma conta estiver comprometida, apenas os computadores clientes a que essa conta tem acesso estão comprometidos.

Remover certificados antes de imagem clientes

Quando implementa os clientes utilizando imagens de SO, remova sempre os certificados antes de capturar a imagem. Estes certificados incluem certificados PKI para autenticação do cliente e certificados auto-assinados. Se não retirar estes certificados, os clientes podem fazer-se passar uns pelos outros. Não pode verificar os dados de cada cliente.

Para obter mais informações, consulte Criar uma sequência de tarefas para capturar um SISTEMA.

Certifique-se de que o cliente do Gestor de Configuração obtém uma cópia autorizada de certificados

O Gestor de Configuração confiou no certificado de chave de raiz

Quando ambas as seguintes declarações são verdadeiras, os clientes confiam na chave raiz fidedigna do Gestor de Configuração para autenticar pontos de gestão válidos:

  • Não estendeu o esquema do Ative Directory para o Gestor de Configuração
  • Os clientes não usam certificados PKI quando comunicam com pontos de gestão

Neste cenário, os clientes não têm forma de verificar se o ponto de gestão é de confiança para a hierarquia, a menos que utilizem a raiz de confiança. Sem a chave de raiz fidedigna, um intruso qualificado pode direcionar clientes para um ponto de gestão não autorizado.

Quando os clientes não usam certificados PKI e não conseguem descarregar a chave raiz fidedigna do catálogo global ative Directory, pré-a provisionar os clientes com a chave raiz fidedigna. Esta ação garante que não podem ser direcionadas para um ponto de gestão desonesto. Para obter mais informações, consulte Planeamento para a chave raiz fidedigna.

O certificado de assinatura do servidor do site

Os clientes usam o certificado de assinatura do servidor do site para verificar se o servidor do site assinou a política descarregada a partir de um ponto de gestão. Este certificado é autoassinado pelo servidor do site e publicado nos Serviços de Domínio do Active Directory.

Quando os clientes não podem descarregar este certificado do catálogo global do Ative Directory, por padrão descarregam-no a partir do ponto de gestão. Se o ponto de gestão for exposto a uma rede não fidedquiríssia como a internet, instale manualmente o certificado de assinatura do servidor do site nos clientes. Esta ação garante que não podem descarregar as políticas adulteradas dos clientes a partir de um ponto de gestão comprometido.

Para instalar manualmente o certificado de assinatura do servidor do site, utilize a propriedade CCMSetup client.msi SMSSIGNCERT.

Se o cliente descarregar a chave raiz fidedigna a partir do primeiro ponto de gestão que contacta, não utilize a atribuição automática do site

Para evitar o risco de um novo cliente descarregar a chave raiz fidedigna a partir de um ponto de gestão fraudulento, utilize apenas a atribuição automática do site nos seguintes cenários:

  • O cliente pode aceder à informação do site do Gestor de Configuração que é publicada nos Serviços de Domínio do Diretório Ativo.

  • Pré-aprovisione o cliente com a chave de raiz fidedigna.

  • Utilize certificados PKI de uma autoridade de certificação empresarial para estabelecer fidedignidade entre o cliente e o ponto de gestão.

Para obter mais informações sobre a chave raiz fidedigna, consulte Planeamento para a chave raiz fidedigna.

Certifique-se de que as janelas de manutenção são suficientemente abrangentes para implementar atualizações de software críticas

As janelas de manutenção para recolhas de dispositivos restringem os tempos em que o Gestor de Configuração pode instalar software nestes dispositivos. Se configurar a janela de manutenção demasiado pequena, o cliente poderá não instalar atualizações críticas de software. Este comportamento deixa o cliente vulnerável a qualquer ataque que a atualização do software atenua.

