Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба регистрации сетевых устройств Active Directory (AD CS) поддерживает модуль политики, обеспечивающий дополнительную безопасность для протокола простой регистрации сертификатов (SCEP). Без этого модуля политики, когда пользователь или устройство запрашивает сертификат, SCEP требует уникального или общего пароля. Пользователь-изгой, использующий законно полученный пароль, может запросить сертификат, который создает следующие риски безопасности:
Значение имени субъекта соответствует другому пользователю, что позволяет злоумышленнику выдавать себя за другого пользователя.
Пользователь изменяет назначение сертификата, предоставляя себе повышенные привилегии.
При использовании модуля политики с NDES этот модуль устраняет эти риски безопасности, требуя дополнительной проверки подлинности. Например, модуль может убедиться, что запрошенный сертификат предназначен для конкретного пользователя и для определенной цели, и он может определить, стоит ли развернуть сертификат пользователя или сертификат компьютера.
В этой статье объясняется, как работает модуль политики и параметры развертывания.
Поток обработки для модуля политики и службы регистрации сетевых устройств
Используйте модуль политики для поддержки регистрации сертификатов пользователей и компьютеров для мобильных устройств с помощью облачных служб. Этот сценарий также называется регистрации по беспроводной сети. На следующей схеме показан пример процесса для сценария, в котором администратор мобильных устройств настраивает политику регистрации сертификатов для мобильных устройств, используемых информационными работниками.
Программное обеспечение управления мобильными устройствами (MDM) запрашивает проверочный пароль от NDES.
Примечание.
Программное обеспечение MDM обращается к интерфейсу NDES mscep_admin.
NDES делегирует запрос пароля-проверки модулю политики.
Модуль политики создает пароль для вызова, который требует, чтобы запрос на сертификат включает пользователя, назначение и тип сертификата (пользователя или компьютера), а затем отправляет эту инструкцию в NDES.
Когда программное обеспечение управления мобильными устройствами получает пароль запроса, оно отправляет универсальный индикатор ресурса (URI) для связи с NDES и пароль запроса на мобильное устройство.
Мобильное устройство обращается к NDES для регистрации сертификата.
NDES делегирует запрос модулю политики.
Модуль политики проверяет пароль вызова и запрос на сертификат. Затем модуль политики возвращает результат проверки в NDES. Если пароль вызова и запрос на сертификат не прошли успешную проверку, NDES возвращает ошибку мобильному устройству. Если проверка выполнена успешно, NDES перенаправляет запрос в центр сертификации.
Когда запрос утвержден центром сертификации, сертификат отправляется в NDES.
NDES отправляет сертификат на мобильное устройство.
Варианты развертывания для службы регистрации сетевых устройств и модуля политики
При использовании NDES и модуля политики можно выбрать один из трех вариантов развертывания. Развертывание в:
Отдельный лес
Изолированная сеть
Внутренний домен
Развертывание в отдельном лесу
Вы можете создать новый лес, охватывающий сервер под управлением NDES, модуля политики и центра сертификации (ЦС). Эта конструкция создает границу безопасности от внутренних контроллеров домена и учетных записей домена в интрасети, тем самым снижая риск воздействия. Эта конструкция развертывания является наиболее безопасной, но требует больше инфраструктуры для поддержки дополнительных компьютеров в другом лесу.
Примечание.
При установке NDES на устройстве, являющемся членом домена, необходимо также установить выдающий ЦС в том же домене. При установке NDES на компьютере рабочей группы необходимо установить сертификационный центр выдачи на том же компьютере.
Этот дизайн помогает защитить внутреннюю сеть за счет изоляции учетных записей домена и леса, используемых в сети периметра и внутренней сети. Так как выдающий центр сертификации в сети периметра подчинен корневому центру сертификации, система доверяет сертификатам, которые он выдает как в сети периметра, так и во внутренней сети. Если сеть периметра скомпрометирована, вы можете использовать корневой ЦС для отзыва сертификата ЦС, действующего в сети периметра, что делает недействительными все сертификаты от этого ЦС в сети периметра. После устранения проблемы безопасности можно перестроить сеть периметра и выдать новые сертификаты.
Развертывание в изолированной сети
Эта конструкция развертывания обеспечивает компромисс между наиболее и наименее безопасными проектами. Вам по-прежнему нужно изменить инфраструктуру и конфигурации, но вам не нужно создавать отдельный лес.
Для этого проекта развертывания требуется один компьютер для запуска NDES и решения по управлению мобильными устройствами. Этот компьютер является членом внутреннего домена, поэтому вам не нужно устанавливать отдельный выдающий УЦ. Вы подключаете компьютер под управлением NDES и решения для управления мобильными устройствами с помощью VPN-подключения или DirectAccess, который предоставляет изолированную сетевую среду. Мобильные устройства проходят проверку подлинности в программном обеспечении управления мобильными устройствами, вводя имя пользователя и пароль, прежде чем они смогут получить сертификат, позволяющий им получать доступ к ресурсам во внутренней защищенной беспроводной сети.
В этой структуре существует вероятность того, что сервер, на котором работают NDES и система управления мобильными устройствами, подвергается риску со стороны злоумышленников, которые могут скомпрометировать внутреннюю сеть. Чтобы устранить этот риск, используйте временную учетную запись администратора домена или администратора предприятия, чтобы установить и настроить сервер под управлением NDES во внутреннем домене. После завершения удалите временную учетную запись, а затем переместите сервер в изолированную сеть. Используйте дополнительные средства управления безопасностью для защиты этого сервера и тщательно отслеживайте подозрительные действия или признаки того, что он может быть скомпрометирован.
Развертывание во внутреннем домене
Эта структура развертывания является наименее безопасной, но позволяет использовать существующую внутреннюю структуру домена для развертывания решения регистрации.
В этой структуре NDES не изолирован и является членом внутреннего домена. Программное обеспечение управления мобильными устройствами должно проходить проверку подлинности всех запросов на сертификаты из беспроводной сети. Например, программное обеспечение может запрашивать у пользователей имя пользователя и пароль для проверки подлинности.
Эта конструкция развертывания не использует границу безопасности при подключении беспроводной сети, которая выдает сертификаты к внутреннему домену. В этом сценарии злоумышленник может использовать внешнюю беспроводную сеть напрямую, чтобы попытаться скомпрометировать внутренний домен. Если вы используете этот дизайн, все компьютеры в вашей внутренней сети становятся потенциальными целями для атаки, если беспроводная сеть скомпрометирована, поэтому убедитесь, что вы используете дополнительные меры безопасности для защиты всей внутренней сети и всех компьютеров. Тщательно отслеживайте устройства для подозрительных действий или признаков того, что они могут быть скомпрометированы.
Связанный контент
Сведения об установке и удалении модуля политики см. в статье Установка и удаление модуля политики.
Что такое служба регистрации сетевых устройств для служб сертификатов Active Directory?
Общие сведения о профилях сертификатов в Configuration Manager.
рекомендации по проектированию PKI с помощью служб сертификатов Active Directory