Planear permissões de modelo de certificado para perfis de certificado no System Center Configuration ManagerPlanning for certificate template permissions for certificate profiles in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

As seguintes informações podem ajudar a planear a forma de configurar permissões para os modelos de certificado que o System Center Configuration Manager utiliza quando implementa perfis de certificado.The following information can help you plan for how to configure permissions for the certificate templates that System Center Configuration Manager uses when you deploy certificate profiles.

Considerações e permissões de segurança predefinidasDefault Security Permissions and Considerations

As permissões de segurança predefinidas que são necessárias para os modelos de certificado que irá utilizar o System Center Configuration Manager para solicitar certificados para utilizadores e dispositivos são os seguintes:The default security permissions that are required for the certificate templates that System Center Configuration Manager will use to request certificates for users and devices are as follows:

  • Leitura e Inscrição para a conta usada pelo conjunto aplicacional do Serviço de Inscrição de Dispositivos de RedeRead and Enroll for the account that the Network Device Enrollment Service application pool uses

  • Leia o artigo para a conta que executa a consola do System Center Configuration ManagerRead for the account that runs the System Center Configuration Manager console

    Para mais informações sobre estas permissões de segurança, consulte configurar infraestrutura de certificados.For more information about these security permissions, see Configuring certificate infrastructure.

    Quando utiliza esta configuração predefinida, os utilizadores e os dispositivos não podem solicitar diretamente certificados dos modelos de certificados e todos os pedidos devem ser iniciados pelo Serviço de Inscrição de Dispositivos de Rede.When you use this default configuration, users and devices cannot directly request certificates from the certificate templates and all requests must be initiated by the Network Device Enrollment Service. Esta é uma restrição importante, pois estes modelos de certificados devem ser configurados com a opção Fornecer no pedido no Requerente do certificado, o que significa que existe um risco de representação se um utilizador não autorizado ou um dispositivo comprometido solicitar um certificado.This is an important restriction, because these certificate templates must be configured with Supply in the request for the certificate Subject, which means that there is a risk of impersonation if a rogue user or a compromised device requests a certificate. Na configuração predefinida, o Serviço de Inscrição de Dispositivos de Rede tem de iniciar este pedido.In the default configuration, the Network Device Enrollment Service must initiate such a request. No entanto, este risco de representação permanece se o serviço que executa o Serviço de Inscrição de Dispositivos de Rede estiver comprometido.However, this risk of impersonation remains if the service that runs the Network Device Enrollment Service is compromised. Para ajudar a evitar este risco, siga todos os procedimentos recomendados de segurança relativos ao Serviço de Inscrição de Dispositivos de Rede e ao computador que executa este serviço de função.To help avoid this risk, follow all security best practices for the Network Device Enrollment Service and the computer that runs this role service.

    Se as permissões de segurança predefinidas não cumprirem os seus requisitos empresariais, tem outra opção para configurar as permissões de segurança nos modelos de certificado: Pode adicionar a leitura e inscrição permissões para utilizadores e computadores.If the default security permissions do not fulfill your business requirements, you have another option for configuring the security permissions on the certificate templates: You can add Read and Enroll permissions for users and computers.

Adicionar permissões de Leitura e Inscrição para utilizadores e computadoresAdding Read and Enroll Permissions for Users and Computers

A adição de leitura e permissões de inscrição para utilizadores e computadores podem ser apropriadas se a sua equipa de infraestrutura de (AC) de autoridade de certificação gerida por uma equipa separada e que separe equipa pretende System Center Configuration Manager para verificar que os utilizadores têm uma conta de serviços de domínio do Active Directory válida antes de lhes enviar um perfil de certificado para pedir um certificado de utilizador.Adding Read and Enroll permissions for users and computers might be appropriate if a separate team manages your certification authority (CA) infrastructure team, and that separate team wants System Center Configuration Manager to verify that users have a valid Active Directory Domain Services account before sending them a certificate profile to request a user certificate. Para esta configuração, tem de especificar um ou mais grupos de segurança que contenham os utilizadores e conceder a estes grupos permissões de Leitura e Inscrição nos modelos de certificados.For this configuration, you must specify one or more security groups that contain the users, and then grant those groups Read and Enroll permissions on the certificate templates. Neste cenário, o administrador da AC gere o controlo de segurança.In this scenario, the CA administrator manages the security control.

