Installiert man die Active Directory Zertifikatdienste in der Standard-Konfiguration, wird die Umgebung automatisch dafür konfiguriert, dass Smartcard-Anmeldungen von den Domänencontrollern akzeptiert werden.
Wenn die Verwendung von Smartcard Anmeldungen nicht gewünscht ist, ist es daher sinnvoll, die Funktionalität abzustellen, um im Falle der Kompromittierung der Zertifizierungsstelle das Active Directory nicht zu gefährden.
Voir aussi l'article "Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)„ .
Unter welchen Umständen ist die Smartcard Logon Funktionalität aktiviert?
Voir aussi à ce sujet l'article "Quelles conditions doivent être remplies du côté de l'infrastructure pour que les inscriptions par carte à puce soient possibles ?„ .
Installiert man eine Active Directory integrierte Zertifizierungsstelle, wird ihr Zertifizierungsstellen-Zertifikat in das NTAuthCertificates Objekt in Active Directory Gesamtstruktur kopiert. Dieser Schritt markiert die Zertifizierungsstelle als nutzbar für auf Zertifikaten basierte Anmeldungen in der Umgebung, was auch Smartcard Logon mit einschließt.
Wird die Veröffentlichung der Standard-Zertifikatvorlagen nicht während der Installation unterbunden, stellt die Zertifizierungsstelle automatisch die Zertifikatvorlage „Domänencontroller“ zur Verfügung, die dann auch automatisch von den Domänencontrollern beantragt wird.
Auch wenn, die Veröffentlichung der Standard-Zertifikatvorlagen während der Installation unterbunden wurde, aber eine andere der Standard-Domänencontroller-Zertifikatvorlagen veröffentlicht wird, führt dies zum gleichen Ergebnis. Siehe hierzu auch Artikel „Modèles de certificats de contrôleur de domaine et inscription par carte à puce„ .
Möglichkeiten zum Unterbinden der Smartcard Logon Funktionalität
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Folgende Möglichkeiten bieten sich an, die Smartcard Logon Funktionalität unbrauchbar zu machen:
- Domänencontroller ohne Zertifikate betreiben
- Angepasste Domänencontroller-Zertifikate verteilen
- Zertifizierungsstellen aus dem NTAuthCertificates Objekt entfernen
- Zertifizierungsstellen-Zertifikate einschränken
Details: Domänencontroller ohne Zertifikate betreiben
Es ist natürlich möglich, die Domänencontroller ohne Zertifikate zu betreiben, ihnen also keine Zertifikatvorlage für die Beantragung von Zertifikaten anzubieten.
Der Nachteil hierbei ist allerdings, dass dann auch keine LDAP über SSL (LDAPS) Verbindungen angeboten werden können. Dies ist in den meisten Fällen nicht praktikabel.
Details: Angepasste Domänencontroller-Zertifikate verteilen
Es ist möglich, den Domänencontrollern Zertifikate auszustellen, welche ihnen ermöglichen, LDAP über SSL (LDAPS) Verbindungen anzunehmen, aber gleichzeitig keine Smartcard Anmeldungen verarbeiten zu können.
Für die Konfiguration einer solchen Zertifikatvorlage siehe Artikel „Configurer un modèle de certificat pour les contrôleurs de domaine„ .
Ein Domänencontroller wird die Ereignisse 19 et 29 protokollieren, wenn eine Anmeldung via Smartcard vorgenommen wird. Auf dieses Ereignis kann also eine Alarmierung folgen.
Details: Zertifizierungsstellen aus dem NTAuthCertificates Objekt entfernen
Es ist möglich, das Zertifizierungsstellen-Zertifikat nach der Installation der Zertifizierungsstelle aus dem NTAuthCertificates Objekt der Active Directory Gesamtstruktur zu entfernen. Siehe hierzu Artikel „Modifier l'objet NTAuthCertificates dans Active Directory„ .
