AD CS Template-Härtung: ESC1–ESC16 Verteidigungs-Playbook

Microsoft Active Directory-Zertifikatdienste (AD CS) dient seit über zwei Jahrzehnten als Rückgrat der PKI von Unternehmen. Sie ermöglicht es Organisationen, … auszustellen. digitale Zertifikate zur Benutzerauthentifizierung, Computeridentität, CodesignaturVerschlüsselung, Smartcard-Anmeldung und sichere Kommunikation – alles eng integriert in Active Directory.

Doch diese tiefe Integration ist ein zweischneidiges Schwert. ZertifikatsvorlagenDie Richtlinienobjekte, die festlegen, welche Zertifikate an wen und mit welchen Berechtigungen ausgestellt werden, werden selbst als AD-Objekte gespeichert. Eine einzige falsch konfigurierte Vorlage kann einem Angreifer innerhalb von Minuten den Weg vom unprivilegierten Domänenbenutzer zum Unternehmensadministrator ebnen, ohne dass die herkömmliche Endpunkterkennung ausgelöst wird.

Die SpecterOps Zertifiziertes Gebrauchtgerät Das Whitepaper (2021) markierte einen Wendepunkt, da es acht Eskalationspfade (ESC1–ESC8) dokumentierte, die Fehlkonfigurationen von Zertifikatvorlagen in Angriffsvektoren für Domainkompromittierungen verwandelten. Seitdem wurde die Taxonomie erweitert. ESC16, während Microsoft, CISA (AA23-278A), NSA und den Partnerbehörden der Five Eyes (Gemeinsame Empfehlung September 2024Die Reaktionen darauf umfassten Durchsetzungsfristen, Patch-Vorgaben und die formale Tier-0-Klassifizierung der CA-Infrastruktur. Dieses Handbuch bietet die notwendige technische Tiefe für PKI-Administratoren, Sicherheitsarchitekten und Governance-Teams. Grundlagen dazu finden Sie in den Leitfäden von Encryption Consulting. Was ist PKI?, Zertifizierungsstellenund X.509-Zertifikate.

Aufbau der Zertifikatvorlage: Die acht wesentlichen Eigenschaften, die Ihre Risikoposition definieren

Jede AD CS-Vorlage ist ein pKICertificateTemplate-Objekt, das unter CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration in Active Directory gespeichert ist. Das X.509-Zertifikatprofil wird definiert durch RFC 5280, während der Rahmen für die Erklärung der Zertifizierungsrichtlinien und -praktiken folgt RFC 3647Microsoft liefert drei Schemaversionen aus:

• Version 1 – Ältere Vorlagen. Eingeschränkte Bearbeitungsmöglichkeiten, keine automatische Anmeldung. Am gefährlichsten weil Schema V1-Vorlagen anfällig für ESC15 sind (CVE-2024-49019, EKU-Überschreibung über CSR).
• Version 2 – Vollständige Konfiguration, automatische Registrierung und alle Standard-Sicherheitskontrollen.
• Version 3 – Fügt Unterstützung für die kryptografischen Algorithmen Suite B / CNG (ECDSA P-256/P-384/P-521) hinzu, die mit NIST-SP 800-57 Wichtige Managementempfehlungen.

Registerkarten mit Vorlageneigenschaften und ihre Sicherheitsauswirkungen

Themenarten und wichtige Nutzungskategorien verstehen

Jede Standardvorlage gehört zu einem Subjekttyp und einer Schlüsselverwendungskategorie. Weitere Informationen zu Zertifikatsstrukturen finden Sie unter [Link einfügen]. Was ist ein X.509-Zertifikat? und RFC 5280 (Internet X.509 PKI Certificate Profile).

Facharten

• Mitglied – Zertifikate für menschliche Identitäten: Authentifizierung, E-Mail-Signatur/Verschlüsselung, EFS, Codesignatur, Smartcard-Anmeldung. Beinhaltet Administrator, Benutzer, Smartcard-Benutzer, Registrierungsagent, Codesignatur, EFS-Wiederherstellungsagent, Exchange-Benutzer/Signatur.
• Computer – Zertifikate für Maschinenidentitäten: Server-/Client-Authentifizierung, IPsec, Kerberos (RFC 4556 – PKINIT). Beinhaltet Computer, WebServer, Domänencontroller, Kerberos-Authentifizierung, Arbeitsstationsauthentifizierung, RAS- und IAS-Server.
• Zertifizierungsstelle (CA) – Zertifikate, die Zertifizierungsstellen innerhalb der PKI-Hierarchie: Stammzertifizierungsstelle, untergeordnete Zertifizierungsstelle, übergreifende Zertifizierungsstelle.
• DirEmailRep – Verzeichnis-E-Mail-Replikation zur Sicherung des AD-Replikationsverkehrs.
• Schlüsselwiederherstellungsagent – Zertifikate, die die autorisierte Wiederherstellung archivierter privater Schlüssel ermöglichen, unerlässlich für Schlüsselverwaltung Führung.

