Smartcard Anmeldung im Netzwerk unterbinden

Installiert man die Active Directory Zertifikatdienste in der Standard-Konfiguration, wird die Umgebung automatisch dafür konfiguriert, dass Smartcard-Anmeldungen von den Domänencontrollern akzeptiert werden.

Wenn die Verwendung von Smartcard Anmeldungen nicht gewünscht ist, ist es daher sinnvoll, die Funktionalität abzustellen, um im Falle der Kompromittierung der Zertifizierungsstelle das Active Directory nicht zu gefährden.

Siehe auch Artikel "Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754)".

Unter welchen Umständen ist die Smartcard Logon Funktionalität aktiviert?

Siehe hierzu auch Artikel "Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind?".

Installiert man eine Active Directory integrierte Zertifizierungsstelle, wird ihr Zertifizierungsstellen-Zertifikat in das NTAuthCertificates Objekt in Active Directory Gesamtstruktur kopiert. Dieser Schritt markiert die Zertifizierungsstelle als nutzbar für auf Zertifikaten basierte Anmeldungen in der Umgebung, was auch Smartcard Logon mit einschließt.

Wird die Veröffentlichung der Standard-Zertifikatvorlagen nicht während der Installation unterbunden, stellt die Zertifizierungsstelle automatisch die Zertifikatvorlage "Domänencontroller" zur Verfügung, die dann auch automatisch von den Domänencontrollern beantragt wird.

Auch wenn, die Veröffentlichung der Standard-Zertifikatvorlagen während der Installation unterbunden wurde, aber eine andere der Standard-Domänencontroller-Zertifikatvorlagen veröffentlicht wird, führt dies zum gleichen Ergebnis. Siehe hierzu auch Artikel "Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung".

Möglichkeiten zum Unterbinden der Smartcard Logon Funktionalität

Folgende Möglichkeiten bieten sich an, die Smartcard Logon funktionalität unbrauchbar zu machen:

  • Domänencontroller ohne Zertifikate betreiben
  • Angepasste Domänencontroller-Zertifikate verteilen
  • Zertifizierungsstellen aus dem NTAuthCertificates Objekt entfernen
  • Zertifizierungsstellen-Zertifikate einschränken

Details: Domänencontroller ohne Zertifikate betreiben

Es ist natürlich möglich, die Domänencontroller ohne Zertifikate zu betreiben, ihnen also keine Zertifikatvorlage für die Beantragung von Zertifikaten anzubieten.

Der Nachteil hierbei ist allerdings, dass dann auch keine LDAP über SSL (LDAPS) Verbindungen angeboten werden können. Dies ist in den meisten Fällen nicht praktikabel.

Details: Angepasste Domänencontroller-Zertifikate verteilen

Es ist möglich, den Domänencontrollern Zertifikate auszustellen, welche ihnen ermöglichen, LDAP über SSL (LDAPS) Verbindungen anzunehmen, aber gleichzeitig keine Smartcard Anmeldungen verarbeiten zu können.

Für die Konfiguration einer solchen Zertifikatvorlage siehe Artikel "Konfigurieren einer Zertifikatvorlage für Domänencontroller".

Ein Domänencontroller wird die Ereignisse 19 und 29 protokollieren, wenn eine Anmeldung via Smartcard vorgenommen wird. Auf dieses Ereignis kann also eine Alarmierung folgen.

Details: Zertifizierungsstellen aus dem NTAuthCertificates Objekt entfernen

Es ist möglich, das Zertifizierungsstellen-Zertifikat nach der Installation der Zertifizierungsstelle aus dem NTAuthCertificates Objekt der Active Directory Gesamtstruktur zu entfernen. Siehe hierzu Artikel "Bearbeiten des NTAuthCertificates Objektes im Active Directory".

Der Nachteil bei dieser Methode ist allerdings, dass manche Funktionen vom Vorhandensein des Zertifizierungsstellen-Zertifikats in NTAuthCertificates abhängig sind:

FunktionBeschreibung
Enroll on Behalf Of (EOBO)Das CA-Zertifikat der Zertifizierungsstelle , welche die Zertifikate für die Enrollment Agenten ausstellt, muss sich in NTAuthCertificates befinden.
Key Recovery / Private Key ArchivierungDas CA-Zertifikat der Zertifizierungsstelle, welche die Schlüssel archiviert, muss sich in NTAuthCertificates befinden.
Smartcard LogonDas CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Domänencontroller und der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden.
Windows Hello for BusinessIdentisch zu Smartcard Logon.
Microsoft Network Policy Server (NPS)Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer oder Computer ausstellt, muss sich in NTAuthCertificates befinden.
EFS Dateiwiederherstellungs-AgentenDas CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Dateiwiederherstellungs-Agenten ausstellt, muss sich in NTAuthCertificates befinden.
IIS Client Certificate Mapping (gegen Active Directory) Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden.

Details: Zertifizierungsstellen-Zertifikate einschränken

Der Nachteil bei dieser Methode ist jedoch, dass Domänencontroller in der Standardkonfiguration die Einschränkungen auf dem Zertifizierungsstellen-Zertifikat nicht überprüfen. Es ist zwar möglich, die Konfiguration der Domänencontroller anzupassen, jedoch verbleibt auch hier ein Restrisiko, je nachdem, welche Einschränkungen auf dem Zertifizierungsstellen-Zertifikat definiert sind. Für weitere Details diehe hierzu Artikel "Domänencontroller überprüfen erweiterte Schlüsselverwendung (Extended Key Usage) bei Smartcard Anmeldung nicht".

Fazit

Es ist möglich, die Umgebung so anzupassen, dass keine Smartcard Anmeldungen mehr möglich sind. Beinahe jede der aufgelisteten Methoden bringt jedoch Nachteile mit sich.

Die vermutlich beste Option mit den wenigsten Nachteilen ist, angepasste Domänencontroller-Zertifikate zu verteilen, sodass diese keine Smartcard Anmeldungen verarbeiten können – sofern diese Funktion nicht zum Einsatz kommt.

Sollte eine Verwendung von Smartcard Logon oder Windows Hello for Business erforderlich sein, ist es sinnvoll, über den Einsatz von OCSP in Verbindung mit dem deterministischen "Good" einzusetzen. Siehe hierzu Artikel "Domänencontroller (oder andere Teilnehmer) zwingen, einen Onlineresponder (OCSP) zu verwenden".

Weiterführende Links: