Beveiliging en privacy voor certificaatprofielen in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
De informatie in dit onderwerp is alleen van toepassing op versies van System Center 2012 R2 Configuration Manager.
Notitie
Dit onderwerp wordt behandeld in de gids Activa en naleving in System Center 2012 Configuration Manager en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).
Dit onderwerp bevat beveiligings- en privacyinformatie voor certificaatprofielen in System Center 2012 Configuration Manager.
Aanbevolen beveiligingsprocedures voor certificaatprofielen
Gebruik de volgende aanbevolen beveiligingsprocedures wanneer u certificaatprofielen beheert voor gebruikers en apparaten.
Aanbevolen beveiligingsprocedure |
Meer informatie |
---|---|
Bepaal en volg alle aanbevolen beveiligingsprocedures voor de registratieservice voor netwerkapparaten, waaronder het configureren van de website van de Registratieservice voor netwerkapparaten in Internet Information Services (IIS) om SSL te vereisen en clientcertificaten te negeren. |
Zie Network Device Enrollment Service Guidance (Richtlijnen voor de Registratieservice van netwerkapparaten) in de bibliotheek Active Directory Certificate Services-bibliotheek op TechNet. |
Kies bij het configureren van SCEP-certificaatprofielen de veiligste opties die door de apparaten en uw infrastructuur worden ondersteund. |
Bepaal, implementeer en volg alle 'best practice' beveiligingsprocedures die voor uw apparaten en infrastructuur worden aanbevolen. |
Geef handmatig de gebruikersaffiniteit met apparaat op in plaats van gebruikers toe te staan hun primaire apparaat te identificeren. Zorg daarnaast dat op gebruik gebaseerde configuratie niet is ingeschakeld. |
Als u op de optie Alleen certificaatinschrijving op het primaire apparaat van gebruikers toestaan in een SCEP-certificaatprofiel klikt, moet u de informatie die van gebruikers of van het apparaat wordt verzameld niet als gezaghebbend beschouwen. Als u SCEP-certifcaatprofielen bij deze configuratie implementeert en een vertrouwde gebruiker met beheerdersrechten geeft de gebruikersaffiniteit met apparaat niet op, dan kunnen onbevoegde gebruikers verhoogde bevoegdheden krijgen en kunnen certificaten worden verleend voor verificatie. Notitie Als u toch op gebruik gebaseerde configuratie inschakelt, wordt deze informatie verzameld via statusberichten die niet beveiligd zijn door Configuration Manager. Gebruik om deze dreiging te voorkomen, SMB-ondertekening of IPsec tussen clientcomputers en het beheerpunt. |
Voeg geen lees- en registratiemachtigingen toe aan de certificaatsjablonen of configureer het certificaatregistratiepunt om de certificaatsjablooncontrole over te slaan. |
Hoewel Configuration Manager de aanvullende controle ondersteunt als u de beveiligingsmachtigingen Lezen en Inschrijven voor gebruikers toevoegt en u het certificaatregistratiepunt kunt configureren om deze controle over te slaan als verificatie niet mogelijk is, wordt geen van beide configuraties als beveiligingsprocedure aanbevolen. Zie Certificaatsjabloonmachtigingen voor certificaatprofielen plannen in Configuration Manager voor meer informatie. |
Privacyinformatie voor certificaatprofielen
U kunt certificaatprofielen gebruiken om de basiscertificeringsinstantie (CA) en clientcertificaten te implementeren en om te evalueren of die apparaten compatibel zijn nadat de profielen zijn toegepast. De compatibiliteitsinformatie wordt door het beheerpunt naar de siteserver verzonden en Configuration Manager slaat die informatie op in de sitedatabase. Compatibiliteitsinformatie omvat certificaateigenschappen zoals onderwerpnaam en vingerafdruk. De informatie wordt versleuteld wanneer apparaten deze naar het beheerpunt verzenden, maar deze wordt niet in een versleutelde indeling opgeslagen in de sitedatabase. De informatie wordt in de database behouden totdat deze door de siteonderhoudstaak Verouderde gegevens van Configuration Manager verwijderen na de standaardintervaltijd van 90 dagen wordt verwijderd. U kunt het verwijderingsinterval configureren. Er wordt geen compatibiliteitsinformatie naar Microsoft verzonden.
Certificaatprofielen gebruiken informatie die door Configuration Manager met behulp van detectie zijn verzameld. Zie de sectie Privacy-informatie voor detectie in Beveiliging en privacy voor sitebeheer in Configuration Manager voor meer informatie over de detectie van privacygegevens.
Notitie
Aan gebruikers of apparaten uitgegeven certificaten staan mogelijk toegang toe tot vertrouwelijke informatie.
Standaard worden certificaatprofielen niet door apparaten geƫvalueerd. Bovendien moet u de certificaatprofielen configureren en vervolgens implementeren voor gebruikers of apparaten.
Voordat u certificaatprofielen configureert, moet u nadenken over uw privacyvereisten.