Beveiliging en privacy voor certificaatprofielen in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Belangrijk
Vanaf versie 2203 wordt deze functie voor bedrijfsresources niet meer ondersteund. Zie Veelgestelde vragen over afschaffing van resourcetoegang voor meer informatie.
Beveiligingsrichtlijnen
Gebruik de volgende richtlijnen bij het beheren van certificaatprofielen voor gebruikers en apparaten.
Volg de beveiligingsrichtlijnen voor de registratieservice voor netwerkapparaten (NDES)
Identificeer en volg alle beveiligingsrichtlijnen voor NDES. Configureer bijvoorbeeld de NDES-website in Internet Information Services (IIS) om HTTPS te vereisen en clientcertificaten te negeren.
Zie Servicerichtlijnen voor registratie van netwerkapparaten voor meer informatie.
Kies de veiligste opties voor certificaatprofielen
Wanneer u SCEP-certificaatprofielen configureert, kiest u de veiligste opties die apparaten en uw infrastructuur kunnen ondersteunen. Identificeer, implementeer en volg alle beveiligingsrichtlijnen die worden aanbevolen voor uw apparaten en infrastructuur.
Gebruikersaffiniteit voor apparaten centraal opgeven
Geef handmatig gebruikersaffiniteit op voor apparaten in plaats van gebruikers toe te staan hun primaire apparaat te identificeren. Schakel geen configuratie op basis van gebruik in.
Als u de optie in een SCEP-certificaatprofiel gebruikt om alleen certificaatinschrijving toe te staan op het primaire apparaat van de gebruiker, beschouwt u de informatie die wordt verzameld van gebruikers of van het apparaat niet als gezaghebbend. Als u SCEP-certificaatprofielen implementeert met deze configuratie en een vertrouwde gebruiker met beheerdersrechten geen gebruikersaffiniteit voor apparaten opgeeft, kunnen onbevoegde gebruikers verhoogde bevoegdheden krijgen en certificaten krijgen voor verificatie.
Opmerking
Als u configuratie op basis van gebruik inschakelt, wordt deze informatie verzameld met behulp van statusberichten. Configuration Manager beveiligt statusberichten niet. Gebruik SMB-ondertekening of IPsec tussen clientcomputers en het beheerpunt om deze bedreiging te beperken.
Machtigingen voor certificaatsjablonen beheren
Voeg geen lees- en inschrijvingsmachtigingen voor gebruikers toe aan de certificaatsjablonen. Configureer het certificaatregistratiepunt niet om de controle van de certificaatsjabloon over te slaan.
Configuration Manager ondersteunt de extra controle als u de beveiligingsmachtigingen Lezen en Inschrijven voor gebruikers toevoegt. Als verificatie niet mogelijk is, kunt u het certificaatregistratiepunt configureren om deze controle over te slaan. Maar geen van beide configuraties wordt aanbevolen.
Zie Machtigingen voor certificaatsjablonen voor certificaatprofielen plannen voor meer informatie.
Privacy-informatie
U kunt certificaatprofielen gebruiken om basiscertificeringsinstantie( CA) en clientcertificaten te implementeren en vervolgens te evalueren of deze apparaten compatibel worden nadat de client de profielen toepast. Het beheerpunt verzendt nalevingsgegevens naar de siteserver en Configuration Manager slaat deze informatie op in de sitedatabase. Nalevingsinformatie bevat certificaateigenschappen, zoals onderwerpnaam en vingerafdruk. De client versleutelt deze informatie wanneer deze naar het beheerpunt wordt verzonden, maar de sitedatabase slaat deze niet op in een versleutelde indeling. Informatie over naleving wordt niet verzonden naar Microsoft.
Certificaatprofielen gebruiken informatie die Configuration Manager verzamelt met behulp van detectie. Zie Privacyinformatie voor detectie voor meer informatie.
Standaard evalueren apparaten geen certificaatprofielen. U moet de certificaatprofielen configureren en deze vervolgens implementeren op gebruikers of apparaten.
Opmerking
Certificaten die zijn uitgegeven aan gebruikers of apparaten, kunnen toegang tot vertrouwelijke informatie toestaan.