Wichtigste Nutzungskategorien

• Nur mit Unterschrift – Digitale Signaturen für Integrität und Authentizität pro RFC 5280 #4.2.1.3 (Codesignierung, Signatur von Vertrauenslisten, Registrierungsagent, OCSP-Antwortsignierung, CA-Vorlagen).
• Nur Verschlüsselung – Schlüsselverschlüsselung zur Gewährleistung der Vertraulichkeit (BasicEFS, CEPEncryption, EFSRecovery, ExchangeUser, KeyRecoveryAgent).
• Signatur + Verschlüsselung – Beide Operationen (Administrator, Computer, Benutzer, Domänencontroller, Webserver, Smartcard-Anmeldung, Kerberos-Authentifizierung, IPSec).

Beste Übung: Ändern Sie niemals Standardvorlagen direkt. Duplizieren Sie die Vorlage, deaktivieren Sie das Original und härten Sie die Kopie ab. Siehe Microsofts Leitfaden zur Härtung von AD CS.

Standardvorlagen: Risikoprofile, die Sie kennen müssen

Häufigste Anwendungsfälle in Unternehmen

Bevor wir uns mit Angriffsmethoden befassen, wollen wir die legitimen Anwendungsfälle in Unternehmen verstehen. Einen umfassenderen Überblick finden Sie hier: PKI-Dienstleistungen von Encryption Consulting:

• Webserver / TLS: Die WebServer-Vorlage stellt Zertifikate für interne HTTPS-Endpunkte aus, die von folgenden Richtlinien verwaltet werden: RFC 8446 (TLS 1.3) und RFC 6125 (Zertifikatsidentitätsprüfung)Es erfordert berechtigterweise vom Teilnehmer bereitgestellte SANs und ist damit das wichtigste ESC1/ESC15-Ziel, wenn die Registrierungsberechtigungen erweitert werden. Öffentlich vertrauenswürdige Webzertifikate müssen außerdem den folgenden Anforderungen entsprechen: CA/Browser-Forum-Grundanforderungen.

  

• Benutzerauthentifizierung (802.1X / VPN): Die Benutzervorlage stellt EAP-TLS-Zertifikate für die drahtlose Authentifizierung und VPN bereit. Durch die breite Einbindung von Domänenbenutzern eignet sie sich als ESC3/ESC15-Vektor.
• Kerberos-Authentifizierung: Domänencontroller verwenden diese Vorlage für PKINIT-basierte Kerberos-Authentifizierung (RFC 4556)LDAPS und DC-zu-DC-Replikation. Ein Kompromiss ermöglicht die Persistenz der Domäne.

  

• Code-Signierung: Entwickler signieren interne Skripte und Anwendungen. Siehe Was ist Code-Signierung? Private Schlüssel sollten niemals Die Exportfähigkeit muss gegeben sein, und die Ausstellung sollte die Genehmigung des Managers erfordern.

  

  

• Verschlüsselung (EFS / S / MIME): BasicEFS und Exchange-Benutzervorlagen schützen die Datei- und E-Mail-Verschlüsselung. Die Schlüsselarchivierung sollte für die Geschäftskontinuität aktiviert werden. NIST SP 800-57 Schlüsselverwaltung Beratung.

ESC1 bis ESC16: Die vollständige Angriffs-Taxonomie

Angriffspfade lassen sich in fünf Kategorien einteilen. Die vollständige Untersuchung ist in der folgenden Dokumentation festgehalten: Whitepaper „Zertifizierte Gebrauchtwagen“ (PDF), mit laufenden Aktualisierungen über BloodHound AD CS Angriffspfade und MITRE ATT&CK T1649:

Angriffe durch fehlerhafte Template-Konfiguration

ESC1 — Vom Teilnehmer bereitgestelltes SAN (Der Weg Nr. 1)

ESC1 benötigt: (1) CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT aktiviert, (2) Client-Authentifizierung EKU, (3) Einschreibungsquote von Schülern aus sozial schwachen Familien (4) Keine Managergenehmigung erforderlich. Der Angreifer gibt administrator@domain.local im SAN an und authentifiziert sich über RFC 4556Gesamtzeit bis zum Enterprise-Administrator: unter 60 Sekunden.

ESC2 — Beliebige oder fehlende EKU

Vorlagen mit AnyPurpose EKU (OID 2.5.29.37.0) serve any function. Templates with keine EKU fungieren als untergeordnete CA-Zertifikate pro RFC 5280 #4.2.1.12, in der Lage, beliebige neue Zertifikate zu signieren.

ESC3 – Missbrauch durch Registrierungsagenten

ESC3 verknüpft zwei Vorlagen: Zuerst wird ein Zertifikat für einen Zertifikatsanforderungsagenten beantragt, dann wird dieses verwendet, um im Namen privilegierter Benutzer über Schema V1-Zielvorlagen Zertifikate anzufordern und dabei die normalen Registrierungsbeschränkungen zu umgehen.

ESC15 (CVE-2024-49019 — „EKUwu“)

Entdeckt von TrustedSec (Oktober 2024), CVE-2024-49019 Nutzt Schema-V1-Vorlagen aus, bei denen die msPKI-Certificate-Application-Policy im CSR die pKIExtendedKeyUsage der Vorlage überschreibt. Die WebServer-Vorlage ist das primäre Ziel.

Abhilfe: Patchen Sie alle Zertifizierungsstellen und migrieren Sie V1-Vorlagen auf V2+. Siehe IX509ExtensionMSApplicationPolicies

Zugriffskontrollfehler

ESC4 – Missbrauch von Template-Objekt-ACLs

Benutzer mit geringen Berechtigungen, Write, WriteDACL, WriteOwner oder GenericAll Auf Basis eines AD-Vorlagenobjekts kann dieses in ein ESC1-Äquivalent umgewandelt, ein privilegiertes Zertifikat angefordert und anschließend die Einstellungen wiederhergestellt werden – wodurch nur minimale forensische Spuren hinterlassen werden.