Tome precauções de segurança para reduzir a superfície de ataque em Windows dispositivos incorporados com filtros de escrita

Quando ativar filtros de escrita em Windows dispositivos incorporados, quaisquer instalações ou alterações de software são feitas apenas na sobreposição. Estas alterações não persistem após o reinício do dispositivo. Se utilizar o Gestor de Configuração para desativar os filtros de escrita, durante este período o dispositivo incorporado fica vulnerável a alterações em todos os volumes. Estes volumes incluem pastas partilhadas.

O Gestor de Configuração bloqueia o computador durante este período para que apenas os administradores locais possam iniciar sção. Sempre que possível, tome outras precauções de segurança para ajudar a proteger o computador. Por exemplo, permitir restrições na firewall.

Se utilizar janelas de manutenção para persistir alterações, planeie estas janelas cuidadosamente. Minimize o tempo que os filtros de escrita estão desativados, mas faça-os tempo suficiente para permitir que as instalações de software e reiniciem.

Utilize a versão mais recente do cliente com a instalação de clientes baseados em atualizações de software

Se utilizar a instalação de clientes baseado em atualizações de software e instalar uma versão posterior do cliente no site, atualize a atualização de software publicada. Em seguida, os clientes recebem a versão mais recente do ponto de atualização de software.

Quando atualiza o site, a atualização do software para a implementação do cliente que é publicada no ponto de atualização do software não é atualizada automaticamente. Reemerble o cliente Gestor de Configuração para o ponto de atualização do software e atualize o número da versão.

Para obter mais informações, consulte Como instalar clientes do Gestor de Configuração utilizando a instalação baseada em atualizações de software.

Apenas suspender a entrada do BitLocker PIN em dispositivos de acesso fidedignos e restritos

Apenas configurar a definição do cliente para suspender a entrada do BITLocker PIN no reinício para Sempre para computadores em que confia e que tenham acesso físico restrito.

Quando definir esta definição de cliente para Always, o Gestor de Configurações pode concluir a instalação do software. Este comportamento ajuda a instalar atualizações críticas de software e a retomar os serviços. Se um intruso intercetar o processo de reinício, podem assumir o controlo do computador. Utilize esta definição apenas quando confia no computador e quando o acesso físico ao computador é restrito. Por exemplo, esta definição pode ser apropriada para servidores num centro de dados.

Para obter mais informações sobre esta configuração do cliente, consulte sobre as definições do cliente.

Não contorne a política de execução da PowerShell

Se configurar a definição do cliente do Gestor de Configuração para a política de execução powerShell para bypass, então Windows permite que scripts PowerShell não assinados seja executado. Este comportamento poderia permitir que o malware funcionasse em computadores clientes. Quando a sua organização necessitar desta opção, utilize uma definição personalizada do cliente. Atribua-o apenas aos computadores clientes que devem executar scripts PowerShell não assinados.

Para obter mais informações sobre esta configuração do cliente, consulte sobre as definições do cliente.

Orientação de segurança para dispositivos móveis

Instale o ponto de procuração de inscrição numa rede de perímetro e o ponto de inscrição na intranet

Para dispositivos móveis baseados na Internet que se inscreva com o Gestor de Configuração, instale o ponto de procuração de inscrição numa rede de perímetro e o ponto de inscrição na intranet. Esta separação de funções ajuda a proteger o ponto de registo contra ataques. Se um intruso comprometer o ponto de inscrição, pode obter certificados de autenticação. Também podem roubar as credenciais dos utilizadores que matriculam os seus dispositivos móveis.

Configurar as definições de palavra-passe para ajudar a proteger os dispositivos móveis do acesso não autorizado

Para dispositivos móveis matriculados pelo Gestor de Configuração: Utilize um item de configuração do dispositivo móvel para configurar a complexidade da palavra-passe como PIN. Especifique pelo menos o comprimento mínimo de senha predefinido.

Para dispositivos móveis que não tenham o cliente Do Gestor de Configuração instalado mas que sejam geridos pelo conector Exchange Server: Configure a palavra-passe Definições para o conector Exchange Server de forma a que a complexidade da palavra-passe seja o PIN. Especifique pelo menos o comprimento mínimo de senha predefinido.

