Seguridad y privacidad de los perfiles de certificado en Configuration Manager

Artículo
04/04/2023

Se aplica a: Configuration Manager (rama actual)

Importante

A partir de la versión 2203, esta característica de acceso a recursos de empresa ya no se admite. Para obtener más información, consulte Preguntas más frecuentes sobre el desuso del acceso a recursos.

Guía de seguridad

Use las instrucciones siguientes al administrar perfiles de certificado para usuarios y dispositivos.

Siga las instrucciones de seguridad del servicio de inscripción de dispositivos de red (NDES)

Identifique y siga las instrucciones de seguridad de NDES. Por ejemplo, configure el sitio web de NDES en Internet Information Services (IIS) para requerir HTTPS e ignorar los certificados de cliente.

Para obtener más información, consulte Guía del servicio de inscripción de dispositivos de red.

Elegir las opciones más seguras para los perfiles de certificado

Al configurar perfiles de certificado SCEP, elija las opciones más seguras que los dispositivos y la infraestructura pueden admitir. Identifique, implemente y siga las instrucciones de seguridad recomendadas para los dispositivos y la infraestructura.

Especificar de forma centralizada la afinidad de dispositivo de usuario

Especifique manualmente la afinidad de dispositivo de usuario en lugar de permitir que los usuarios identifiquen su dispositivo principal. No habilite la configuración basada en el uso.

Si usa la opción en un perfil de certificado SCEP para Permitir la inscripción de certificados solo en el dispositivo principal de los usuarios, no considere que la información recopilada de los usuarios o del dispositivo sea autoritativa. Si implementa perfiles de certificado SCEP con esta configuración y un usuario administrativo de confianza no especifica la afinidad de dispositivo de usuario, es posible que los usuarios no autorizados reciban privilegios elevados y se les concedan certificados para la autenticación.

Nota:

Si habilita la configuración basada en el uso, esta información se recopila mediante mensajes de estado. Configuration Manager no protege los mensajes de estado. Para ayudar a mitigar esta amenaza, use la firma SMB o IPsec entre los equipos cliente y el punto de administración.

Administración de permisos de plantilla de certificado

No agregue permisos de lectura e inscripción para los usuarios a las plantillas de certificado. No configure el punto de registro de certificado para omitir la comprobación de plantilla de certificado.

Configuration Manager admite la comprobación adicional si agrega los permisos de seguridad leer e inscribir a los usuarios. Si no es posible la autenticación, puede configurar el punto de registro de certificado para omitir esta comprobación. Pero no se recomienda ninguna configuración.

Para obtener más información, consulte Planeamiento de permisos de plantilla de certificado para perfiles de certificado.

Información de privacidad

Puede usar perfiles de certificado para implementar certificados de entidad de certificación raíz (CA) y de cliente y, a continuación, evaluar si esos dispositivos se vuelven compatibles después de que el cliente aplique los perfiles. El punto de administración envía información de cumplimiento al servidor de sitio y Configuration Manager almacena esa información en la base de datos del sitio. La información de cumplimiento incluye propiedades de certificado, como el nombre del firmante y la huella digital. El cliente cifra esta información cuando se envía al punto de administración, pero la base de datos del sitio no la almacena en un formato cifrado. La información de cumplimiento no se envía a Microsoft.

Los perfiles de certificado usan información que Configuration Manager recopila mediante la detección. Para obtener más información, consulte Información de privacidad para la detección.

De forma predeterminada, los dispositivos no evalúan los perfiles de certificado. Debe configurar los perfiles de certificado y, a continuación, implementarlos en usuarios o dispositivos.