Der Nachteil bei dieser Methode ist allerdings, dass manche Funktionen vom Vorhandensein des Zertifizierungsstellen-Zertifikats in NTAuthCertificates abhängig sind:
| Fonction | Description |
|---|---|
| Enroll on Behalf Of (EOBO) (inscription à l'appui) | Le certificat CA de l'autorité de certification qui délivre les certificats pour les agents d'inscription doit se trouver dans NTAuthCertificates. |
| Récupération de clés / Archivage de clés privées | Le certificat CA de l'autorité de certification qui archive les clés doit se trouver dans NTAuthCertificates. |
| Connexion par carte à puce | Le certificat CA de l'autorité de certification qui émet les certificats des contrôleurs de domaine et des utilisateurs qui se connectent doit se trouver dans NTAuthCertificates. |
| Windows Hello for Business | Identique à Smartcard Logon. Si Windows Hello for Business devient sans certificats, seule l'autorité de certification pour les contrôleurs de domaine doit être inscrite. |
| Serveur de stratégie réseau (Network Policy Server, NPS) lorsque des connexions basées sur des certificats sont traitées (par ex. 802.1x via un réseau sans fil ou câblé, DirectAccess, Always ON VPN) | Le certificat CA de l'autorité de certification qui émet les certificats des utilisateurs ou des ordinateurs qui se connectent doit se trouver dans NTAuthCertificates. |
| Agents de récupération de fichiers EFS | Le certificat CA de l'autorité de certification qui délivre les certificats des agents de récupération de fichiers doit se trouver dans NTAuthCertificates. |
| Mappage de certificat client IIS (contre Active Directory) | Le certificat CA de l'autorité de certification qui émet les certificats des utilisateurs qui se connectent doit se trouver dans NTAuthCertificates. |
| Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES), mode renouvellement uniquement | Ne concerne que le mode de renouvellement, c'est-à-dire la signature d'une demande de certificat avec un certificat existant. Le certificat CA de l'autorité de certification qui a délivré les certificats des certificats à renouveler doit se trouver dans NTAuthCertificates. |
Details: Zertifizierungsstellen-Zertifikate einschränken
Der Nachteil bei dieser Methode ist jedoch, dass Domänencontroller in der Standardkonfiguration die Einschränkungen auf dem Zertifizierungsstellen-Zertifikat nicht überprüfen. Es ist zwar möglich, die Konfiguration der Domänencontroller anzupassen, jedoch verbleibt auch hier ein Restrisiko, je nachdem, welche Einschränkungen auf dem Zertifizierungsstellen-Zertifikat definiert sind. Für weitere Details siehe hierzu Artikel „Les contrôleurs de domaine ne vérifient pas l'utilisation étendue de la clé lors de la connexion par carte à puce.„ .
Conclusion
Es ist möglich, die Umgebung so anzupassen, dass keine Smartcard Anmeldungen mehr möglich sind. Beinahe jede der aufgelisteten Methoden bringt jedoch Nachteile mit sich.
Die vermutlich beste Option mit den wenigsten Nachteilen ist, angepasste Domänencontroller-Zertifikate zu verteilen, sodass diese keine Smartcard Anmeldungen verarbeiten können – sofern diese Funktion nicht zum Einsatz kommt.
Sollte eine Verwendung von Smartcard Logon oder Windows Hello for Business erforderlich sein, ist es sinnvoll, über den Einsatz von OCSP in Verbindung mit dem deterministischen „Good“ einzusetzen. Siehe hierzu Artikel „forcer les contrôleurs de domaine (ou autres participants) à utiliser un répondeur en ligne (OCSP)„ .
Liens complémentaires :
- Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce
- Quelles conditions doivent être remplies du côté de l'infrastructure pour que les inscriptions par carte à puce soient possibles ?
- Modèles de certificats de contrôleur de domaine et inscription par carte à puce
- Les contrôleurs de domaine ne vérifient pas l'utilisation étendue de la clé lors de la connexion par carte à puce.
- Configurer un modèle de certificat pour les contrôleurs de domaine
- Modifier l'objet NTAuthCertificates dans Active Directory
Français 
Deutsch 
English
Les commentaires sont fermés.