Configuration Manager'daki Sertifika Profilleri İçin Güvenlik ve Gizlilik
Uygulama Alanı: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Not
Bu konudaki bilgiler yalnızca System Center 2012 R2 Configuration Manager sürümleri için geçerlidir.
Not
Bu konu şunları içerir:Varlıklar ve uyum System Center 2012 Configuration Manager'da kılavuzu ve System Center 2012 Configuration Manager için Güvenlik ve Gizlilik kılavuzunda.
Bu konu, System Center 2012 Configuration Manager'ndeki sertifika profilleriyle ilgili güvenlik ve gizlilik bilgilerini içerir.
Sertifika Profilleri için Güvenlik En İyi Yöntemleri
Kullanıcılarınızın ve aygıtlarınızın sertifika profillerini yönetirken aşağıdaki güvenlik en iyi yöntemlerini kullanın.
En iyi güvenlik yöntemi |
Daha fazla bilgi |
|---|---|
Internet Information Services'de (IIS) Ağ Aygıtı Kayıt Hizmeti web sitesini, SSL gerektirecek ve istemci sertifikalarını yok sayacak şekilde yapılandırmak dahil olmak üzere, Ağ Aygıtı Kayıt Hizmeti için en iyi güvenlik yöntemlerini belirleyin ve uygulayın. |
TechNet'teki Active Directory Sertifika Hizmetleri kitaplığında bulunan Ağ Aygıtı Kayıt Hizmeti Kılavuzu adlı belgeye bakın. |
SCEP sertifika profillerini yapılandırırken, aygıtların ve altyapınızın destekleyebildiği en güvenli seçenekleri kullanın. |
Aygıtlarınız ve altyapınız için önerilmiş tüm en iyi güvenlik uygulamalarını belirleyin, uygulayın ve takip edin. |
Kullanıcıların birincil cihazlarını tanımlamalarına izin vermek yerine kullanıcı aygıtı benzeşimini elle belirtin. Ayrıca, kullanıcı tabanlı yapılandırmayı etkinleştirmeyin. |
Bir SCEP sertifikası profilinde Yalnızca kullanıcıların birincil aygıtında sertifika kaydına izin ver seçeneğini tıklatırsanız, kullanıcılardan veya aygıtlardan toplanan bilgileri güvenilir olarak görmeyin. Bu yapılandırmayla SCEP sertifikası profilleri dağıtırsanız ve güvenilen bir yönetici kullanıcı, kullanıcı aygıtı benzeşimini belirtmiyorsa yetkisiz kullanıcılar yükseltilmiş ayrıcalıklar kazanabilir ve kimlik doğrulama için sertifika elde edebilirler. Not Kullanıcı tabanlı yapılandırmayı etkinleştirirseniz, bu bilgiler Configuration Manager tarafından güvenliği sağlanmayan durum iletileri kullanılarak toplanır. Bu tehdidi azaltmaya yardımcı olmak için istemci bilgisayarlarla yönetim noktası arasında SMB imzası veya IPsec kullanın. |
Sertifika şablonlarına kullanıcılar için Okuma veya Kaydetme izinleri eklemeyin ya da sertifika kayıt noktasını sertifika şablonu denetimini atlayacak şekilde yapılandırmayın. |
Kullanıcılar için Okuma ve Kaydetme güvenlik izinlerini eklerseniz, Configuration Manager ek denetimleri desteklemekle birlikte ve kimlik doğrulama mümkün olmadığı takdirde sertifika kayıt noktasını bu denetimi atlayacak şekilde yapılandırmanız mümkün olsa da bu yapılandırmaların hiçbiri en iyi güvenlik uygulaması değildir. Daha fazla bilgi için, bkz. Configuration Manager'daki Sertifika Profilleri için Sertifika Şablonu İzinlerini Planlama. |
Sertifika Profilleri İçin Gizlilik Bilgileri
Sertifika profillerini kök sertifika yetkilisi (CA) ve istemci sertifikaları dağıtmak için kullanabilir ve bu aygıtların profiller uygulandıktan sonra uyumlu olup olmadığını değerlendirebilirsiniz. Yönetim noktası uyumluluk bilgisini site sunucusuna gönderir ve Configuration Manager bu bilgileri site veritabanında depolar. Uyumluluk bilgileri konu adı ve parmak izi gibi sertifika özelliklerini kapsar. Aygıtlar bilgiyi yönetim noktasına gönderdiğinde bilgi şifrelenir, ancak site veritabanında şifreli biçimde depolanmaz. Veritabanı, varsayılan zaman aralığı olan 90 gün sonunda Eski Yapılandırma Yönetimi Verilerini Sil site bakım görevi tarafından silinene kadar bilgileri saklar. Silme aralığını yapılandırabilirsiniz. Uyumluluk bilgileri Microsoft'a gönderilmez.
Sertifika profilleri, Configuration Manager tarafından bulma kullanılarak toplanan bilgileri kullanır. Bulmayla ilgili gizlilik bilgileri hakkında daha fazla bilgi için, Configuration Manager'daki Site Yönetimi için Güvenlik ve Gizlilik sayfasındaki Bulma için Gizlilik Bilgileri bölümüne göz atın.
Not
Kullanıcılara veya aygıtlara verilen sertifikalar gizli bilgilere erişim sağlayabilir.
Varsayılan ayar olarak aygıtlar sertifika profillerini değerlendirmez. Ayrıca, sertifika profillerini yapılandırmanız ve kullanıcılara veya aygıtlara dağıtmanız gerekir.
Sertifika profillerini yapılandırmadan önce, gizlilik gereksinimlerinizi dikkate alın.