ESC5 – Missbrauch von PKI-Objekt-ACLs

Erweitert ESC4 auf alle PKI-AD-Objekte: NTAuthCertificates, Registrierungsdienste, CA-Computerobjekte und übergeordnete Container mit vererbbaren ACEs. Siehe Microsofts Leitfaden zur Härtung von AD CS.

ESC7 – Schwachstelle in der CA-Zugriffskontrolle

Benutzer mit geringen Berechtigungen, ManageCA or Zertifikate verwalten kann die SubCA-Vorlage aktivieren, eine Anfrage mit beliebigem SAN einreichen (abgelehnt), dann die fehlgeschlagene Anfrage genehmigen, um ein SubCA-Zertifikat zu erhalten, das in der Lage ist, beliebige Dinge zu signieren.

CA-Konfigurationsprobleme

ESC6 — EDITF_ATTRIBUTESUBJECTALTNAME2

Wenn die Zertifizierungsstelle EDITF_ATTRIBUTESUBJECTALTNAME2 aktiviert hat, Jeder Teilnehmer kann unabhängig von den Vorlageneinstellungen eine beliebige SAN angeben..

Auf jeder Zertifizierungsstelle deaktivieren:

certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

ESC12 – CA-Privatschlüssel auf externem Gerät

Zielt auf Zertifizierungsstellen mit privaten Schlüsseln auf externen Servern ab. HSMs (z.B, YubiHSM) wobei Anmeldeinformationen im Klartext in der Registry gespeichert werden. Unterstreicht die Notwendigkeit von FIPS 140-2/140-3 Level 3 Zertifizierte HSM-Implementierungen mit ordnungsgemäßem Berechtigungsmanagement.

ESC16 – Globale SID-Erweiterung deaktiviert

Die SID-Sicherheitserweiterung OID (1.3.6.1.4.1.311.25.2) ist in der DisableExtensionList der Zertifizierungsstelle global deaktiviert. Ohne sie kann der KDC keine starke Zertifikatszuordnung durchführen. KB5014754.

Der Registrierungsschlüssel „DisableExtensionList“ dient dazu, veraltete oder in Konflikt stehende Erweiterungen zu unterdrücken. Die SID-Erweiterung (1.3.6.1.4.1.311.25.2) sollte niemals Es sollte auf jeder Produktionsumgebung (CA) vorhanden sein. Es gibt keinen legitimen betrieblichen Grund, es zu deaktivieren.

Schwächen der Zertifikatszuordnung

ESC9 — Keine Sicherheitserweiterung (Vorlagenebene)

Templates mit CT_FLAG_NO_SECURITY_EXTENSION (0x80000) verhindern das Einbetten der SID und erzwingen so eine schwache UPN-basierte Zuordnung. Dies kann ausgenutzt werden, wenn gleichzeitig die eigene UPN modifiziert werden kann.

ESC10 — Schwache Zuordnung auf Registry-Ebene

Wenn StrongCertificateBindingEnforcement auf 0 oder 1 bleibt. Ab September 2025 wird dieser Schlüssel dauerhaft nicht mehr unterstützt. für KB5014754—Nur die vollständige Durchsetzung ist eine Option.

ESC13 – Link zur Richtliniengruppe für die Ausstellung

Nutzt msDS-OIDToGroupLink-Attribute aus, die Richtlinien-OIDs mit privilegierten universellen Gruppen verknüpfen. Siehe die detaillierte Beschreibung. ADCS ESC13 Missbrauchstechnik.

ESC14 – Schwache explizite Zertifikatszuordnungen

Betrifft schwache Zuordnungen in altSecurityIdentities (X509RFC822, X509IssuerSubject). Nur starke Zuordnungen bleiben nach KB5014754 erhalten (X509IssuerSerialNumber, X509SKI, X509SHA1PublicKey).

Netzwerk-Relay-Angriffe

ESC8 – NTLM-Relay zu HTTP-Registrierung

Relays erzwangen NTLM-Authentifizierung (über CVE-2021-36942) zu AD CS-Webregistrierungsendpunkten ohne HTTPS und EPA. Der Angreifer erlangt ein DC-Zertifikat, das DCSync aktiviert. Siehe Sicherheitsanforderungen des CA/B-Forums für Grundsätze zur Absicherung der Web-Registrierung.

ESC11 — NTLM-Relay zu RPC-Registrierung

Betrifft die ICertPassage-RPC-Schnittstelle. Abhilfe:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

Was Microsoft, CISA und NSA von Ihnen verlangen, zu beheben

KB5014754: Starke Zertifikatszuordnung ist permanent

Microsofts Antwort auf CVE-2022-26923 Die SID-Sicherheitserweiterung (OID 1.3.6.1.4.1.311.25.2) wurde eingeführt. Vollständiger Zeitplan für die Durchsetzung gemäß KB5014754:

• 2022. Mai: Kompatibilitätsmodus – SID-Erweiterung hinzugefügt, schwache Zuordnung weiterhin akzeptiert
• 2023. April: Deaktivierter Modus entfernt
• Februar 2025: Vollständige Durchsetzung standardmäßig aktiviert
• September 2025: Der Schlüssel „StrongCertificateBindingEnforcement“ wird dauerhaft nicht unterstützt.

