Seguridad y privacidad para perfiles de certificados en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
La información de este tema sólo se aplica a las versiones System Center 2012 R2 Configuration Manager.
Nota
Este tema aparece en la guía Activos y compatibilidad en System Center 2012 Configuration Manager y la guía Seguridad y privacidad en System Center 2012 Configuration Manager.
Este tema contiene información de seguridad y privacidad para los perfiles de certificado en System Center 2012 Configuration Manager.
Recomendaciones de seguridad para perfiles de certificado
Siga las siguientes recomendaciones de seguridad al administrar perfiles de certificado para usuarios y dispositivos.
Práctica recomendada de seguridad |
Más información |
|---|---|
Identifique y siga todas las recomendaciones de seguridad para el Servicio de inscripción de dispositivos de red, como la configuración del sitio web de Servicio de inscripción de dispositivos de red en Internet Information Services (IIS) para que requiera SSL y omita certificados de cliente. |
Consulte Network Device Enrollment Service Guidance (Guía del Servicio de inscripción de dispositivos de red) en la biblioteca de Servicios de certificados de Active Directory de TechNet. |
Al configurar los perfiles de certificado SCEP, elija las opciones más seguras que puedan admitir los dispositivos y la infraestructura. |
Identifique, implemente y siga las recomendaciones de seguridad indicadas para los dispositivos y la infraestructura. |
Especifique manualmente la afinidad de dispositivo del usuario en lugar de permitir a los usuarios identificar su dispositivo primario. Además, no habilite la configuración basada en el uso. |
Si hace clic en Permitir la inscripción de certificados solo en el dispositivo primario de los usuarios en un perfil de certificado de SCEP, no considere la información recopilada de los usuarios ni del dispositivo como relevante. Si implementa perfiles de certificado de SCEP con esta configuración y un usuario administrativo confiable no especifica la afinidad de dispositivo de usuario, es posible que se conceda a usuarios no autorizados certificados de autenticación y privilegios elevados. Nota Si habilita la configuración basada en el uso, esta información se recopila a través de mensajes de estado que no están protegidos por Configuration Manager. Para mitigar esta amenaza, utilice la firma SMB o IPsec entre equipos cliente y el punto de administración. |
No agregue permisos de lectura ni de inscripción para los usuarios a las plantillas de certificado ni configure el punto de Registro de certificado para omitir la comprobación de la plantilla de certificado. |
Aunque Configuration Manager admita la comprobación adicional si agrega los permisos de seguridad de Leer e Inscribir para los usuarios, y puede configurar el punto de Registro de certificado para que omita esta comprobación si no es posible la autenticación, ninguna de estas configuraciones es una recomendación de seguridad. Para obtener más información, vea Planeación de permisos de plantilla de certificado para perfiles de certificado en Configuration Manager. |
Información de privacidad de los perfiles de certificado
Puede utilizar perfiles de certificado para implementar certificados de cliente y de entidad de certificación (CA) raíz, y evaluar si dichos dispositivos son compatibles tras la aplicación de los perfiles. El punto de administración envía información de compatibilidad al servidor de sitio, y Configuration Manager almacena la información en la base de datos del sitio. La información de cumplimiento incluye propiedades del certificado como el nombre del firmante y la huella digital. La información se cifra cuando los dispositivos la envían al punto de administración, pero no se almacena en formato cifrado en la base de datos del sitio. La base de datos guarda la información hasta que la tarea de mantenimiento Eliminar datos antiguos de administración de configuración del sitio la elimina después de un intervalo predeterminado de 90 días. Puede configurar el intervalo de eliminación. La información de compatibilidad no se envía a Microsoft.
Los perfiles de certificado utilizan la información que Configuration Manager recopila mediante la detección. Para obtener más información sobre la información de privacidad para la detección, consulte la sección Información de privacidad para la detección en Seguridad y privacidad para la administración de sitios en Configuration Manager.
Nota
Los certificados emitidos para usuarios o dispositivos pueden permitir el acceso a información confidencial.
De manera predeterminada, los dispositivos no evalúan perfiles de certificado. Además, debe configurar los perfiles de certificado y luego implementarlos en usuarios o dispositivos.
Antes de configurar los perfiles de certificado, tenga en cuenta sus requisitos de privacidad.