Puncte:3

Am nevoie de servicii de certificate Active Directory

drapel us

Am o configurare AD care aparent are o vulnerabilitate legată de caracteristica Servicii de certificat. Gândindu-mă la cursurile MS Server pe care le-am ținut, nu-mi amintesc nimic din ele, așa că am căutat online și înclin spre „nu”.

Nu generez certificate în interior pentru nimic - stațiile de lucru au permisiunea de a se autosemna, iar organizația mea părinte are pași de urmat pentru generarea cererilor de certificare la nivel local pe serverele noastre pentru a fi transmise în lanț către un CA terță parte. Aceasta pare să fie funcția principală a ADCS și nu se pare că o folosesc.

Utilizatorii nu folosesc PKI, ci doar numele de utilizator și parola și se pare că ADCS are ceva de-a face cu autentificarea CA-urilor asociate cu jetoanele smart card. S-ar putea să mă înșel și nu are nimic de-a face cu asta.

Deci, este sigur să eliminați ADCS? Cred că este doar instalat în mod implicit dacă promovați ceva la un controler de domeniu (sau măcar adăugați rolul), dar nu mă pot gândi la nici o dată când am interacționat cu el.

DC-urile rulează Server 2012 și 2019 (cu primul pe blocul de tăiere cândva în viitorul apropiat, pentru a fi înlocuit cu unul Server 2019).

drapel br
Aruncați o privire la Consola de administrare ADCS și vedeți dacă a eliberat vreun certificat în ultima vreme?
drapel us
Dacă nu aveți un caz de utilizare real, nu sunt sigur de ce a fost instalat pentru început. Nu este instalat implicit, așa cum ați afirmat. Dar CA-urile interne sunt folosite și pentru certificate de semnare de e-mail, certificate SCCM, certificate de semnare pentru stații de lucru și server pentru lucruri precum semnarea SMB etc. și alte lucruri. Așa că va trebui să determinați dacă există motive pentru a-l păstra. Până acum se pare că răspunsul este nu... dar numai tu poți spune cu siguranță.
drapel us
Multumesc pentru raspunsuri. Am avut ocazia de a verifica serverul în sine (a avut doar acces la rezultatele scanării mai devreme). Nu pare că Cert Services este de fapt instalat, ceea ce face această constatare (PetitPotam) oarecum nedumerită. Mai ales că remedierea Microsoft se învârte în jurul modificărilor în IIS, care nu este instalat deloc pe controlerul de domeniu.
drapel cn
Când utilizați Cert Services, puteți avea opțional un site web găzduit pe IIS pentru a gestiona înregistrarea certificatelor printr-o interfață web, dar nu este necesar. Din câte am înțeles, PetitPotam este o problemă în interfața web cu setările implicite, dacă nu ai asta ar trebui să fii bine.
drapel us
Peter, mulțumesc pentru răspuns - aceasta pare să fie o constatare eronată, atunci. Din păcate, rezultatul pluginului nu oferă prea multe îndrumări - doar că există o vulnerabilitate deoarece scanerul a trimis o solicitare și a primit un anumit răspuns care nu i-a plăcut.
Puncte:1
drapel de

Este sigur să eliminați Active Directory Certificate Services. Dacă nu îl utilizați pentru nicio certificare, îl puteți elimina. L-am eliminat recent în compania noastră când ne-am schimbat controlerele de domeniu și serverul DHCP și totul funcționează bine.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.