Säkerhet och sekretess för certifikatprofiler i Configuration Manager
Gäller för: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Information |
---|
Informationen i det här ämnet gäller enbart System Center 2012 R2 Configuration Manager. |
Information |
---|
Det här avsnittet visas i handboken Tillgångar och efterlevnad i System Center 2012 Configuration Manager och i handboken Säkerhet och sekretess för System Center 2012 Configuration Manager. |
Det här avsnittet innehåller information om säkerhet och sekretess för certifikatprofiler i System Center 2012 Configuration Manager.
Rekommenderade säkerhetsmetoder för certifikatprofiler
Använd följande rekommenderade säkerhetsmetoder när du hanterar certifikatprofiler för användare och enheter.
Regelverk för säkerhet |
Mer information |
||
---|---|---|---|
Identifiera och följ rekommenderade säkerhetsmetoder för registreringstjänsten för nätverksenheter. Det innefattar att i Internet Information Services (IIS) konfigurera att webbplatsen för registreringstjänsten ska begära SSL och ignorera klientcertifikat. |
Se Network Device Enrollment Service Guidance (Vägledning för registreringstjänsten för nätverksenheter) i Active Directory Certificate Services-biblioteket på TechNet. |
||
När du konfigurerar SCEP-certifikatprofiler ska du välja det säkraste alternativet som enheterna och infrastrukturen har stöd för. |
Identifiera, implementera och följ de säkerhetsmetoder som har rekommenderats för enheterna och infrastrukturen. |
||
Definiera mappning mellan användare och enhet manuellt i stället för att tillåta att användarna identifierar sina primära enheter. Aktivera inte användningsbaserad konfigurering. |
Om du klickar på alternativet Tillåt endast certifikatregistering på användarens primära enhet i en SCEP-certifikatprofil ska information som samlas in från användare eller enheten inte betraktas som auktoriserande. Om du distribuerar SCEP-certifikatprofiler med den här konfigurationen och en betrodd administrativ användare inte anger mappning mellan användare och enhet, kan ej auktoriserade användare få förhöjda behörigheter och tilldelas autentiseringscertifikat.
|
||
Lägg inte till läs- och registreringsbehörigheter för användare av certifikatmallar, och konfigurera inte certifikatregistreringsplatsen att hoppa över certifikatmallskontrollen. |
Det är inte rekommenderade säkerhetsmetoder, även om Configuration Manager har stöd för extra kontroll om du lägger till säkerhetsbehörigheterna för läsning och registrering och du kan konfigurera certifikatregistreringsplatsen att hoppa över kontrollen om autentisering inte kan utföras. Mer information finns i Planera certifikatmallsbehörighet för certifikatprofiler i Configuration Manager. |
Sekretessinformation för certifikatprofiler
Du kan använda certifikatprofiler för att distribuera rotcertifikatutfärdar- och klientcertifikat, och sedan kontrollera enheternas kompatibilitet när profilerna har aktiverats. Hanteringsplatsen skickar kompatibilitetsinformation till platsservern och informationen lagras i platsdatabasen. Kompatibilitetsinformationen innehåller certifikategenskaper, som mottagarnamn och tumavtryck. Informationen krypteras när enheter skickar den till hanteringsplatsen men den lagras inte i krypterat format på platsdatabasen. Informationen sparas i databasen tills den raderas av platsunderhållsaktiviteten Ta bort föråldrade data för Configuration Manager, vilket sker var 90:e dag. Du kan konfigurera borttagningsintervallet. Information om kompatibilitet skickas inte till Microsoft.
För certifikatprofiler används information som Configuration Manager samlar in. Mer information om sekretessinformation för identifiering finns i avsnittet Sekretessinformation för identifiering i Säkerhet och sekretess för platsadministration i Configuration Manager.
Information |
---|
Certifikat som utfärdas till användare eller enheter kan ge åtkomst till konfidentiell information. |
Som standard utvärderas inte certifikatprofiler av enheter. Du måste också konfigurera certifikatprofilerna och sedan distribuera dem till användare eller enheter.
Innan du konfigurerar certifikatprofiler bör du tänka igenom dina sekretesskrav.