Zabezpečení a ochrana soukromí pro profily certifikátů v nástroji Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Informace v tomto tématu se vztahují jenom na verze System Center 2012 R2 Configuration Manageru.
Poznámka
Toto téma se zobrazuje v příručka Prostředky a kompatibilita v nástroji System Center 2012 Configuration Manager a v příručce Zabezpečení a ochrana soukromí pro aplikaci System Center 2012 Configuration Manager.
Toto téma obsahuje informace o zabezpečení a ochraně dat pro profily certifikátů v nástroji System Center 2012 Configuration Manager.
Nejlepší postupy zabezpečení pro profily certifikátů
Když spravujete profily certifikátů pro uživatele a zařízení, používejte následující nejlepší postupy.
Doporučené zabezpečení |
Další informace |
---|---|
Určete a dodržujte veškeré nejlepší postupy zabezpečení pro službu zápisu síťových zařízení Network Device Enrollment Service, která zahrnuje webovou stránku služby Network Device Enrollment Service ve službě Internetová informační služba (IIS), k vyžádání protokolu SSL a ignorování klientských certifikátů. |
Viz téma Směrnice pro službu zápisu síťových zařízení v knihovně služby Active Directory Certificate Services (AD CS) v knihovně TechNet. |
Když konfigurujete profily certifikátů SCEP, vyberte nejbezpečnější možnosti, které mohou zařízení a vaše infrastruktura podporovat. |
Určete, implementujte a dodržujte veškeré nejlepší postupy zabezpečení, které byly doporučeny pro vaše zařízení a infrastrukturu. |
Místo toho, abyste uživatelům povolili identifikaci jejich primárního zařízení, ručně zadejte spřažení uživatelských zařízení. Nepovolujte ani konfiguraci na základě využití. |
Pokud kliknete na možnost Povolit zápis certifikátů pouze na primárním zařízení uživatelů v profilu certifikátů SCEP, neberte v úvahu informace, které jsou shromážděny od uživatelů nebo ze zařízení, které bude autoritativní. Pokud nasadíte profily certifikátů SCEP s touto konfigurací a důvěryhodný správce neurčí spřažení uživatelských zařízení, mohou neoprávnění uživatelé obdržet oprávnění vyšší úrovně a mohou jim být uděleny certifikáty pro ověřování. Poznámka Pokud povolíte konfiguraci na základě využití, tyto informace jsou shromažďovány prostřednictvím stavových zpráv, které nejsou zabezpečeny nástrojem Configuration Manager. K zmírnění této hrozby použijte podepisování protokolu SMB nebo protokol IPsec mezi klientskými počítači a bodem správy. |
Nepřidávejte oprávnění k čtení a zápisu pro uživatele do šablon certifikátů nebo nakonfigurujte bod registrace certifikátu tak, aby přeskočil kontrolu šablon certifikátů. |
Ačkoli nástroj Configuration Manager podporuje další kontrolu, když pro uživatele přidáte bezpečnostní oprávnění k čtení a zápisu, ale když můžete nakonfigurovat bod registrace certifikátu tak, aby přeskočil tuto kontrolu, pokud ověření není možné, ani konfigurace není nejlepším postupem zabezpečení. Další informace naleznete v tématu Plánování oprávnění šablon certifikátů pro profily certifikátů v nástroji Configuration Manager. |
Informace o ochraně dat pro profily certifikátů
Profily certifikátů můžete použít k nasazení kořenových certifikátů certifikačního úřadu (CA) a klientských certifikátů a pak vyhodnotit, zda po použití profilů jsou tato zařízení kompatibilní. Bod správy zasílá informace o kompatibilitě do serveru lokality a nástroj Configuration Manager ukládá tyto informace do databáze lokality. Informace o kompatibilitě zahrnují vlastnosti certifikátů, například název předmětu a kryptografický otisk. Data jsou zašifrována, když je zařízení zasílají do místa správy, ale v databázi lokality nejsou uložena v zašifrovaném formátu. Databáze zachovává informace, dokud úloha správy lokality Odstranit starší data správy konfigurací tyto informace neodstraní po výchozím intervalu 90 dní. Můžete provést konfiguraci intervalu odstranění. Informace o shodě nejsou zaslány do společnosti Microsoft.
Profily certifikátů používají informace, které nástroj Configuration Manager shromažďuje pomocí funkce zjišťování. Další informace o ochraně dat pro funkci zjišťování naleznete v části Ochrana osobních údajů při zjišťování v tématu Zabezpečení a ochrana osobních údajů pro správu lokalit v nástroji Configuration Manager.
Poznámka
Certifikáty, které jsou vydány uživatelům nebo zařízením, mohou povolovat přístup k důvěrným informacím.
Ve výchozím nastavení zařízení nevyhodnocují profily certifikátů. Kromě toho musíte nakonfigurovat profily certifikátů a pak je nasadit na uživatele nebo zařízení.
Před nakonfigurováním profilů certifikátů vezměte v úvahu vaše požadavky na ochranu dat.