Pode utilizar uma administração baseada em funções para organizar administradores de ACs (autoridades de certificação) por funções de AC predefinidas, distintas, cada qual com o respectivo conjunto de tarefas. As funções são atribuídas utilizando as definições de segurança de cada utilizador. Uma função é atribuída a um utilizador através da atribuição ao utilizador de definições de segurança específicas que estão associadas à função. Um utilizador com um tipo de permissão, como a permissão Gerir AC, pode efectuar tarefas de AC específicas que um outro utilizador com outro tipo de permissão, como a permissão Emitir e Gerir Certificados, não poderá efectuar.
A tabela que se segue descreve as funções, utilizadores e grupos que podem ser utilizados para implementar uma administração baseada em funções. Para atribuir uma função a um utilizador ou grupo, tem de atribuir as permissões de segurança, associações de grupos ou direitos de utilizador correspondentes à função ao utilizador ou grupo. Estas permissões de segurança, associações de grupos e direitos de utilizador são utilizados para determinar as funções dos utilizadores.
Funções e grupos | Permissão de segurança | Descrição |
---|---|---|
Administrador de AC |
Gerir AC |
Configura e gere a AC. Esta é uma função de AC e inclui a capacidade de atribuir todas as outras funções de AC e renovar o certificado de AC. Estas permissões são atribuídas através do snap-in Autoridade de Certificação. |
Gestor de certificados |
Emitir e Gerir Certificados |
Aprova a inscrição para certificados e pedidos de revogação. Esta é uma função de AC. Esta função é por vezes referida como um responsável por AC. Estas permissões são atribuídas através do snap-in Autoridade de Certificação. |
Operador de cópia de segurança |
Fazer cópia de segurança de ficheiros e directórios Restaurar ficheiros e directórios |
Efectua a cópia de segurança e recuperação do sistema. A criação de cópias de segurança é uma funcionalidade do sistema operativo. |
Auditor |
Gerir registos de auditoria e segurança |
Configura, visualiza e gere registos de auditorias. A auditoria é uma funcionalidade do sistema operativo. O auditor é uma função do sistema operativo. |
Inscritos |
Ler Inscrever |
Os inscritos são clientes que estão autorizados a pedir certificados a uma AC. Esta não é uma função de AC. |
Todas as funções de AC são atribuídas e modificadas por membros dos grupos Administradores locais, Admins da Empresa ou Admins do Domínio. Em ACs empresariais, os administradores locais, administradores empresariais e administradores do domínio são administradores de ACs por predefinição. Apenas os administradores locais são administradores de ACs, por predefinição, numa AC autónoma. Se tiver uma AC autónoma instalada num servidor que está associado a um domínio do Active Directory, os administradores do domínio também são administradores de ACs.
As funções de administrador de AC e gestor de certificados podem ser atribuídas a utilizadores ou utilizadores locais do Active Directory no SAM (Gestor de Contas de Segurança) do computador local, que é a base de dados de contas de segurança locais. Como procedimento recomendado, deve atribuir funções a contas de grupos em vez de a contas de utilizadores individuais.
Apenas o administrador de AC, gestor de certificados, auditor e operador de cópias de segurança são funções de AC. Os outros utilizadores descritos na tabela são relevantes para a administração baseada em funções e deverão ser tidos em consideração antes de atribuir funções de AC.
Apenas os administradores de AC e gestores de certificados são atribuídos através do snap-in Autoridade de Certificação. Para alterar as permissões de um utilizador ou grupo, tem de alterar as permissões de segurança, associação a grupos ou direitos de utilizador do utilizador.
Para definir permissões de segurança do administrador de AC e do gestor de certificados para uma AC |
Abra o snap-in Autoridade de Certificação.
Na árvore da consola, clique no nome da AC.
No menu Acção, clique em Propriedades.
Clique no separador Segurança e especifique as permissões de segurança.
Funções e actividades
Cada função de AC tem uma lista específica de tarefas de administração de ACs associadas. A tabela que se segue lista todas as tarefas de administração de ACs, juntamente com as funções em que são efectuadas.
