Warum Active Directory integrierte Zertifizierungsstellen Mitglieder der "Pre-Windows 2000 Compatible Access" Sicherheitsgruppe sind

Im Rahmen von Sicherheitshärtungsmaßnahmen gegen den Active Directory Verzeichnisdienst kommt des Öfteren die Frage auf, warum Active Directory integrierte Zertifizierungsstellen (Enterprise Certification Authority) Mitglieder der Sicherheitsgruppe Pre-Windows 2000 Compatible Access sind.

Während der Installation einer Active Directory integrierten Zertifizierungsstelle wird das Computerobjekt des Servers, auf welchem die Zertifizierungsstelle installiert wird, automatisch von der Installationsroutine als Mitglied in diese Gruppe eingetragen, sofern der Benutzer, der die Zertifizierungsstelle installiert, hierzu berechtigt ist.

Was ist das Problem?

Die Pre-Windows 2000 Compatible Access Sicherheitsgruppe ermöglicht ihren Mitgliedern lesenden Zugriff auf alle Benutzer- und Computerobjekte. Einem Angreifer könnte dies wertvolle Informationen über das Unternehmensnetzwerk liefern.

The Pre-Windows 2000 Compatible Access group is used for backward compatibility for computers that are running Microsoft Windows NT 4.0 and earlier. Members of this group have Read access on all users and groups in the domain.

https://support.microsoft.com/en-us/help/325363/how-to-add-users-to-the-pre-windows-2000-compatible-access-group-in-wi

Warum sind Zertifizierungsstellen Mitglieder dieser Gruppe?

Sofern man die Funktion der eingeschränkten Zertifikatmanager verwendet, müssen die Zertifizierungsstellen Mitglieder dieser Gruppe sein.

If a CA is running on a member server and the Restrict certificate managers property is enabled, then the member server needs to be added to the Pre-Windows 2000 Compatible Access built-in group of every domain from which it will receive certificate requests. Once added to these groups, the administrator of the CA is allowed to issue a certificate for subjects in those domains.

http://technet.microsoft.com/en-us/library/cc773190(v=ws.10).aspx

Kann ich die Zertifizierungsstellen gefahrlos aus der Gruppe entfernen und ist dies sinnvoll?

Wird die Funktion der eingeschränkten Zertifikatmanager nicht verwendet, können die Zertifizierungsstellen gefahrlos aus der Pre-Windows 2000 Compatible Access Sicherheitsgruppe entfernt werden.

Andererseits handelt es sich bei Zertifizierungsstellen ohnehin um hochprivilegierte sicherheitskritische Systeme, die der administrativen Schicht 0 (Tier-0) zuzuordnen sind. Somit hätte man schwerwiegendere Probleme, wenn die Zertifizierungsstelle kompromittiert werden sollte.

Weiterführende Links:

Externe Quellen

Ein Gedanke zu „Warum Active Directory integrierte Zertifizierungsstellen Mitglieder der "Pre-Windows 2000 Compatible Access" Sicherheitsgruppe sind“

Kommentare sind geschlossen.