Безопасность и конфиденциальность профилей сертификатов в Configuration Manager
Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Примечание |
|---|
Сведения в этом разделе относятся только к версиям System Center 2012 R2 Configuration Manager. |
| Примечание |
|---|
Этот раздел отображается в следующей документации: в руководстве Активы и соответствие в System Center 2012 Configuration Manager и в руководстве Безопасность и конфиденциальность System Center 2012 Configuration Manager. |
Эта статья содержит сведения о безопасности и конфиденциальности профилей сертификатов в System Center 2012 Configuration Manager.
Рекомендации по безопасности для профилей сертификатов
При управлении профилями сертификатов для пользователей и устройств необходимо учитывать следующие рекомендации по безопасности.
Рекомендация по безопасности |
Дополнительные сведения |
||
|---|---|---|---|
Определите и выполните все рекомендации по безопасности для службы регистрации сертификатов для сетевых устройств (NDES), в том числе по настройке использования SSL и игнорирования сертификатов клиентов для веб-сайта службы регистрации сертификатов для сетевых устройств в службах IIS. |
См. статью Network Device Enrollment Service Guidance (Руководство по работе со службой регистрации сертификатов для сетевых устройств) в библиотеке TechNet для служб сертификатов Active Directory. |
||
При настройке профилей сертификатов SCEP выбирайте наиболее безопасные параметры, поддерживаемые устройствами и инфраструктурой. |
Определите, реализуйте и выполните все рекомендации по безопасности для устройств и инфраструктуры. |
||
Укажите сопоставление пользователей и устройств вручную, а не позволяйте пользователям идентифицировать свое основное устройство. Кроме того, не включайте конфигурацию на основе использования. |
Если в профиле сертификата SCEP выбран параметр Разрешить регистрацию сертификатов только на основном устройстве пользователя, сведения, полученные от пользователей или от устройства, нельзя считать достоверными. Если выполняется развертывание профилей сертификатов SCEP с такой конфигурацией и доверенный пользователь с правами администратора не указал сопоставление пользователей и устройств, неавторизованные пользователи могут получить повышенные привилегии и сертификаты для проверки подлинности.
|
||
Не предоставляйте пользователям разрешения на чтение и регистрацию шаблонов сертификатов или настройте точку регистрации сертификатов таким образом, чтобы проверка шаблонов сертификатов не выполнялась. |
Несмотря на то что Configuration Manager поддерживает дополнительную проверку, если пользователям предоставлены разрешения системы безопасности на чтение и регистрацию, и можно настроить точку регистрации сертификатов, чтобы эта проверка не выполнялась, если проверка подлинности невозможна, ни одну из конфигураций не рекомендуется использовать по соображениям безопасности. Дополнительные сведения см. в статье Планирование разрешений шаблонов сертификатов для профилей сертификатов в Configuration Manager. |
Сведения о конфиденциальности профилей сертификатов
Можно использовать профили сертификатов для развертывания сертификатов корневого центра сертификации (ЦС) и клиентов, а затем проверять эти устройства на соответствие после применения профилей. Точка управления отправляет сведения о соответствии на сервер сайта, и Configuration Manager сохраняет их в базе данных сайта. Сведения о соответствии включают свойства сертификатов, такие как имя субъекта и отпечаток. Эта информация шифруется, когда устройства отправляют ее в точку управления, но не хранится в зашифрованном виде в базе данных сайта. Информация хранится в базе данных до тех пор, пока не будет удалена при выполнении задачи обслуживания сайта Удаление устаревших данных управления конфигурацией через 90 дней (интервал по умолчанию). Можно настроить интервал удаления. Сведения о соответствии не отправляются в Майкрософт.
Профили сертификатов используют данные, собранные Configuration Manager в процессе обнаружения. Дополнительные сведения о конфиденциальности обнаружения см. в разделе Сведения о соблюдении конфиденциальности обнаружения статьи Безопасность и конфиденциальность администрирования сайтов в Configuration Manager.
| Примечание |
|---|
Сертификаты, выданные пользователям или устройствам, могут разрешать доступ к конфиденциальной информации. |
По умолчанию устройства не проверяют профили сертификатов. Кроме того, необходимо настроить профили сертификатов, а затем развернуть их для пользователей или устройств.
Перед настройкой профилей сертификатов следует проанализировать требования к конфиденциальности.