La Servicio de inscripción de dispositivos de red (NDES) permite que el software en dispositivos de red, como enrutadores, firewalls, conmutadores, etc., obtenga Certificados digitales sin ejecutar ninguna credencial de dominio. NDES también es uno de los servicios de rol en Servicios de certificados de Active Directory (AD CS). Implementa el Protocolo simple de inscripción de certificados (SCEP), que define la comunicación entre la Autoridad de Registro (RA) y los dispositivos de red para la inscripción de certificados.
Funciones de NDES
NDES realiza las siguientes funciones:
- Genera y proporciona contraseñas de inscripción únicas a los administradores
- Envía solicitudes de inscripción a la Autoridad de certificación (CA)
- Recupera los certificados inscritos de la CA y los reenvía al dispositivo de red
BUENAS PRÁCTICAS
Habilitar SSL para el sitio de administrador de NDES
La protección SSL garantiza que la contraseña de desafío de inscripción esté protegida contra ataques de inspección cuando el dispositivo de red se conecta al sitio web MSCEP_Admin.
Crear certificados de dispositivo con período de validez extendido
La plantilla de certificado IPsec (solicitud sin conexión) predeterminada solo tiene un año de validez. Si define plantillas de certificado personalizadas de firma, cifrado o de propósito general, considere crear una plantilla de certificado de la versión 2 con un período de validez de dos años. Un período de validez más largo reduce la sobrecarga administrativa para solicitar certificados de dispositivo.
Desactivar el servicio NDES cuando no esté en uso
Detener el servicio NDES garantiza que no se emitan certificados no autorizados. También garantiza que todos los datos, como las contraseñas no utilizadas por los dispositivos de red, se borren de la caché del servicio.
Utilice el asistente de configuración de seguridad para bloquear el servidor
El Asistente de configuración de seguridad recomendará bloquear IIS y otros servicios instalados en el servidor NDES.
Implementar la separación de roles
Varias cuentas involucradas en la instalación, configuración y operación de NDES:
- Configurar la cuenta
- Administradores del dispositivo
- Cuenta NDES
- Servicio de red
- Cuenta de servicio administrada por grupo (gMSA) o
- Cuenta de usuario de dominio
Recomendaciones basadas en la elección de la cuenta NDES
- Se requiere cifrado AES para las cuentas de usuario de gMSA o de dominio.
- Configurar restricciones de inicio de sesión y una contraseña larga para las cuentas de usuario del dominio
- No utilice cuentas de usuario de gMSA o de dominio en otras computadoras ni para ningún otro propósito
- Habilite la casilla de verificación “La cuenta es confidencial y no se puede delegar” para las cuentas de usuario del dominio.
- Recuerde configurar manualmente los permisos en las claves privadas de los certificados NDES cuando utilice un gMSA o una plantilla de certificado personalizada.
Garantizar el fortalecimiento del sistema
Reduzca el número de grupos de administradores locales para incluir solo a los administradores de PKI. Solo los miembros del grupo de administradores de PKI tienen permisos de usuario para iniciar sesión (interactivo, interactivo remoto, inicio de sesión por lotes, inicio de sesión como servicio).
Asegure las llaves
Se deben implementar las siguientes prácticas para proteger las claves:
- Se recomienda encarecidamente utilizar un Módulo de seguridad de hardware (HSM) Para generar, almacenar y gestionar el acceso a las claves NDES. Los HSM garantizan que las claves NDES nunca residan en la memoria del sistema operativo, proporcionan controles operativos adicionales y limitan la exposición al material de las claves.
- Si el NDES está virtualizado, se recomienda utilizar HSM para almacenar claves privadas de NDES, ya que los administradores de host de virtualización que tienen acceso a la máquina virtual, el disco y la memoria pueden encontrar las claves en una versión sin cifrar.