Auswirkungen: Nur die Zuordnungen für X509IssuerSerialNumber, X509SKI und X509SHA1PublicKey bleiben erhalten. Hinweise zum Aktualisieren von Zertifikatszuordnungen finden Sie hier. Blog von Encryption Consulting zum Thema „Starke Zertifikatszuordnung bei Microsoft“.

Windows Server 2025 AD CS-Erweiterungen

• CRL-Partitionierung: Teilt monolithische CLRs in Partitionen nach Seriennummernbereichen für große Installationen auf (siehe Leistungsstarke Verbesserungen an ADCS im Jahr 2025)
• 16 KB+ Erweiterungsgrenze: Aktiviert PQC-fähige Metadaten (siehe Leitfaden zur Post-Quanten-Kryptographie von Encryption Consulting)
• Erweiterte Prüfereignisse: 4886–4889 enthalten nun SAN-Werte, Vorlagennamen, Client-Betriebssystem, CSP und Authentifizierungstyp (Microsoft-Audit-Dokumentation)
• Sicherheitsstandards: LDAP-Verschlüsselung obligatorisch, Credential Guard aktiviert, NTLM veraltet, RC4 in Kerberos veraltet

Regierungs- und Branchenhinweise

• CISA/NSA AA23-278A (Oktober 2023)Benennt AD CS-Fehlkonfigurationen als eine der zehn häufigsten Cybersicherheitslücken. Schreibt die Tier-0-CA-Klassifizierung vor.
• Gemeinsame Empfehlung der Five Eyes (September 2024)Mitverfasst von ASD, CISA, NSA, CCCS, NCSC-NZ und NCSC-UK. Hebt ESC1 und ESC8 namentlich hervor.
• MITRE ATT&CK T1649: Erkennungs-/Abwehrrahmen für Zertifikatsdiebstahl und -fälschung (M1047, M1042, M1041).
• CISA-Katalog bekannter ausgenutzter Schwachstellen: CVE-2022-26923 und CVE-2024-49019 mit verbindlichen Fristen für die Behebung von Mängeln.
• NIST SP 800-57 (Schlüsselmanagement) und SP 800-152 (Federal CKMS Profile): Rahmenwerk für die Kryptographie-Governance. SP 800-57 Rev. 6 (Entwurf) fügt Leitlinien für quantenresistente Algorithmen hinzu.
• NIST SP 800-53 Rev. 5 (Sicherheitskontrollen): SC-12 (Kryptographische Schlüsselerzeugung), SC-17 (PKI-Zertifikate), IA-5 (Authenticator-Management) sind direkt auf die AD CS-Governance anwendbar.
• NIST SP 800-207 (Zero Trust Architecture)Zertifikatsbasierte Identität ist grundlegend für Zero Trust. Siehe auch Leitfaden für Zero Trust von Encryption Consulting.

Die 15-Punkte-Checkliste zur Härtung

Implementieren Sie diese Steuerungen umgehend. Jede ist einem bestimmten ESC-Vektor zugeordnet und stimmt mit diesem überein. CISA AA23-278A, NIST SP 800-53 SC-12/SC-17und Microsofts Leitfaden zur Härtung von AD CS:

1. Alle nicht verwendeten Standardvorlagen werden entfernt. Die meisten Umgebungen verwenden 5–8, veröffentlichen aber 32+. [Reduziert: ESC1–ESC3, ESC15]
   • Um zu sehen, was aktuell veröffentlicht ist:
     Kopieren

     certutil -catemplates

   • Entfernen Sie Vorlagen aus der veröffentlichten Liste der Zertifizierungsstelle:
     Kopieren

     certutil -setcatemplates - ,

2. Deaktivieren Sie CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT überall dort, wo es betrieblich nicht erforderlich ist. Die Genehmigung durch den Manager als kompensierende Kontrollmaßnahme aktivieren. [Reduziert: ESC1]
   • Dies ist ein pro Vorlage gespeichertes Flag, das in AD gespeichert ist (msPKI-Certificate-Name-FlagUm den aktuellen Wert zu überprüfen:
     Kopieren

     certutil -dstemplate

   • Suchen msPKI-Certificate-Name-FlagWenn Bit 1 gesetzt ist, löschen Sie es über ADSI Edit oder:
     Kopieren

     certutil -dstemplate msPKI-Certificate-Name-Flag -1

3. AnyPurpose EKU entfernen; Vorlagen ohne EKU eliminieren Es sei denn, sie dienen als untergeordnete Verwaltungsbeamte. RFC 5280 #4.2.1.12, fehlendes EKU = SubCA-Verhalten. [Reduziert: ESC2]
   • EKU ist msPKI-Certificate-Application-Policy und pKIExtendedKeyUsage im AD-Vorlagenobjekt. Überprüfen Sie mit:
     Kopieren

     certutil -dstemplate

   • Abhilfemaßnahme: Spezifische EKU-OIDs festlegen und entfernen OID 2.5.29.37.0 (anyExtendedKeyUsage).

