Tanúsítványsablonok engedélyeinek tervezése a Configuration Manager tanúsítványprofiljaihoz
Érvényes: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Megjegyzés |
|---|
A jelen témakörben található információk csak a System Center 2012 R2 Configuration Manager verzióira vonatkoznak. |
A következő információ segíthet azon tanúsítványsablonok engedélyeinek tervezésében, amelyeket a System Center 2012 Configuration Manager a tanúsítványprofilok központi telepítésekor használ.
Alapértelmezett biztonsági engedélyek és megfontolások
A Configuration Manager által a felhasználók és eszközök tanúsítványlekéréseihez használt tanúsítványsablonokhoz szükséges alapértelmezett biztonsági engedélyek a következők:
Olvasás és Beléptetés ahhoz a fiókhoz, amelyiket a Hálózati eszközök tanúsítványigénylési szolgáltatásának alkalmazáskészlete használ
Olvasás a Configuration Manager konzolt futtató fiókhoz
További információ ezekről a biztonsági engedélyekről: 1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása, Tanúsítványprofilok konfigurálása a Configuration Managerben témakör.
Ha ezt az alapértelmezett konfigurálást használja, a felhasználók és az eszközök nem tudnak közvetlenül lekérni tanúsítványokat a tanúsítványsablonokból, hanem minden lekérést a Hálózati eszközök tanúsítványigénylési szolgáltatásával kell kezdeményezni. Ez fontos korlátozás, mivel ezeket a tanúsítványsablonokat a tanúsítvány Tárgy tulajdonságában A kérelem fogja tartalmazni használatával kell konfigurálni, ami azt jelenti, hogy fennáll a megszemélyesítés kockázata, ha egy csaló felhasználó vagy sérült integritású eszköz kér le tanúsítványt. A alapértelmezett konfigurálásban az ilyen lekérést a Hálózati eszközök tanúsítványigénylési szolgáltatásának kell kezdeményezni. A megszemélyesítés kockázata azonban továbbra is fennáll, ha a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató szolgáltatás sérült integritású. A kockázat elkerülését elősegítendő járjon el a Hálózati eszközök tanúsítványigénylési szolgáltatása, valamint a szerepkör futtatását végző számítógép biztonságának megfelelő bevált gyakorlat szerint.
Ha az alapértelmezett biztonsági engedélyek használata nem teljesen felel meg a vállalatuk biztonsági igényeinek, arra is van lehetősége, hogy konfigurálja a tanúsítványsablonok biztonsági engedélyeit. Az olvasási és beléptetési engedélyek hozzárendelhetők egyes felhasználókhoz és számítógépekhez.
Olvasási és beléptetési engedélyek hozzárendelése egyes felhasználókhoz és számítógépekhez
Az olvasási és beléptetési engedélyek egyes felhasználókhoz és számítógépekhez való hozzárendelése megfelelő lehet, ha egy külön csapat felügyeli a hitelesítésszolgáltató (CA) infrastruktúra csapatát, és ez a külön csapat azt akarja, hogy a Configuration Manager még azelőtt ellenőrizze azt, hogy a felhasználónak van érvényes Active Directory Tartományi szolgáltatási fiókja, mielőtt a felhasználó tanúsítványának lekérésére elküldené a tanúsítványprofilt. Az ilyen konfiguráláshoz egy vagy több biztonsági csoportot kell az érintett felhasználókból összeállítani, és az olvasási és beléptetési engedélyeket a tanúsítványsablonokon ezeknek a csoportoknak kell megadni. Ebben a forgatókönyvben a hitelesítésszolgáltató rendszergazda felügyeli a biztonság ellenőrzését.
Az érintett számítógépi fiókokból hasonlóképpen összeállíthat egy vagy több olyan biztonsági csoportot, amelyeknek az olvasási és beléptetési engedélyeit a tanúsítványsablonokon adja meg. Ha olyan számítógépre telepít tanúsítványprofilt, amelyik egy tartomány tagja, az olvasási és beléptetési engedélyt a számítógép számítógépi fiókjának kell megadni. Nincs szükség ezekre az engedélyekre, ha a számítógép nem tartomány tagja, például munkacsoporti számítógép vagy személyi mobilkészülék.
Bár ez a konfigurálás további biztonsági ellenőrzést jelent, bevált gyakorlatként nem ajánljuk. Ennek az az oka, hogy a megadott felhasználók, illetve eszköztulajdonosok a Configuration Manager alkalmazástól függetlenül kérhetnek le tanúsítványokat, és a tanúsítvány Tárgyát olyan értékkel láthatják el, amelyik alkalmas lehet más személy vagy eszköz megszemélyesítésére.
Ezen kívül, ha olyan fiókokat ad meg, amelyek a tanúsítvány lekérésekor nem hitelesíthetők, a tanúsítványlekérés az alapértelmezés szerint sikertelen lesz. Például sikertelen lesz a tanúsítványlekérés, ha a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló olyan Active Directory erdőben van, amelyik nem megbízható azon erdő részére, amelyik a tanúsítványregisztrációs pont helyrendszer-kiszolgálóját tartalmazza. A tanúsítványregisztrációs pont konfigurálható, hogy a folytatást ne akadályozza, ha valamelyik fiók nem hitelesíthető, mivel nincs válasz a tartományvezérlőtől. Ez azonban biztonsági szempontból nem lehet bevált gyakorlat.
Tudjon róla, hogy ha a tanúsítványregisztrációs pont úgy lett konfigurálva, hogy ellenőrizze a fiók engedélyeit, és közben a tartományvezérlő is elérhető, és az elutasítja a hitelesítési kérelmet (például a fiók ki lett zárva vagy törölve lett), a tanúsítvány beléptetési kérelme sikertelen lesz.
Felhasználók és tartománytag számítógépek olvasási és beléptetési kérelmeinek ellenőrzése
-
A tanúsítványregisztrációs pontot üzemeltető helyrendszer-kiszolgálón hozza létre a 0 értékkel rendelkező DWORD beállításkulcsot a következő részére: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
-
Ha valamelyik fiók nem hitelesíthető, mivel nincs válasz a tartományvezérlőtől, és szeretné megkerülni az engedélyek ellenőrzését:
- A tanúsítványregisztrációs pontot üzemeltető helyrendszer-kiszolgálón hozza létre az 1 értékkel rendelkező DWORD beállításkulcsot a következő részére: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SCCM\\CRP\\SkipTemplateCheckOnlyIfAccountAccessDenied -
A tanúsítványsablon tulajdonságainál a Biztonság lapon a kibocsátó hitelesítésszolgáltatóhoz adjon hozzá egy vagy több biztonsági csoportot, hogy olvasási és beléptetési engedélyt adhasson a felhasználók vagy eszközök fiókja részére.