- Las copias de seguridad deben estar cifradas y el acceso debe ser extremadamente limitado en caso de que no se utilice un HSM para almacenar claves privadas, ya que las instantáneas/puntos de control y otros tipos de copias de seguridad generalmente contienen las claves privadas del NDES.
Infraestructura
Se deben seguir las siguientes prácticas con respecto a la infraestructura para NDES:
- Al permitir el acceso a Internet a NDES (por ejemplo, para inscribir certificados en dispositivos móviles administrados por Intune), asegúrese de que NDES esté protegido adecuadamente mediante un proxy inverso (como Azure AD Application Proxy o Web Application Proxy (WAP)).
- NDES debe instalarse en un equipo distinto al que aloja el servicio de CA. Además, ningún otro servicio debe ejecutarse en el equipo que aloja NDES.
- Si NDES se implementa en una computadora CA, configure la regla de firewall del Protocolo de administración e inscripción de autoridad de certificación (CERTSVC-RPC-TCP-IN) para que solo la dirección IP de NDES (y OCSP) pueda acceder a la CA para la inscripción.
Autoridad de certificación y plantillas de certificado
Las plantillas de certificado asignadas por defecto durante la configuración de NDES son:
- Cifrado CEP: Durante la configuración del servicio, se emite un certificado basado en esta plantilla al equipo NDES. Este certificado se utiliza para aplicar cifrado específico de SCEP a la comunicación con el cliente solicitante.
- Agente de inscripción de Exchange (solicitud fuera de línea): Durante la configuración del servicio, se emite un certificado basado en esta plantilla al equipo NDES. El NDES lo utiliza para renovar digitalmente la solicitud de registro recibida del dispositivo o MDM. Posteriormente, la solicitud de registro renovada se reenvía a la CA emisora.
Nota: Ambas plantillas se utilizan únicamente durante la instalación inicial de NDES y al renovar el certificado antes de su vencimiento. Anule la asignación de estas plantillas a la CA durante el horario de funcionamiento normal. La cuenta de configuración debe tener permisos de inscripción en esta plantilla durante la configuración de NDES.
IPSec (solicitud sin conexión), también conocida como «plantilla de dispositivo» o «plantilla de certificado SCEP».
Esta plantilla de certificado se utiliza para inscribir certificados de dispositivo o usuario y se asigna automáticamente a la CA durante la configuración de NDES. Normalmente, decidirá reemplazarla por una plantilla de certificado que se adapte mejor a sus necesidades. El administrador del dispositivo y la cuenta de servicio de NDES deben tener permisos de inscripción en esta plantilla.
Implementar el cifrado de datos en tránsito
Se debe usar TLS para cifrar la comunicación entre NDES y MDM/el dispositivo que solicita el certificado. Esto incluye lo siguiente:
- Implementación de TLS mediante la desactivación del escucha HTTP de IIS
- Cumplimiento de TLS 1.2
Conclusión
Debemos implementar todas las prácticas recomendadas mencionadas anteriormente para proteger NDES. Es fundamental proteger las claves privadas, ya que cualquier persona malintencionada que acceda a ellas podrá solicitar un certificado válido para iniciar sesión en Active Directory con cualquier asunto.
Referencias: Prácticas recomendadas de seguridad de NDES – Centro de la comunidad de Microsoft
- Funciones de NDES
- BUENAS PRÁCTICAS
- Habilitar SSL para el sitio de administrador de NDES
- Crear certificados de dispositivo con período de validez extendido
- Desactivar el servicio NDES cuando no esté en uso
- Utilice el asistente de configuración de seguridad para bloquear el servidor
- Implementar la separación de roles
- Recomendaciones basadas en la elección de la cuenta NDES
- Garantizar el fortalecimiento del sistema
- Asegure las llaves
- Infraestructura
- Autoridad de certificación y plantillas de certificado
- IPSec (solicitud sin conexión), también conocida como "plantilla de dispositivo" o "plantilla de certificado SCEP".
- Implementar el cifrado de datos en tránsito
- Conclusión
