Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)

Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.

Komponente	Einordnung
Zertifizierungsstelle	Tier-0
Zugriff auf Stelleninformationen (Authority Information Access, AIA) und Sperrlistenverteilpunkte (CRL Distribution Points, CDP)	Tier-1
Onlineresponder (Online Certificate Status Protocol, OCSP)	Tier-1
Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)	Tier-0
Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES)	Tier-0
Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE)	Tier-0

Details zur Einordnung der Zertifizierungsstelle

Die Zertifizierungsstelle ist aus folgenden Gründen eindeutig dem Tier-0 zuzuordnen:

Die Rolleninstallation benötigt Enterprise Administrator Berechtigungen (kann delegiert werden, siehe Artikel "Die Installation einer Active Directory integrierten Zertifizierungsstelle delegieren").
Die Konfiguration der Zertifikatvorlagen benötigt erhöhte Rechte im Active Directory (kann delegiert werden, siehe Artikel "Die Erstellung und Verwaltung von Zertifikatvorlagen delegieren").
Eine Kompromittierung der Zertifizierungsstelle ermöglicht dem Angreifer die Ausstellung beliebiger Zertifikate und eventuell auch die Übernahme der Active Directory Gesamtstruktur (siehe Artikel "Angriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus").
Der Zugriff auf die Zertifizierungsstelle erfolgt im Regelfall nur über Systeme aus dem internen Netzwerk.

Details zur Einordnung von Zugriff auf Stelleninformationen (Authority Information Access, AIA) und Sperrlistenverteilpunkte (CRL Distribution Poins, CDP)

Die Verteilplunkte für den Zugriff auf Stelleninformationen (Authority Information Access, AIA) und Sperrlistenverteilpunkte (CRL Distribution Poins, CDP) sind aus folgenden Gründen eindeutig dem Tier-1 zuzuordnen:

Die Systeme benötigen keinen direkten Zugang zur Zertifizierungsstelle.
Der Server muss nicht zwingend als Domänenmitglied installiert werden.
Der Zugriff auf die Systeme erfolgt unter Umständen auch von Clients außerhalb des internen Netzwerks (z.B. Internet). Die Server können beispielsweise in einer demilitarisierten Zone (DMZ) plaziert werden.

Details zur Einordnung des Onlineresponders (Online Certificate Status Protocol, OCSP)

Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".

Die Onlineresponder (OCSP) sind aus folgenden Gründen eindeutig dem Tier-1 zuzuordnen:

Der Online-Responder benötigt zwar normalerweise direkten Zugang zur Zertifizierungsstelle, hat hierbei jedoch keine erhöhten Berechtigungen. Der Zugriff auf die Zertifizierungsstelle kann auch ganz unterbunden werden. Der Server muss in diesem Fall nicht zwingend als Domänenmitglied installiert werden..
Zugriff unter Umständen auch von Clients außerhalb des internen Netzwerks (z.B: Internet). Die Server können beispielsweise in einer demilitarisierten Zone (DMZ) plaziert werden.

Details zur Einordnung des Registrierungsdienstes für Netzwerkgeräte (Network Device Enrollment Service, NDES)

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) ist aus folgenden Gründen dem Tier-0 zuzuordnen:

Benötigt Enterprise Administrator Berechtigungen für die Rolleninstallation (kann umgangen werden, siehe Artikel "Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren").
Der Server muss Domänenmitglied sein.
Der Server hat direkten Netzwerkzugang zur Zertifizierungsstelle mit Rechten zur Beantragung von Zertifikaten.
Der Server besitzt ein Zertifikatregistrierungs-Agenten-Zertifikat (Enrollment Agent), welches unter Umständen missbräuchlich verwendet werden kann, um Zertifikate via Enroll on Behalf of (EOBO) zu beantragen.

