Планирование разрешений шаблона сертификата для профилей сертификатов в Configuration Manager
Относится к Configuration Manager (Current Branch)
Важно!
Начиная с версии 2203 эта функция доступа к ресурсам компании больше не поддерживается. Дополнительные сведения см. в статье Часто задаваемые вопросы об устаревании доступа к ресурсам.
Следующие сведения помогут вам спланировать настройку разрешений для шаблонов сертификатов, которые Configuration Manager использовать при развертывании профилей сертификатов.
Разрешения и рекомендации по безопасности по умолчанию
Разрешения безопасности по умолчанию, необходимые для шаблонов сертификатов, которые Configuration Manager будут использовать для запроса сертификатов для пользователей и устройств:
Чтение и регистрация учетной записи, которую использует пул приложений Службы регистрации сетевых устройств
Чтение учетной записи, которая запускает консоль Configuration Manager
Дополнительные сведения об этих разрешениях безопасности см. в разделе Настройка инфраструктуры сертификатов.
При использовании этой конфигурации по умолчанию пользователи и устройства не могут напрямую запрашивать сертификаты из шаблонов сертификатов, и все запросы должны инициироваться службой регистрации сетевых устройств. Это важное ограничение, так как эти шаблоны сертификатов должны быть настроены с помощью предложения в запросе для субъекта сертификата. Это означает, что существует риск олицетворения, если пользователь-изгой или скомпрометированное устройство запрашивает сертификат. В конфигурации по умолчанию служба регистрации сетевых устройств должна инициировать такой запрос. Однако этот риск олицетворения сохраняется, если служба, в которой выполняется служба регистрации сетевых устройств, скомпрометирована. Чтобы избежать этого риска, следуйте всем рекомендациям по безопасности для службы регистрации сетевых устройств и компьютера, на котором запущена эта служба ролей.
Если разрешения безопасности по умолчанию не соответствуют бизнес-требованиям, вы можете настроить разрешения безопасности для шаблонов сертификатов: вы можете добавить разрешения на чтение и регистрацию для пользователей и компьютеров.
Добавление разрешений на чтение и регистрацию для пользователей и компьютеров
Добавление разрешений на чтение и регистрацию для пользователей и компьютеров может быть целесообразно, если отдельная команда управляет инфраструктурой центра сертификации (ЦС), и эта отдельная команда хочет Configuration Manager убедиться, что у пользователей есть действительная учетная запись доменные службы Active Directory, прежде чем отправлять им профиль сертификата для запроса пользователя. Сертификат. Для этой конфигурации необходимо указать одну или несколько групп безопасности, содержащих пользователей, а затем предоставить этим группам разрешения на чтение и регистрацию в шаблонах сертификатов. В этом сценарии администратор ЦС управляет элементом управления безопасностью.
Аналогичным образом можно указать одну или несколько групп безопасности, содержащих учетные записи компьютеров, и предоставить этим группам разрешения на чтение и регистрацию в шаблонах сертификатов. При развертывании профиля сертификата компьютера на компьютере, который является членом домена, учетной записи компьютера этого компьютера должны быть предоставлены разрешения на чтение и регистрацию. Эти разрешения не требуются, если компьютер не является членом домена. Например, если это компьютер рабочей группы или личное мобильное устройство.
Хотя в этой конфигурации используется другой элемент управления безопасностью, мы не рекомендуем использовать его в качестве рекомендации. Причина заключается в том, что указанные пользователи или владельцы устройств могут запрашивать сертификаты независимо от Configuration Manager и предоставлять значения субъекта сертификата, которые могут использоваться для олицетворения другого пользователя или устройства.
Кроме того, если указать учетные записи, которые не могут пройти проверку подлинности во время запроса на сертификат, запрос сертификата по умолчанию завершится ошибкой. Например, запрос сертификата завершится ошибкой, если сервер, на котором запущена служба регистрации сетевых устройств, находится в лесу Active Directory, который не является доверенным для леса, содержащего сервер системы сайта точки регистрации сертификатов. Вы можете настроить точку регистрации сертификата, чтобы продолжить работу, если учетная запись не может пройти проверку подлинности, так как контроллер домена не ответил. Однако это не рекомендуется для обеспечения безопасности.
Если точка регистрации сертификата настроена для проверка разрешений учетной записи, а контроллер домена доступен и отклоняет запрос на проверку подлинности (например, учетная запись заблокирована или удалена), запрос на регистрацию сертификата завершится ошибкой.
Проверка разрешений на чтение и регистрацию для пользователей и компьютеров, соответствующих домену
На сервере системы сайта, на котором размещена точка регистрации сертификатов, создайте следующий раздел реестра DWORD со значением 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
Если учетная запись не может пройти проверку подлинности из-за отсутствия ответа от контроллера домена, и вы хотите обойти разрешения проверка:
- На сервере системы сайта, на котором размещена точка регистрации сертификатов, создайте следующий раздел реестра DWORD со значением 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
В выдающем ЦС на вкладке Безопасность в свойствах шаблона сертификата добавьте одну или несколько групп безопасности, чтобы предоставить учетным записям пользователей или устройств разрешения на чтение и регистрацию.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по