Active Directory 证书服务定义

建立安全的通信渠道的想法可以追溯到 100 多年前。如今，安全的数据传输方法已经深深地融入到大多数技术中，以至于更多的公众不知道它是如何工作的。公钥基础设施（PKI）是建立安全通信通道的主要方法之一。 PKI 是一个使用数字密钥和证书来帮助保护通信和验证身份的框架。

在这篇文章中，我们将详细介绍 Microsoft 的公钥基础设施（Active Directory 证书服务）的实现，以及您需要了解的有关检测和保护这一重要通信和身份验证服务中常见漏洞的知识。

什么是 Active Directory 证书服务？

Active Directory 证书服务 (AD CS) 是 Microsoft 在 Windows Server 2008 中引入的服务器角色之一，它甚至使最小的企业也能够颁发和管理 PKI 证书。 Active Directory 证书服务的核心由证书颁发机构 (CA) 组成。 CA 负责为 Active Directory (AD) 中的对象签名和颁发证书。成功的 PKI 建立在信任的基础上。当 CA 签署证书时，它会提供批准印章。因此，任何信任该 CA 的实体都可以确定证书的真实性。也就是说，除非 CA 受到损害。

在过去几年中，针对 Active Directory 证书服务的攻击有所增加。这些攻击利用错误配置来实现权限升级，从而可能导致 AD 完全受损。不要害怕，现在还不是终止证书颁发机构的时候。 AD CS 可以经过强化以抵御攻击并以安全的方式为您的企业提供服务。

Active Directory 证书服务的要求和用例

除了运行服务器操作系统 (OS) 所需的许可证之外，Active Directory 证书服务不需要 Microsoft 许可证。 AD CS 只是一个可以通过服务器管理器仪表板添加的 Windows Server 角色。 AD CS 角色由多种不同的服务产品组成。前面提到的 CA 是这些服务中的第一个，并且通常与 AD CS 本身同义。其他服务包括 Web 注册、基于策略的证书注册，甚至 TPM 密钥认证。

企业可以利用 AD CS 向内部网站、电子邮件、代码签名、加密文件系统、智能卡身份验证等内部服务颁发证书。许多第三方服务为托管 PKI 提供集成选项。 VMware ESXi 等虚拟机管理程序允许进行集成，创建代表您的 AD CS 基础架构颁发证书的从属（子）CA。虚拟专用网络 (VPN) 和无线供应商提供类似的集成。必须仔细配置这些集成，以免产生漏洞。无论您是想使用 AD CS 部署新的 PKI，还是刚刚发现自己有 PKI，都需要注意许多安全风险。

常见的 AD CS 安全风险

与 AD CS 相关的安全风险主要归因于危险的默认值和错误配置。在深入研究这些风险之前，了解攻击者如何使用证书来攻击 AD 非常重要。

简而言之，AD 使用 Kerberos 协议来验证用户身份。 AD 可以使用其自己的 CA 颁发的证书来保护 Kerberos 身份验证过程。如果配置正确，攻击者可以利用这些 Kerberos 票证对 AD 进行身份验证，而无需知道帐户密码。威尔·施罗德 (Will Schroeder) 和李·克里斯滕森 (Lee Christensen) 撰写的著作已成为滥用 AD CS 的权威著作。您可以在此处查看这些攻击策略的更多细节。

模板设置和权限

大多数 Active Directory 证书服务问题源于危险的 CA 模板设置和这些模板的权限。通常，用户只能为自己请求证书。但是，常见的证书模板配置错误允许用户代表任何其他用户（包括管理员）请求证书。当可以在证书请求中提供使用者名称时，就会出现此配置。

给定管理员名称的证书，攻击者就能够请求 Kerberos 票证并以管理帐户身份向 AD 进行身份验证。推断这个问题，如果用户能够修改证书模板，那么这些危险的配置可以应用于任何模板，并使用上述相同的方法被利用。

默认设置和错误配置

除了证书模板之外，还有两种与 AD CS 本身相关的常见错误配置。这些错误配置是安装 AD CS 时的默认设置。第一个是利用单层基础设施。 Microsoft 建议实施多层部署，其中包括构建多个服务器和维护离线根 CA。使用离线根 CA 部署多层基础设施可创建更安全的环境，保护服务的完整性。如果从属 CA 受到威胁，它比根 CA 更容易被替换。 Microsoft 在其文档中提供了有关此最佳实践的更多信息。

第二个危险的缺陷是缺乏审计。除了不断扫描和修复危险的错误配置之外，检测威胁的唯一方法在于内置的 AD CS 审核。不幸的是，许多系统管理员甚至不知道这些存在，因为在 CA 的 GUI 安装过程中，没有启用审核的选项。此配置是在安装证书服务后在 CA 服务器上完成的。 Microsoft 解释说，可以通过 CA 管理单元 GUI 或使用 certutil 在命令行上配置审核。

检测错误配置并保护 Active Directory 证书服务

尽管有如此多的失败机会，但仍然有希望。 Schroeder 和 Christensen 两年前发布了 PSPKIAudit 来协助检测这些问题。从那时起，Jake Hildreth 一直在对其工具 Locksmith 进行持续更新。这些工具都可供社区免费使用。

Locksmith 的强大之处在于它在检测和修复 AD CS 错误配置时提供的灵活性。您没听错，该工具将修复 AD CS 问题。使用“模式 1”运行 Locksmith 将输出所有检测到的漏洞以及修复每个项目的相应代码。还有完全自动化的选项，但此方法应该可以在任何环境中安全运行。

结论

Active Directory 证书服务对于大多数企业来说都是一个有价值的工具。它与 AD 和其他产品的集成提供了 PKI 所需的宝贵优势。然而，它也伴随着 AD 潜在脆弱性的权衡。幸运的是，与 AD CS 相关的错误配置很容易识别和缓解。必须不断检测和监控这些安全风险，以维持 AD CS 基础设施的健康运行。正如蜘蛛曾经说过的那样，能力越大，责任越大。