Segurança e privacidade para perfis de certificado no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Importante
A partir da versão 2203, esta funcionalidade de acesso a recursos da empresa já não é suportada. Para obter mais informações, veja Perguntas mais frequentes sobre a descontinuação do acesso a recursos.
Orientações de segurança
Utilize a seguinte documentação de orientação quando gerir perfis de certificado para utilizadores e dispositivos.
Siga as orientações de segurança para o Serviço de Inscrição de Dispositivos de Rede (NDES)
Identifique e siga qualquer documentação de orientação de segurança para o NDES. Por exemplo, configure o site do NDES nos Serviços de Informação Internet (IIS) para exigir HTTPS e ignorar certificados de cliente.
Para obter mais informações, veja Orientações do Serviço de Inscrição de Dispositivos de Rede.
Escolher as opções mais seguras para perfis de certificado
Quando configurar perfis de certificado SCEP, escolha as opções mais seguras que os dispositivos e a sua infraestrutura podem suportar. Identifique, implemente e siga as orientações de segurança recomendadas para os seus dispositivos e infraestrutura.
Especificar centralmente a afinidade dispositivo/utilizador
Especifique manualmente a afinidade dispositivo/utilizador em vez de permitir que os utilizadores identifiquem o dispositivo primário. Não ative a configuração baseada na utilização.
Se utilizar a opção num perfil de certificado SCEP para Permitir a inscrição de certificados apenas no dispositivo primário dos utilizadores, não considere as informações recolhidas dos utilizadores ou do dispositivo como autoritativas. Se implementar perfis de certificado SCEP com esta configuração e um utilizador administrativo fidedigno não especificar a afinidade dispositivo/utilizador, os utilizadores não autorizados poderão receber privilégios elevados e receber certificados para autenticação.
Observação
Se ativar a configuração baseada na utilização, estas informações são recolhidas através de mensagens de estado. Configuration Manager não protege as mensagens de estado. Para ajudar a mitigar esta ameaça, utilize a assinatura SMB ou IPsec entre computadores cliente e o ponto de gestão.
Gerir permissões de modelo de certificado
Não adicione permissões de Leitura e Inscrição para utilizadores aos modelos de certificado. Não configure o ponto de registo de certificados para ignorar o modelo de certificado marcar.
Configuration Manager suporta a marcar adicional se adicionar as permissões de segurança de Leitura e Inscrição para utilizadores. Se a autenticação não for possível, pode configurar o ponto de registo de certificados para ignorar este marcar. No entanto, nenhuma das configurações é recomendada.
Para obter mais informações, veja Planear permissões de modelos de certificado para perfis de certificado.
Informações de privacidade
Pode utilizar perfis de certificado para implementar a autoridade de certificação (AC) de raiz e certificados de cliente e, em seguida, avaliar se esses dispositivos ficam em conformidade depois de o cliente aplicar os perfis. O ponto de gestão envia informações de conformidade para o servidor do site e Configuration Manager armazena essas informações na base de dados do site. As informações de conformidade incluem propriedades de certificado, como o nome do requerente e o thumbprint. O cliente encripta estas informações quando enviadas para o ponto de gestão, mas a base de dados do site não as armazena num formato encriptado. As informações de conformidade não são enviadas para a Microsoft.
Os perfis de certificado utilizam informações que Configuration Manager recolhe através da deteção. Para obter mais informações, consulte Informações de privacidade para deteção.
Por predefinição, os dispositivos não avaliam perfis de certificado. Tem de configurar os perfis de certificado e, em seguida, implementá-los em utilizadores ou dispositivos.
Observação
Os certificados emitidos para utilizadores ou dispositivos podem permitir o acesso a informações confidenciais.