Was sind die Best Practices für die NDES-Sicherheit?

Das Netzwerkgeräteregistrierungsdienst (NDES) ermöglicht Software auf Netzwerkgeräten wie Routern, Firewalls, Switches usw., digitale Zertifikate ohne Domänenanmeldeinformationen auszuführen. NDES ist auch einer der Rollendienste auf Active Directory-Zertifikatdienste (AD CS). Es implementiert die Einfaches Zertifikatsregistrierungsprotokoll (SCEP), das die Kommunikation zwischen der Registrierungsstelle (RA) und Netzwerkgeräten für die Zertifikatsregistrierung definiert.

Funktionen von NDES

NDES führt die folgenden Funktionen aus:

1. Generiert und stellt Administratoren einmalige Registrierungskennwörter zur Verfügung
2. Übermittelt Registrierungsanträge an die Zertifizierungsstelle (CA)
3. Ruft registrierte Zertifikate von der Zertifizierungsstelle ab und leitet sie an das Netzwerkgerät weiter

Praxisbeispiele

Aktivieren Sie SSL für die NDES-Administratorsite

Durch den SSL-Schutz wird sichergestellt, dass das Registrierungs-Challenge-Passwort vor Inspektionsangriffen geschützt ist, wenn das Netzwerkgerät eine Verbindung zur MSCEP_Admin-Website herstellt.

Erstellen Sie Gerätezertifikate mit verlängerter Gültigkeitsdauer

Die standardmäßige IPsec-Zertifikatvorlage (Offlineanforderung) hat nur eine Gültigkeitsdauer von einem Jahr. Wenn Sie benutzerdefinierte Signatur-, Verschlüsselungs- oder allgemeine Zertifikatvorlagen definieren, sollten Sie eine Zertifikatvorlage der Version 2 mit einer Gültigkeitsdauer von zwei Jahren erstellen. Eine längere Gültigkeitsdauer reduziert den Verwaltungsaufwand für die Anforderung von Gerätezertifikaten.

Deaktivieren Sie den NDES-Dienst, wenn er nicht verwendet wird

Durch das Beenden des NDES-Dienstes wird sichergestellt, dass keine nicht autorisierten Zertifikate ausgestellt werden. Durch das Beenden des Dienstes wird außerdem sichergestellt, dass alle Daten, z. B. alle Kennwörter, die nicht von Netzwerkgeräten verwendet wurden, aus dem Dienstcache gelöscht werden.

Verwenden Sie den Sicherheitskonfigurationsassistenten, um den Server zu sperren

Der Sicherheitskonfigurationsassistent empfiehlt, IIS und andere auf dem NDES-Server installierte Dienste zu sperren.

Implementieren Sie eine Rollentrennung

Verschiedene Konten, die an der Installation, Konfiguration und dem Betrieb von NDES beteiligt sind:

• Einen Account erstellen
• Geräteadministratoren
• NDES-Konto
  • Netzwerkdienst
  • Gruppenverwaltetes Dienstkonto (gMSA) oder
  • Domänenbenutzerkonto

Empfehlungen basierend auf der Wahl des NDES-Kontos

• Für gMSA- oder Domänenbenutzerkonten ist eine AES-Verschlüsselung erforderlich.
• Konfigurieren Sie Anmeldebeschränkungen und ein langes Kennwort für Domänenbenutzerkonten
• Verwenden Sie gMSA- oder Domänenbenutzerkonten nicht auf anderen Computern oder für andere Zwecke.
•  Aktivieren Sie das Kontrollkästchen „Konto ist vertraulich und kann nicht delegiert werden“ für Domänenbenutzerkonten.
• Denken Sie daran, die Berechtigungen für die privaten Schlüssel der NDES-Zertifikate manuell zu konfigurieren, wenn Sie ein gMSA oder eine benutzerdefinierte Zertifikatvorlage verwenden.

Sicherstellung der Systemhärtung

Reduzieren Sie die Anzahl der lokalen Administratorgruppen, sodass nur noch PKI-Administratoren enthalten sind. Nur Mitglieder der Gruppe „PKI-Administratoren“ erhalten Anmelderechte (interaktiv, remote interaktiv, Anmeldung als Batchauftrag, Anmeldung als Dienst).

