Protezione e privacy per i profili certificati in Configuration Manager
Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Le informazioni contenute in questo argomento si applicano solo alle versioni di System Center 2012 R2 Configuration Manager.
Nota
Questo argomento è presente in: guida Risorse e conformità a System Center 2012 Configuration Manager e guida Protezione e privacy per System Center 2012 Configuration Manager.
Questo argomento contiene informazioni sulla privacy e sulla protezione per i profili certificato in System Center 2012 Configuration Manager.
Procedure consigliate per la protezione dei profili certificato
Utilizzare le seguenti procedure consigliate per la protezione durante la gestione di profili certificato per utenti e dispositivi.
Procedura di sicurezza consigliata |
Altre informazioni |
---|---|
Identificare e seguire eventuali procedure consigliate per la protezione per il servizio Registrazione dispositivi di rete, che include la configurazione del sito Web Servizio Registrazione dispositivi di rete in Internet Information Services (IIS) per richiedere SSL e ignorare certificati client. |
Vedere Network Device Enrollment Service Guidance (Informazioni aggiuntive sul servizio Registrazione dispositivi di rete) nella libreria Servizi certificati Active Directory in TechNet. |
Quando si configurano profili certificato SCEP, scegliere le opzioni più sicure che i dispositivi e l'infrastruttura sono in grado di supportare. |
Identificare, implementare e seguire le procedure consigliate per la protezione per i dispositivi e l'infrastruttura. |
Specificare manualmente l'affinità utente dispositivo invece di consentire agli utenti di identificare il dispositivo principale. Inoltre, non abilitare la configurazione basata sulle statistiche di utilizzo. |
Se si fa clic sull'opzione Consenti registrazione dei certificati solo sul dispositivo primario dell'utente in un profilo certificato SCEP, non considerare autorevoli le informazioni raccolte dagli utenti o dal dispositivo. Se si distribuiscono profili certificato SCEP con questa configurazione e l'affinità utente dispositivo non è specificata da un utente amministratore attendibile, utenti non autorizzati potrebbero ricevere privilegi elevati e potrebbero essere concessi loro certificati per effettuare l'autenticazione. Nota Se si abilita la configurazione basata sulle statistiche di utilizzo, queste informazioni vengono raccolte utilizzando messaggi di stato che non sono protetti da Configuration Manager. Per limitare questo rischio, utilizzare la firma SMB o IPsec tra computer client e il punto di gestione. |
Non aggiungere autorizzazioni Lettura e Registrazione per utenti ai modelli di certificato, né configurare il punto di registrazione certificati per ignorare la verifica del modello di certificato. |
Anche se Configuration Manager supporta il controllo aggiuntivo se si aggiungono le autorizzazioni di protezione Lettura e Registrazione per utenti, e sebbene sia possibile configurare il punto di registrazione certificati per ignorare questo controllo quando l'autenticazione non è possibile, nessuna delle due configurazioni è una procedura consigliata per la protezione. Per altre informazioni, vedere Pianificazione per autorizzazioni modello di certificato per profili certificato in Configuration Manager. |
Informazioni sulla privacy per i profili certificato
È possibile utilizzare profili certificato per distribuire certificati da un'autorità di certificazione radice (CA) e client e quindi valutare se i dispositivi diventano conformi dopo che sono stati applicati i profili. Il punto di gestione invia informazioni sulla conformità al server del sito e Configuration Manager memorizza queste informazioni nel database del sito. Informazioni sulla conformità includono proprietà certificato, ad esempio il nome oggetto e l'identificazione personale. Le informazioni vengono crittografate quando i dispositivi le inviano al punto di gestione, ma non vengono memorizzate in forma crittografata nel database del sito. Il database conserva le informazioni fino alla relativa eliminazione nell'ambito dell'attività di manutenzione del sito Elimina dati di gestione configurazione obsoleti che viene effettuata all'intervallo predefinito di 90 giorni. È possibile configurare l'intervallo di eliminazione. Le informazioni sulla conformità non vengono inviate a Microsoft.
I profili certificato utilizzano informazioni che Configuration Manager raccoglie mediante individuazione. Per altre informazioni sulla privacy per individuazione, vedere la sezioneInformazioni sulla privacy per l'individuazione inProtezione e privacy per l'amministrazione del sito in Configuration Manager.
Nota
I certificati che vengono rilasciati a utenti o dispositivi potrebbero consentire l'accesso a informazioni riservate.
Per impostazione predefinita, i dispositivi non valutano i profili certificato. Inoltre, è necessario configurare i profili certificato e quindi distribuirli agli utenti o ai dispositivi.
Prima di configurare i profili certificato, considerare i requisiti sulla privacy.