Sicherheit und Datenschutz für Zertifikatprofile in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Sicherheitsleitfaden

Verwenden Sie die folgende Anleitung, wenn Sie Zertifikatprofile für Benutzer und Geräte verwalten.

Befolgen Sie die Sicherheitsanleitung für den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)

Identifizieren und befolgen Sie sicherheitsrelevante Anleitungen für NDES. Konfigurieren Sie beispielsweise die NDES-Website in Internetinformationsdienste (IIS), um HTTPS zu erfordern und Clientzertifikate zu ignorieren.

Weitere Informationen finden Sie unter Leitfaden zum Registrierungsdienst für Netzwerkgeräte.

Auswählen der sichersten Optionen für Zertifikatprofile

Wählen Sie beim Konfigurieren von SCEP-Zertifikatprofilen die sichersten Optionen aus, die Geräte und Ihre Infrastruktur unterstützen können. Identifizieren, implementieren und befolgen Sie alle Sicherheitsrichtlinien, die für Ihre Geräte und Infrastruktur empfohlen werden.

Zentrales Angeben der Affinität zwischen Benutzer und Gerät

Geben Sie die Affinität zwischen Benutzer und Gerät manuell an, anstatt benutzern zu erlauben, ihr primäres Gerät zu identifizieren. Aktivieren Sie keine nutzungsbasierte Konfiguration.

Wenn Sie in einem SCEP-Zertifikatprofil die Option Zertifikatregistrierung nur auf dem primären Gerät des Benutzers zulassen verwenden, sollten Sie die von Benutzern oder vom Gerät gesammelten Informationen nicht als autoritativ betrachten. Wenn Sie SCEP-Zertifikatprofile mit dieser Konfiguration bereitstellen und ein vertrauenswürdiger Administrator keine Affinität zwischen Benutzer und Gerät angibt, erhalten nicht autorisierte Benutzer möglicherweise erhöhte Berechtigungen und erhalten Zertifikate für die Authentifizierung.

Verwalten von Zertifikatvorlagenberechtigungen

Fügen Sie den Zertifikatvorlagen keine Lese- und Registrierungsberechtigungen für Benutzer hinzu. Konfigurieren Sie den Zertifikatregistrierungspunkt nicht so, dass die Zertifikatvorlagenüberprüfung übersprungen wird.

Configuration Manager unterstützt die zusätzliche Überprüfung, wenn Sie die Sicherheitsberechtigungen Lesen und Registrieren für Benutzer hinzufügen. Wenn die Authentifizierung nicht möglich ist, können Sie den Zertifikatregistrierungspunkt so konfigurieren, dass diese Überprüfung übersprungen wird. Beide Konfigurationen werden jedoch nicht empfohlen.

Weitere Informationen finden Sie unter Planen von Zertifikatvorlagenberechtigungen für Zertifikatprofile.

Datenschutzinformationen

Sie können Zertifikatprofile verwenden, um Stammzertifizierungsstelle und Clientzertifikate bereitzustellen und dann zu bewerten, ob diese Geräte kompatibel sind, nachdem der Client die Profile angewendet hat. Der Verwaltungspunkt sendet Konformitätsinformationen an den Standortserver, und Configuration Manager speichert diese Informationen in der Standortdatenbank. Kompatibilitätsinformationen umfassen Zertifikateigenschaften wie Antragstellername und Fingerabdruck. Der Client verschlüsselt diese Informationen, wenn sie an den Verwaltungspunkt gesendet werden, aber die Standortdatenbank speichert sie nicht in einem verschlüsselten Format. Complianceinformationen werden nicht an Microsoft gesendet.

Zertifikatprofile verwenden Informationen, die Configuration Manager mithilfe der Ermittlung erfassen. Weitere Informationen finden Sie unter Datenschutzinformationen für die Ermittlung.

Standardmäßig werten Geräte keine Zertifikatprofile aus. Sie müssen die Zertifikatprofile konfigurieren und dann für Benutzer oder Geräte bereitstellen.