Den Network Device Enrollment Service (NDES) für den Betrieb ohne Passwort konfigurieren

Autor Uwe GradeneggerVeröffentlicht am Kategorien Registrierungsdienst für Netzwerkgeräte (NDES), SecuritySchlagwörter

Es gibt Situationen, in welchen man NDES nicht mit wechselnden Passwörtern betreiben kann. Meist ist dies der Fall, wenn es entweder keine Managementlösung für die zu verwaltenden Geräte gibt, oder wenn diese nicht mit wechselnden Passwörtern umgehen kann. Manche Lösungen können überhaupt nicht mit einem Passwort umgehen.

In diesem Fall kann man NDES konfigurieren, kein Passwort zu generieren oder zu verlangen.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Diese Konfiguration ist latent unsicher, da jeder, der sich mit dem NDES-Server verbinden kann, beliebig Zertifikate für die im NDES hinterlegte Zertifikatvorlage beantragen kann, was unter Umständen die Sicherheit des gesamten Netzwerks unterwandert. Sollte es im Netzwerk mehrere Anwendungen geben, welche die Verwendung ohne Passwort erfordern, ist es ratsam, für jedes einen separaten NDES-Server bereitzustellen. Falls möglich, sollten Firewallregeln eingerichtet werden, welche die Verbindungen zu NDES auf die berechtigten Systeme einschränken.

Die gewünschte Einstellung befindet sich in folgendem Registry-Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\EnforcePassword

Darunter befindet sich ein 32-Bit DWORD Wert namens EnforcePassword, welcher in der Standardinstallation auf 1 gesetzt ist. Durch setzen des Wertes auf 0 wird der Betrieb ohne Passwort aktiviert.

Anschließend kann der NDES Dienst mit dem iisreset Befehl neu gestartet werden, sodass die neue Konfiguration eingelesen werden kann.

Die NDES Administrations-Webseite (mscep_admin) sollte nun kein Passwort mehr anzeigen. Leider gibt es keinen expliziten Hinweis darauf, dass NDES ohne Passwort konfiguriert ist.

Weiterführende Links:

de_DEDeutsch
en_USEnglish de_DEDeutsch