Actividade | Administrador de AC | Gestor de certificados | Auditor | Operador de cópia de segurança | Administrador local | Notas |
---|---|---|---|---|---|---|
Instalar ACs |
|
|
|
|
X |
|
Configurar módulos de políticas e de saída |
X |
|
|
|
|
|
Parar e iniciar o serviço Serviços de Certificados do Active Directory (AD CS) |
X |
|
|
|
|
|
Configurar extensões |
X |
|
|
|
|
|
Configurar funções |
X |
|
|
|
|
|
Renovar chaves de AC |
|
|
|
|
X |
|
Definir agentes de recuperação de chaves |
X |
|
|
|
|
|
Configurar restrições do gestor de certificados |
X |
|
|
|
|
|
Eliminar uma única linha da base de dados de AC |
X |
|
|
|
|
|
Eliminar várias linhas da base de dados de AC (eliminação em massa) |
X |
X |
|
|
|
O utilizador tem de ser um administrador de AC e um gestor de certificados. Esta actividade não pode ser efectuada se a separação de funções for imposta. |
Activar separação de funções |
|
|
|
|
X |
|
Emitir e aprovar certificados |
|
X |
|
|
|
|
Negar certificados |
|
X |
|
|
|
|
Revogar certificados |
|
X |
|
|
|
|
Reactivar certificados colocados em espera |
|
X |
|
|
|
|
Renovar certificados |
|
X |
|
|
|
|
Activar, publicar ou configurar agendas de CRLs (listas de revogação de certificados) |
X |
|
|
|
|
|
Recuperar chaves arquivadas |
|
X |
|
|
|
Apenas um gestor de certificados pode obter a estrutura de dados de chaves encriptadas a partir da base de dados de AC. A chave privada de um agente de recuperação de chaves válidas é exigida para desencriptar a estrutura de dados de chaves e gerar um ficheiro PKCS #12. |
Configurar parâmetros de auditoria |
|
|
X |
|
|
Por predefinição, o administrador local detém o direito de utilizador auditoria do sistema. |
Registos de auditoria |
|
|
X |
|
|
Por predefinição, o administrador local detém o direito de utilizador auditoria do sistema. |
Fazer cópia de segurança do sistema |
|
|
|
X |
|
Por predefinição, o administrador local detém o direito de utilizador cópia de segurança do sistema. |
Restaurar o sistema |
|
|
|
X |
|
Por predefinição, o administrador local detém o direito de utilizador cópia de segurança do sistema. |
Ler a base de dados de AC |
X |
X |
X |
X |
|
Por predefinição, o administrador local detém os direitos de utilizador auditoria do sistema e cópia de segurança do sistema. |
Ler informações sobre configuração de AC |
X |
X |
X |
X |
|
Por predefinição, o administrador local detém os direitos de utilizador auditoria do sistema e cópia de segurança do sistema. |
Considerações adicionais
-
Os inscritos têm permissão para ler propriedades de ACs e CRLs, e podem pedir certificados. Numa AC empresarial, um utilizador tem de ter permissões para Ler e Inscrever no modelo de certificado para pedir um certificado. Os administradores de AC, gestores de certificados, auditores e operadores de cópia de segurança têm permissões para Ler implícitas.
-
Um auditor detém o direito de utilizador auditoria do sistema.
-
Um operador de cópia de segurança detém o direito de utilizador cópia de segurança do sistema. Além disso, o operador de cópia de segurança tem a capacidade de iniciar e parar o serviço Serviços de Certificados do Active Directory (AD CS).
Atribuir funções
O administrador de ACs relativamente a uma AC atribui funções distintas da administração baseada em funções aos utilizadores aplicando as definições de segurança exigidas por uma função à conta de utilizador. O administrador de AC pode atribuir mais do que uma função a um utilizador, mas a AC estará mais protegida se for atribuída apenas uma função a cada utilizador. Quando esta estratégia de delegação é utilizada, caso uma conta de utilizador fique comprometida, serão comprometidas menos tarefas de ACs.
Preocupações do administrador
A predefinição de instalação de uma AC autónoma consiste em ter membros do grupo Administradores locais como administradores de ACs. A predefinição de instalação de uma AC empresarial consiste em ter membros dos grupos Administradores locais, Admins da empresa e Admins do Domínio como administradores de ACs. Para limitar o poder destas contas, as mesmas deverão ser removidas das funções de administrador de AC e gestor de certificados quando todas as funções de ACs estiverem atribuídas.
Como procedimento recomendado, as contas de grupos com funções de administrador de AC ou gestor de certificados atribuídas não deverão ser membros do grupo Administradores locais. Do mesmo modo, as funções de AC só deverão ser atribuídas a contas de grupos e não a contas de utilizadores individuais.
Nota | |
É necessário ser membro do grupo Administradores locais na AC para renovar um certificado de AC. Os membros deste grupo podem assumir uma autoridade administrativa sobre todas as outras funções de AC. |