Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.
| Composant | Einordnung |
|---|---|
| Autorité de certification | Tier-0 |
| Zugriff auf Stelleninformationen (Authority Information Access, AIA) und Sperrlistenverteilpunkte (CRL Distribution Points, CDP) | Tier-1 |
| Onlineresponder (Online Certificate Status Protocol, OCSP) | Tier-1 |
| Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) | Tier-0 |
| Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) | Tier-0 |
| Enregistrement Web de l'autorité de certification (CAWE) | Tier-0 |
Details zur Einordnung der Zertifizierungsstelle
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Die Zertifizierungsstelle ist aus folgenden Gründen eindeutig dem Tier-0 zuzuordnen:
- Die Rolleninstallation benötigt Enterprise Administrator Berechtigungen (kann delegiert werden, siehe Artikel „Die Installation einer Active Directory integrierten Zertifizierungsstelle delegieren„).
- Die Konfiguration der Zertifikatvorlagen benötigt erhöhte Rechte im Active Directory (kann delegiert werden, siehe Artikel „Die Erstellung und Verwaltung von Zertifikatvorlagen delegieren„).
- Eine Kompromittierung der Zertifizierungsstelle ermöglicht dem Angreifer die Ausstellung beliebiger Zertifikate und eventuell auch die Übernahme der Active Directory Gesamtstruktur (siehe Artikel „Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce„).
- Der Zugriff auf die Zertifizierungsstelle erfolgt im Regelfall nur über Systeme aus dem internen Netzwerk.
Details zur Einordnung von Zugriff auf Stelleninformationen (Authority Information Access, AIA) und Sperrlistenverteilpunkte (CRL Distribution Poins, CDP)
Die Verteilplunkte für den Zugriff auf Stelleninformationen (Authority Information Access, AIA) und Sperrlistenverteilpunkte (CRL Distribution Poins, CDP) sind aus folgenden Gründen eindeutig dem Tier-1 zuzuordnen:
- Die Systeme benötigen keinen direkten Zugang zur Zertifizierungsstelle.
- Der Server muss nicht zwingend als Domänenmitglied installiert werden.
- Der Zugriff auf die Systeme erfolgt unter Umständen auch von Clients außerhalb des internen Netzwerks (z.B. Internet). Die Server können beispielsweise in einer demilitarisierten Zone (DMZ) plaziert werden.
Details zur Einordnung des Onlineresponders (Online Certificate Status Protocol, OCSP)
Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
Die Onlineresponder (OCSP) sind aus folgenden Gründen eindeutig dem Tier-1 zuzuordnen:
- Der Online-Responder benötigt zwar normalerweise direkten Zugang zur Zertifizierungsstelle, hat hierbei jedoch keine erhöhten Berechtigungen. Der Zugriff auf die Zertifizierungsstelle kann auch ganz unterbunden werden. Der Server muss in diesem Fall nicht zwingend als Domänenmitglied installiert werden..
- Zugriff unter Umständen auch von Clients außerhalb des internen Netzwerks (z.B: Internet). Die Server können beispielsweise in einer demilitarisierten Zone (DMZ) plaziert werden.
Details zur Einordnung des Registrierungsdienstes für Netzwerkgeräte (Network Device Enrollment Service, NDES)
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) ist aus folgenden Gründen dem Tier-0 zuzuordnen:
- Benötigt Enterprise Administrator Berechtigungen für die Rolleninstallation (kann umgangen werden, siehe Artikel „Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator„).
- Der Server muss Domänenmitglied sein.
- Der Server hat direkten Netzwerkzugang zur Zertifizierungsstelle mit Rechten zur Beantragung von Zertifikaten.
- Der Server besitzt ein Zertifikatregistrierungs-Agenten-Zertifikat (Enrollment Agent), welches unter Umständen missbräuchlich verwendet werden kann, um Zertifikate via Inscription à la demande de (EOBO) zu beantragen.
Unter Umständen kann eine Herabstufung in das Tier-1 erfolgen, wenn folgende Punkte berücksichtigt werden:
- Die Rolle wird ohne Enterprise-Administrator-Rechte installiert (siehe oben, wird allerdings nicht offiziell vom Hersteller unterstützt).
- Die Verbindung zur Administrations-Webseite des NDES Server wird nur über Secure Sockets Layer (siehe Artikel „Activer le SSL (Secure Sockets Layer) pour le service d'enregistrement des périphériques réseau (NDES)„) erlaubt.