Unter Umständen kann eine Herabstufung in das Tier-1 erfolgen, wenn folgende Punkte berücksichtigt werden:

Die Rolle wird ohne Enterprise-Administrator-Rechte installiert (siehe oben, wird allerdings nicht offiziell vom Hersteller unterstützt).
Die Verbindung zur Administrations-Webseite des NDES Server wird nur über Secure Sockets Layer (siehe Artikel "Secure Sockets Layer (SSL) für den Registrierungsdienst für Netzwerkgeräte (NDES) aktivieren") erlaubt.
Es werden gehärtete Registration Authority Zertifikate (siehe Artikel "Eigene Registration Authority (RA) Zertifikatvorlagen für den Registrierungsdienst für Netzwerkgeräte (NDES) verwenden") Zertifikate und Gerätevorlagen (siehe Artikel "Gerätevorlage für den Registrierungsdienst für Netzwerkgeräte (NDES) konfigurieren") verwendet.
Der Server ist mit einer Zertifizierungsstelle verbunden, welche ein entsprechend niedriges Vertrauensniveau aufweist und entsprechend sicherheitsgehärtet (siehe Artikel "Sicherheitshärtung einer Zertifizierungsstelle") ist.
Die verbundene Zertifizierungsstelle ist nicht Mitglied von NTAuthCertificates im Active Directory.
Die Möglichkeiten für den beantragbaren Zertifikatinhalt sind durch Namenseinschränkungen der Zertifizierungsstelle oder das TameMyCerts Policy Modul für die Zertifizierungsstelle eingeschränkt.

Details zur Einordnung des Zertifikatregistierungs-Richtliniendienstes (Certificate Enrollment Policy Web Service, CEP)

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Der Zertifikatregistierungs-Richtliniendienst (Certificate Enrollment Policy Web Service, CEP) ist aus folgenden Gründen dem Tier-0 zuzuordnen:

Die Rolleninstallation benötigt Enterprise Administrator Berechtigungen. Hierfür gibt es auch keinen Workaround.
Muss Domänenmitglied sein.
(Benötigt keinen direkten Zugang zur Zertifizierungsstelle)

Details zur Einordnung des Zertifikatregistrierungs-Webdienstes (Certificate Enrollment Web Service, CES)

Der Zertifikatregistrierungs-Webdienst (Certificate Enrollment Web Service, CES) ist aus folgenden Gründen dem Tier-0 zuzuordnen:

Die Rolleninstallation benötigt Enterprise Administrator Berechtigungen. Hierfür gibt es auch keinen Workaround.
Muss Domänenmitglied sein.
Hat direkten Netzwerkzugang zur Zertifizierungsstelle.
Benötigt je nach Konfiguration Kerberos-Delegierung mit oder ohne Protokollübergang (Siehe Artikel "Übersicht über die möglichen Delegierungseinstellungen für den Zertifikatregistrierungs-Webdienst (CES)").

Details zur Einordnung der Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE)

Die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) ist eine Webseite, die Antragstellern ermöglicht, ihre Zertifikatanträge über eine Weboberfläche an eine Zertifizierungsstelle zu senden. Sie eignet sich damit insbesondere für die Einreichung manueller Zertifikatanträge. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE)".

Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.

DIe Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) ist aus folgenden Gründen dem Tier-0 zuzuordnen:

Muss entweder direkt auf der Zertifizierungsstelle installiert werden (nicht empfohlen) oder benötigt Kerberos-Delegierung mit Protokollübergang für einwandfreie Funktion (siehe Artikel "Übersicht über die möglichen Delegierungseinstellungen für die Zertifizierungsstellen-Webregistrierung (CAWE)").
Muss Domänenmitglied sein.
Hat direkten Netzwerkzugang zur Zertifizierungsstelle.
Delegierungseinstellungen können unter Umständen für Angriff auf die Zertifizierungsstelle verwendet werden.

Eine Herabstufung in der Tier-1 kann erfolgen, wenn nur Basic Authentifikation eingesetzt wird, und somit keine Kerberos-Delegierung mit Protokollübergang benötigt wird.