É possível usar uma administração baseada em função para organizar em funções predefinidas diferentes os administradores de autoridade de certificação (CA), cada um com seu próprio conjunto de funções. As funções são atribuídas usando as configurações de segurança de cada usuário. É possível atribuir uma função através da atribuição ao usuário de configurações de segurança específicas associadas à função. Um usuário que tenha um tipo de permissão, tal como a permissão Gerenciar Autoridade de Certificação, poderá realizar tarefas de Autoridades de Certificação específicas que não podem ser realizadas por usuários com outros tipos de permissão, como permissões Emitir e Gerenciar Certificados.
A tabela a seguir descreve as funções, usuários e grupos que podem ser usados para implementar a administração baseada em função. Para atribuir uma função a um usuário ou grupo, é necessário atribuir ao usuário ou grupo as permissões de segurança, as participações em grupo ou os direitos de usuário correspondentes à função. Essas permissões de segurança, participações em grupo e direitos de usuário são utilizados para distinguir as funções de cada usuário.
| Funções e grupos | Permissão de segurança | Descrição |
|---|---|---|
|
Administrador de Autoridade de Certificação |
Gerenciar Autoridade de Certificação |
Configurar e manter a Autoridade de Certificação. Essa é uma função de Autoridade de Certificação que inclui a habilidade de atribuir todas as outras funções de Autoridade de Certificação e renovar certificados de Autoridade de Certificação. Essas permissões são atribuídas usando o snap-in Autoridade de Certificação. |
|
Gerenciador de certificados |
Emitir e Gerenciar Certificados |
Aprovar as solicitações de inscrição e revogação de certificado. Essa é uma função de Autoridade de Certificação. Essa função é às vezes chamada de diretor de Autoridade de Certificação. Essas permissões são atribuídas usando o snap-in Autoridade de Certificação. |
|
Operador de cópia |
Fazer backup de arquivos e diretórios Restaurar arquivos e diretórios |
Executa o backup e a recuperação do sistema. Backup é um recurso do sistema operacional. |
|
Auditor |
Gerenciar a auditoria e o log de segurança |
Configurar, exibir e manter logs de auditoria. A auditoria é um recurso do sistema operacional. Auditor é uma função do sistema operacional. |
|
Usuários Registrados |
Leitura Registrar |
Usuários Registrados são clientes autorizados a solicitar certificados de uma Autoridade de Certificação. Essa não é uma função de Autoridade de Certificação. |
Todas as funções de Autoridade de Certificação são atribuídas e modificadas por membros dos grupos locais de Administradores, Administradores Corporativos ou Admins. do domínio. Em Autoridade de Certificação corporativas, os administradores locais, administradores corporativos e administradores de domínio são administradores CA por padrão. Apenas administradores locais são administradores CA por padrão em uma CA autônoma. Se uma CA autônoma for instalada em um servidor membro de um domínio do Active Directory, os administradores de domínio também são administradores de Autoridade de Certificação.
As funções de gerenciador de certificado e administrador de Autoridade de Certificação podem ser atribuídas a usuários do Active Directory ou a usuários locais no Gerente de Contas de Segurança (SAM) do computador local, que é o banco de dados de conta de segurança local. Como prática recomendada, você deverá atribuir funções a contas de grupos em vez de contas de usuários individuais.
Apenas administrador de Autoridade de Certificação, gerenciador de certificado, auditor e operador de cópia são funções de Autoridade de Certificação. Os outros usuários descritos na tabela são relevantes à administração baseada em função e devem ser compreendidos antes de atribuir funções de Autoridade de Certificação.
Apenas administradores de Autoridade de Certificação e gerenciadores de certificados são atribuídos usando o snap-in Autoridade de Certificação. Para alterar as permissões de um usuário ou grupo, é necessário alterar as permissões de segurança, participação em grupo ou direitos do usuário.
 | Para definir as permissões de segurança de administrador de Autoridade de Certificação e gerenciador de certificados de uma Autoridade de Certificação. |
Abra o snap-in Autoridade de Certificação.
Na árvore de console, clique no nome de uma Autoridade de Certificação.
No menu Ação, clique em Propriedades.
Clique na guia Segurança e especifique as permissões de segurança.
Funções e atividades
Cada função de Autoridade de Certificação tem uma lista específica de tarefas de administração de Autoridade de Certificação associadas a ela. A tabela a seguir relaciona todas as tarefa de administração de Autoridade de Certificação juntamente com as funções nas quais são realizadas.
| Atividade | Administrador de Autoridade de Certificação | Gerenciador de certificados | Auditor | Operador de backup | Administrador local | Observações |
|---|---|---|---|---|---|---|
|
Instalar Autoridades de Certificação |
|
|
|
|
X |
|
|
Configurar módulos de saída e diretiva |
X |
|
|
|
|
|
|
Interromper e iniciar os Serviços de Certificados do Active Directory (AD CS) |
X |
|
|
|
|
|
|
Configurar extensões |
X |
|
|
|
|
|
|
Configurar funções |
X |
|
|
|
|
|
|
Renovar chaves de Autoridade de Certificação |
|
|
|
|
X |
|
|
Definir agentes de recuperação de chave |
X |
|
|
|
|
|
|
Configurar restrições de gerenciador de certificados |
X |
|
|
|
|
|
|
Excluir uma única linha no banco de dados de Autoridade de Certificação |
X |
|
|
|
|
|
|
Excluir várias linhas no banco de dados de Autoridade de Certificação (exclusão em massa) |
X |
X |
|
|
|
O usuário deve ser um administrador de Autoridade de Certificação e um gerenciador de certificados. Essa atividade não pode ser realizada quando a separação de função está em vigor. |
|
Habilitar a separação de função |
|
|
|
|
X |
|
|
Emitir e aprovar certificados |
|
X |
|
|
|
|
|
Negar certificados. |
|
X |
|
|
|
|
|
Revogar certificados |
|
X |
|
|
|
|
|
Reativar certificados em espera |
|
X |
|
|
|
|
|
Renovar certificados |
|
X |
|
|
|
|
|
Habilitar, publicar ou configurar programações da lista de revogação de certificados (CRL) |
X |
|
|
|
|
|
|
Recuperar chaves arquivadas |
|
X |
|
|
|
Apenas um gerenciador de certificados pode recuperar a estrutura de dados de chave criptografada do banco de dados da Autoridade de Certificação. A chave privada de um agente de recuperação de chave válida é necessária para descriptografar a estrutura de dados de chave e gerar um arquivo PKCS nº 12. |
|
Configurar parâmetros de auditoria |
|
|
X |
|
|
Por padrão, o administrador local possui o direito de usuário de auditoria do sistema. |
|
Logs de auditoria |
|
|
X |
|
|
Por padrão, o administrador local possui o direito de usuário de auditoria do sistema. |
|
Fazer backup do sistema |
|
|
|
X |
|
Por padrão, o administrador local possui o direito de usuário backup do sistema. |
|
Restaurar o sistema |
|
|
|
X |
|
Por padrão, o administrador local possui o direito de usuário backup do sistema. |
|
Ler o banco de dados da Autoridade de Certificação |
X |
X |
X |
X |
|
Por padrão, o administrador local possui o direito de usuário auditoria do sistema e backup do sistema. |
|
Ler informações de configuração de Autoridade de Certificação |
X |
X |
X |
X |
|
Por padrão, o administrador local possui os direitos de usuário auditoria do sistema e backup do sistema. |
Considerações adicionais
-
Os usuários registrados podem ler propriedades de Autoridade de Certificação e CRLs, e podem solicitar certificados. Em uma Autoridade de Certificação corporativa, um usuário deve ter permissões Ler e Registrar no modelo do certificado a fim de solicitar um certificado. Apenas administradores de Autoridade de Certificação, gerenciadores de certificado, auditores e operadores de cópia têm permissões Ler.
-
Um auditor tem o direito de usuário auditoria do sistema.
-
Um operador de cópia possui o direito de usuário backup do sistema. Além disso, o operador de cópia é capaz de interromper e iniciar os Serviços de Certificados do Active Directory (AD CS).
Atribuindo funções
O administrador de Autoridade de Certificação de uma Autoridade de Certificação atribui usuários às várias funções da administração baseada em função aplicando à conta do usuário as configurações de segurança necessárias à função. O administrador de Autoridade de Certificação pode atribuir um usuário a mais de uma função, porém a Autoridade de Certificação estará mais segura quando cada usuário possuir apenas uma função. Quando essa estratégia de delegação for usada, menos tarefas da Autoridade de Certificação estarão comprometidas caso a conta de um usuário esteja em risco.
Considerações do administrador
A configuração de instalação padrão de uma Autoridade de Certificação autônoma é ter membros do grupo Administradores local como administradores da Autoridade de Certificação. A configuração de instalação padrão de uma Autoridade de Certificação corporativa é ter membros dos grupos Administradores, Administradores corporativos e Admins. do Domínio como administradores da Autoridade de Certificação. Para restringir o poder de cada uma dessas contas, elas deverão ser removidas das funções de administrador da Autoridade de Certificação e gerenciador de certificados quando todas as funções da Autoridade de Certificação forem atribuídas.
Como prática recomendada, as contas de grupo atribuídas às funções de administrador da Autoridade de Certificação ou gerenciador de certificados não devem ser membros do grupo Administradores local. Além disso, funções de Autoridade de Certificação deverão ser atribuídas somente a contas de grupos em vez de contas de usuários individuais.
 | Observação |
|
É necessário ser membro do grupo Administradores local na Autoridade de Certificação para renovar um certificado de Autoridade de Certificação. Os membros desse grupo podem exercer autoridade administrativa sobre todas as outras funções de Autoridade de Certificação. |