Sichern Sie die Schlüssel

Zur Sicherung der Schlüssel sollten die folgenden Vorgehensweisen umgesetzt werden:

• Es wird dringend empfohlen, einen Hardware-Sicherheitsmodul (HSM) zum Generieren, Speichern und Verwalten des Zugriffs auf NDES-Schlüssel. HSMs stellen sicher, dass die NDES-Schlüssel niemals im Speicher des Betriebssystems verbleiben, bieten zusätzliche Betriebskontrollen und begrenzen die Offenlegung des Schlüsselmaterials.
• Wenn das NDES virtualisiert ist, wird empfohlen, HSM zum Speichern privater NDES-Schlüssel zu verwenden, da die Schlüssel in einer unverschlüsselten Version von den Hostadministratoren der Virtualisierung gefunden werden können, die Zugriff auf VM, Festplatte und Speicher haben.
• Backups müssen verschlüsselt werden und der Zugriff sollte extrem eingeschränkt sein, falls ein HSM nicht zum Speichern privater Schlüssel verwendet wird, da Snapshots/Checkpoints und andere Arten von Backups typischerweise die privaten Schlüssel des NDES enthalten.

Infrastruktur

In Bezug auf die Infrastruktur für NDES sollten die folgenden Praktiken befolgt werden:

• Wenn Sie den Internetzugriff auf NDES zulassen (z. B. um Zertifikate in von Intune verwalteten Mobilgeräten zu registrieren), stellen Sie sicher, dass NDES mithilfe eines Reverseproxys (z. B. Azure AD-Anwendungsproxy oder Webanwendungsproxy (WAP)) ordnungsgemäß geschützt ist.
• NDES sollte auf einem anderen Computer als dem, auf dem der CA-Dienst gehostet wird, installiert werden. Darüber hinaus sollten auf dem Computer, auf dem NDES gehostet wird, keine anderen Dienste ausgeführt werden.
• Wenn NDES auf einem CA-Computer bereitgestellt wird, konfigurieren Sie die Firewallregel „Certification Authority Enrollment and Management Protocol“ (CERTSVC-RPC-TCP-IN) so, dass nur die NDES- (und OCSP-)IP-Adresse zur Registrierung auf die CA zugreifen kann.

Zertifizierungsstelle und Zertifikatsvorlagen

Die bei der Konfiguration von NDES standardmäßig zugewiesenen Zertifikatvorlagen sind:

• CEP-Verschlüsselung: Ein auf dieser Vorlage basierendes Zertifikat wird während der Konfiguration des Dienstes an den NDES-Computer ausgestellt. Es wird verwendet, um die Kommunikation mit dem anfordernden Client mit SCEP-spezifischer Verschlüsselung zu versehen. 

• Exchange-Registrierungs-Agent (Offline-Anforderung): Während der Konfiguration des Dienstes wird dem NDES-Computer ein auf dieser Vorlage basierendes Zertifikat ausgestellt. NDES verwendet es, um die vom Gerät oder MDM empfangene Registrierungsanforderung digital neu zu signieren. Anschließend wird die neu signierte Registrierungsanforderung an die ausstellende Zertifizierungsstelle weitergeleitet.

Hinweis: Beide oben genannten Vorlagen werden nur bei der Erstinstallation von NDES und bei der Erneuerung des Zertifikats vor Ablauf verwendet. Heben Sie die Zuweisung dieser Vorlagen zur Zertifizierungsstelle während der normalen Betriebszeiten auf. Das Setup-Konto benötigt während der Konfiguration von NDES Registrierungsberechtigungen für diese Vorlage. 

IPSec (Offline-Anforderung) auch bekannt als „Gerätevorlage“ oder „SCEP-Zertifikatvorlage“

Diese Zertifikatvorlage wird zum Registrieren von Geräte- oder Benutzerzertifikaten verwendet und während der NDES-Konfiguration automatisch der Zertifizierungsstelle zugewiesen. In den meisten Fällen werden Sie sie durch eine Zertifikatvorlage ersetzen, die Ihren Anforderungen besser entspricht. Der Geräteadministrator und das NDES-Dienstkonto benötigen Registrierungsberechtigungen für diese Vorlage.

Implementieren Sie die Verschlüsselung während der Übertragung von Daten

TLS muss verwendet werden, um die Kommunikation zwischen NDES und MDM/dem Gerät, das das Zertifikat anfordert, zu verschlüsseln. Dies umfasst Folgendes:

• Erzwingen von TLS durch Deaktivieren des HTTP-Listeners von IIS
• TLS 1.2-Konformität

Fazit

Wir sollten alle oben genannten Best Practices zur Sicherung von NDES implementieren. Der Schutz der privaten Schlüssel ist äußerst wichtig, da jeder böswillige Zugriff darauf ein gültiges Zertifikat für die Anmeldung im Active Directory mit einem beliebigen Betreff anfordern kann.

Literaturhinweis : Bewährte Methoden für die NDES-Sicherheit – Microsoft Community Hub