     

     

     

4. Beschränken Sie die Registrierung/automatische Registrierung auf bestimmte benannte Sicherheitsgruppen. Nie authentifizierte Benutzer/Domänenbenutzer/Domänencomputer auf sensiblen Vorlagen. [Reduziert: ESC1–ESC3, ESC15]

   

5. Managergenehmigung und autorisierte Signaturen für Webserver, Codesignierung, Smartcard-Anmeldung und Registrierungsagent aktivieren. [Reduziert: ESC1, ESC3]

   

6. Die minimale Schlüssellänge sollte auf 2048-Bit-RSA (4096-Bit für CA-Schlüssel) oder ECDSA P-384 eingestellt werden. SHA-1 deaktivieren pro NIST-SP 800-57 Ausmusterungsplan. [Ausrichtung: NIST, CA/B Forum BR]
   • Die minimale Tastengröße beträgt msPKI-Minimal-Key-Size auf der Vorlage. Überprüfen mit:
     Kopieren

     certutil -dstemplate

   • Um den SHA-256-Mindestwert auf der Zertifizierungsstelle selbst festzulegen:
     Kopieren

     certutil -setreg ca\csp\CNGHashAlgorithm SHA256

     Kopieren

     net stop certsvc & net start certsvc

   • Überprüfen:
     Kopieren

     certutil -getreg ca\csp\CNGHashAlgorithm

   • Aktuellen Signaturalgorithmus bestätigen:
     Kopieren

     certutil -getreg ca\csp\CNGPublicKeyAlgorithm

7. Deaktivieren Sie EDITF_ATTRIBUTESUBJECTALTNAME2 auf jeder Zertifizierungsstelle. [Reduziert: ESC6]
   Kopieren

   certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

   Kopieren

   net stop certsvc & net start certsvc

8. RPC-Verschlüsselung erzwingen. [Reduziert: ESC11]
   Kopieren

   certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

   Kopieren

   net stop certsvc & net start certsvc

9. Die HTTP-Webregistrierung absichern oder entfernen. HTTPS und EPA erzwingen. NTLM deaktivieren. Angleichen an Sicherheitsanforderungen des CA/B-Forums. [Reduziert: ESC8]
   • So deaktivieren Sie Remote-RPC-basierte Anfragen:
     Kopieren

     certutil -setreg CA\InterfaceFlags +IF_NOREMOTEICERTREQUEST

   • Dadurch werden Remote-RPC-basierte Anfragen deaktiviert; speziell für HTTP/CES muss die Web-Registrierungsrolle deinstalliert oder IIS neu konfiguriert werden.
10. Sperrvorlage und CA DACLs nur für Konten der Stufe 0. Alle PKI-AD-Objekte prüfen. [Reduziert: ESC4, ESC5, ESC7]
    • Den Sicherheitsdeskriptor der Zertifizierungsstelle anzeigen:
      Kopieren

      certutil -getreg CA\Security

11. Entfernen Sie CT_FLAG_NO_SECURITY_EXTENSION aus allen Vorlagen. SID-Erweiterung gemäß KB5014754 sicherstellen. [Reduziert: ESC9]
    • Das ist msPKI-Enrollment-Flag Bit 0x80000 in der Vorlage. Prüfen:
      Kopieren

      certutil -dstemplate

    • Um zu bestätigen, dass die SID-Erweiterung gestempelt wird (KB5014754), überprüfen Sie das Register der Zertifizierungsstelle:
      Kopieren

      certutil -getreg policy\EditFlags

      • Gewährleisten EDITF_ATTRIBUTESUBJECTALTNAME2 ist bereits deaktiviert (siehe Checkliste 7) und das Betriebssystem ist gepatcht für KB5014754.
12. Patch für ESC15 (CVE-2024-49019). Schema V1 → V2+ durch Duplizieren migrieren. [Reduziert: ESC15]
    • Um die Schemaversion einer Vorlage zu überprüfen (suchen Sie nach msPKI-Template-Schema-Version):
      Kopieren

      certutil -dstemplate

    • V1-Vorlagen müssen in V2+ dupliziert werden durch certtmpl.msc.

      

13. Prüfen Sie alle msDS-OIDToGroupLink- und altSecurityIdentities-Objekte. Entferne nicht autorisierte Verknüpfungen und schwache Zuordnungen. [Reduziert: ESC13, ESC14]
14. Deaktivierung des Exports privater Schlüssel auf allen Vorlagen, die keine Portabilität erfordern. [Reduziert: Zertifikatsdiebstahl]
    • Das ist msPKI-Private-Key-Flag auf der Vorlage – klares Bit 0x10 (CT_FLAG_EXPORTABLE_KEY). Prüfen:
      Kopieren

      certutil -dstemplate

    • Über die grafische Benutzeroberfläche: öffnen certtmpl.msc → Rechtsklick auf Vorlage → Eigenschaften → Registerkarte „Anforderungsverarbeitung“ → Häkchen bei „Export des privaten Schlüssels zulassen“ entfernen → OK.

      

15. Aktivieren Sie die Rollentrennung; AD CS sollte niemals auf einem DC zusammengeführt werden. Schützen Sie CA-Schlüssel mit FIPS 140-3 Level 3 HSMs (sehen Wie Verschlüsselungsberatung helfen kann).

