- CRL-Partitionierung für effizienten Widerruf im großen Maßstab
- Aufhebung der 4-KB-Erweiterungsbeschränkung: Freischaltung der Richtlinienflexibilität
- Verbesserungen der ADCS-Auditprotokollierung für tiefere Einblicke in Sicherheitsvorgänge
- Neue Felder in Ereignis-ID 4886 – Zertifikatsanforderung erhalten
- Neue Felder in der Ereignis-ID 4887 – Zertifikat ausgestellt
- Neue Felder in den Ereignis-IDs 4886 bis 4889 – Allgemeine Verbesserungen
- Aktualisierte Anleitung zur ADCS-Härtungserstellung von Microsoft
- Betriebliche Überlegungen für Unternehmen
- Wie Verschlüsselungsberatung helfen kann
- Sind Sie bereit, Ihre ADCS-Umgebung zu sichern und zu modernisieren?
Microsoft hat wesentliche Updates für Active Directory-Zertifikatdienste (ADCS), die entscheidende Verbesserungen in Skalierbarkeit, Leistung, Auditierbarkeit und Sicherheit bieten. Diese Verbesserungen markieren eine bedeutende Weiterentwicklung im Enterprise-Zertifikatsmanagement, die besonders für Unternehmen von entscheidender Bedeutung ist, die auf ADCS angewiesen sind, um Identitätssicherung, sichere Kommunikation und den Schutz sensibler Daten durch Public-Key-Infrastruktur (PKI) Dienstleistungen.
Unser Blog untersucht die wichtigsten Funktionen der letzten Versionen und bietet eine technische Aufschlüsselung ihrer Fähigkeiten und Auswirkungen auf Unternehmensumgebungen.
CRL-Partitionierung für effizienten Widerruf im großen Maßstab
Traditionell verwaltet Zertifikatssperrlisten (CRLs) in großen Umgebungen war ineffizient und bandbreitenintensiv. Clients, die ein Zertifikat validierten, mussten die gesamte CRL herunterladen, selbst wenn nur eine widerrufenes Zertifikat benötigte Überprüfung. Dieses veraltete Design stellte in Umgebungen mit hohem Zertifikatsumsatz oder begrenzten Netzwerkressourcen Skalierbarkeitsprobleme dar.
Der neue Ansatz
Microsoft geht dieses Problem mit der CRL-Partitionierung an, einer seit langem geforderten Funktion, die eine intelligentere und detailliertere Handhabung von Widerrufen ermöglicht:
- Partitionierte CRLs: Die monolithische CRL kann jetzt basierend auf Zertifikatsseriennummern in mehrere Partitionen unterteilt werden.
- Gezielte Downloads: Clients fordern nur den relevanten Teil der CRL an, der für die Validierung eines Zertifikats erforderlich ist.
- Reduzierte Bandbreite und Latenz: Deutliche Leistungsverbesserungen bei Validierungsvorgängen, insbesondere in Umgebungen mit eingeschränkter Bandbreite oder hochfrequenten Validierungen (z. B. Lastenausgleich, VPNs oder große Benutzerbasen).
Die CRL-Partitionierung ist abwärtskompatibel und für die Koexistenz mit bestehenden Mechanismen wie Online Certificate Status Protocol (OCSP). Microsoft ermöglicht die duale Veröffentlichung, bei der sowohl die monolithische CRL als auch ihre Partitionen gleichzeitig verfügbar sind, wodurch ein nahtloser Übergang und Betriebskontinuität gewährleistet werden.
Schritt-für-Schritt-Anleitung zum Aktivieren der CRL-Partitionierung
Um die CRL-Partition zu aktivieren, führen Sie die folgenden Schritte aus:
-
Führen Sie den folgenden Befehl aus, um das CRL-Partitionierungsflag zu aktivieren:
certutil -setreg ca\CRLFlags +0x00400000 -
Legen Sie die maximale Anzahl von Partitionen fest:
Dieser Befehl definiert, wie viele CRL-Partitionen Sie verwalten möchten (z. B. 10):
certutil -setreg ca\CRLMaxPartitions 10 -
Starten Sie den CA-Dienst neu:
Führen Sie die folgenden Befehle aus, um die Änderungen anzuwenden:
net stop certsvc
net start certsvc
Das folgende Bild zeigt die Eigenschaften einer partitionierten CRL und zeigt den konfigurierten CRL-Verteilungspunkt für eine bestimmte Partition. Dadurch wird überprüft, ob Clients die entsprechenden CRL-Dateien finden und herunterladen können.
Das folgende Bild zeigt die Verwaltungskonsole der Zertifizierungsstelle und hebt hervor, wie ausgestellte Zertifikate jetzt verschiedenen CRL-Partitionsindizes zugewiesen werden, was bestätigt, dass die CRL-Partitionierungsfunktion aktiv ist.
Aufhebung der 4-KB-Erweiterungsbeschränkung: Freischaltung der Richtlinienflexibilität
Frühere Versionen von ADCS legten eine Größenbeschränkung von 4 KB für Zertifikatserweiterungen fest, wodurch die Komplexität der Zertifikatmetadaten und Richtlinieninformationen, die in das Zertifikat eingebettet werden konnten, eingeschränkt wurde.
Mit der Aufhebung dieser Einschränkung können Organisationen nun:
- Definieren Sie komplexe Zertifikatsrichtlinien, die differenzierte Sicherheits- oder Geschäftsanforderungen widerspiegeln.
- Betten Sie benutzerdefinierte Erweiterungen ein, einschließlich erweiterter Identitätsattribute oder hardwarespezifischer Markierungen.
- Passen Sie sich an sich ändernde Standards und zukunftssichere kryptografische Schemata an, wie sie beispielsweise für die Post-Quanten-Kryptografie erforderlich sind.
Diese Erweiterung bringt ADCS in Einklang mit den Fähigkeiten moderner Zertifizierungsstellen und ebnet den Weg für eine verstärkte Akzeptanz in hybriden, Cloud-nativen und IoT-gesteuerten Infrastrukturen.
Führen Sie die folgenden Befehle aus, um Fügen Sie dem DBFlags-Registrierungsschlüsselwert 0x1000 hinzu und starten Sie ADCS dann neu:
certutil -setreg DBFlags +0x1000
net stop certsvc && net start certsvc
Um nun die Grenzwerteinstellungen zu überprüfen, führen Sie die folgenden Befehle aus und überprüfen Sie die MaxLength-Eigenschaft von ExtensionRawValue in der Ausgabe:
Verbesserungen der ADCS-Auditprotokollierung für tiefere Einblicke in Sicherheitsvorgänge
Sicherheitsteams benötigen detaillierte Prüfprotokolle für digitales Zertifikat Operationen zur Unterstützung von Compliance, Incident Response und forensischen Untersuchungen. Microsoft hat diesen Bedarf erkannt und in Windows Server 2025 für ADCS eine erweiterte Audit-Protokollierung eingeführt.
| Event ID | Ereignisübersicht |
| 4886 | Zertifikatdienste eine Zertifikatsanforderung erhalten. Anfrage ID:% 1 Antragsteller:% 2 Attribute:% 3 |
| 4887 | Zertifikatdienste hat eine Zertifikatsanforderung genehmigt und eine Bescheinigung ausgestellt. Anfrage ID:% 1 Antragsteller:% 2 Attribute:% 3 Bereitstellung:% 4 SKI:% 5 Betreff:% 6 |
| 4888 | Zertifikatdienste eine Zertifikatsanforderung abgelehnt. Anfrage ID:% 1 Antragsteller:% 2 Attribute:% 3 Bereitstellung:% 4 SKI:% 5 Betreff:% 6 |
| 4889 | Zertifikatsdienste setzen den Status eines Zertifikatsanforderung auf ausstehend. Anfrage ID:% 1 Antragsteller:% 2 Attribute:% 3 Bereitstellung:% 4 SKI:% 5 Betreff:% 6 |
Neue Felder in Ereignis-ID 4886 – Zertifikatsanforderung erhalten
| Feldname | Beschreibung |
| Betreff (von CSR) | Stellt den aus der Zertifikatsignieranforderung (CSR) extrahierten Betreffwert dar, sofern verfügbar. |
| SAN (von CSR) | Bezieht sich auf die Subject Alternative Name (SAN)-Erweiterung, die aus der CSR abgerufen wurde, sofern vorhanden. |
| Angeforderte Vorlage | Gibt den Namen der Zertifikatvorlage wie in der Anforderung angegeben an – entweder als Vorlagenerweiterung der Version 2 oder als Vorlageneigenschaft/-attribut der Version 1. |
| RequestOSVersion | Gibt die Betriebssystemversion des Clients mithilfe des Attributs szOID_OS_VERSION an. Weitere Informationen finden Sie in Abschnitt 2.2.2.7.1 von [MS-WCCE]. Hinweis: Wird vom Client bereitgestellt und nicht für Sicherheitsentscheidungen verwendet. |
| RequestCSPProvider | Details zum Cryptographic Service Provider (CSP), der zur Generierung des Schlüsselpaars verwendet wurde, identifiziert über das Attribut szOID_ENROLLMENT_CSP_PROVIDER. Siehe Abschnitt 2.2.2.7.2 von [MS-WCCE]. Hinweis: Vom Client bereitgestellt; nicht für Sicherheitsentscheidungen vorgesehen. |
| RequestClientInfo | Erfasst zusätzliche Clientdetails über das Attribut szOID_REQUEST_CLIENT_INFO. Siehe Abschnitt 2.2.2.7.4 von [MS-WCCE]. Hinweis: Vom Client bereitgestellt; wird nicht für Sicherheitsentscheidungen verwendet. |
Neue Felder im Ereignis ID 4887 – Zertifikat ausgestellt
| Feld | Beschreibung |
| Subject Alternative Name | Enthält die SAN-Erweiterungswerte im ausgestellten Zertifikat, sofern vorhanden. |
| Zertifikatsvorlage | Gibt den Namen der bei der Ausstellung verwendeten Zertifikatsvorlage an. |
| Seriennummer | Zeigt die eindeutige Seriennummer an, die dem ausgestellten Zertifikat zugewiesen wurde. |
Neue Felder in den Ereignis-IDs 4886 bis 4889 – Allgemeine Verbesserungen
| Feld | Beschreibung |
| Authentifizierungsdienst | Gibt den in der Anforderung verwendeten Authentifizierungsdienst an. Mögliche Werte sind „NTLM“, „Kerberos“ und „Schannel“, wie durch die RPC-Authentifizierungsdienstkonstanten definiert. |
| Authentifizierungsebene | Stellt die in der Anfrage angewendete Authentifizierungsebene dar. Protokollierte Werte können basierend auf RPC-Standards „Standard“, „Keine“, „Verbinden“, „Anruf“, „Paket“, „Integrität“ oder „Datenschutz“ sein. |
| DCOM oder RPC | Gibt an, ob die Anfrage per „DCOM“ oder „RPC“ erfolgte. Bei Anfragen über Protokolle wie [MS-ICPR] wird „RPC“ verwendet, ansonsten wird „DCOM“ erfasst. |
Diese erweiterten Protokolle erhöhen die Transparenz erheblich und ermöglichen:
- Anomalieerkennung, wie etwa das Erkennen verdächtiger SAN-Werte oder die nicht autorisierte Ausgabe von Vorlagen mit hohen Berechtigungen (z. B. Domänencontroller-Zertifikate)
- Systemübergreifende Korrelation von Ereignissen zur Ursachenanalyse
- Auditbereitschaft für Frameworks wie ISO 27001, NIST, PCI DSS und andere
Sicherheitsteams können jetzt proaktiv Muster bei der Zertifikatsausstellung überwachen und Basislinien dafür erstellen, wodurch Insider-Bedrohungen und Fehlkonfigurationen frühzeitig erkannt werden.
Aktualisierte Anleitung zur ADCS-Härtungserstellung von Microsoft
Zertifizierungsstellen (CAs) stellen Tier-0-Assets innerhalb eines Unternehmensnetzwerks dar, weshalb ihr Schutz höchste Priorität hat. Die Härtungsrichtlinien von Microsoft für ADCS wurden aktualisiert, um modernen Bedrohungsvektoren und Angriffstechniken Rechnung zu tragen.
Wichtige Empfehlungen zur Sicherung von Zertifizierungsstellen
-
Schützen Sie den privaten Schlüssel der Zertifizierungsstelle mit einem Hardware-Sicherheitsmodul (HSM).
- Verwenden Sie FIPS 140-2 Level 3-kompatible HSMs, um die Schlüsselisolierung durchzusetzen
-
Minimieren Sie die CA-Angriffsfläche
- Entfernen nicht verwendeter Zertifikatvorlagen
- Erzwingen des Prinzips der geringsten Berechtigungen für die Vorlagenregistrierung
- Deaktivieren Sie die Lieferung in der Anfrage, sofern sie nicht streng kontrolliert wird
-
Netzwerkzugriff härten
- Erzwingen von HTTPS für Webregistrierungsdienste
- Erweiterten Schutz für die Authentifizierung anwenden
- Implementieren Sie Abhilfemaßnahmen von KB5005413 zur Reduzierung des NTLM-Relay-Risikos
-
Überprüfen und Rotieren von Anmeldeinformationen
- Überprüfen Sie regelmäßig die ACLs auf Vorlagen und CA-Objekten
- Überwachen Sie die Registrierungsaktivitäten auf Anomalien
Selbst geringfügige Fehltritte wie zu freizügige Vorlagen oder nicht überwachter Rollenzugriff können zu einer Ausweitung der Berechtigungen oder zur Gefährdung der Zertifizierungsstelle führen.
Wichtige Empfehlungen zum Sichern von Zertifikatvorlagen
Beschränken Sie die Registrierungs- und AutoEnroll-Berechtigungen
Zu freizügige Zertifikatsvorlagen sind eine der einfachsten Möglichkeiten, sich in einer Domäne seitlich zu bewegen und auszunutzen. Denn Vorlagen, die jedem authentifizierten Benutzer oder Domänenbenutzer die Registrierung ermöglichen, können missbraucht werden, um höhere Berechtigungen zu erlangen. Daher sollten die folgenden Punkte umgesetzt werden:
- Entfernen Sie allgemeine Gruppen wie „Authentifizierte Benutzer“ oder „Domänenbenutzer“ aus den Registrierungs- oder AutoRegistrierungsberechtigungen.
- Zertifikatsberechtigungen dürfen nur einer bestimmten Gruppe von Sicherheitsgruppen oder bestimmten Konten zugewiesen werden, beispielsweise dem IT-Sicherheitsteam oder bestimmten Geräten.
Veröffentlichen Sie nur die „Notwendigen“
Einige Zertifikatvorlagen, die für alte Projekte oder Tests erstellt wurden, häufen sich im Laufe der Zeit an, da sie nie verwendet werden. Jede veröffentlichte Zertifikatvorlage stellt jedoch einen potenziellen Angriffsvektor dar. Nicht verwendete Vorlagen können veraltete Einstellungen oder schwache Berechtigungen aufweisen und Angreifern so einen Zugang bieten. Daher werden folgende Vorgehensweisen empfohlen:
- Das regelmäßige Wirtschaftsprüfung von Vorlagen, um den Zweck und die Notwendigkeit der Vorlagen zu verstehen.
- Für hochsensible Vorlagen wie Registrierungs-Agent or Schlüsselwiederherstellungsagent, Veröffentlichen Sie sie nur bei Bedarfund deaktivieren Sie sie anschließend.
- Verwenden Sie während der CA-Einrichtung LoadDefaultTemplates=0 in der Datei CAPolicy.inf, um die automatische Veröffentlichung der Standardvorlagen zu verhindern.
Sichern der Vorlagen mit der Option „Lieferung auf Anfrage“
Das „Angebot auf Anfrage“ Mit dieser Option können Benutzer den gewünschten Betreffnamen auf ihrem Zertifikat angeben. Angreifer können jedoch auch einen beliebigen Namen angeben und so beispielsweise ein Zertifikat für einen Domänenadministrator oder Domänencontroller anfordern und dieses dann verwenden, um sich als dessen Identität auszugeben. Um dies zu verhindern, müssen die folgenden Einstellungen vorgenommen werden:
- Erlauben Sie diese Berechtigung nur für Konten mit hohen Berechtigungen.
- Erzwingen Sie zusätzliche Kontrollebenen, einschließlich der folgenden:
- Genehmigungsworkflows für Manager,
- Autorisierte Unterschriften,
- Strenge Überwachung und Überprüfung
- Implementieren Sie erweiterte Prüfprozesse, um den Überblick darüber zu behalten, wer was anfordert, insbesondere bei vertraulichen Zertifikaten.
