Безопасность и конфиденциальность профилей сертификатов в System Center Configuration ManagerSecurity and privacy for certificate profiles in System Center Configuration Manager

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Рекомендации по безопасности для профилей сертификатовSecurity Best Practices for Certificate Profiles

При управлении профилями сертификатов для пользователей и устройств необходимо учитывать следующие рекомендации по безопасности.Use the following security best practices when you manage certificate profiles for users and devices.

Рекомендация по безопасностиSecurity best practice Дополнительные сведенияMore information
Определите и выполните все рекомендации по безопасности для службы регистрации сертификатов для сетевых устройств (NDES), в том числе по настройке использования SSL и игнорирования сертификатов клиентов для веб-сайта службы регистрации сертификатов для сетевых устройств в службах IIS.Identify and follow any security best practices for the Network Device Enrollment Service, which includes configuring the Network Device Enrollment Service website in Internet Information Services (IIS) to require SSL and ignore client certificates. См. статью Network Device Enrollment Service Guidance (Руководство по работе со службой регистрации сертификатов для сетевых устройств) в библиотеке TechNet для служб сертификатов Active Directory.See Network Device Enrollment Service Guidance in the Active Directory Certificate Services library on TechNet.
При настройке профилей сертификатов SCEP выбирайте наиболее безопасные параметры, поддерживаемые устройствами и инфраструктурой.When you configure SCEP certificate profiles, choose the most secure options that devices and your infrastructure can support. Определите, реализуйте и выполните все рекомендации по безопасности для устройств и инфраструктуры.Identify, implement, and follow any security best practices that have been recommended for your devices and infrastructure.
Укажите сопоставление пользователей и устройств вручную, а не позволяйте пользователям идентифицировать свое основное устройство.Manually specify user device affinity instead of allowing users to identify their primary device. Кроме того, не включайте конфигурацию на основе использования.In addition, do not enable usage-based configuration. Если в профиле сертификата SCEP выбран параметр Разрешить регистрацию сертификатов только на основном устройстве пользователя , сведения, полученные от пользователей или от устройства, нельзя считать достоверными.If you click the Allow certificate enrollment only on the users primary device option in a SCEP certificate profile, do not consider the information that is collected from users or from the device to be authoritative. Если выполняется развертывание профилей сертификатов SCEP с такой конфигурацией и доверенный пользователь с правами администратора не указал сопоставление пользователей и устройств, неавторизованные пользователи могут получить повышенные привилегии и сертификаты для проверки подлинности.If you deploy SCEP certificate profiles with this configuration and a trusted administrative user does not specify user device affinity, unauthorized users might receive elevated privileges and be granted certificates for authentication.

Примечание. Если включена конфигурация на основе использования, для сбора этих сведений применяются сообщения о состоянии, которые не защищены с помощью System Center Configuration Manager.Note: If you do enable usage-based configuration, this information is collected by using state messages that are not secured by System Center Configuration Manager. Чтобы минимизировать эту угрозу, используйте подписывание SMB или протокол IPsec между клиентскими компьютерами и точкой управления.To help mitigate this threat, use SMB signing or IPsec between client computers and the management point.
Не предоставляйте пользователям разрешения на чтение и регистрацию шаблонов сертификатов или настройте точку регистрации сертификатов таким образом, чтобы проверка шаблонов сертификатов не выполнялась.Do not add Read and Enroll permissions for users to the certificate templates, or configure the certificate registration point to skip the certificate template check. Несмотря на то, что Configuration Manager поддерживает дополнительную проверку, если пользователям предоставлены разрешения системы безопасности на чтение и регистрацию и можно настроить точку регистрации сертификатов, чтобы эта проверка не выполнялась, если проверка подлинности невозможна, ни одну из конфигураций не рекомендуется использовать по соображениям безопасности.Although Configuration Manager supports the additional check if you add the security permissions of Read and Enroll for users, and you can configure the certificate registration point to skip this check if authentication is not possible, neither configuration is a security best practice. Дополнительные сведения см. в статье Планирование разрешений шаблонов сертификатов для профилей сертификатов в Configuration Manager.For more information, see Planning for certificate template permissions for certificate profiles in System Center Configuration Manager.

Сведения о конфиденциальности профилей сертификатовPrivacy Information for Certificate Profiles

Можно использовать профили сертификатов для развертывания сертификатов корневого центра сертификации (ЦС) и клиентов, а затем проверять эти устройства на соответствие после применения профилей.You can use certificate profiles to deploy root certification authority (CA) and client certificates, and then evaluate whether those devices become compliant after the profiles are applied. Точка управления отправляет сведения о соответствии на сервер сайта, и System Center Configuration Manager сохраняет их в базе данных сайта.The management point sends compliance information to the site server, and System Center Configuration Manager stores that information in the site database. Сведения о соответствии включают свойства сертификатов, такие как имя субъекта и отпечаток.Compliance information includes certificate properties such as subject name and thumbprint. Эта информация шифруется, когда устройства отправляют ее в точку управления, но не хранится в зашифрованном виде в базе данных сайта.The information is encrypted when devices send it to the management point, but it is not stored in encrypted format in the site database. Информация хранится в базе данных до тех пор, пока не будет удалена при выполнении задачи обслуживания сайта Удаление устаревших данных управления конфигурацией через 90 дней (интервал по умолчанию).The database retains the information until the site maintenance task Delete Aged Configuration Management Data deletes it after the default interval of 90 days. Можно настроить интервал удаления.You can configure the deletion interval. Сведения о соответствии не отправляются в Майкрософт.Compliance information is not sent to Microsoft.

Профили сертификатов используют данные, собранные Configuration Manager в процессе обнаружения.Certificate profiles use information that Configuration Manager collects using discovery. Дополнительные сведения о конфиденциальности обнаружения см. в подразделе Сведения о соблюдении конфиденциальности обнаружения раздела Безопасность и конфиденциальность в System Center Configuration Manager.For more information about privacy information for discovery, see the Privacy Information for Discovery section in Security and privacy for System Center Configuration Manager.

Nota

Сертификаты, выданные пользователям или устройствам, могут разрешать доступ к конфиденциальной информации.Certificates that are issued to users or devices might allow access to confidential information.

По умолчанию устройства не проверяют профили сертификатов.By default, devices do not evaluate certificate profiles. Кроме того, необходимо настроить профили сертификатов, а затем развернуть их для пользователей или устройств.In addition, you must configure the certificate profiles, and then deploy them to users or devices.

Перед настройкой профилей сертификатов следует проанализировать требования к конфиденциальности.Before you configure certificate profiles, consider your privacy requirements.