    Kopieren

    certutil -setreg ca\RoleSeparationEnabled 1

    Kopieren

    net stop certsvc & net start certsvc

    • Bei HSM-gestützten CA-Schlüsseln konfigurieren Sie diese während der CA-Installation oder Schlüsselmigration über den CSP/KSP des HSM-Anbieters. So überprüfen Sie den aktuellen CSP:
      Kopieren

      certutil -getreg ca\csp

Zertifikatslebenszyklus: Verwaltung von der Ausstellung bis zum Widerruf

Template-Härtung allein ist unzureichend ohne Zertifikatslebenszyklusverwaltung Governance über den gesamten Zertifikatslebenszyklus hinweg. Das Lebenszyklus-Framework ist darauf abgestimmt. NIST SP 800-57 #8 (Lebenszyklus der Schlüsselverwaltung) und RFC 3647 (Zertifizierungsrichtlinie / CPS-Rahmenwerk):

Anmeldekontrollen

Autorisierungs-Workflows definieren pro NIST SP 800-53 IA-5 (Authenticator Management)Verwenden Sie die automatische Registrierung per Gruppenrichtlinie für Standardzertifikate; für hochwertige Zertifikatsvorlagen ist eine manuelle Anfrage und Genehmigung erforderlich. Für moderne Registrierungsprotokolle sollten Sie Folgendes in Betracht ziehen: EST (RFC 7030), CMP (RFC 4210)den ACME (RFC 8555).

Ausstellungsvalidierung

Die Zertifizierungsstelle sollte Anforderer, Subjektinformationen und SANs validieren. Open-Source-Richtlinienmodule wie TameMyCerts Regeln bei der Ausstellung durchsetzen. Informationen zur Lebenszyklusautomatisierung auf Unternehmensebene finden Sie unter CertSecure Manager.

Widerruf und Statusprüfung

Hilft dabei CRL-Verteilungspunkte und OCSP-Einsatzkräfte (RFC 6960) Zur Echtzeit-Gültigkeitsprüfung. Überwachung von Widerrufsfehlern (Ereignis-IDs 4870–4873). Für OCSP-Heftung und Gültigkeitsdauer von ZertifikatenSiehe den Leitfaden von Encryption Consulting.

Gültigkeitszeiträume und Verlängerung

für CA/B Forum – GrundvoraussetzungenÖffentlich vertrauenswürdige TLS-Zertifikate haben eine maximale Gültigkeitsdauer von 398 Tagen. Interne Empfehlungen: 1 Jahr für Benutzer, 2 Jahre für Computer, 5 Jahre für ausstellende Zertifizierungsstelle, 10–20 Jahre für Offline-Root-Zertifikate. Entsprechende Empfehlungen beachten. NIST SP 800-57 Teil 1 Leitfaden für Kryptoperioden.

Wichtige Archivierungs- und Wiederherstellungsfunktionen

Aktivieren Sie die Schlüsselarchivierung für Verschlüsselungsvorlagen, um die Geschäftskontinuität zu gewährleisten. Benennen Sie Schlüsselwiederherstellungsbeauftragte mit strengen Kontrollen pro Person. NIST SP 800-152 (Federal CKMS Profile).

Prüfungsstrategie: Die relevanten Ereignis-IDs

Die Überwachung ist der am meisten vernachlässigte Aspekt des AD CS-Betriebs. Aktivieren Sie die vollständige CA-Überwachung pro Dokumentation der Microsoft-Audit-Zertifizierungsdienste:

1. CA-Auditfilter festlegen: certutil -setreg ca\auditfilter 127 (alle sieben Kategorien)
2. Unterkategorie „Gruppenrichtlinie aktivieren“: Erweiterte Prüfrichtlinie → Objektzugriff → Prüfzertifizierungsdienste → Erfolg und Misserfolg

Kritische Ereignis-IDs

Leiten Sie alle CA-Ereignisse an Ihr SIEM weiter. Korrelieren Sie mit MITRE ATT&CK T1649 Erkennungsanleitung und Microsoft Defender for Identity AD CS-Warnungen.

Tools, die Ihre blinden Flecken im AD CS aufdecken

Offensive (Autorisierte Tests)

• Certify 2.0 (SpecterOps): C#-Standard, der ESC1–ESC16 unterstützt. find /vulnerable listet alle ausnutzbaren Fehlkonfigurationen auf.
• Certipy (Oliver Lyak): Python-basiert, Linux-kompatibel. BloodHound-kompatible JSON-Ausgabe, NTLM-Relay für ESC8.

Defensive

• Schlüsseldienst 2 (Trimarc Security)Erstklassige PowerShell-Überwachung für ESC1–ESC16. Generiert Skripte zur Fehlerbehebung Laut Befund.
• PSPKIAudit (SpecterOps): PowerShell-Toolkit für ESC1–ESC8, mit Get-CertRequest für die Reaktion auf Sicherheitsvorfälle.
• BloodHound 5.4+: Vollständige AD CS Knoten-/Kantenintegration (ADCSESC1, ADCSESC3, ADCSESC6a/b, ADCSESC9a/b, ADCSESC10a/b, ADCSESC13, GoldenCert).
• Microsoft Defender für Identität: AD CS-Sensor mit Echtzeit-Haltungsanalysen für ESC1–ESC8, ESC11, ESC15.
• TameMyCertsOpen-Source-CA-Richtlinienmodul, das fehlerhafte Anfragen bereits bei der Ausstellung blockiert. Validiert Subjektnamen, beschränkt SANs und erzwingt Schlüssellängen.
• CertSecure Manager (Verschlüsselungsberatung): Unternehmen Zertifikatslebenszyklusverwaltung Plattform zur automatisierten Erkennung, Registrierung, Verlängerung und zum Widerruf von Zertifizierungen in Multi-CA-Umgebungen.

