Segurança e Privacidade para Perfis de Certificado no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteNota

As informações deste tópico aplicam-se apenas às versões do System Center 2012 R2 Configuration Manager.

Este tópico contém informações de segurança e privacidade para perfis de certificado no System Center 2012 Configuration Manager.

Utilize os seguintes procedimentos recomendados de segurança ao gerir perfis de certificado para utilizadores e dispositivos.

Procedimento recomendado de segurança

Mais informações

Identifique e siga os eventuais procedimentos recomendados de segurança do Serviço de Inscrição de Dispositivos de Rede, que incluem a configuração do Web site do Serviço de Inscrição de Dispositivos de Rede nos Serviços de Informação Internet (IIS) para que exija SSL e ignore os certificados de cliente.

Consulte Orientação do Serviço de Inscrição de Dispositivos de Rede na biblioteca Serviços de Certificados do Active Directory na TechNet.

Ao configurar os perfis de certificado SCEP, escolha as opções mais seguras suportadas pelos dispositivos e pela infraestrutura.

Identifique, implemente e siga os procedimentos de segurança eventualmente recomendados para os dispositivos e para a infraestrutura.

Especifique manualmente a afinidade dispositivo/utilizador em vez de permitir que os utilizadores identifiquem o respetivo dispositivo primário. Além disso, não ative a configuração baseada na utilização.

Se clicar na opção Permitir inscrição de certificados apenas no dispositivo primário dos utilizadores num perfil de certificado SCEP, não considere autoritativas as informações recolhidas junto dos utilizadores ou do dispositivo. Se implementar perfis de certificado SCEP com esta configuração e um utilizador administrativo fidedigno não especificar a afinidade dispositivo/utilizador, os utilizadores não autorizados poderão obter privilégios elevados e certificados para autenticação.

System_CAPS_noteNota

Se ativar a configuração baseada na utilização, estas informações serão obtidas utilizando mensagens de estado que não são protegidas pelo Gestor de configuração. Para ajudar a atenuar esta ameaça, utilize a assinatura SMB ou IPsec entre computadores cliente e o ponto de gestão.

Não adicione permissões de Leitura e Inscrição para utilizadores aos modelos de certificado ou configure o ponto de registo de certificados para ignorar a verificação do modelo de certificado.

Embora o Gestor de configuração suporte a verificação adicional se adicionar as permissões de segurança de Leitura e Inscrição para utilizadores e possa configurar o ponto de registo de certificados para ignorar esta verificação se a autenticação não for possível, nenhuma destas configurações constitui um procedimento recomendado de segurança. Para mais informações, consulte Planear permissões do modelo de certificado para perfis de certificado no Configuration Manager.

Poderá utilizar perfis de certificado para implementar certificados de autoridade de certificação (AC) de raiz e de cliente, avaliando em seguida se esses dispositivos se tornam compatíveis após a aplicação dos perfis. O ponto de gestão envia as informações de conformidade para o servidor do site e o Gestor de configuração armazena essas informações na base de dados do site. As informações de conformidade incluem propriedades de certificado, tais como o nome do requerente e o thumbprint. As informações são encriptadas quando os dispositivos as enviam para o ponto de gestão, mas não são armazenadas em formato encriptado na base de dados do site. A base de dados mantém as informações até que a tarefa de manutenção do site Eliminar Dados de Gestão de Configuração Desatualizados as elimine, após o intervalo predefinido de 90 dias. Pode configurar o intervalo de eliminação. As informações de conformidade não são enviadas à Microsoft.

Os perfis de certificado utilizam as informações obtidas pelo Gestor de configuração através da deteção. Para mais informações sobre as informações de privacidade para deteção, consulte a secção Informações de privacidade da deteção em Segurança e Privacidade para a Administração de Sites no Configuration Manager.

System_CAPS_noteNota

Os certificados emitidos para utilizadores ou dispositivos poderão permitir o acesso a informações confidenciais.

Por predefinição, os dispositivos não avaliam os perfis de certificado. Além disso, terá de configurar os perfis de certificado e implementá-los para os utilizadores ou dispositivos.

Antes de configurar os perfis de certificado, considere os requisitos de privacidade.

Mostrar: