确保 Active Directory 证书服务 (AD CS) 的安全：配置和管理技巧

Active Directory 证书服务 (AD CS) 是一个 Microsoft Windows Server 组件，提供自定义的公钥基础结构 (PKI) 和基于证书的身份验证服务。它使企业能够定制并向网络上的客户端、服务器和其他设备颁发数字证书。

AD CS 自动化证书生命周期管理流程，包括数字证书的颁发、续订和吊销。它还允许企业为特定目的定义自己的证书策略和证书模板，这可以显着提高网络安全性。借助 AD CS，企业可以运行安全的公钥基础设施，使他们能够保护网络上的敏感数据。

管理 AD CS 需要高水平的技术专业知识，而且文档很少。因此，AD CS 经常配置错误。由于这个原因（以及其他原因），我们发现针对 AD CS 的攻击媒介数量有所增加。

Active Directory 证书服务配置提示

每当身份获得基于身份验证的证书时，它就允许他们将自己验证为主题备用名称 (SAN) 中指定的实体，通常由 UPN 或 DNS 名称标识。该证书用于代替密码进行初始身份验证，并在到期或吊销之前保持有效。因此，试图通过重置密码来阻止恶意行为者的安全策略将是徒劳的，因为持有基于身份验证的证书的攻击者仍然可以持久访问该帐户，除非该证书也被撤销。

以下是一些可能导致 AD CS 错误配置的最常见证书模板设置。

基于身份验证的 EKU

识别支持域级身份验证的增强型密钥用法 (EKU) 至关重要。提供此功能的 EKU 示例包括：

• 任何目的 (2.5.29.37.0)
• SubCA（无）
• 客户端身份验证 (1.3.6.1.5.5.7.3.2)
• PKINIT 客户端身份验证 (1.3.6.1.5.2.3.4)
• 智能卡登录 (1.3.6.1.4.1.311.20.2.2)

查找启用此功能的证书模板的一种方法是访问证书颁发机构 MMC 管理单元，连接到证书颁发机构，然后扫描预期用途列以查找任何这些身份验证 EKU。请记住，普通证书仍然可能被滥用。例如，PoshADCS 的 Get-SmartCardCertificate 功能可以操作模板、为其请求证书，然后将模板恢复到其原始状态。

“登记者用品主题”标志

如果在 mspki-certificate-name-flag 属性中找到 CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT 标志，则证书登记者可以在请求证书时提供备用使用者名称。这意味着任何授权用户都可以代表网络中的任何其他用户请求证书，即使他们是特权用户。要验证此标志，您可以检查证书模板控制台并选择主题名称选项卡下的“在请求中提供”单选选项。或者，您可以使用 PowerShell 命令从 AD 检索模板并检查是否为证书设置了标志。要管理证书颁发，除了修复任何错误配置之外，还可以考虑使用推荐的选项。

CA 证书管理器批准或授权签名

检查每个证书的颁发要求选项卡以确定它是否需要证书颁发机构 (CA) 管理器的授权非常重要。实施其中一种或两种配置可以通过在证书颁发之前强制进行验证来显着降低风险的可能性。即使您不确定是否需要批准的签名，建议您强制获得 CA 证书管理器的批准。这将确保每当请求证书时，证书颁发机构都会在颁发之前对其进行手动审核。

注册权限

检查每个模板中包含的注册权限，这些权限位于“安全”选项卡上。如果错误配置允许大型组（具有通用主体）使用这些权限，则可能会产生很大的问题。检查是否有经过身份验证的用户、域用户或任何不应具有请求证书能力的大型用户组等组非常重要。如果发现此类组，建议撤销其注册或自动注册权限。

EDITF_ATTRIBUTESUBJECTALTNAME2 注册表项

检查注册表项 EDITF_ATTRIBUTESUBJECALTNAME2。此特定设置值得注意，因为在 CA 上激活时，它允许将个性化的用户定义数据添加到已颁发的任何经过身份验证的证书的 SAN（甚至是具有从 Active Directory 自动生成的主题的证书）。

使用 PSPKIAudit 检查有风险的设置

要审核您的 PKI 基础设施，请使用 PSPKIAudit 工具。您可以从GitHub获取该工具并导入模块来使用。执行 Invoke-PKIAudit 命令枚举 Active Directory 证书颁发机构，然后查询默认选项。

结论

我们很可能会看到针对 Active Directory 证书服务的攻击数量有所增加。因此，立即定期检查您的设置是否存在任何错误配置并立即纠正它们至关重要。此外，通过遵循证书管理的最佳实践，例如维护高效的 PKI 层次结构、实施安全身份验证协议和监控环境中的威胁，您可以减轻潜在的安全风险并防止未经授权的系统访问。

如果您想了解 Lepide 数据安全平台如何帮助您监控 AD CS 配置更改以防止破坏性安全漏洞，请与我们的一位工程师安排演示或立即开始免费试用。