Só permitir que as candidaturas sejam assinadas por empresas em que confia

Ajude a prevenir a adulteração de informações de inventário e informações de estado, permitindo que as aplicações sejam executadas apenas quando são assinadas por empresas em que confia. Não permita que os dispositivos instalem ficheiros não assinados.

Para dispositivos móveis matriculados pelo Gestor de Configuração: Utilize um item de configuração do dispositivo móvel para configurar a definição de segurança aplicações não assinadas como Proibidas. Configurar instalações de ficheiros não assinadas para serem uma fonte de confiança.

Para dispositivos móveis que não tenham o cliente Do Gestor de Configuração instalado mas que sejam geridos pelo conector Exchange Server: Configurar o Definições de aplicação para o conector Exchange Server de modo a que a instalação de ficheiros não assinados e as aplicações não assinadas sejam proibidas.

Bloqueie os dispositivos móveis quando não estiver a ser utilizado

Ajude a prevenir a elevação de ataques de privilégio bloqueando o dispositivo móvel quando não é usado.

Para dispositivos móveis matriculados pelo Gestor de Configuração: Utilize um item de configuração do dispositivo móvel para configurar a definição de palavra-passe Tempo de marcha lenta em minutos antes de o dispositivo móvel ser bloqueado.

Para dispositivos móveis que não tenham o cliente Do Gestor de Configuração instalado mas que sejam geridos pelo conector Exchange Server: Configure a palavra-passe Definições para que o conector Exchange Server desativar o tempo de marcha lenta em minutos antes de o dispositivo móvel ser bloqueado .

Restringir os utilizadores que podem inscrever os seus dispositivos móveis

Ajude a prevenir a elevação de privilégios restringindo os utilizadores que podem inscrever os seus dispositivos móveis. Utilize uma definição de cliente personalizada em vez de predefinições de cliente, para permitir que apenas utilizadores autorizados possam inscrever os respetivos dispositivos móveis.

Orientação de afinidade do dispositivo do utilizador para dispositivos móveis

Não implemente aplicações para utilizadores que tenham dispositivos móveis matriculados pelo Gestor de Configuração nos seguintes cenários:

  • O dispositivo móvel é utilizado por mais de uma pessoa.

  • O dispositivo é matriculado por um administrador em nome de um utilizador.

  • O dispositivo é transferido para outra pessoa sem se retirar e, em seguida, reinscrevendo o dispositivo.

A inscrição do dispositivo cria uma relação de afinidade do dispositivo de utilizador. Esta relação mapeia o utilizador que faz a inscrição no dispositivo móvel. Se outro utilizador utilizar o dispositivo móvel, pode executar as aplicações implementadas para o utilizador original, o que pode resultar numa elevação de privilégios. Da mesma forma, se um administrador inscrever o dispositivo móvel para um utilizador, as aplicações implementadas para o utilizador não são instaladas no dispositivo móvel. Em vez disso, as aplicações implementadas ao administrador podem ser instaladas.

Proteja a ligação entre o servidor do site do Gestor de Configuração e o Exchange Server

Se o Exchange Server estiver no local, utilize o IPsec. O Exchange alojado assegura automaticamente a ligação com HTTPS.

Use o princípio dos privilégios menos privilegiados para o conector Exchange

Para obter uma lista dos cmdlets mínimos que o conector Exchange Server requer, consulte Gerir dispositivos móveis com o Gestor de Configuração e Exchange.

Orientação de segurança para dispositivos macOS

Armazenar e aceder aos ficheiros de origem do cliente a partir de um local seguro

Antes de instalar ou inscrever o cliente num computador macOS, o Gestor de Configuração não verifica se estes ficheiros de origem do cliente foram adulterados. Descarregue estes ficheiros de uma fonte de confiança. Armazene e aceda de forma segura.

Monitorizar e acompanhar o período de validade do certificado

Monitorize e acompanhe o período de validade dos certificados que utiliza para computadores macOS. O Gestor de Configuração não suporta a renovação automática deste certificado, nem avisa que o certificado está prestes a expirar. Um período de validade típico é de um ano.

