Aracılığıyla paylaş


Configuration Manager'daki Sertifika Profilleri için Sertifika Şablonu İzinlerini Planlama

 

Uygulama Alanı: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Not

Bu konudaki bilgiler yalnızca System Center 2012 R2 Configuration Manager sürümleri için geçerlidir.

Aşağıdaki bilgiler, sertifika profillerini dağıttığınızda System Center 2012 Configuration Manager'ın kullandığı sertifika şablonları için izinleri nasıl yapılandıracağınızı planlamanıza yardımcı olabilir.

Varsayılan Güvenlik İzinleri ve Durumlar

Configuration Manager'ın kullanıcılar ve aygıtlar için sertifika istemek üzere kullanacağı sertifika şablonları için gerekli olan varsayılan güvenlik izinleri şunlardır:

  • Ağ Aygıtı Kayıt Hizmeti uygulama havuzunun kullandığı hesabı Oku ve Kaydol

  • Configuration Manager konsolunu çalıştıran hesabı Oku

Bu güvenlik izinleri hakkında daha fazla bilgi için Configuration Manager'da Sertifika Profillerini Yapılandırma konusundaki Adım 1: Ağ Aygıtı Kayıt Hizmeti ve Bağımlılıklarını Yükleme ve Yapılandırma bölümüne bakın.

Bu varsayılan yapılandırmayı kullandığınızda kullanıcılar ve aygıtlar sertifika şablonlarından doğrudan sertifika isteyemez ve tüm isteklerin Ağ Aygıtı Kayıt Hizmeti tarafından başlatılması gerekir. Bu durum, sertifika Konusu için bu sertifika şablonlarının İstekte Sağla ile yapılandırılması gerektiğinden önemli bir kısıtlamadır, bu ise, dolandırıcı bir kullanıcı veya güvenliği ihlal edilmiş bir aygıt sertifika istediğinde kişiselleştirme riski olduğu anlamına gelir. Varsayılan yapılandırmada Ağ Aygıtı Kayıt Hizmeti, böyle bir istek başlatmalıdır. Ancak, Ağ Aygıtı Kayıt Hizmeti'ni çalıştıran hizmetin güvenliği ihlal edilirse kişiselleştirme riski devam eder. Bu riskten kaçınmak için Ağ Aygıtı Kayıt Hizmeti ve bu rol hizmetini çalıştıran bilgisayar için tüm en iyi güvenlik yöntemlerini takip edin.

Varsayılan güvenlik izinleri iş gereksinimlerinizi yerine getirmiyorsa sertifika şablonlarındaki güvenlik izinlerini yapılandırmak için başka bir seçeneğiniz daha vardır: Kullanıcılar ve bilgisayarlar için Oku ve Kaydol izinlerini ekleyebilirsiniz.

Kullanıcılar ve Bilgisayarlar için Oku ve Kaydol İzinlerini Ekleme

Sertifika yetkilisi (CA) altyapı takımınızı başka bir takım yönetiyorsa ve bu başka takım, bir kullanıcı sertifikası istemek için kullanıcılara bir sertifika profili göndermeden önce, kullanıcıların geçerli bir Active Directory Etki Alanı Hizmetleri hesabı olup olmadığının Configuration Manager tarafından doğrulanmasını istiyorsa kullanıcılar ve bilgisayarlar için Oku ve Kaydol izinlerini eklemek uygun olabilir. Bu yapılandırma için kullanıcıları içeren bir veya daha fazla güvenlik grubu belirtmeniz ve daha sonra bu gruplara sertifika şablonlarında Oku ve Kaydol izinlerini sağlamanız gerekir. Bu senaryoda güvenlik denetimini CA yöneticisi yönetir.

Benzer şekilde, bilgisayar hesaplarını içeren bir veya daha fazla güvenlik grubu belirtebilirsiniz ve daha sonra bu gruplara sertifika şablonlarında Oku ve Kaydol izinlerini sağlayabilirsiniz. Etki alanı üyesi olan bir bilgisayara bilgisayar sertifika profili dağıtırsanız o bilgisayarın bilgisayar hesabına Oku ve Kaydol izinleri sağlanmalıdır. Bilgisayar bir etki alanı üyesi değilse (örneğin bir çalışma grubu bilgisayarı veya kişisel mobil aygıt ise) bu izinler gerekli değildir.

Ek güvenlik denetim kullanmasına rağmen bu yapılandırmayı en iyi yöntem olarak önermiyoruz. Bunun sebebi ise, belirlenen aygıt kullanıcıları veya sahiplerinin Configuration Manager'dan bağımsız olarak sertifika isteyebilmeleri ve başka bir kullanıcı veya aygıtın kimliğine bürünmek için kullanılabilecek olan sertifika Konusu için değerler sağlayabilmeleridir.

Ayrıca, sertifika isteği gerçekleştiği anda kimlik doğrulaması yapılamayan hesaplar belirtirseniz sertifika isteği varsayılan olarak başarısız olur. Örneğin, Ağ Aygıtı Kayıt Hizmeti'ni çalıştıran sunucu, sertifika kayıt noktası site sistem sunucusunu içeren orman tarafından güvenilmeyen bir Active Directory ormanında ise sertifika isteği başarısız olur. Etki alanı denetleyicisinden yanıt alınamadığı için bir hesabın kimlik doğrulaması yapılamıyorsa devam etmek için sertifika kayıt noktasını yapılandırabilirsiniz. Ancak, bu durum bir en iyi güvenlik yöntemi değildir.

Sertifika kayıt noktasının hesap izinlerini denetlemek üzere yapılandırıldığı, kullanılabilir bir etki alanı denetleyicisinin olduğu ve kimlik doğrulama isteğini reddettiği durumlarda (örneğin, hesap kilitli veya silinmiş) sertifika kayıt isteğinin başarısız olacağını unutmayın.

Kullanıcıların ve etki alanı üyesi bilgisayarların Oku ve Kaydol izinlerini denetlemek için

  1. Sertifika kayıt noktasını barındıran site sistem sunucusunda aşağıdaki DWORD kayıt defteri anahtarını 0 değerine sahip olacak şekilde oluşturun: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Etki alanı denetleyicisinden yanıt alınamadığı için bir hesabın kimlik doğrulamasının yapılamazsa ve izin denetimini atlamak isterseniz:

    - Sertifika kayıt noktasını barındıran site sistem sunucusunda aşağıdaki DWORD kayıt defteri anahtarını 1 değerine sahip olacak şekilde oluşturun: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SCCM\\CRP\\SkipTemplateCheckOnlyIfAccountAccessDenied
    
  3. Kullanıcılara veya aygıt hesaplarına Oku ve Kaydol izinlerini sağlamak için özelliklerdeki Güvenlik sekmesinde bulunan sertifika veren CA'da sertifika şablonu için bir veya daha fazla güvenlik grubu ekleyin.