Регистрация Войти
Рейтинг:3
avatar Server

Нужны ли мне службы сертификации Active Directory

флаг us
The ITea Guy

У меня есть установка AD, которая, по-видимому, имеет уязвимость, связанную с функцией служб сертификации. Вспоминая курсы MS Server, которые я прослушал, я ничего не помню об этом, поэтому я копался в Интернете и склоняюсь к «нет».

Я не генерирую сертификаты внутри компании ни для чего — рабочим станциям разрешено самоподписываться, и моя родительская организация имеет шаги, которые нужно выполнить для создания запросов на сертификаты локально на наших серверах, которые будут переданы по цепочке в сторонний ЦС. Кажется, это основная функция ADCS, и я, похоже, ею не пользуюсь.

Пользователи не используют PKI, только имя пользователя и пароль, и кажется, что ADCS имеет какое-то отношение к аутентификации центров сертификации, связанных с токенами смарт-карт. Я могу ошибаться, и это не имеет никакого отношения к этому.

Так безопасно ли просто удалить ADCS? Я считаю, что он просто установлен по умолчанию, если вы продвигаете что-то на контроллер домена (или, по крайней мере, добавляете роль), но я не могу вспомнить, когда я взаимодействовал с ним.

На контроллерах домена работают серверы 2012 и 2019 (первый в ближайшем будущем будет заменен сервером 2019).

118
1 + 5
флаг br
garethTheRed
Взгляните на консоль управления ADCS и посмотрите, выдавались ли в последнее время какие-либо сертификаты?
3
Ответить
флаг us
TheCleaner
Если у вас нет фактического варианта использования, я не уверен, почему он был установлен с самого начала. Он не установлен по умолчанию, как вы утверждаете. Но внутренние центры сертификации также используются для сертификатов подписи электронной почты, сертификатов SCCM, сертификатов подписи рабочих станций и серверов для таких вещей, как подпись SMB и т. д. и другие вещи. Таким образом, вам нужно определить, есть ли причины, чтобы сохранить его. Пока звучит так, будто ответ отрицательный... но только вы можете сказать наверняка.
0
Ответить
флаг us
The ITea Guy
Спасибо за ответы. Имел возможность проверить сам сервер (раньше имел доступ только к результатам сканирования). Не похоже, чтобы Cert Services действительно были установлены, что делает этот вывод (PetitPotam) несколько озадачивающим. Тем более, что исправление Microsoft связано с изменениями в IIS, который вообще не установлен на контроллере домена.
0
Ответить
флаг cn
Peter Hahndorf
При использовании Cert Services вы можете дополнительно иметь веб-сайт, размещенный в IIS, для обработки регистрации сертификатов через веб-интерфейс, но это не обязательно. Насколько я понимаю, PetitPotam - это проблема в веб-интерфейсе с настройками по умолчанию, если у вас их нет, все должно быть в порядке.
0
Ответить
флаг us
The ITea Guy
Питер, спасибо за ответ - тогда это кажется ошибочным выводом. К сожалению, вывод плагина не дает особых указаний - только то, что есть уязвимость, потому что сканер отправил запрос и получил определенный ответ, который ему не понравился.
0
Ответить
Рейтинг:1
avatar Server
флаг de
Zoran Jankov

Службы сертификатов Active Directory можно безопасно удалить. Если вы не используете его для каких-либо сертификатов, вы можете удалить его. Недавно мы удалили его в нашей компании, когда сменили контроллеры домена и DHCP-сервер, и все работает нормально.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.