Поделиться через

Безопасность и конфиденциальность профилей сертификатов в Configuration Manager

  • Статья

Относится к Configuration Manager (Current Branch)

Важно!

Начиная с версии 2203 эта функция доступа к ресурсам компании больше не поддерживается. Дополнительные сведения см. в разделе Часто задаваемые вопросы об устаревании доступа к ресурсам.

Руководство по безопасности

При управлении профилями сертификатов для пользователей и устройств используйте следующие рекомендации.

Следуйте рекомендациям по безопасности для службы регистрации сетевых устройств (NDES)

Определите и следуйте любым рекомендациям по безопасности для NDES. Например, настройте веб-сайт NDES в службах IIS, чтобы требовать HTTPS и игнорировать сертификаты клиента.

Дополнительные сведения см. в разделе Руководство по службе регистрации сетевых устройств.

Выбор наиболее безопасных параметров для профилей сертификатов

При настройке профилей сертификатов SCEP выберите наиболее безопасные параметры, которые могут поддерживать устройства и инфраструктура. Определите, реализуйте и следуйте любым рекомендациям по безопасности, которые рекомендуются для ваших устройств и инфраструктуры.

Централизованное определение сопоставления пользователей и устройств

Вручную укажите сходство пользователей с устройствами вместо того, чтобы разрешить пользователям идентифицировать свое основное устройство. Не включайте конфигурацию на основе использования.

Если вы используете параметр в профиле сертификата SCEP для разрешения регистрации сертификатов только на основном устройстве пользователей, не учитывайте, что сведения, собранные от пользователей или с устройства, являются достоверными. Если вы развертываете профили сертификатов SCEP с этой конфигурацией и доверенный администратор не указывает сходство пользователей с устройствами, неавторизованные пользователи могут получить повышенные привилегии и получить сертификаты для проверки подлинности.

Примечание.

Если вы включили конфигурацию на основе использования, эти сведения собираются с помощью сообщений о состоянии. Configuration Manager не защищает сообщения о состоянии. Чтобы устранить эту угрозу, используйте подписывание SMB или IPsec между клиентскими компьютерами и точкой управления.

Управление разрешениями шаблона сертификата

Не добавляйте разрешения на чтение и регистрацию для пользователей в шаблоны сертификатов. Не настраивайте точку регистрации сертификата для пропуска проверки шаблона сертификата.

Configuration Manager поддерживает дополнительную проверку при добавлении разрешений безопасности на чтение и регистрацию для пользователей. Если проверка подлинности невозможна, можно настроить точку регистрации сертификата, чтобы пропустить эту проверку. Но ни один из вариантов настройки не рекомендуется.

Дополнительные сведения см. в разделе Планирование разрешений шаблона сертификата для профилей сертификатов.

Сведения о конфиденциальности

Профили сертификатов можно использовать для развертывания корневого центра сертификации (ЦС) и клиентских сертификатов, а затем оценить, станут ли эти устройства соответствующими требованиям после того, как клиент применит профили. Точка управления отправляет сведения о соответствии на сервер сайта, а Configuration Manager сохраняет эти сведения в базе данных сайта. Сведения о соответствии включают свойства сертификата, такие как имя субъекта и отпечаток. Клиент шифрует эти сведения при отправке в точку управления, но база данных сайта не хранит их в зашифрованном формате. Сведения о соответствии не отправляются в Майкрософт.

Профили сертификатов используют сведения, которые Configuration Manager собирает с помощью обнаружения. Дополнительные сведения см. в разделе Сведения о конфиденциальности для обнаружения.

По умолчанию устройства не оценивают профили сертификатов. Необходимо настроить профили сертификатов, а затем развернуть их для пользователей или устройств.

Примечание.

Сертификаты, выданные пользователям или устройствам, могут разрешать доступ к конфиденциальной информации.