A tanúsítványprofilok biztonsága és adatvédelme a Configuration Managerben
Érvényes: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Megjegyzés |
|---|
A jelen témakörben található információk csak a System Center 2012 R2 Configuration Manager verzióira vonatkoznak. |
| Megjegyzés |
|---|
Ez a témakör itt jelenik meg: a Eszközök és megfelelőség a System Center 2012 Configuration Manager útmutatóban és a Biztonság és adatvédelem a System Center 2012 Configuration Manager rendszerben útmutatóban. |
Ez a témakör a System Center 2012 Configuration Manager tanúsítványprofiljaival kapcsolatos biztonsági és adatvédelmi tudnivalókat tartalmaz.
Bevált biztonsági gyakorlatok tanúsítványprofilokhoz
A felhasználókhoz és eszközökhöz tartozó tanúsítványprofilok kezelésekor alkalmazza a következő bevált biztonsági gyakorlatokat.
Bevált biztonsági gyakorlat |
További információ |
||
|---|---|---|---|
A hálózati eszközök tanúsítványigénylési szolgáltatásával kapcsolatos bevált biztonsági gyakorlatok azonosítása és betartása (beleértve az IIS szolgáltatásban a hálózati eszközök tanúsítványigénylési szolgáltatásának beállítását az SSL használatának megkövetelésére és az ügyféltanúsítványok figyelmen kívül hagyására). |
Lásd: Network Device Enrollment Service Guidance (Hálózati eszközök tanúsítványigénylési szolgáltatás – útmutató) a TechNet Active Directory-tanúsítványszolgáltatásról szóló tartalomtárában. |
||
Az SCEP-tanúsítványprofilok konfigurálásánál az eszközök, illetve az infrastruktúra által támogatott legbiztonságosabb beállításokat adja meg. |
Azonosítsa, vezesse be, és tartsa be az eszközeire és infrastruktúrájára vonatkozóan ajánlott bevált biztonsági gyakorlatokat. |
||
A felhasználó-eszköz kapcsolatot manuálisan adja meg, ne hagyja a felhasználóknak, hogy azonosítsák az elsődleges eszközüket. Ezen kívül ne engedélyezze a használat alapú konfigurálást. |
Ha egy SCEP-tanúsítványprofilnál a Tanúsítványigénylés engedélyezése csak a felhasználó elsődleges eszközén beállításra kattint, ne vegye figyelembe irányadóként a felhasználóktól vagy az eszköztől kapott adatokat. Amennyiben ezzel a konfigurációval telepít SCEP-tanúsítványprofilokat, és egy megbízható rendszergazda felhasználó nem adja meg a felhasználó-eszköz kapcsolatot, előfordulhat, hogy nem jogosult felhasználók emelt szintű jogosultságokhoz jutnak, és tanúsítványokat kapnak a hitelesítéshez.
|
||
A tanúsítványsablonokhoz ne adjon a felhasználóknak olvasási és beléptetési engedélyeket, vagy a tanúsítványregisztrációs pontot úgy konfigurálja, hogy kihagyja a tanúsítványsablon ellenőrzését. |
Bár a Configuration Manager támogatja a további ellenőrzést, ha a felhasználókra vonatkozóan megadja az olvasási és beléptetési engedélyeket, és konfigurálhatja a tanúsítványregisztrációs pontot az ellenőrzés kihagyására, amennyiben a hitelesítés nem lehetséges, egyik konfigurció sem a legmegfelelőbb a biztonság szempontjából. További információ: Tanúsítványsablonok engedélyeinek tervezése a Configuration Manager tanúsítványprofiljaihoz. |
Adatvédelmi tudnivalók tanúsítványprofilokhoz
Tanúsítványprofilok használatával elvégezheti a legfelső szintű hitelesítésszolgáltatói és ügyféltanúsítványok központi telepítését, majd kiértékelheti, hogy a profilok alkalmazása után az eszközök a követelményeknek megfelelővé válnak-e. A felügyeleti pont a megfelelőségi információkat a helykiszolgálónak továbbítja, a Configuration Manager pedig a hely adatbázisában tárolja ezeket az információkat. A megfelelőségi adatok között szerepelnek a tanúsítványok tulajdonságai is, például a tulajdonos neve és az ujjlenyomat. Az adatok titkosítva vannak, amikor az eszközök elküldik azokat a felügyeleti pontnak, azonban a helyadatbázis titkosítás nélkül tárolja az adatokat. Az adatbázis mindaddig megőrzi az adatokat, amíg az Elavult Configuration Management adatok törlése helykarbantartási feladat az alapértelmezett 90 napos időszak után nem törli őket. Beállíthatja a törlési időközt. A program nem küld megfelelőségi adatokat a Microsoftnak.
A tanúsítványprofilok felhasználják a Configuration Manager által felderítés útján gyűjtött információkat. A felderítéssel kapcsolatban részletesebb adatvédelmi tudnivalókat az Adatvédelmi tájékoztatás a felderítéshez című szakaszban (Helyfelügyelet biztonsága és adatvédelme a Configuration Manager alkalmazásban) talál.
| Megjegyzés |
|---|
A felhasználók vagy eszközök számára kiállított tanúsítványok bizalmas információk elérését tehetik lehetővé. |
Az eszközök alapértelmezés szerint nem értékelik ki a tanúsítványprofilokat. Emellett konfigurálni kell a tanúsítványprofilokat, és aztán el kell végezni azok központi telepítését a felhasználóknál vagy eszközökön.
A tanúsítványprofilok konfigurálása előtt gondolja át az adatvédelmi követelményeit.