Do mesmo modo, é possível especificar um ou mais grupos de segurança que contenham contas de computador e conceder a estes grupos permissões de Leitura e Inscrição nos modelos de certificados.You can similarly specify one or more security groups that contain computer accounts and grant these groups Read and Enroll permissions on the certificate templates. Se implementar um perfil de certificado de computador num computador que seja membro de domínio, a conta desse computador terá de receber permissões de Leitura e Inscrição.If you deploy a computer certificate profile to a computer that is a domain member, the computer account of that computer must be granted Read and Enroll permissions. Estas permissões não são necessárias se o computador não for um € de memberâ do domínio "por exemplo, se se tratar de um computador de grupo de trabalho ou um dispositivo móvel pessoal.These permissions are not required if the computer is not a domain member—for example, if it is a workgroup computer or personal mobile device.

Embora esta configuração utilize um controlo de segurança adicional, não a aconselhamos como procedimento recomendado.Although this configuration uses an additional security control, we do not recommend it as a best practice. O motivo é que os utilizadores especificados ou os proprietários dos dispositivos podem solicitar certificados independentemente do System Center Configuration Manager e forneça valores para o requerente do certificado que pode ser utilizado para representar outro utilizador ou dispositivo.The reason is that the specified users or owners of the devices might request certificates independently from System Center Configuration Manager and supply values for the certificate Subject that might be used to impersonate another user or device.

Além disso, se especificar contas que não podem ser autenticadas no momento em que ocorre o pedido de certificado, o pedido de certificado falhará por predefinição.In addition, if you specify accounts that cannot be authenticated at the time that the certificate request occurs, the certificate request will fail by default. Por exemplo, o pedido de certificado falhará se o servidor que executar o Serviço de Inscrição de Dispositivos de Rede estiver numa floresta do Active Directory que não é fidedigna para a floresta que contém o servidor do sistema de sites do ponto de registro de certificados.For example, the certificate request will fail if the server that is running the Network Device Enrollment Service is in an Active Directory forest that is untrusted by the forest that contains the certificate registration point site system server. Pode configurar o ponto de registo de certificados para continuar se não for possível autenticar uma conta por não existir resposta do controlador de domínio.You can configure the certificate registration point to continue if an account cannot be authenticated because there is no response from a domain controller. No entanto, este não é um procedimento recomendado de segurança.However, this is not a security best practice.

De notar que, se o ponto de registo de certificados estiver configurado para verificar permissões de conta e se um controlador de domínio estiver disponível e rejeitar o pedido de autenticação (por exemplo, a conta está bloqueada ou foi eliminada), o pedido de inscrição de certificados falhará.Note that if the certificate registration point is configured to check for account permissions and a domain controller is available and rejects the authentication request (for example, the account is locked out or has been deleted), the certificate enrollment request will fail.

Para verificar permissões de Leitura e Inscrição para utilizadores e computadores membros de domínioTo check for Read and Enroll permissions for users and domain-member computers

  1. No servidor de sistema de sites que aloja o ponto de registo de certificados, crie a seguinte chave de registo DWORD para ter um valor de 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOn the site system server that hosts the certificate registration point, create the following DWORD registry key to have a value of 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Se não for possível autenticar uma conta por não existir resposta do controlador de domínio e pretender ignorar a verificação das permissões:If an account cannot be authenticated because there is no response from a domain controller, and you want to bypass the permissions check:

    • No servidor de sistema de sites que aloja o ponto de registo de certificados, crie a seguinte chave de registo DWORD para ter um valor de 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDeniedOn the site system server that hosts the certificate registration point, create the following DWORD registry key to have a value of 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
  3. Na AC emissora, no separador Segurança das propriedades do modelo de certificado, adicione um ou mais grupos de segurança para conceder permissões de Leitura e Inscrição às contas de utilizador ou de dispositivo.On the issuing CA, on the Security tab in the properties for the certificate template, add one or more security groups to grant the user or device accounts Read and Enroll permissions.