如何验证和保护 NDES 证书模板权限？

确定 NDES 使用的模板

• 打开 注册表编辑器 (regedit.exe) and navigate to:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
• 检查以下值 EncryptionTemplate, GeneralPurposeTemplate，以及 SignatureTemplate.
• 注意在 数据 列中列出的模板名称（例如， ndestemp).

打开证书模板控制台并定位模板

• 打开 证书颁发机构 console (certsrv.msc).
• 右键点击 证书模板 并选择 管理.
• 定位注册表中识别的模板名称，右键点击它，选择 属性.

验证安全权限

• 打开 安全 选项卡。
• 审查所有 组或用户名 并确保：
  • 只有 NDES 服务帐户 拥有 注册 权限。
  • 广泛的组 没有 注册权限（例如，域用户、经过身份验证的用户或其他大型组）。
  • 管理组仅拥有最低所需权限（通常为 读取).
• 移除或取消选中任何不必要的 注册 / 自动注册 权限。

应用更新的权限

• 点击 应用，然后 确定.
• 关闭证书模板管理窗口。

重启 IIS 以应用更改

• 打开 命令提示符 或 PowerShell 以管理员身份运行。
• 等待 IIS 成功重启，然后验证 SCEP/NDES 是否再次可访问。

有关保护 NDES 证书模板的更多信息，请参阅官方 Microsoft 文档 .

审计 NDES 模板签发的证书

在确认 NDES 模板配置正确且受限后，审核证书颁发机构以确保证书仅 签发给 NDES 服务帐户。

打开证书颁发机构控制台

• 在 CA 服务器上启动 certsrv.msc 展开
• 证书颁发机构 节点。 选择
• 已签发证书 验证请求者帐户.

对于使用 NDES 模板签发的每个证书：

检查

• 请求者名称 列。 确保其与 NDES 服务帐户匹配（例如，
• DOMAIN\ndes 如果有证书是由除目标 NDES 帐户以外的用户请求，则模板权限过于宽泛。请立即调查和处理。).

撤销非授权证书

如果发现任何非授权证书：

右键点击证书条目。

• 选择
• 所有任务 → 撤销证书 选择撤销原因（例如，.
• 未指定 确认。).
• 这可以防止未经授权的证书被用于身份验证或注册。

审查 AD CS 模板配置

审查为 SCEP 协议配置的 AD CS 证书模板权限，确保其符合推荐的安全设置。审查完成后，继续进行 CA 服务器配置以确认审查结果。

确认 AD CS 证书权限配置的步骤

在 MDM 控制台中，导航到

1. 设备管理 > 证书 > CA 服务器 。定位已配置的Microsoft ADCS 服务器，点击 更多操作（⋯） 图标，选择 修改 在.

页面，显示 在 AD CS 验证确认 复选框以确认审查。 选择

复选框以确认已完成 AD CS 模板审查，然后点击 复选框以确认审查。 保存 配置 iOS 的 SCEP 第 18 步.