Segurança e privacidade para perfis de certificados no Gestor de Configuração

Artigo
08/14/2021

Aplica-se a: Configuration Manager (ramo atual)

Importante

A partir da versão 2103 do Gestor de Configuração, esta funcionalidade de acesso a recursos da empresa é depreciada. Utilize Microsoft Intune para implementar perfis de acessoa recursos .

Diretrizes de segurança

Utilize as seguintes orientações quando gerir perfis de certificados para utilizadores e dispositivos.

Siga as orientações de segurança para o Serviço de Inscrição de Dispositivos de Rede (NDES)

Identifique e siga qualquer orientação de segurança para o NDES. Por exemplo, configurar o website da NDES em Serviços de Informação Internet (IIS) para exigir HTTPS e ignorar certificados de cliente.

Para obter mais informações, consulte a Orientação do Serviço de Inscrição de Dispositivos de Rede.

Escolha as opções mais seguras para perfis de certificados

Ao configurar os perfis de certificado SCEP, escolha as opções mais seguras suportadas pelos dispositivos e pela infraestrutura. Identifique, implemente e siga qualquer orientação de segurança recomendada para os seus dispositivos e infraestruturas.

Especificar centralmente afinidade do dispositivo de utilizador

Especifique manualmente a afinidade dispositivo/utilizador em vez de permitir que os utilizadores identifiquem o respetivo dispositivo primário. Não ative a configuração baseada no uso.

Se utilizar a opção num perfil de certificado SCEP para permitir a inscrição de certificado apenas no dispositivo primário dos utilizadores, não considere as informações recolhidas junto dos utilizadores ou do dispositivo como autorizadas. Se implementar perfis de certificado SCEP com esta configuração, e um utilizador administrativo de confiança não especificar afinidade do dispositivo de utilizador, os utilizadores não autorizados poderão receber privilégios elevados e receber certificados de autenticação.

Nota

Se ativar a configuração baseada na utilização, estas informações são recolhidas utilizando mensagens estatais. O Gestor de Configuração não protege as mensagens estatais. Para ajudar a atenuar esta ameaça, utilize a assinatura SMB ou IPsec entre computadores cliente e o ponto de gestão.

Gerir permissões de modelo de certificado

Não adicione permissões de Leitura e Inscrição para utilizadores nos modelos de certificado. Não configuure o ponto de registo do certificado para saltar a verificação do modelo de certificado.

O Gestor de Configuração suporta a verificação extra se adicionar as permissões de segurança de Ler e Inscrever para os utilizadores. Se a autenticação não for possível, pode configurar o ponto de registo do certificado para saltar esta verificação. Mas nenhuma das configurações é recomendada.

Para obter mais informações, consulte Planeamento para permissões de modelo de certificado para perfis de certificados.

Privacy information (Informações de privacidade)

Pode utilizar perfis de certificados para implementar certificados da Autoridade de Certificação de Raiz (CA) e do cliente e, em seguida, avaliar se esses dispositivos ficam em conformidade com o cliente após o cliente aplicar os perfis. O ponto de gestão envia informações de conformidade para o servidor do site, e o Gestor de Configuração armazena essa informação na base de dados do site. As informações de conformidade incluem propriedades de certificado, tais como o nome do requerente e o thumbprint. O cliente encripta esta informação quando enviado para o ponto de gestão, mas a base de dados do site não a armazena num formato encriptado. A informação de conformidade não é enviada para a Microsoft.

Os perfis de certificado utilizam informações que o Gestor de Configuração recolhe através da descoberta. Para mais informações, consulte as informações de privacidade para a descoberta.

Por padrão, os dispositivos não avaliam os perfis de certificados. É necessário configurar os perfis dos certificados e, em seguida, implantá-los para utilizadores ou dispositivos.