Планирование разрешений шаблонов сертификатов для профилей сертификатов в Configuration Manager
Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Примечание |
|---|
Сведения в этом разделе относятся только к версиям System Center 2012 R2 Configuration Manager. |
Следующая информация используется при планировании настройки разрешений для шаблонов сертификатов, которые System Center 2012 Configuration Manager использует при развертывании профилей сертификатов.
Разрешения системы безопасности по умолчанию и рекомендации
Для шаблонов сертификатов, которые Configuration Manager будет использовать при запросе сертификатов для пользователей и устройств, требуются следующие разрешения системы безопасности по умолчанию:
разрешения на чтение и регистрацию для учетной записи, используемой пулом приложений службы регистрации сертификатов для сетевых устройств;
разрешение на чтение для учетной записи, используемой для запуска консоли Configuration Manager.
Дополнительные сведения об этих разрешениях системы безопасности см. в разделе Шаг 1. Установка и настройка службы регистрации сертификатов для сетевых устройств и зависимостей в Настройка профилей сертификатов в Configuration Manager.
Если используется данная конфигурация по умолчанию, пользователи и устройства не могут напрямую запрашивать сертификаты из шаблонов сертификатов и все запросы должны инициироваться службой регистрации сертификатов для сетевых устройств. Это важное ограничение, поскольку эти шаблоны сертификатов должны быть настроены с использованием параметра Предоставляется в запросе для субъекта сертификата, а это означает, что существует угроза олицетворения, если сертификат запросит пользователь-мошенник или скомпрометированное устройство. В конфигурации по умолчанию такой запрос должна инициировать служба регистрации сертификатов для сетевых устройств. Однако угроза олицетворения сохраняется в случае компрометирования службы, которая запускает службу регистрации сертификатов для сетевых устройств. Чтобы избежать этого риска, выполните все рекомендации по безопасности для службы регистрации сертификатов для сетевых устройств и компьютера, на котором работает эта служба роли.
Если разрешения системы безопасности по умолчанию не соответствуют бизнес-требованиям, существуют другой вариант настройки разрешений системы безопасности для шаблонов сертификатов: можно добавить разрешения на чтение и регистрацию для пользователей и компьютеров.
Добавление разрешений на чтение и регистрацию для пользователей и компьютеров
Добавление разрешений на чтение и регистрацию для пользователей и компьютеров может быть целесообразным, если управлением группой обеспечения инфраструктуры центра сертификации занимается отдельная группа, которой необходимо, чтобы система Configuration Manager проверяла наличие у пользователей действительной учетной записи Active Directory, прежде чем отправлять им профиль сертификата для запроса сертификата пользователя. Для этой конфигурации необходимо указать одну или несколько групп безопасности, содержащих пользователей, а затем предоставить этим группам разрешения на чтение и регистрацию шаблонов сертификатов. В этом сценарии контроль безопасности находится под управлением администратора центра сертификации.
Точно так же можно указать одну или несколько групп безопасности, содержащих учетные записи компьютеров, и предоставить этим группам разрешения на чтение и регистрацию шаблонов сертификатов. Если профиль сертификата компьютера развертывается на компьютере, который является членом домена, учетной записи этого компьютера должны быть предоставлены разрешения на чтение и регистрацию. Эти разрешения не требуются, если компьютер не является членом домена, например, если это компьютер рабочей группы или персональное мобильное устройство.
Несмотря на то что данная конфигурация предусматривает дополнительный контроль безопасности, использовать ее не рекомендуется. Дело в том, что указанные пользователи или владельцы устройств могут запрашивать сертификаты независимо от Configuration Manager и указывать значения субъекта сертификата, который может использоваться для олицетворения другого пользователя или устройства.
Кроме того, если указать учетные записи, подлинность которых невозможно проверить во время выполнения запроса сертификата, по умолчанию запрос на сертификат выполнен не будет. Например, запрос на сертификат не будет выполнен, если сервер, на котором работает служба регистрации сертификатов для сетевых устройств, находится в лесу Active Directory, который не является доверенным для леса, содержащего сервер системы сайта точки регистрации сертификатов. Точку регистрации сертификатов можно настроить для продолжения, если подлинность учетной записи невозможно проверить из-за отсутствия ответа от контроллера домена. Однако делать это не рекомендуется по соображениям безопасности.
Учтите, что если точка регистрации сертификатов настроена для проверки разрешений учетной записи, а контроллер домена окажется доступен и отклонит запрос на проверку подлинности (например, если учетная запись заблокирована или удалена), запрос на регистрацию сертификата выполнен не будет.
Проверка разрешений на чтение и регистрацию для пользователей и компьютеров, которые являются членами домена
-
На сервере системы сайта, на котором размещена точка регистрации сертификатов, создайте следующий параметр реестра типа DWORD со значением 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
-
Чтобы проверка разрешений пропускалась, если подлинность учетной записи невозможно проверить из-за отсутствия ответа от контроллера домена, выполните следующие действия.
- На сервере системы сайта, на котором размещена точка регистрации сертификатов, создайте следующий параметр реестра типа DWORD со значением 1: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SCCM\\CRP\\SkipTemplateCheckOnlyIfAccountAccessDenied -
На сервере выдающего центра сертификации на вкладке Безопасность в свойствах шаблона сертификата добавьте одну или несколько групп безопасности, чтобы предоставить учетным записям пользователей или устройств разрешения на чтение и регистрацию.