Sicherheit und Datenschutz für Zertifikatprofile in Configuration Manager
Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Die Informationen in diesem Thema gelten nur für System Center 2012 R2 Configuration Manager-Versionen. |
| Hinweis |
|---|
Dieses Thema erscheint in den Handbüchern Assets and Compliance in System Center 2012 Configuration Manager (Bestand und Kompatibilität in System Center 2012 Configuration Manager) und Sicherheit und Datenschutz für System Center 2012 Configuration Manager. |
Dieses Thema enthält Sicherheits- und Datenschutzinformationen zu Zertifikatprofilen in System Center 2012 Configuration Manager.
Bewährte Sicherheitsmethoden für Zertifikatprofile
Verwenden Sie bei der Verwaltung von Zertifikatprofilen für Benutzer und Geräte die folgenden bewährten Sicherheitsmethoden.
Bewährte Sicherheitsmethode |
Weitere Informationen |
||
|---|---|---|---|
Bestimmen und beachten Sie die bewährten Sicherheitsmethoden für den Registrierungsdienst für Netzwerkgeräte. Dazu zählt die Konfiguration der NDES-Website in Internetinformationsdienste (IIS), um SSL zu erfordern und Clientzertifikate zu ignorieren. |
Weitere Informationen finden Sie unter Network Device Enrollment Service Guidance (Anleitung zum Registrierungsdienst für Netzwerkgeräte) in der Bibliothek zu Active Directory-Zertifikatdiensten auf der TechNet-Website. |
||
Wählen Sie bei der Konfiguration von SCEP-Zertifikatprofilen die sichersten Optionen aus, die von den Geräten und Ihrer Infrastruktur unterstützt werden können. |
Bestimmen, implementieren und beachten Sie die bewährten Sicherheitsmethoden, die für Ihre Geräte und die Infrastruktur empfohlen wurden. |
||
Geben Sie manuell die Affinität zwischen Benutzer und Gerät an, statt zuzulassen, dass die Benutzer das primäre Gerät selbst bestimmen. Aktivieren Sie darüber hinaus die verwendungsbasierte Konfiguration nicht. |
Wenn Sie die Option Zertifikatregistrierung nur auf dem primären Gerät des Benutzers zulassen in einem SCEP-Zertifikatprofil anklicken, betrachten Sie die von Benutzern oder vom Gerät gesammelten Informationen nicht als autoritativ. Wenn Sie SCEP-Zertifikatprofile mit dieser Konfiguration bereitstellen und die Affinität zwischen Benutzer und Gerät nicht von einem vertrauenswürdigen Administrator angegeben wurde, kann dies zu Rechteerweiterungen führen, und nicht autorisierten Benutzern werden möglicherweise Zertifikate zur Authentifizierung erteilt.
|
||
Fügen Sie den Zertifikatvorlagen nicht die Berechtigungen Lesen und Anmelden für Benutzer hinzu, oder konfigurieren Sie den Zertifikatregistrierungspunkt so, dass die Überprüfung von Zertifikatvorlagen übersprungen wird. |
Zwar wird in Configuration Manager die zusätzliche Überprüfung unterstützt, wenn Sie die Sicherheitsberechtigungen Lesen und Anmelden für Benutzer hinzufügen, und Sie können den Zertifikatregistrierungspunkt so konfigurieren, dass die Überprüfung übersprungen wird, wenn keine Authentifizierung möglich ist, aber keine dieser Konfigurationen ist eine bewährte Sicherheitsmethode. Weitere Informationen finden Sie unter Planen der Berechtigungen von Zertifikatvorlagen für Zertifikatprofile in Configuration Manager. |
Informationen zum Datenschutz für Zertifikatprofile
Sie können Zertifikatprofile verwenden, um Zertifikate der Stammzertifizierungsstelle und Clientzertifikate bereitzustellen, und dann auswerten, ob die Geräte nach der Anwendung der Profile Kompatibilität erreichen. Vom Verwaltungspunkt werden Kompatibilitätsinformationen an den Standortserver gesendet, die dann von Configuration Manager in der Standortdatenbank gespeichert werden. Zu den Kompatibilitätsinformationen zählen Zertifikateigenschaften wie Antragstellername und Fingerabdruck. Die Informationen werden verschlüsselt, wenn sie von Geräten an den Verwaltungspunkt gesendet werden, sie werden aber nicht in einem verschlüsselten Format in der Standortdatenbank gespeichert. Die Informationen verbleiben in der Datenbank, bis sie mit dem Standortwartungstask Veraltete Konfigurationsverwaltungsdaten löschen nach dem Standardintervall von 90 Tagen gelöscht werden. Sie können das Löschintervall konfigurieren. Die Kompatibilitätsinformationen werden nicht an Microsoft gesendet.
In Zertifikatprofilen werden Informationen verwendet, die von Configuration Manager mithilfe der Ermittlung gesammelt werden. Weitere Informationen zu Datenschutzinformationen zur Ermittlung finden Sie im Abschnitt Datenschutzinformationen zur Ermittlung unter Sicherheit und Datenschutz für die Standortverwaltung in Configuration Manager.
| Hinweis |
|---|
Für Benutzer oder Geräte ausgestellte Zertifikate lassen möglicherweise Zugriff auf vertrauliche Informationen zu. |
Standardmäßig werden Zertifikatprofile von Geräten nicht ausgewertet. Darüber hinaus müssen Sie die Zertifikatprofile konfigurieren und sie dann Benutzern oder Geräten bereitstellen.
Berücksichtigen Sie beim Konfigurieren der Zertifikatprofile Ihre Datenschutzanforderungen.