Sdílet prostřednictvím

Plánování oprávnění šablon certifikátů pro profily certifikátů v nástroji Configuration Manager

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Poznámka

Informace v tomto tématu se vztahují jenom na verze System Center 2012 R2 Configuration Manageru.

Následující informace vám mohou pomoci při plánování konfigurace oprávnění pro šablony certifikátů, které nástroj System Center 2012 Configuration Manager používá při nasazování profilů certifikátů.

Výchozí oprávnění zabezpečení a pokyny pro nastavení

Výchozí oprávnění zabezpečení požadovaná pro šablony certifikátů, které nástroj Configuration Manager používá při vyžadování certifikátů pro uživatele a zařízení, jsou následující:

  • Číst a Zapsat pro účet, který používá fond aplikací služby zápisu síťových zařízení

  • Číst pro účet, který spouští konzolu nástroje Configuration Manager

Další informace o těchto oprávněních zabezpečení naleznete v části Krok 1: Instalace a nastavení Služby zápisu síťových zařízení a závislostí v tématu Konfigurování profilů certifikátů v nástroji Configuration Manager.

Při použití této výchozí konfigurace nemohou uživatelé a zařízení přímo požadovat certifikáty ze šablon a všechny požadavky musí být iniciovány službou zápisu síťových zařízení. To je důležité omezení, protože šablony certifikátů musí mít nastaven předmět certifikátu na možnost Dodán v žádosti, což s sebou nese riziko zosobnění v případě, že o certifikát požádá neautorizovaný uživatel nebo zařízení s ohroženou bezpečností. Ve výchozí konfiguraci musí takový požadavek iniciovat služba zápisu síťových zařízení. Pokud však dojde k ohrožení bezpečnosti služby zápisu síťových zařízení, riziko zosobnění trvá. Chcete-li toto riziko omezit, použijte všechny osvědčené postupy zabezpečení služby zápisu síťových zařízení a počítače, kde je tato služba role spuštěna.

Pokud výchozí oprávnění zabezpečení nevyhovují vašim podnikovým požadavkům, existuje další možnost konfigurace oprávnění zabezpečení pro šablony certifikátů: můžete přidat oprávnění Číst a Zapsat pro uživatele a počítače.

Přidání oprávnění Číst a Zapsat pro uživatele a počítače

Přidání oprávnění Číst a Zapsat pro uživatele a počítače může být vhodným opatřením v situaci, pokud vaši infrastrukturu certifikační autority (CA) spravuje samostatný tým a pokud tento tým chce, aby nástroj Configuration Manager před odesláním profilu certifikátu pro požadavek na certifikát uživatele ověřoval, zda uživatelé mají platný účet služby AD DS (Active Directory Domain Services). V této konfiguraci musíte zadat jednu nebo více skupin zabezpečení obsahujících uživatele a následně těmto skupinám udělit oprávnění Číst a Zapsat pro šablony certifikátů. Řízení zabezpečení v tomto scénáři zajišťuje správce certifikační autority.

Podobně můžete zadat jednu nebo více skupin zabezpečení obsahujících účty počítačů a udělit těmto skupinám oprávnění Číst a Zapsat pro šablony certifikátů. Nasadíte-li profil certifikátu počítače do počítače, který je členem domény, účet tohoto počítače musí mít udělena oprávnění Číst a Zapisovat. Tato oprávnění nejsou požadována, není-li počítač členem domény (například pokud jde o počítač z pracovní skupiny nebo osobní mobilní zařízení).

I když tato konfigurace používá další prvek zabezpečení, nedoporučujeme ji jako osvědčený postup. Důvodem je skutečnost, že zadaní uživatelé nebo vlastníci zařízení si mohou vyžádat certifikáty nezávisle na nástroji Configuration Manager a poskytnout hodnoty pro předmět certifikátu, které lze použít pro zosobnění jiného uživatele nebo zařízení.

Pokud kromě toho zadáte účty, které nelze v době vznesení požadavku na certifikát ověřit, požadavek na certifikát se ve výchozím nastavení nezdaří. Požadavek na certifikát se například nezdaří, pokud se server provozující službu zápisu síťových zařízení nachází v doménové struktuře služby Active Directory, která je ze strany doménové struktury obsahující systémový server lokality bodu registrace certifikátu považována za nedůvěryhodnou. Bod registrace certifikátu můžete nastavit, aby pokračoval, pokud účet nelze ověřit z důvodu nepřítomnosti odpovědi od řadiče domény. Tento postup však z hlediska zabezpečení nepatří mezi osvědčené.

Je-li bod registrace certifikátu nastaven, aby kontroloval oprávnění účtu, a dostupný řadič domény požadavek na ověření odmítne (například pokud je účet uzamčen nebo byl odstraněn), požadavek na zápis certifikátu se nezdaří.

Kontrola oprávnění Číst a Zapsat pro uživatele a členské počítače domény

  1. Na systémovém serveru lokality, který je hostitelem bodu registrace certifikátu, vytvořte následující klíč registru typu DWORD s hodnotou 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Pokud účet nelze ověřit, protože řadič domény neodpovídá, a pokud chcete obejít kontrolu oprávnění:

    • Na systémovém serveru lokality, který je hostitelem bodu registrace certifikátu, vytvořte následující klíč registru typu DWORD s hodnotou 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied

  3. U vydávající certifikační autority na kartě Zabezpečení ve vlastnostech šablony certifikátu přidejte jednu nebo více skupin zabezpečení a udělte tak účtům uživatelů nebo zařízení oprávnění Číst a Zapsat.

Viz také

Plánování profilů certifikátů v nástroji Configuration Manager