Para obter mais informações sobre como renovar o certificado, consulte renovar manualmente o certificado de cliente macOS.

Configure o certificado de raiz fidedigno apenas para SSL

Para ajudar a proteger contra a elevação de privilégios, configuure o certificado para a autoridade de certificados de raiz fidedigna para que seja apenas confiável para o protocolo SSL.

Quando se inscrevem computadores Mac, é instalado automaticamente um certificado de utilizador para gerir o cliente Gestor de Configuração. Este certificado de utilizador inclui os certificados de raiz fidedignos na sua cadeia de fiduciário. Para restringir a confiança deste certificado de raiz apenas ao protocolo SSL, utilize o seguinte procedimento:

  1. No computador Mac, abra uma janela de terminal.

  2. Introduza o seguinte comando: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. Na caixa de diálogo de acesso do teclado, na secção Teclado, selecione Sistema. Em seguida, na secção Categoria, selecione Certificados.

  4. Localize e abra o certificado de RAIZ CA para o certificado de cliente Mac.

  5. Na caixa de diálogo do certificado de AC de raiz, expanda a secção Confiar e, em seguida, faça as seguintes alterações:

    1. Ao utilizar este certificado: Altere a definição Always Trust para utilizar as predefinições do sistema.

    2. Camada de tomadas seguras (SSL): Não altere nenhum valor especificado para Always Trust.

  6. Feche a caixa de diálogo. Quando solicitado, introduza a palavra-passe do administrador e, em seguida, selecione Update Definições.

Depois de concluir este procedimento, o certificado raiz só é fidedigno para validar o protocolo SSL. Outros protocolos que agora não são fidedidos com este certificado de raiz incluem o Secure Mail (S/MIME), a Autenticação Extensível (EAP) ou a assinatura de código.

Nota

Utilize também este procedimento se instalar o certificado de cliente independentemente do Gestor de Configuração.

Questões de segurança para clientes

Os seguintes problemas de segurança não têm nenhuma atenuação:

As mensagens de estado não são autenticadas

O ponto de gestão não autentica mensagens de estado. Quando um ponto de gestão aceita ligações de cliente HTTP, qualquer dispositivo pode enviar mensagens de estado para o ponto de gestão. Se o ponto de gestão aceitar apenas ligações ao cliente HTTPS, um dispositivo deve ter um certificado de autenticação de cliente válido, mas também pode enviar qualquer mensagem de estado. O ponto de gestão descarta qualquer mensagem de estado inválida recebida de um cliente.

Existem alguns potenciais ataques contra esta vulnerabilidade:

  • Um intruso pode enviar uma mensagem de estado falsa para ganhar a adesão a uma coleção baseada em consultas de mensagens de estado.
  • Qualquer cliente poderia iniciar um denial of service contra o ponto de gestão, congestionando-o com mensagens de estado.
  • Se as mensagens de estado estão a acionar ações nas regras de filtro de mensagem de estado, um intruso poderia acionar a regra de filtro de mensagens de estado.
  • Um intruso poderia enviar uma mensagem de estado que tornaria a informação de reporte imprecisa.

As políticas podem ser redirecionadas para os clientes não direcionados

Existem vários métodos que os atacantes poderiam utilizar para fazer com que uma política direcionada para um cliente fosse aplicada a um cliente completamente diferente. Por exemplo, um intruso de um cliente de confiança poderia enviar falso inventário ou informação de descoberta para ter o computador adicionado a uma coleção à qual não deveria pertencer. Esse cliente recebe então todas as implementações dessa coleção.

Existem controlos que ajudam a evitar que os atacantes modifiquem diretamente a política. No entanto, os atacantes poderiam tomar uma política existente que reformata e recoloca um SO e enviá-lo para um computador diferente. Esta política redirecionada poderia criar uma negação de serviço. Este tipo de ataques exigiria um tempo preciso e um vasto conhecimento da infraestrutura do Gestor de Configuração.

