Planeamiento de permisos de plantilla de certificado para perfiles de certificado en Configuration Manager

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Importante

A partir de la versión 2203, esta característica de acceso a recursos de empresa ya no se admite. Para obtener más información, consulte Preguntas más frecuentes sobre el desuso del acceso a recursos.

La siguiente información puede ayudarle a planear cómo configurar permisos para las plantillas de certificado que Configuration Manager usa al implementar perfiles de certificado.

Permisos y consideraciones de seguridad predeterminados

Los permisos de seguridad predeterminados necesarios para las plantillas de certificado que Configuration Manager usarán para solicitar certificados para usuarios y dispositivos son los siguientes:

  • Leer e inscribir la cuenta que usa el grupo de aplicaciones del servicio de inscripción de dispositivos de red

  • Lectura de la cuenta que ejecuta la consola de Configuration Manager

    Para obtener más información sobre estos permisos de seguridad, consulte Configuración de la infraestructura de certificados.

    Cuando se usa esta configuración predeterminada, los usuarios y dispositivos no pueden solicitar directamente certificados de las plantillas de certificado y todas las solicitudes deben iniciarse mediante el servicio de inscripción de dispositivos de red. Se trata de una restricción importante, ya que estas plantillas de certificado deben configurarse con Suministro en la solicitud del firmante del certificado, lo que significa que existe el riesgo de suplantación si un usuario no autorizado o un dispositivo en peligro solicita un certificado. En la configuración predeterminada, el servicio de inscripción de dispositivos de red debe iniciar dicha solicitud. Sin embargo, este riesgo de suplantación permanece si el servicio que ejecuta el servicio de inscripción de dispositivos de red está en peligro. Para evitar este riesgo, siga todos los procedimientos recomendados de seguridad para el servicio de inscripción de dispositivos de red y el equipo que ejecuta este servicio de rol.

    Si los permisos de seguridad predeterminados no cumplen los requisitos empresariales, tiene otra opción para configurar los permisos de seguridad en las plantillas de certificado: puede agregar permisos de lectura e inscripción para usuarios y equipos.

Adición de permisos de lectura e inscripción para usuarios y equipos

Agregar permisos de lectura e inscripción para usuarios y equipos podría ser adecuado si un equipo independiente administra el equipo de infraestructura de la entidad de certificación (CA) y ese equipo independiente quiere Configuration Manager comprobar que los usuarios tienen un Servicios de dominio de Active Directory válido antes de enviarles un perfil de certificado para solicitar un certificado de usuario. Para esta configuración, debe especificar uno o varios grupos de seguridad que contengan los usuarios y, a continuación, conceder a esos grupos permisos de lectura e inscripción en las plantillas de certificado. En este escenario, el administrador de ca administra el control de seguridad.

De forma similar, puede especificar uno o varios grupos de seguridad que contengan cuentas de equipo y conceder a estos grupos permisos de lectura e inscripción en las plantillas de certificado. Si implementa un perfil de certificado de equipo en un equipo que es miembro de dominio, se deben conceder permisos de lectura e inscripción a la cuenta de equipo de ese equipo. Estos permisos no son necesarios si el equipo no es miembro de dominio. Por ejemplo, si es un equipo de grupo de trabajo o un dispositivo móvil personal.

Aunque esta configuración usa otro control de seguridad, no se recomienda como procedimiento recomendado. El motivo es que los usuarios o propietarios especificados de los dispositivos pueden solicitar certificados independientemente de Configuration Manager y proporcionar valores para el firmante del certificado que se pueden usar para suplantar a otro usuario o dispositivo.

Además, si especifica cuentas que no se pueden autenticar en el momento en que se produce la solicitud de certificado, la solicitud de certificado producirá un error de forma predeterminada. Por ejemplo, se producirá un error en la solicitud de certificado si el servidor que ejecuta el servicio de inscripción de dispositivos de red está en un bosque de Active Directory que no es de confianza para el bosque que contiene el servidor de sistema de sitio del punto de registro de certificado. Puede configurar el punto de registro de certificado para que continúe si una cuenta no se puede autenticar porque no hay ninguna respuesta de un controlador de dominio. Sin embargo, esto no es un procedimiento recomendado de seguridad.

Si el punto de registro de certificado está configurado para comprobar si hay permisos de cuenta y un controlador de dominio está disponible y rechaza la solicitud de autenticación (por ejemplo, la cuenta está bloqueada o se ha eliminado), se producirá un error en la solicitud de inscripción de certificados.

Para comprobar si hay permisos de lectura e inscripción para usuarios y equipos miembros del dominio

  1. En el servidor de sistema de sitio que hospeda el punto de registro de certificados, cree la siguiente clave del Registro DWORD para que tenga un valor de 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Si una cuenta no se puede autenticar porque no hay ninguna respuesta de un controlador de dominio y quiere omitir la comprobación de permisos:

    • En el servidor de sistema de sitio que hospeda el punto de registro de certificados, cree la siguiente clave del Registro DWORD para tener un valor de 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied

  3. En la entidad de certificación emisora, en la pestaña Seguridad de las propiedades de la plantilla de certificado, agregue uno o varios grupos de seguridad para conceder permisos de lectura e inscripción a las cuentas de usuario o dispositivo.