- Es werden gehärtete Registration Authority Zertifikate (siehe Artikel „Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)„) Zertifikate und Gerätevorlagen (siehe Artikel „Configurer un modèle de périphérique pour le service d'enregistrement des périphériques réseau (NDES)„) verwendet.
- Der Server ist mit einer Zertifizierungsstelle verbunden, welche ein entsprechend niedriges Vertrauensniveau aufweist und entsprechend sicherheitsgehärtet (siehe Artikel „Sicherheitshärtung einer Zertifizierungsstelle„) ist.
- Die verbundene Zertifizierungsstelle ist nicht Mitglied von NTAuthCertificates im Active Directory.
- Die Möglichkeiten für den beantragbaren Zertifikatinhalt sind durch Restrictions de nom der Zertifizierungsstelle oder das Module TameMyCerts Policy pour l'autorité de certification eingeschränkt.
Details zur Einordnung des Zertifikatregistierungs-Richtliniendienstes (Certificate Enrollment Policy Web Service, CEP)
Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .
Der Zertifikatregistierungs-Richtliniendienst (Certificate Enrollment Policy Web Service, CEP) ist aus folgenden Gründen dem Tier-0 zuzuordnen:
- Die Rolleninstallation benötigt Enterprise Administrator Berechtigungen. Hierfür gibt es auch keinen Workaround.
- Muss Domänenmitglied sein.
- (Benötigt keinen direkten Zugang zur Zertifizierungsstelle)
Details zur Einordnung des Zertifikatregistrierungs-Webdienstes (Certificate Enrollment Web Service, CES)
Der Zertifikatregistrierungs-Webdienst (Certificate Enrollment Web Service, CES) ist aus folgenden Gründen dem Tier-0 zuzuordnen:
- Die Rolleninstallation benötigt Enterprise Administrator Berechtigungen. Hierfür gibt es auch keinen Workaround.
- Muss Domänenmitglied sein.
- Hat direkten Netzwerkzugang zur Zertifizierungsstelle.
- Benötigt je nach Konfiguration Kerberos-Delegierung mit oder ohne Protokollübergang (Siehe Artikel „Présentation des paramètres de délégation possibles pour le service Web d'enregistrement de certificats (CES)„).
Details zur Einordnung der Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE)
Die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) ist eine Webseite, die Antragstellern ermöglicht, ihre Zertifikatanträge über eine Weboberfläche an eine Zertifizierungsstelle zu senden. Sie eignet sich damit insbesondere für die Einreichung manueller Zertifikatanträge. Für eine detailliertere Beschreibung siehe Artikel „Grundlagen Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE)„ .
L'enregistrement web des autorités de certification est une très vieille fonction datant de l'époque de Windows 2000 - et a été adaptée pour la dernière fois lors de la sortie de Windows Server 2003. Le code est donc ancien et potentiellement peu sûr. De même, la fonction pas de modèles de certificats avec la version 3 ou plus récente - les modèles de certificats qui utilisent des fonctions introduites avec Windows Vista / Windows Server 2008 ou plus récent ne sont donc pas utilisables. Il est recommandé de ne pas utiliser l'enregistrement web de l'autorité de certification et d'effectuer une demande de certificat par le biais des outils de bord ou de l'interface utilisateur. PSCertificateEnrollment module PowerShell.
DIe Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) ist aus folgenden Gründen dem Tier-0 zuzuordnen:
- Muss entweder direkt auf der Zertifizierungsstelle installiert werden (nicht empfohlen) oder benötigt Kerberos-Delegierung mit Protokollübergang für einwandfreie Funktion (siehe Artikel „Aperçu des paramètres de délégation possibles pour l'enregistrement Web de l'autorité de certification (CAWE)„).
- Muss Domänenmitglied sein.
- Hat direkten Netzwerkzugang zur Zertifizierungsstelle.
- Delegierungseinstellungen können unter Umständen für Angriff auf die Zertifizierungsstelle verwendet werden.
Eine Herabstufung in der Tier-1 kann erfolgen, wenn nur Basic Authentifikation eingesetzt wird, und somit keine Kerberos-Delegierung mit Protokollübergang benötigt wird.
Liens complémentaires :
- Principes fondamentaux et analyse des risques Paramètres de délégation
- Règles de pare-feu requises pour Active Directory Certificate Services
- Installation einer eigenständigen Stammzertifizierungsstelle (Standalone Root CA)
- Installation d'un Certificate Enrollment Web Service (CES)
- Installation d'un service web Certificate Enrollment Policy (CEP)
- Installer l'enregistrement web de l'autorité de certification (CAWE)
- Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator
Français 
Deutsch 
English
Les commentaires sont fermés.