Die operative Realität: Warum On-Premises AD CS an Boden verliert

AD CS wurde für Windows-zentrierte, lokale Umgebungen entwickelt. Eine detaillierte Analyse der Einschränkungen finden Sie in unserem Blogbeitrag. Navigieren von Risiken in Active Directory-Zertifikatdiensten.

Nicht-Windows-Geräte und BYOD

Die automatische Registrierung funktioniert ausschließlich über Gruppenrichtlinien. macOS, Linux, iOS, Android und ChromeOS bieten keine native Unterstützung. NDES/SCEP (RFC 5272 / CMCDies ist die übliche Umgehungslösung, birgt jedoch Sicherheitsrisiken. Moderne Alternativen umfassen EST (RFC 7030) und ACME (RFC 8555)—wird von AD CS auch nicht nativ unterstützt.

Remote- und Hybrid-Belegschaft

Die Zertifikatsregistrierung über RPC/DCOM erfordert eine Verbindung zu einem Domänencontroller und einer Zertifizierungsstelle. Remote-Mitarbeiter stoßen auf Probleme bei der Zertifikatserneuerung, wenn das VPN selbst ein gültiges Zertifikat voraussetzt. Zero-Trust-Architekturen (NIST SP 800-207) Forderung nach zertifikatsbasierter Identität unabhängig vom Netzwerkstandort.

Kosten- und Expertiseaufwand

Die Gesamtbetriebskosten umfassen CA-Hardware, HSMs (FIPS 140-3 zertifiziert), Windows Server-Lizenzierung, Offline-Root-Einrichtungen, spezialisiertes PKI-Personal, CRL/AIA-Infrastruktur und Patch-Tests. Ab 2026 geben 62 % der Unternehmen an, nicht über ausreichendes PKI-Know-how zu verfügen.

Der pragmatische Hybridansatz

Die optimale Strategie: gehärtetes AD CS für domänenintegrierte Workloads in Kombination mit einem moderne Managed-PKI-Plattform für BYOD, Multi-OS, Cloud-Workloads, IoT/OT und Remote-Mitarbeiter. Siehe PKI-Design und -Implementierung von Encryption Consulting für Hybridarchitekturen.

Sichern Sie Ihre PKI: Wie Verschlüsselungsberatung helfen kann

Die Sicherheit von AD CS-Vorlagen erfordert kontinuierliche Steuerung, Überwachung und Fachkompetenz. Verschlüsselungsberatung bietet spezialisiertes PKI-Wissen in den Bereichen Bewertung, Implementierung und Managed Services:

PKI-Bewertungsdienste

Unsere umfassende PKI-Gesundheitsbewertung untersucht jeden Aspekt Ihrer AD CS-Bereitstellung anhand der ESC1–ESC16-Taxonomie. CISA/NSA-Mandate, NIST SP 800-53 Kontrollenund die Best Practices von Microsoft:

• Prüfung der Zertifikatsvorlage: Systematische Überprüfung der ADCS-Zertifikatvorlagenkonfigurationen und des Nutzungsverhaltens auf ausnutzbare Fehlkonfigurationen.
• CA-Infrastrukturprüfung: Hierarchiedesign, HSM-Konfiguration (FIPS 140-3 Compliance), Rollentrennung, Audit-Protokollierung, CRL/AIA-Status.
• Angriffspfadanalyse: Kartierung jedes ausnutzbaren Pfades gemäß dem Zertifiziertes Gebrauchtgerät Rahmen und MITRE ATT&CK T1649.
• Governance-Lückenanalyse: Bewertung gegenüber NIST-SP 800-57, SP800-152, RFC 3647 (CP/CPS)und CA/B Forum – Grundvoraussetzungen.
• Sanierungsfahrplan: Priorisierte, umsetzbare Empfehlungen mit Implementierungshinweisen und Rücknahmeplänen.

PKI als Service (PKIaaS)

Reduzieren Sie die betriebliche Komplexität und stärken Sie gleichzeitig die Sicherheit mit unserem Verwaltete PKI:

• Cloud-verwaltete Zertifizierungsstelle: Vollständig verwaltet mit HSM-unterstützt Schlüsselschutz, integrierte Redundanz, SLA-gesicherte Verfügbarkeit.
• Multi-Protokoll-Registrierung: Ureinwohner SCEP (RFC 5272), EST (RFC 7030), ACME (RFC 8555), CMP (RFC 4210) Unterstützung für jedes Gerät/Betriebssystem/jede Architektur.
• Automatisiertes Lebenszyklusmanagement: Über CertSecure Manager—Erkennung, Anmeldung, Verlängerung und Widerruf im gesamten Unternehmen.
• Plattformübergreifende Unterstützung: Windows, macOS, Linux, iOS, Android, ChromeOS, IoT, Cloud-Workloads – eine einzige Managementebene.
• Compliance-fähige Berichterstattung: Abgestimmt mit NIST-SP 800-53, SP800-171, SOC 2, PCI DSS und HIPAA.

