Planear permissões do modelo de certificado para perfis de certificado no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
As informações deste tópico aplicam-se apenas às versões do System Center 2012 R2 Configuration Manager.
As informações seguintes podem ajudá-lo a planear a forma de configurar as permissões dos modelos de certificados que o System Center 2012 Configuration Manager utiliza durante a implementação de perfis de certificado.
Considerações e permissões de segurança predefinidas
As permissões de segurança predefinidas necessárias para os modelos de certificados que o Gestor de configuração utilizará para solicitar certificados para utilizadores e dispositivos são as seguintes:
Leitura e Inscrição para a conta usada pelo conjunto aplicacional do Serviço de Inscrição de Dispositivos de Rede
Leitura para a conta que executa a consola do Gestor de configuração
Para obter mais informações sobre estas permissões de segurança, consulte Passo 1: Instalar e Configurar o Serviço de Inscrição de Dispositivos de Rede e Dependências em Configurar perfis de certificado no Configuration Manager.
Quando utiliza esta configuração predefinida, os utilizadores e os dispositivos não podem solicitar diretamente certificados dos modelos de certificados e todos os pedidos devem ser iniciados pelo Serviço de Inscrição de Dispositivos de Rede. Esta é uma restrição importante, pois estes modelos de certificados devem ser configurados com a opção Fornecer no pedido no Requerente do certificado, o que significa que existe um risco de representação se um utilizador não autorizado ou um dispositivo comprometido solicitar um certificado. Na configuração predefinida, o Serviço de Inscrição de Dispositivos de Rede tem de iniciar este pedido. No entanto, este risco de representação permanece se o serviço que executa o Serviço de Inscrição de Dispositivos de Rede estiver comprometido. Para ajudar a evitar este risco, siga todos os procedimentos recomendados de segurança relativos ao Serviço de Inscrição de Dispositivos de Rede e ao computador que executa este serviço de função.
Se as permissões de segurança predefinidas não cumprirem os seus requisitos empresariais, tem outra opção para configurar as permissões de segurança nos modelos de certificados: Pode adicionar as permissões de Leitura e Inscrição para utilizadores e computadores.
Adicionar permissões de Leitura e Inscrição para utilizadores e computadores
A adição de permissões de Leitura e Inscrição para utilizadores e computadores pode ser apropriada se a equipa de infraestrutura da autoridade de certificação (AC) for gerida por uma equipa separada e se esta equipa separada pretender que o Gestor de configuração verifique se os utilizadores possuem uma conta válida dos Serviços de Domínio do Active Directory antes de lhes enviar um perfil de certificado para solicitar um certificado de utilizador. Para esta configuração, tem de especificar um ou mais grupos de segurança que contenham os utilizadores e conceder a estes grupos permissões de Leitura e Inscrição nos modelos de certificados. Neste cenário, o administrador da AC gere o controlo de segurança.
Do mesmo modo, é possível especificar um ou mais grupos de segurança que contenham contas de computador e conceder a estes grupos permissões de Leitura e Inscrição nos modelos de certificados. Se implementar um perfil de certificado de computador num computador que seja membro de domínio, a conta desse computador terá de receber permissões de Leitura e Inscrição. Estas permissões não são necessárias se o computador não for um membro de domínio, por exemplo, se for um computador de grupo de trabalho ou um dispositivo móvel pessoal.
Embora esta configuração utilize um controlo de segurança adicional, não a aconselhamos como procedimento recomendado. O motivo é que os utilizadores ou os proprietários especificados dos dispositivos podem solicitar certificados de forma independente do Gestor de configuração e fornecer valores para o Requerente do certificado que podem ser utilizados para representar outro utilizador ou dispositivo.
Além disso, se especificar contas que não podem ser autenticadas no momento em que ocorre o pedido de certificado, o pedido de certificado falhará por predefinição. Por exemplo, o pedido de certificado falhará se o servidor que executar o Serviço de Inscrição de Dispositivos de Rede estiver numa floresta do Active Directory que não é fidedigna para a floresta que contém o servidor do sistema de sites do ponto de registro de certificados. Pode configurar o ponto de registo de certificados para continuar se não for possível autenticar uma conta por não existir resposta do controlador de domínio. No entanto, este não é um procedimento recomendado de segurança.
De notar que, se o ponto de registo de certificados estiver configurado para verificar permissões de conta e se um controlador de domínio estiver disponível e rejeitar o pedido de autenticação (por exemplo, a conta está bloqueada ou foi eliminada), o pedido de inscrição de certificados falhará.
Para verificar permissões de Leitura e Inscrição para utilizadores e computadores membros de domínio
-
No servidor do sistema de sites que aloja o ponto de registo de certificados, crie a seguinte chave de registo DWORD para ter um valor de 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
-
Se não for possível autenticar uma conta por não existir resposta do controlador de domínio e pretender ignorar a verificação das permissões:
- No servidor do sistema de sites que aloja o ponto de registo de certificados, crie a seguinte chave de registo DWORD para ter um valor de 1: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SCCM\\CRP\\SkipTemplateCheckOnlyIfAccountAccessDenied -
Na AC emissora, no separador Segurança das propriedades do modelo de certificado, adicione um ou mais grupos de segurança para conceder permissões de Leitura e Inscrição às contas de utilizador ou de dispositivo.