Welcher Cryptographic Service Provider (CSP) sollte für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?

Bei der Konfiguration einer Zertifikatvorlage für die Registration Authority (RA) Zertifikate für den Registrierungsdienste für Netzwerkgeräte (Network Device Enrollment Service, NDES), kommt insbesondere bei der Verwendung von Hardware Security Modulen (HSM) die Frage auf, welcher Cryptographic Service Provider (CSP) des HSM-Herstellers verwendet werden sollte.

„Welcher Cryptographic Service Provider (CSP) sollte für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?“ weiterlesen

Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 503 fehl, und es gibt keine Einträge in der Ereignisanzeige

Folgendes Szenario angenommen:

  • Es ist ein Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) im Netzwerk implementiert.
  • Der NDES Server verwendet ein Domänenkonto oder einen Group Managed Service Account (gMSA) für die Identität des SCEP IIS-Anwendungspools.
  • Die Beantragung von Zertifikaten über NDES schlägt mit HTTP Fehlercode 503 (Server Unavailable) fehl.
  • Der Aufruf der mscep- und mscep_admin Seiten schlägt ebenfalls mit dem HTTP Fehlercode 500 fehl.
  • Auch nach einem iisreset bzw. Neustart des NDES Servers erscheint nach Aufruf der mscep oder mscsp_admin Seite kein Ereignis, dass der NDES Dienst gestartet wäre, oder dass es Fehler gegeben hätte.
„Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 503 fehl, und es gibt keine Einträge in der Ereignisanzeige“ weiterlesen

Was ist bei der Anwendungen der Microsoft Security Baselines zu beachten?

Im Rahmen von Härtungsmaßnahmen bietet es sich an, die von Microsoft herausgegebenen Microsoft Security Baselines auf die eigene Serverlandschaft anzuwenden.

Dies wird zwangsläufig Auswirkungen auf die PKI-Komponenten haben. Nachfolgend eine Übersicht über die zu erwartenden Auswirkungen und Gegenmaßnahmen.

„Was ist bei der Anwendungen der Microsoft Security Baselines zu beachten?“ weiterlesen

Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an

Es gibt einen bekannten Fehler im Zertifikatregistrierungs-Richtlinienwebdienst (Certificate Enrollment Policy Web Service, CEP), der dazu führt, dass Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 bzw. Windows 10 konfiguriert sind, nicht angezeigt werden.

„Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an“ weiterlesen

Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet?

Seit den Verwaltungstools für die Zertifikatdienste in Windows Server 2012 kann man beim Konfigurieren einer Zertifikatvorlage die gewünschte Kompatibilität für die Zertifizierungsstelle und Zertifikatempfänger auswählen.

Nachfolgend wird diese Funktion näher beschrieben, sowie auf mögliche Auswirkungen in der Praxis eingegangen.

„Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet?“ weiterlesen

Übersicht über die Verfügbarkeit von Optionen bei Veränderung der Kompatibilitätseinstellungen einer Zertifikatvorlage

Seit den Verwaltungstools für die Zertifikatdienste in Windows Server 2012 kann man beim Konfigurieren einer Zertifikatvorlage die gewünschte Kompatibilität für die Zertifizierungsstelle und Zertifikatempfänger auswählen.

Nachfolgend eine Übersicht, welche Optionen jeweils verfügbar werden, wenn die Kompatibilitätseinstellungen für die Zertifizierungsstelle und/oder die Zertifikatempfänger verändert werden.

„Übersicht über die Verfügbarkeit von Optionen bei Veränderung der Kompatibilitätseinstellungen einer Zertifikatvorlage“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)"

Folgendes Szenario angenommen:

  • Es wird versucht, ein Zertifikat via Windows PowerShell über die Zertifikatbeantragungs-Richtliniendienste (Certificate Enrollment Web Services) zu beantragen.
  • Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Get-Certificate : CX509EnrollmentPolicyWebService::LoadPolicy: Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)
„Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)"“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Es wird versucht, ein Zertifikat via Windows PowerShell über die Zertifikatbeantragungs-Richtliniendienste (Certificate Enrollment Web Services) zu beantragen. Der Name der Zertifikatvorlage wird mit dem -Template Argument mit angegeben.
  • Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Get-Certificate : CertEnroll::CX509CertificateTemplates::get_ItemByName: Cannot find object or property. 0x80092004
(-2146885628 CRYPT_E_NOT_FOUND)
„Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"“ weiterlesen

Windows Defender erkennt certutil als Schadsoftware (Win32/Ceprolad.A)

Folgendes Szenario angenommen:

certutil -ping -kerberos -config "https://{Servername}/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" CEP 

Der certutil Befehl wird vom Windows Defender bzw. Windows Defenter Advanced Threat Protection fälschlicherweise als Win32/Ceprolad.A erkannt.

„Windows Defender erkennt certutil als Schadsoftware (Win32/Ceprolad.A)“ weiterlesen

Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP)

Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die CEP Komponenten.

„Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP)“ weiterlesen

Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern

Eine neue Funktion von Windows Server 2016 ist, dass die Passwörter für Konten, die eine reine Anmeldung mit Smartcards erfordern, gemäß den Passwortlichtlinien automatisch erneuert werden.

Wird die Option "Smart card is required for interactive logon" für ein Benutzerkonto aktiviert, wird das Kennwort des Benutzerkontos einmalig auf einen zufälligen Wert gesetzt. Das Passwort ändert sich jedoch anschließend nie mehr, was das Konto anfälliger für Pass-the-Hash Angriffe macht.

Die neu eingeführte Funktion löst dieses Problem, indem für entsprechende Konten regelmäßig (in Abhängigkeit der für das Konto konfigurierten Passwortrichtlinie) neue zufallsgenerierte Passwörter erzeugt werden.

„Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern“ weiterlesen

In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 R2 oder 2016 zu Windows Server 2019

Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.

„In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 R2 oder 2016 zu Windows Server 2019“ weiterlesen

In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 SP2 oder 2012 R2 zu Windows Server 2016

Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.

„In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 SP2 oder 2012 R2 zu Windows Server 2016“ weiterlesen

In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2008 R2

Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.

„In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2008 R2“ weiterlesen

In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012

Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.

„In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012“ weiterlesen
de_DEDeutsch