在 Configuration Manager 中憑證設定檔的安全性和隱私權
適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") 注意事項 |
|---|
本主題中的資訊僅適用於 System Center 2012 R2 Configuration Manager 版本。 |
| 注意事項 |
|---|
本主題顯示於System Center 2012 Configuration Manager 中的資產與相容性指南和 System Center 2012 Configuration Manager 的安全性和隱私權指南中。 |
本主題包含 System Center 2012 Configuration Manager 中的憑證設定檔安全性與隱私權資訊。
憑證設定檔的安全性最佳作法
您管理使用者和裝置的憑證設定檔時,可使用下列安全性最佳作法。
安全性最佳作法 |
詳細資訊 |
||
|---|---|---|---|
識別並遵循任何網路裝置註冊服務的安全性最佳實務,包含在 Internet Information Services (IIS) 設定網路裝置註冊服務網站,要求使用 SSL 並忽略用戶端的憑證。 |
請參閱 TechNet 上 Active Directory 憑證服務文件庫中的網路裝置註冊服務指南。 |
||
當您設定 SCEP 憑證設定檔時,請選擇裝置和基礎結構可支援的最安全選項。 |
識別、實作及遵循為您的裝置和基礎結構所建議的任何安全性最佳作法。 |
||
手動指定使用者裝置親和性,而不是讓使用者識別自己的主要裝置。 此外,請勿啟用基於使用方式的設定。 |
如果您按一下 SCEP 憑證設定檔中的 [只允許在使用者主要裝置上註冊憑證] 選項,請勿將由使用者或裝置收集到的資訊視為已授權。 如果您使用此設定來部署 SCEP 憑證設定檔,而且信任的系統管理使用者未指定使用者裝置親和性,未授權的使用者可能會因而獲得較高的權限,以及被授與驗證憑證。
|
||
請勿將使用者的讀取及註冊權限加入憑證範本,或設定憑證登錄點跳過憑證範本檢查。 |
雖然 Configuration Manager 支援額外檢查以確認您是否新增使用者的讀取及註冊安全性權限,您也可以在無法驗證時設定憑證登錄點以跳過該檢查,但這兩種設定都不是安全性最佳作法。 如需詳細資訊,請參閱規劃憑證設定檔在 Configuration Manager 中的憑證範本權限。 |
憑證設定檔的隱私權資訊
您可以使用憑證設定檔來部署根憑證授權單位 (CA) 和用戶端憑證,然後評估這些裝置在套用設定檔之後是否可相容。 管理點會將相容性資訊傳送至站台伺服器,且 Configuration Manager 會將該資訊存放在站台資料庫中。 相容性資訊包含如主體名稱和指紋等憑證內容。 當裝置將此資訊傳送至管理點時會進行加密,但不會以加密格式儲存在站台資料庫內。 資料庫會保留這些資訊,直到站台維護工作 [刪除過時設定管理資料] 在預設的 90 天間隔後將它刪除為止。 您可以設定刪除間隔。 不會將相容性資訊傳送給 Microsoft。
憑證設定檔會使用 Configuration Manager 透過探索收集的資訊。 如需探索隱私權資訊的詳細資訊,請參閱 Configuration Manager 中的站台管理安全性和隱私權中的探索的隱私權資訊一節。
| 注意事項 |
|---|
發行給使用者或裝置的憑證可允許存取機密資訊。 |
依預設,裝置不會評估憑證設定檔。 此外,您必須設定憑證設定檔,然後將其部署至使用者或裝置。
設定 憑證設定檔之前,請考慮您的隱私權需求。