Bezpieczeństwo i prywatność profili certyfikatów w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Uwaga

Informacje w tym temacie dotyczą tylko wersji programu System Center 2012 R2 Configuration Manager

Ten temat zawiera informacje o zabezpieczeniach i prywatności profili certyfikatów w programie System Center 2012 Configuration Manager.

Najlepsze rozwiązania dotyczące zabezpieczeń profili certyfikatów

Podczas zarządzania profilami certyfikatów użytkowników i urządzeń należy stosować poniższe najlepsze rozwiązania.

Najlepsze rozwiązanie w zakresie zabezpieczeń

Więcej informacji

Należy określić i stosować wszelkie najlepsze rozwiązania dotyczące usługi rejestracji urządzeń sieciowych, co obejmuje skonfigurowanie witryny sieci Web usługi rejestracji urządzeń sieciowych w programie Internet Information Services (IIS) w celu wymagania protokołu SSL i ignorowania certyfikatów klientów.

Należy zapoznać się z tematem Network Device Enrollment Service Guidance (Wskazówki dotyczące usługi rejestracji urządzeń sieciowych) w bibliotece Active Directory Certificate Services w witrynie TechNet.

Podczas konfigurowania profili certyfikatów SCEP należy wybrać najbardziej bezpieczne opcje obsługiwane przez urządzenia i infrastrukturę.

Należy określić, wdrożyć i stosować wszelkie najlepsze rozwiązania dotyczące bezpieczeństwa zalecone dla używanych urządzeń i infrastruktury.

Należy określić koligację urządzenia użytkownika zamiast zezwalać użytkownikom na identyfikację ich urządzenia podstawowego. Ponadto nie należy włączać konfiguracji opartej na użyciu.

W przypadku kliknięcia opcji Zezwalaj na rejestrację certyfikatu tylko na podstawowym urządzeniu użytkownika w profilu certyfikatu SCEP nie należy traktować informacji zebranych od użytkowników lub z urządzenia jako autorytatywnych. Jeżeli po wdrożeniu profili certyfikatów SCEP z tą konfiguracją zaufany użytkownik administracyjny nie określi koligacji urządzenia użytkownika, nieautoryzowani użytkownicy mogą uzyskać podniesione uprawnienia i otrzymać certyfikaty na potrzeby uwierzytelniania.

Uwaga

W przypadku włączenia konfiguracji opartej na użyciu te informacje są zbierane za pomocą komunikatów stanu, które nie są zabezpieczane przez program Menedżer konfiguracji. Aby ułatwić uniknięcie tego zagrożenia, należy użyć podpisywania bloku komunikatów serwera (SMB) lub protokołu IPsec między komputerami klienckimi a punktem zarządzania.

Nie należy dodawać do szablonów certyfikatów uprawnień Odczytaj i Zarejestruj dla użytkowników ani konfigurować punktu rejestracji certyfikatu do pomijania sprawdzania szablonu certyfikatu.

Program Menedżer konfiguracji obsługuje dodatkowe sprawdzanie w przypadku dodania uprawnień zabezpieczeń Odczytaj i Zarejestruj dla użytkowników, a także można skonfigurować punkt rejestracji certyfikatu w celu pomijania tego sprawdzania, jeśli uwierzytelnianie nie jest możliwe, ale żadna z tych konfiguracji nie stanowi najlepszego rozwiązania bezpieczeństwa. Więcej informacji znajduje się w temacie Planowanie dotyczące uprawnień szablonów certyfikatów dla profili certyfikatów w programie Configuration Manager.

Informacje o ochronie prywatności dotyczące profili certyfikatów

Profile certyfikatów umożliwiają wdrażanie certyfikatów głównego urzędu certyfikacji i certyfikatów klientów, a następnie ocenę, czy te urządzenia będą zgodne po zastosowaniu profili. Punkt zarządzania wysyła informacje o zgodności do serwera lokacji, a program Menedżer konfiguracji zapisuje je w bazie danych lokacji. Informacje o zgodności zawierają właściwości certyfikatu, takie jak nazwa podmiotu i odcisk palca. Informacje są szyfrowane, gdy urządzenia wysyłają je do punktu zarządzania. Nie są one jednak przechowywane w zaszyfrowanej postaci w bazie danych lokacji. Baza danych zachowuje te informacje do momentu usunięcia ich przez zadanie obsługi lokacji Usuń przestarzałe dane zarządzania konfiguracją i usuwa je po upływie domyślnego interwału wynoszącego 90 dni. Możesz skonfigurować interwał usuwania. Informacje o zgodności nie są wysyłane do firmy Microsoft.

Profile certyfikatów używają informacji, które program Menedżer konfiguracji zbiera przy użyciu odnajdywania. Więcej informacji dotyczących prywatności podczas odnajdywania znajduje się w sekcji Informacje o ochronie prywatności dotyczące odnajdywania w temacie Bezpieczeństwo i ochrona prywatności dotyczące administrowania lokacją w programie Configuration Manager.

Uwaga

Certyfikaty wydane użytkownikom lub urządzeniom mogą zezwalać na dostęp do poufnych informacji.

Domyślnie urządzenia nie oceniają profili certyfikatów. Ponadto należy skonfigurować profile certyfikatów, a następnie wdrożyć je dla użytkowników lub urządzeń.

Przed skonfigurowaniem profili certyfikatów należy uwzględnić wymagania dotyczące ochrony prywatności.