Os registos de cliente permitem o acesso do utilizador

Todos os ficheiros de registo do cliente permitem ao grupo de Utilizadores com acesso Read e ao utilizador especial Interactive com acesso a escrever dados. Se ativar o registo verboso, os intrusos podem ler os ficheiros de registo para procurarem informações sobre vulnerabilidades de compatibilidade ou de sistema. Processos como o software que o cliente instala no contexto de um utilizador devem escrever para registos com uma conta de utilizador de baixos direitos. Este comportamento significa que um intruso também pode escrever para os registos com uma conta de baixos direitos.

O risco mais grave é que um intruso possa remover informações nos ficheiros de registo. Um administrador pode precisar desta informação para a auditoria e deteção de intrusões.

Um computador poderia ser usado para obter um certificado projetado para inscrição de dispositivos móveis

Quando o Gestor de Configuração processa um pedido de inscrição, não pode verificar o pedido originado de um dispositivo móvel e não de um computador. Se o pedido for de um computador, pode instalar um certificado PKI que lhe permite registar-se com o Gestor de Configuração.

Para ajudar a prevenir uma elevação de um ataque de privilégio neste cenário, apenas permitir que utilizadores de confiança matriculem os seus dispositivos móveis. Monitorize cuidadosamente as atividades de inscrição do dispositivo no site.

Um cliente bloqueado ainda pode enviar mensagens para o ponto de gestão

Quando bloqueia um cliente em quem já não confia, mas estabeleceu uma ligação de rede para notificação de cliente, o Gestor de Configuração não desliga a sessão. O cliente bloqueado pode continuar a enviar pacotes para o respetivo ponto de gestão, até o cliente desligar da rede. Estes pacotes são apenas pequenos pacotes vivos. Este cliente não pode ser gerido pelo Gestor de Configuração até que seja desbloqueado.

A atualização automática do cliente não verifica o ponto de gestão

Quando utiliza a atualização automática do cliente, o cliente pode ser direcionado para um ponto de gestão para descarregar os ficheiros de origem do cliente. Neste cenário, o cliente não verifica o ponto de gestão como uma fonte de confiança.

Quando os utilizadores registam pela primeira vez computadores macOS, estão em risco devido à falsificação de DNS

Quando o computador macOS se conecta ao ponto de procuração de inscrição durante a inscrição, é improvável que o computador macOS já tenha o certificado ca raiz fidedigna. Neste momento, o computador macOS não confia no servidor e pede ao utilizador que continue. Se um servidor DNS fraudulento resolver o nome de domínio totalmente qualificado (FQDN) do ponto de procuração de inscrição, pode direcionar o computador macOS para um ponto de procuração de inscrição fraudulenta para instalar certificados a partir de uma fonte não fidedquitro. Para ajudar a reduzir este risco, siga as orientações do DNS para evitar falsificações no seu ambiente.

Inscrição no macOS não limita pedidos de certificados

Os utilizadores podem reinscrever os seus computadores macOS, sempre que solicitam um novo certificado de cliente. O Gestor de Configuração não verifica vários pedidos ou limita o número de certificados solicitados a partir de um único computador. Um utilizador desonesto pode executar um script que repete o pedido de inscrição da linha de comando. Este ataque pode causar uma negação de serviço na rede ou na autoridade de certificados de emissão (CA). Para ajudar a reduzir este risco, monitorize com cuidado a AC emissora para detetar este tipo de comportamento suspeito. Bloqueie imediatamente a hierarquia do Gestor de Configuração de qualquer computador que mostre este padrão de comportamento.

Um reconhecimento de limpeza não confirma que o dispositivo foi limpo com sucesso

Quando inicia uma ação de limpeza para um dispositivo móvel, e o Gestor de Configuração reconhece a limpeza, a verificação é que o Gestor de Configuração enviou a mensagem com sucesso. Não confirma que o dispositivo agiu a pedido.