Die Integrität Ihrer Domain hängt von der Sicherheit der Zertifikatsinfrastruktur ab. Kontaktieren Sie Encryption Consulting noch heute um eine PKI-Gesundheitsprüfung zu planen.

Referenzen und Normenverzeichnis

Dieser Artikel verweist auf die folgenden öffentlichen Standards, Empfehlungen und Instrumente:

IETF RFCs

• RFC 5280 – Internet X.509 PKI-Zertifikat und CRL-Profil
• RFC 6960 – Online Certificate Status Protocol (OCSP)
• RFC 4556 – Public-Key-Kryptographie für die initiale Authentifizierung in Kerberos (PKINIT)
• RFC 3647 – Rahmenwerk für Richtlinien und Zertifizierungspraktiken für X.509-PKI-Zertifikate im Internet
• RFC 8446 – Transport Layer Security (TLS) Protokoll Version 1.3
• RFC 6125 – Darstellung und Überprüfung der Identität des Anwendungsdienstes
• RFC 7030 – Anmeldung über sichere Übertragung (EST)
• RFC 8555 – Automatische Zertifikatsverwaltungsumgebung (ACME)
• RFC 4210 – Zertifikatsverwaltungsprotokoll (CMP)
• RFC 5272 – Zertifikatsverwaltung über CMS (CMC)

NIST-Publikationen

• SP 800-57 Teil 1 Rev. 5 – Empfehlung für das Schlüsselmanagement
• SP800-152 – Ein Profil für kryptografische Schlüsselverwaltungssysteme der US-Bundesregierung
• SP 800-53 Rev. 5 – Sicherheits- und Datenschutzmaßnahmen für Informationssysteme
• SP800-207 – Zero-Trust-Architektur
• SP 800-63-4 (Entwurf) – Richtlinien für die digitale Identität
• FIPS 140-2 / FIPS 140-3 – Sicherheitsanforderungen für kryptografische Module

CVEs

• CVE-2022-26923 – Zertifiziert (AD DS-Berechtigungserweiterung)
• CVE-2024-49019 – EKUwu / ESC15 (AD CS EKU Override)
• CVE-2021-36942 – PetitPotam (NTLM-Staffel)

Regierungsempfehlungen

• CISA/NSA AA23-278A – Die zehn häufigsten Fehlkonfigurationen im Bereich Cybersicherheit von NSA und CISA
• Gemeinsame Empfehlung der Five Eyes (Sept. 2024) – Erkennung und Behebung von Active Directory-Kompromittierungen
• CISA-Katalog bekannter ausgenutzter Schwachstellen
• MITRE ATT&CK T1649 – Authentifizierungszertifikate stehlen oder fälschen

CA / Browser-Forum

• Grundvoraussetzungen für TLS-Serverzertifikate
• Sicherheitsanforderungen für Netzwerk- und Zertifikatssysteme

Microsoft-Dokumentation

• KB5014754 – Änderungen bei der zertifikatsbasierten Authentifizierung
• AD CS Übersicht
• Sichere Konfiguration und Härtung von AD CS
• Audit-Zertifizierungsdienstleistungen
• Defender for Identity AD CS Haltungsanalysen

Sicherheitsforschung und -werkzeuge

• SpecterOps: Zertifizierte Gebrauchtgeräte (PDF)
• SpecterOps: BloodHound AD CS Angriffspfade
• SpecterOps: ESC13-Missbrauchstechnik
• Zertifizieren (GhostPack) | PSPKIAudit
• Zertifikat | Schlüsseldienst 2 | TameMyCerts

Ressourcen für Verschlüsselungsberatung

• ADCS 2025-Erweiterungsblog
• Strenge Durchsetzung der Zertifikatszuordnung durch Microsoft
• CertSecure Manager – Plattform für das Zertifikatslebenszyklusmanagement
• PKI-Dienste  |  Verwaltete PKI  |  Beratungsleistungen
• PKI-Gesundheitscheck  |  Sicherheitsbewertung | CBOM-Dienstleistungen
• Bildungszentrum: PKI | HSM | CLM | OCSP | CRL | Codesignatur | Schlüsselverwaltung | Zero Trust | PQC

Fazit

Fehlkonfigurationen von Zertifikatvorlagen stellen nach wie vor die am meisten unterschätzte Angriffsfläche in Active Directory-Umgebungen von Unternehmen dar. Die ESC-Taxonomie wächst stetig, Red-Team-Tools automatisieren die Ausnutzung von Sicherheitslücken schneller, als die meisten Blue Teams Prüfungen durchführen können, und die regulatorischen Vorgaben von Microsoft, CISA und den Five-Eyes-Partnern haben die Schonfrist aufgehoben. 

Die in diesem Leitfaden beschriebenen Verteidigungsmaßnahmen sind nicht nur wünschenswert, sondern bilden die operative Grundlage. Organisationen, die ihre CA-Infrastruktur mit der gleichen Sorgfalt behandeln wie ihre Domänencontroller, werden die Sicherheitslücke schließen. Wer zögert, wird feststellen, dass Angreifer die ungeschützten Bereiche bereits ausgenutzt haben. 

Falls Ihr Team einen Ausgangspunkt benötigt, bietet Encryption Consulting die passende Lösung. PKI-Gesundheitscheck kann erkennen, was dieses Handbuch beschreibt – bevor es ein Gegner tut.