Configuration Manager中证书配置文件的安全和隐私

适用于: Configuration Manager(current branch)

重要

从版本 2203 开始，不再支持此公司资源访问功能。 有关详细信息，请参阅 有关弃用资源访问的常见问题。

安全指南

管理用户和设备证书配置文件时，请使用以下指南。

遵循网络设备注册服务 (NDES) 的安全指南

确定并遵循 NDES 的任何安全指南。 例如，将 Internet Information Services (IIS) 中的 NDES 网站配置为要求 HTTPS 并忽略客户端证书。

有关详细信息，请参阅 网络设备注册服务指南。

为证书配置文件选择最安全的选项

配置 SCEP 证书配置文件时，请选择设备和基础结构可以支持的最安全选项。 确定、实施并遵循为设备和基础结构推荐的任何安全指南。

集中指定用户设备相关性

手动指定用户设备相关性，而不是允许用户标识其主设备。 不要启用基于使用情况的配置。

如果使用 SCEP 证书配置文件中的 选项允许 仅在用户主设备上注册证书，则不要将从用户或从设备收集的信息视为权威信息。 如果使用此配置部署 SCEP 证书配置文件，并且受信任的管理用户未指定用户设备相关性，则未经授权的用户可能会收到提升的权限并被授予用于身份验证的证书。

注意

如果启用基于使用情况的配置，则会使用状态消息收集此信息。 Configuration Manager无法保护状态消息。 若要帮助缓解此威胁，请在客户端计算机和管理点之间使用 SMB 签名或 IPsec。

管理证书模板权限

不要将用户的“读取”和“注册”权限添加到证书模板。 不要将证书注册点配置为跳过证书模板检查。

如果为用户添加“读取”和“注册”安全权限，Configuration Manager支持额外的检查。 如果无法进行身份验证，可以将证书注册点配置为跳过此检查。 但不建议使用这两种配置。

有关详细信息，请参阅 规划证书配置文件的证书模板权限。

隐私信息

可以使用证书配置文件 (CA) 和客户端证书部署根证书颁发机构，然后评估这些设备在客户端应用配置文件后是否合规。 管理点将符合性信息发送到站点服务器，Configuration Manager该信息存储在站点数据库中。 符合性信息包括证书属性，例如使用者名称和指纹。 客户端在发送到管理点时加密此信息，但站点数据库不会以加密格式存储此信息。 合规性信息不会发送到Microsoft。

证书配置文件使用Configuration Manager通过发现收集的信息。 有关详细信息，请参阅 用于发现的隐私信息。

默认情况下，设备不评估证书配置文件。 需要配置证书配置文件，然后将其部署到用户或设备。

注意

颁发给用户或设备的证书可能允许访问机密信息。