Säkerhet och sekretess för certifikatprofiler i Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Viktigt
Från och med version 2203 stöds inte längre den här åtkomstfunktionen för företagsresurser. Mer information finns i Vanliga frågor och svar om utfasning av resursåtkomst.
Säkerhetsvägledning
Använd följande vägledning när du hanterar certifikatprofiler för användare och enheter.
Följ säkerhetsvägledningen för registreringstjänsten för nätverksenheter (NDES)
Identifiera och följ eventuella säkerhetsriktlinjer för NDES. Konfigurera till exempel NDES-webbplatsen i IIS (Internet Information Services) för att kräva HTTPS och ignorera klientcertifikat.
Mer information finns i Vägledning för registreringstjänsten för nätverksenheter.
Välj de säkraste alternativen för certifikatprofiler
När du konfigurerar SCEP-certifikatprofiler väljer du de säkraste alternativen som enheter och din infrastruktur kan stödja. Identifiera, implementera och följ eventuella säkerhetsriktlinjer som rekommenderas för dina enheter och din infrastruktur.
Ange mappning mellan användare och enhet centralt
Ange mappning mellan användare och enhet manuellt i stället för att tillåta användare att identifiera sin primära enhet. Aktivera inte användningsbaserad konfiguration.
Om du använder alternativet i en SCEP-certifikatprofil till Tillåt endast certifikatregistrering på användarens primära enhet bör du inte betrakta informationen som samlas in från användare eller från enheten som auktoritativ. Om du distribuerar SCEP-certifikatprofiler med den här konfigurationen och en betrodd administrativ användare inte anger mappning mellan användare och enhet, kan obehöriga användare få utökade privilegier och beviljas certifikat för autentisering.
Obs!
Om du aktiverar användningsbaserad konfiguration samlas den här informationen in med hjälp av tillståndsmeddelanden. Configuration Manager skyddar inte tillståndsmeddelanden. Du kan åtgärda det här hotet genom att använda SMB-signering eller IPsec mellan klientdatorer och hanteringsplatsen.
Hantera behörigheter för certifikatmallar
Lägg inte till läs- och registreringsbehörigheter för användare i certifikatmallarna. Konfigurera inte certifikatregistreringsplatsen för att hoppa över kontrollen av certifikatmallen.
Configuration Manager har stöd för den extra kontrollen om du lägger till säkerhetsbehörigheterna Läs och Registrera för användare. Om autentisering inte är möjligt kan du konfigurera certifikatregistreringsplatsen för att hoppa över den här kontrollen. Men ingen av konfigurationerna rekommenderas.
Mer information finns i Planera för certifikatmallsbehörigheter för certifikatprofiler.
Sekretessinformation
Du kan använda certifikatprofiler för att distribuera rotcertifikatutfärdare (CA) och klientcertifikat och sedan utvärdera om enheterna blir kompatibla när klienten har tillämpat profilerna. Hanteringsplatsen skickar efterlevnadsinformation till platsservern och Configuration Manager lagrar den informationen i platsdatabasen. Efterlevnadsinformationen omfattar certifikategenskaper som ämnesnamn och tumavtryck. Klienten krypterar den här informationen när den skickas till hanteringsplatsen, men platsdatabasen lagrar den inte i ett krypterat format. Kompatibilitetsinformation skickas inte till Microsoft.
Certifikatprofiler använder information som Configuration Manager samlar in med identifiering. Mer information finns i Sekretessinformation för identifiering.
Som standard utvärderar enheter inte certifikatprofiler. Du måste konfigurera certifikatprofilerna och sedan distribuera dem till användare eller enheter.
Obs!
Certifikat som utfärdas till användare eller enheter kan ge åtkomst till konfidentiell information.