Betriebliche Überlegungen für Unternehmen
Unternehmen sollten bereits jetzt mit der Planung dieser Verbesserungen beginnen. Wichtige Schritte sind:
- Update-Überwachung und SIEM Tools zum Analysieren neuer Audit-Ereignisse und -Felder
- Überprüfen Sie Zertifikatvorlagen und entfernen oder beschränken Sie den Zugriff auf vertrauliche Vorlagen.
- Planen und testen Sie die CRL-Partitionierung in Laborumgebungen vor der Einführung in die Produktion
- Implementieren Sie Schlüsselspeicherrichtlinien, die auf hardwaregestützten Vertrauensmodellen basieren
- Überprüfen Sie die NTLM-Nutzung bei der Zertifikatsausstellung und -authentifizierung, um sich auf die Abkündigung vorzubereiten.
Wie Verschlüsselungsberatung helfen kann
Die Aktualisierung und Härtung von ADCS ist komplex, aber unerlässlich. Encryption Consulting unterstützt Unternehmen wie Ihres dabei, Sicherheitsrisiken durch maßgeschneiderte PKI-Bewertungen zu identifizieren und zu minimieren. Unser Expertenteam entwickelt eine individuelle Strategie zum Schutz Ihrer PKI-Architektur vor neuen Bedrohungen und gewährleistet so die Sicherheit Ihrer Daten und Infrastruktur. Unser umfassendes Angebot an Public Key Infrastructure (PKI)-Services unterstützt Sie beim Schutz Ihrer digitalen Ressourcen und verbessert die allgemeine Sicherheitslage Ihres Unternehmens.
Für alle, die eine unkomplizierte Lösung suchen, bietet unser PKI as a Service (PKIaaS) alle Vorteile einer PKI ohne den Aufwand einer internen Verwaltung. Wir gewährleisten die Bereitstellung von vier Parametern:
- Skalierbarkeit: Wir unterstützen Sie dabei, Ihre PKI-Infrastruktur mit Ihrem expandierenden Unternehmen wachsen zu lassen.
- Kosteneffizienz: Wir reduzieren den Overhead, indem wir die Wartung der Infrastruktur auslagern.
- Sicherheit: Wir sorgen mit einem aktuellen PKI-Management dafür, dass Ihr Unternehmen konform und sicher bleibt.
- Compliance: Wir stellen sicher, dass Ihre Lösung alle gesetzlichen Anforderungen erfüllt.
Mit PKIaaS von Encryption Consulting können Sie sich auf Ihr Kerngeschäft konzentrieren, während wir uns um die Komplexität des PKI-Managements kümmern.
Wir geben Ihnen die Gewissheit, dass Ihre digitalen Vertrauens- und Sicherheitsbedürfnisse in Expertenhänden liegen. Kontaktieren Sie uns noch heute unter [E-Mail geschützt] um herauszufinden, wie wir Ihrem Unternehmen helfen können, vor Cyberbedrohungen geschützt zu bleiben.
Sind Sie bereit, Ihre ADCS-Umgebung zu sichern und zu modernisieren?
Wir helfen Ihnen, die neuesten ADCS-Fortschritte optimal zu nutzen. Kontaktieren Sie uns für Verschlüsselungsberatung per E-Mail an [E-Mail geschützt] um herauszufinden, wie wir Ihre Zertifikatsinfrastruktur verbessern können, um den Anforderungen der heutigen Zero-Trust-Welt gerecht zu werden.
- CRL-Partitionierung für effizienten Widerruf im großen Maßstab
- Aufhebung der 4-KB-Erweiterungsbeschränkung: Freischaltung der Richtlinienflexibilität
- Verbesserungen der ADCS-Auditprotokollierung für tiefere Einblicke in Sicherheitsvorgänge
- Neue Felder in Ereignis-ID 4886 – Zertifikatsanforderung erhalten
- Neue Felder in der Ereignis-ID 4887 – Zertifikat ausgestellt
- Neue Felder in den Ereignis-IDs 4886 bis 4889 – Allgemeine Verbesserungen
- Aktualisierte Anleitung zur ADCS-Härtungserstellung von Microsoft
- Betriebliche Überlegungen für Unternehmen
- Wie Verschlüsselungsberatung helfen kann
- Sind Sie bereit, Ihre ADCS-Umgebung zu sichern und zu modernisieren?
