Compartilhar via


Segurança e privacidade para perfis de certificado no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObservação

As informações neste tópico aplicam-se somente às versões do System Center 2012 R2 Configuration Manager.

Este tópico contém as informações de segurança e privacidade para perfis de certificado no System Center 2012 Configuration Manager.

Práticas recomendadas de segurança para perfis de certificado

Use as seguintes práticas recomendadas de segurança ao gerenciar perfis de certificado para usuários e dispositivos.

Prática recomendada de segurança

Mais informações

Identifique e siga todas as práticas recomendadas de segurança para o Serviço de Registro de Dispositivo de Rede, que inclui a configuração do site da Web desse serviço no IIS (Serviços de Informações da Internet) para exigir SSL e ignorar certificados de cliente.

Consulte as Diretrizes do Serviço de Registro de Dispositivo de Rede na biblioteca de Serviços de Certificados do Active Directory no TechNet.

Ao configurar os perfis de certificado do SCEP, escolha as opções mais seguras que os dispositivos e a sua infraestrutura podem dar suporte.

Identifique, implemente e siga as práticas recomendadas de segurança que foram sugeridas para os dispositivos e a infraestrutura.

Especificar manualmente a afinidade de dispositivo de usuário, em vez de permitir que os usuários identifiquem o dispositivo principal. Além disso, não habilitar a configuração baseada em uso.

Se você clicar na opção Permitir a inscrição de certificados apenas no dispositivo primário do usuário em um perfil de certificado SCEP, não considere as informações coletadas dos usuários ou do dispositivo como autoritativas. Se você implantar perfis de certificado SCEP com essa configuração, e um usuário administrativo confiável não especificar a afinidade de dispositivo de usuário, é possível que usuários não autorizados recebam privilégios elevados, bem como certificados para autenticação.

System_CAPS_noteObservação

Se você habilitar a configuração baseada no uso, essas informações serão coletadas por meio de mensagens de estado não protegidas pelo Gerenciador de Configurações. Para ajudar a reduzir essa ameaça, use IPsec ou assinatura SMB entre computadores cliente e o ponto de gerenciamento.

Não adicione permissões Ler e Registrar para usuários aos modelos de certificado, ou configure o ponto de registro de certificado para ignorar a verificação do modelo de certificado.

Apesar de o Gerenciador de Configurações dar suporte à verificação adicional, se você adicionar as permissões de segurança Ler e Registrar para os usuários e se puder configurar o ponto de registro de certificado para pular essa verificação caso a autenticação não seja possível, nenhuma das configurações será uma prática recomendada de segurança. Para obter mais informações, consulte Planejando permissões de modelo de certificado para os perfis de certificado no Configuration Manager.

Informações de privacidade para perfis de certificado

Você pode usar perfis de certificado para implantar certificados de cliente e da AC (autoridade de certificação) raiz e avaliar se esses dispositivos tornam-se compatíveis depois que os perfis são aplicados. O ponto de gerenciamento envia informações de conformidade ao servidor do site, e o Gerenciador de Configurações armazena essas informações no banco de dados do site. As informações de conformidade incluem propriedades do certificado, como nome da entidade e impressão digital. As informações são criptografadas quando os dispositivos as enviam para o ponto de gerenciamento, mas não são armazenadas em formato criptografado no banco de dados do site. O banco de dados mantém as informações até que a tarefa de manutenção de site Excluir Dados Antigos de Gerenciamento da Configuração as exclua após o intervalo padrão de 90 dias. Você pode configurar o intervalo de exclusão. As informações de conformidade não são enviadas à Microsoft.

Os perfis de certificado utilizam as informações que o Gerenciador de Configurações coleta usando a descoberta. Para obter mais informações sobre informações de privacidade para descoberta, veja a seção Informações de privacidade para descoberta em Segurança e privacidade para administração de site no Configuration Manager.

System_CAPS_noteObservação

Os certificados emitidos para usuários ou dispositivos podem permitir o acesso a informações confidenciais.

Por padrão, os dispositivos não avaliam perfis de certificado. Além disso, você deve configurar os perfis de certificado e implantá-los nos usuários ou dispositivos.

Antes de configurar os perfis de certificado, considere seus requisitos de privacidade.