Zabezpieczenia i prywatność profilów certyfikatów w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Ważna
Począwszy od wersji 2203, ta funkcja dostępu do zasobów firmy nie jest już obsługiwana. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące wycofywania dostępu do zasobów.
Wskazówki dotyczące zabezpieczeń
Skorzystaj z poniższych wskazówek podczas zarządzania profilami certyfikatów dla użytkowników i urządzeń.
Postępuj zgodnie ze wskazówkami dotyczącymi zabezpieczeń usługi rejestracji urządzeń sieciowych (NDES)
Zidentyfikuj i postępuj zgodnie ze wskazówkami dotyczącymi zabezpieczeń usługi NDES. Na przykład skonfiguruj witrynę internetową usługi NDES w usługach Internet Information Services (IIS), aby wymagać protokołu HTTPS i ignorować certyfikaty klienta.
Aby uzyskać więcej informacji, zobacz Network Device Enrollment Service Guidance (Wskazówki dotyczące usługi rejestracji urządzeń sieciowych).
Wybieranie najbezpieczniejszych opcji dla profilów certyfikatów
Podczas konfigurowania profilów certyfikatów SCEP wybierz najbezpieczniejsze opcje obsługiwane przez urządzenia i infrastrukturę. Zidentyfikuj, zaimplementuj i postępuj zgodnie ze wskazówkami dotyczącymi zabezpieczeń zalecanymi dla urządzeń i infrastruktury.
Centralne określanie koligacji urządzenia użytkownika
Ręcznie określ koligację urządzenia użytkownika, zamiast zezwalać użytkownikom na identyfikowanie ich urządzenia podstawowego. Nie włączaj konfiguracji opartej na użyciu.
Jeśli używasz opcji w profilu certyfikatu SCEP do zezwalania na rejestrację certyfikatu tylko na urządzeniu podstawowym użytkowników, nie należy traktować informacji zebranych od użytkowników lub urządzenia jako autorytatywnych. Jeśli wdrożysz profile certyfikatów SCEP z tą konfiguracją, a zaufany użytkownik administracyjny nie określi koligacji urządzenia użytkownika, nieautoryzowani użytkownicy mogą otrzymać podwyższone uprawnienia i otrzymać certyfikaty na potrzeby uwierzytelniania.
Uwaga
Jeśli włączysz konfigurację opartą na użyciu, te informacje będą zbierane przy użyciu komunikatów o stanie. Configuration Manager nie zabezpiecza komunikatów o stanie. Aby wyeliminować to zagrożenie, użyj podpisywania protokołu SMB lub protokołu IPsec między komputerami klienckimi a punktem zarządzania.
Zarządzanie uprawnieniami szablonu certyfikatu
Nie dodawać uprawnień do odczytu i rejestrowania dla użytkowników do szablonów certyfikatów. Nie konfiguruj punktu rejestracji certyfikatu, aby pominąć sprawdzanie szablonu certyfikatu.
Configuration Manager obsługuje dodatkowe sprawdzanie, czy dodasz uprawnienia zabezpieczeń odczytu i rejestracji dla użytkowników. Jeśli uwierzytelnianie nie jest możliwe, możesz skonfigurować punkt rejestracji certyfikatu, aby pominąć tę kontrolę. Jednak żadna z tych konfiguracji nie jest zalecana.
Aby uzyskać więcej informacji, zobacz Planowanie uprawnień szablonu certyfikatu dla profilów certyfikatów.
Informacje o ochronie prywatności
Profile certyfikatów umożliwiają wdrażanie certyfikatów głównego urzędu certyfikacji i certyfikatów klienta, a następnie ocenę, czy te urządzenia stają się zgodne po tym, jak klient zastosuje profile. Punkt zarządzania wysyła informacje o zgodności do serwera lokacji i Configuration Manager przechowuje te informacje w bazie danych lokacji. Informacje o zgodności obejmują właściwości certyfikatu, takie jak nazwa podmiotu i odcisk palca. Klient szyfruje te informacje po wysłaniu do punktu zarządzania, ale baza danych lokacji nie przechowuje ich w formacie zaszyfrowanym. Informacje o zgodności nie są wysyłane do Microsoft.
Profile certyfikatów używają informacji, które Configuration Manager zbiera przy użyciu odnajdywania. Aby uzyskać więcej informacji, zobacz Informacje o ochronie prywatności do odnajdywania.
Domyślnie urządzenia nie oceniają profilów certyfikatów. Należy skonfigurować profile certyfikatów, a następnie wdrożyć je dla użytkowników lub urządzeń.
Uwaga
Certyfikaty wystawiane użytkownikom lub urządzeniom mogą zezwalać na dostęp do informacji poufnych.