Tanúsítványprofilok biztonsága és adatvédelme a System Center Configuration ManagerbenSecurity and privacy for certificate profiles in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Bevált biztonsági gyakorlatok tanúsítványprofilokhozSecurity Best Practices for Certificate Profiles

A felhasználókhoz és eszközökhöz tartozó tanúsítványprofilok kezelésekor alkalmazza a következő bevált biztonsági gyakorlatokat.Use the following security best practices when you manage certificate profiles for users and devices.

Bevált biztonsági gyakorlatSecurity best practice További információMore information
A hálózati eszközök tanúsítványigénylési szolgáltatásával kapcsolatos bevált biztonsági gyakorlatok azonosítása és betartása (beleértve az IIS szolgáltatásban a hálózati eszközök tanúsítványigénylési szolgáltatásának beállítását az SSL használatának megkövetelésére és az ügyféltanúsítványok figyelmen kívül hagyására).Identify and follow any security best practices for the Network Device Enrollment Service, which includes configuring the Network Device Enrollment Service website in Internet Information Services (IIS) to require SSL and ignore client certificates. Lásd: Útmutató a hálózati eszközök tanúsítványigénylési szolgáltatásához a TechNet Active Directory-tanúsítványszolgáltatásról szóló tartalomtárában.See Network Device Enrollment Service Guidance in the Active Directory Certificate Services library on TechNet.
Az SCEP-tanúsítványprofilok konfigurálásánál az eszközök, illetve az infrastruktúra által támogatott legbiztonságosabb beállításokat adja meg.When you configure SCEP certificate profiles, choose the most secure options that devices and your infrastructure can support. Azonosítsa, vezesse be, és tartsa be az eszközeire és infrastruktúrájára vonatkozóan ajánlott bevált biztonsági gyakorlatokat.Identify, implement, and follow any security best practices that have been recommended for your devices and infrastructure.
A felhasználó-eszköz kapcsolatot manuálisan adja meg, ne hagyja a felhasználóknak, hogy azonosítsák az elsődleges eszközüket.Manually specify user device affinity instead of allowing users to identify their primary device. Ezen kívül ne engedélyezze a használat alapú konfigurálást.In addition, do not enable usage-based configuration. Ha egy SCEP-tanúsítványprofilnál a Tanúsítványigénylés engedélyezése csak a felhasználó elsődleges eszközén beállításra kattint, ne vegye figyelembe irányadóként a felhasználóktól vagy az eszköztől kapott adatokat.If you click the Allow certificate enrollment only on the users primary device option in a SCEP certificate profile, do not consider the information that is collected from users or from the device to be authoritative. Amennyiben ezzel a konfigurációval telepít SCEP-tanúsítványprofilokat, és egy megbízható rendszergazda felhasználó nem adja meg a felhasználó-eszköz kapcsolatot, előfordulhat, hogy nem jogosult felhasználók emelt szintű jogosultságokhoz jutnak, és tanúsítványokat kapnak a hitelesítéshez.If you deploy SCEP certificate profiles with this configuration and a trusted administrative user does not specify user device affinity, unauthorized users might receive elevated privileges and be granted certificates for authentication.

Megjegyzés: Ha engedélyezi a használat alapú konfigurálást, az információk gyűjtése a System Center Configuration Manager által nem védett állapotüzenetek használatával.Note: If you do enable usage-based configuration, this information is collected by using state messages that are not secured by System Center Configuration Manager. A biztonsági kockázat enyhítése érdekében az ügyfélszámítógépek és a felügyeleti pont között használjon SMB-aláírást vagy IPsec-et.To help mitigate this threat, use SMB signing or IPsec between client computers and the management point.
A tanúsítványsablonokhoz ne adjon a felhasználóknak olvasási és beléptetési engedélyeket, vagy a tanúsítványregisztrációs pontot úgy konfigurálja, hogy kihagyja a tanúsítványsablon ellenőrzését.Do not add Read and Enroll permissions for users to the certificate templates, or configure the certificate registration point to skip the certificate template check. Bár a Configuration Manager támogatja a további ellenőrzést, ha a biztonsági engedélyek az olvasási és beléptetési a felhasználók számára, és konfigurálhatja a tanúsítványregisztrációs pontot az ellenőrzés kihagyására, amennyiben a hitelesítés nem lehetséges, egyik konfiguráció sem a biztonsági szempontból ajánlott.Although Configuration Manager supports the additional check if you add the security permissions of Read and Enroll for users, and you can configure the certificate registration point to skip this check if authentication is not possible, neither configuration is a security best practice. További tájékoztatásért lásd: Tanúsítványsablonok engedélyeinek tervezése a System Center Configuration Manager tanúsítványprofiljaihoz.For more information, see Planning for certificate template permissions for certificate profiles in System Center Configuration Manager.

Adatvédelmi tudnivalók tanúsítványprofilokhozPrivacy Information for Certificate Profiles

Tanúsítványprofilok használatával elvégezheti a legfelső szintű hitelesítésszolgáltatói és ügyféltanúsítványok központi telepítését, majd kiértékelheti, hogy a profilok alkalmazása után az eszközök a követelményeknek megfelelővé válnak-e.You can use certificate profiles to deploy root certification authority (CA) and client certificates, and then evaluate whether those devices become compliant after the profiles are applied. A felügyeleti pont a megfelelőségi információkat a helykiszolgálónak továbbítja, és a System Center Configuration Manager a hely adatbázisában tárolja ezeket az információkat.The management point sends compliance information to the site server, and System Center Configuration Manager stores that information in the site database. A megfelelőségi adatok között szerepelnek a tanúsítványok tulajdonságai is, például a tulajdonos neve és az ujjlenyomat.Compliance information includes certificate properties such as subject name and thumbprint. Az adatok titkosítva vannak, amikor az eszközök elküldik azokat a felügyeleti pontnak, azonban a helyadatbázis titkosítás nélkül tárolja az adatokat.The information is encrypted when devices send it to the management point, but it is not stored in encrypted format in the site database. Az adatbázis mindaddig megőrzi az adatokat, amíg az Elavult Configuration Management adatok törlése helykarbantartási feladat az alapértelmezett 90 napos időszak után nem törli őket.The database retains the information until the site maintenance task Delete Aged Configuration Management Data deletes it after the default interval of 90 days. Beállíthatja a törlési időközt.You can configure the deletion interval. A program nem küld megfelelőségi adatokat a Microsoftnak.Compliance information is not sent to Microsoft.

A tanúsítvány profilok használják, hogy a Configuration Manager által összegyűjtött felderítés információ.Certificate profiles use information that Configuration Manager collects using discovery. A felderítés adatvédelmi információiról további információt a Biztonság és adatvédelem a System Center Configuration Managerben témakör Adatvédelmi tájékoztatás a felderítéshez cím szakaszában talál.For more information about privacy information for discovery, see the Privacy Information for Discovery section in Security and privacy for System Center Configuration Manager.

Megjegyzés

A felhasználók vagy eszközök számára kiállított tanúsítványok bizalmas információk elérését tehetik lehetővé.Certificates that are issued to users or devices might allow access to confidential information.

Az eszközök alapértelmezés szerint nem értékelik ki a tanúsítványprofilokat.By default, devices do not evaluate certificate profiles. Emellett konfigurálni kell a tanúsítványprofilokat, és aztán el kell végezni azok központi telepítését a felhasználóknál vagy eszközökön.In addition, you must configure the certificate profiles, and then deploy them to users or devices.

A tanúsítványprofilok konfigurálása előtt gondolja át az adatvédelmi követelményeit.Before you configure certificate profiles, consider your privacy requirements.