Segurança e privacidade para perfis de certificado no System Center Configuration ManagerSecurity and privacy for certificate profiles in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Procedimentos Recomendados de Segurança para Perfis de CertificadoSecurity Best Practices for Certificate Profiles

Utilize os seguintes procedimentos recomendados de segurança ao gerir perfis de certificado para utilizadores e dispositivos.Use the following security best practices when you manage certificate profiles for users and devices.

Procedimento recomendado de segurançaSecurity best practice Mais informaçõesMore information
Identifique e siga os eventuais procedimentos recomendados de segurança do Serviço de Inscrição de Dispositivos de Rede, que incluem a configuração do Web site do Serviço de Inscrição de Dispositivos de Rede nos Serviços de Informação Internet (IIS) para que exija SSL e ignore os certificados de cliente.Identify and follow any security best practices for the Network Device Enrollment Service, which includes configuring the Network Device Enrollment Service website in Internet Information Services (IIS) to require SSL and ignore client certificates. Consulte Orientação do Serviço de Inscrição de Dispositivos de Rede na biblioteca Serviços de Certificados do Active Directory na TechNet.See Network Device Enrollment Service Guidance in the Active Directory Certificate Services library on TechNet.
Ao configurar os perfis de certificado SCEP, escolha as opções mais seguras suportadas pelos dispositivos e pela infraestrutura.When you configure SCEP certificate profiles, choose the most secure options that devices and your infrastructure can support. Identifique, implemente e siga os procedimentos de segurança eventualmente recomendados para os dispositivos e para a infraestrutura.Identify, implement, and follow any security best practices that have been recommended for your devices and infrastructure.
Especifique manualmente a afinidade dispositivo/utilizador em vez de permitir que os utilizadores identifiquem o respetivo dispositivo primário.Manually specify user device affinity instead of allowing users to identify their primary device. Além disso, não ative a configuração baseada na utilização.In addition, do not enable usage-based configuration. Se clicar na opção Permitir inscrição de certificados apenas no dispositivo primário dos utilizadores num perfil de certificado SCEP, não considere autoritativas as informações recolhidas junto dos utilizadores ou do dispositivo.If you click the Allow certificate enrollment only on the users primary device option in a SCEP certificate profile, do not consider the information that is collected from users or from the device to be authoritative. Se implementar perfis de certificado SCEP com esta configuração e um utilizador administrativo fidedigno não especificar a afinidade dispositivo/utilizador, os utilizadores não autorizados poderão obter privilégios elevados e certificados para autenticação.If you deploy SCEP certificate profiles with this configuration and a trusted administrative user does not specify user device affinity, unauthorized users might receive elevated privileges and be granted certificates for authentication.

Nota: Se ativar a configuração baseada na utilização, estas informações serão obtidas utilizando mensagens de estado que não são protegidas pelo System Center Configuration Manager.Note: If you do enable usage-based configuration, this information is collected by using state messages that are not secured by System Center Configuration Manager. Para ajudar a atenuar esta ameaça, utilize a assinatura SMB ou IPsec entre computadores cliente e o ponto de gestão.To help mitigate this threat, use SMB signing or IPsec between client computers and the management point.
Não adicione permissões de Leitura e Inscrição para utilizadores aos modelos de certificado ou configure o ponto de registo de certificados para ignorar a verificação do modelo de certificado.Do not add Read and Enroll permissions for users to the certificate templates, or configure the certificate registration point to skip the certificate template check. Apesar do Configuration Manager suporta a verificação adicional se adicionar as permissões de segurança de leitura e inscrição para utilizadores e pode configurar o ponto de registo de certificados para ignorar esta verificação se a autenticação não for possível, nenhuma destas configurações constitui uma melhor prática de segurança.Although Configuration Manager supports the additional check if you add the security permissions of Read and Enroll for users, and you can configure the certificate registration point to skip this check if authentication is not possible, neither configuration is a security best practice. Para mais informações, veja Planear permissões de modelo de certificado para perfis de certificado no System Center Configuration Manager.For more information, see Planning for certificate template permissions for certificate profiles in System Center Configuration Manager.

Informações de Privacidade para Perfis de CertificadoPrivacy Information for Certificate Profiles

Poderá utilizar perfis de certificado para implementar certificados de autoridade de certificação (AC) de raiz e de cliente, avaliando em seguida se esses dispositivos ficam em conformidade após a aplicação dos perfis.You can use certificate profiles to deploy root certification authority (CA) and client certificates, and then evaluate whether those devices become compliant after the profiles are applied. O ponto de gestão envia as informações de compatibilidade para o servidor de site e o System Center Configuration Manager armazena essas informações na base de dados do site.The management point sends compliance information to the site server, and System Center Configuration Manager stores that information in the site database. As informações de conformidade incluem propriedades de certificado, tais como o nome do requerente e o thumbprint.Compliance information includes certificate properties such as subject name and thumbprint. As informações são encriptadas quando os dispositivos as enviam para o ponto de gestão, mas não são armazenadas em formato encriptado na base de dados do site.The information is encrypted when devices send it to the management point, but it is not stored in encrypted format in the site database. A base de dados mantém as informações até que a tarefa de manutenção do site Eliminar Dados de Gestão de Configuração Desatualizados as elimine, após o intervalo predefinido de 90 dias.The database retains the information until the site maintenance task Delete Aged Configuration Management Data deletes it after the default interval of 90 days. Pode configurar o intervalo de eliminação.You can configure the deletion interval. As informações de conformidade não são enviadas à Microsoft.Compliance information is not sent to Microsoft.

Perfis de certificado utilizam as informações que o Configuration Manager recolhe através da deteção.Certificate profiles use information that Configuration Manager collects using discovery. Para mais informações sobre as informações de privacidade para deteção, veja a secção Informações de Privacidade para Deteção em Segurança e privacidade para o System Center Configuration Manager.For more information about privacy information for discovery, see the Privacy Information for Discovery section in Security and privacy for System Center Configuration Manager.

Nota

Os certificados emitidos para utilizadores ou dispositivos poderão permitir o acesso a informações confidenciais.Certificates that are issued to users or devices might allow access to confidential information.

Por predefinição, os dispositivos não avaliam os perfis de certificado.By default, devices do not evaluate certificate profiles. Além disso, terá de configurar os perfis de certificado e implementá-los para os utilizadores ou dispositivos.In addition, you must configure the certificate profiles, and then deploy them to users or devices.

Antes de configurar os perfis de certificado, considere os requisitos de privacidade.Before you configure certificate profiles, consider your privacy requirements.