No caso dos dispositivos móveis geridos pelo conector Exchange Server, um reconhecimento de limpeza verifica que o comando foi recebido por Exchange, e não pelo dispositivo.

Se utilizar as opções para cometer alterações nos dispositivos incorporados Windows, as contas podem ser bloqueadas mais cedo do que o esperado

Se o dispositivo incorporado Windows estiver a executar uma versão SO antes do Windows 7, e um utilizador tentar iniciar sposição enquanto os filtros de escrita são desativados pelo Gestor de Configuração, Windows permite apenas metade do número configurado de tentativas incorretas antes de a conta ser bloqueada.

Por exemplo, configura a política de domínio para o limiar de bloqueio de conta a seis tentativas. Um utilizador escreve mal a sua palavra-passe três vezes, e a conta está bloqueada. Este comportamento cria efetivamente uma negação de serviço. Se os utilizadores utilizadores devem iniciar sação em dispositivos incorporados neste cenário, advirtá-los sobre o potencial de um limiar de bloqueio reduzido.

Informações de privacidade para clientes

Quando implementa o cliente Gestor de Configuração, ativa as definições do cliente para funcionalidades do Gestor de Configuração. As definições que utiliza para configurar as funcionalidades podem aplicar-se a todos os clientes da hierarquia do Gestor de Configuração. Este comportamento é o mesmo se estiverem diretamente ligados à rede interna, conectados através de uma sessão remota, ou ligados à internet.

As informações do cliente são armazenadas na base de dados do site do Gestor de Configuração na sua SQL Server e não são enviadas para a Microsoft. A informação é mantida na base de dados até ser eliminada pela tarefa de manutenção do site Delete Aged Discovery Data a cada 90 dias. Pode configurar o intervalo de eliminação.

Alguns diagnósticos resumidos ou agregados e dados de utilização são enviados para a Microsoft. Para obter mais informações, consulte diagnósticos e dados de utilização.

Pode saber mais sobre a recolha e utilização de dados da Microsoft na Declaração de Privacidade da Microsoft.

Estado do cliente

O Gestor de Configuração monitoriza a atividade dos clientes. Avalia periodicamente o cliente Gestor de Configuração e pode remediar problemas com o cliente e as suas dependências. O estado do cliente é ativado por padrão. Utiliza métricas do lado do servidor para as verificações de atividade do cliente. O estado do cliente utiliza ações do lado do cliente para auto-verificação, reparação e envio de informações sobre o estado do cliente para o site. O cliente faz os auto-controlos de acordo com um horário que configura. O cliente envia os resultados dos cheques para o site do Gestor de Configurações. Estas informações são encriptadas durante a transferência.

As informações sobre o estado do cliente são armazenadas na base de dados do Gestor de Configuração na sua SQL Server e não são enviadas para a Microsoft. A informação não é armazenada em formato encriptado na base de dados do site. Esta informação é mantida na base de dados até ser eliminada de acordo com o valor configurado para o histórico de estado do cliente de Retenção para o número seguinte de dias de definição do estado do cliente. O valor predefinido para esta definição é de 31 dias.

Informações de privacidade para o conector Exchange Server

O Exchange Server Connector encontra e gere dispositivos que se ligam a um Exchange Server no local ou alojados utilizando o protocolo ActiveSync. Os registos encontrados pelo conector Exchange Server estão armazenados na base de dados do Gestor de Configuração na sua SQL Server. A informação é recolhida do Exchange Server. Não contém nenhuma informação adicional do que os dispositivos móveis enviam para Exchange Server.

A informação do dispositivo móvel não é enviada para a Microsoft. A informação do dispositivo móvel está armazenada na base de dados do Gestor de Configuração na sua SQL Server. A informação é mantida na base de dados até ser eliminada pela tarefa de manutenção do site Delete Aged Discovery Data a cada 90 dias. Configura o intervalo de eliminação.

Pode saber mais sobre a recolha e utilização de dados da Microsoft na Declaração de Privacidade da Microsoft.