Segurança e privacidade para perfis de certificado em Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Importante
A partir da versão 2203, esse recurso de acesso a recursos da empresa não tem mais suporte. Para obter mais informações, confira Perguntas frequentes sobre a preterição do acesso ao recurso.
Diretrizes de segurança
Use as diretrizes a seguir ao gerenciar perfis de certificado para usuários e dispositivos.
Siga as diretrizes de segurança do NDES (Serviço de Registro de Dispositivo de Rede)
Identifique e siga todas as diretrizes de segurança do NDES. Por exemplo, configure o site do NDES nos Serviços de Informações da Internet (IIS) para exigir HTTPS e ignorar certificados de cliente.
Para obter mais informações, consulte Diretrizes do Serviço de Registro de Dispositivo de Rede.
Escolha as opções mais seguras para perfis de certificado
Ao configurar perfis de certificado SCEP, escolha as opções mais seguras que os dispositivos e sua infraestrutura podem dar suporte. Identifique, implemente e siga todas as diretrizes de segurança recomendadas para seus dispositivos e infraestrutura.
Especificar centralmente a afinidade do dispositivo de usuário
Especifique manualmente a afinidade do dispositivo de usuário em vez de permitir que os usuários identifiquem seu dispositivo principal. Não habilite a configuração baseada em uso.
Se você usar a opção em um perfil de certificado SCEP para permitir o registro de certificado apenas no dispositivo primário dos usuários, não considere as informações coletadas dos usuários ou do dispositivo como autoritativas. Se você implantar perfis de certificado SCEP com essa configuração e um usuário administrativo confiável não especificar afinidade de dispositivo de usuário, usuários não autorizados poderão receber privilégios elevados e receber certificados para autenticação.
Observação
Se você habilitar a configuração baseada em uso, essas informações serão coletadas usando mensagens de estado. Configuration Manager não protege mensagens de estado. Para ajudar a mitigar essa ameaça, use a assinatura de SMB ou o IPsec entre computadores cliente e o ponto de gerenciamento.
Gerenciar permissões de modelo de certificado
Não adicione permissões de leitura e registro para usuários aos modelos de certificado. Não configure o ponto de registro de certificado para ignorar a verificação do modelo de certificado.
Configuration Manager dá suporte à verificação extra se você adicionar as permissões de segurança de Ler e Registrar para usuários. Se a autenticação não for possível, você poderá configurar o ponto de registro do certificado para ignorar essa verificação. Mas nenhuma configuração é recomendada.
Para obter mais informações, consulte Planejamento de permissões de modelo de certificado para perfis de certificado.
Informações de privacidade
Você pode usar perfis de certificado para implantar a autoridade de certificação raiz (AC) e certificados de cliente e avaliar se esses dispositivos se tornam compatíveis após o cliente aplicar os perfis. O ponto de gerenciamento envia informações de conformidade para o servidor do site e Configuration Manager armazena essas informações no banco de dados do site. As informações de conformidade incluem propriedades de certificado, como nome da entidade e impressão digital. O cliente criptografa essas informações quando enviadas para o ponto de gerenciamento, mas o banco de dados do site não as armazena em um formato criptografado. As informações de conformidade não são enviadas para Microsoft.
Os perfis de certificado usam informações que Configuration Manager coleta usando a descoberta. Para obter mais informações, consulte Informações de privacidade para descoberta.
Por padrão, os dispositivos não avaliam perfis de certificado. Você precisa configurar os perfis de certificado e implantá-los em usuários ou dispositivos.
Observação
Certificados emitidos para usuários ou dispositivos podem permitir acesso a informações confidenciais.