Microsoft Servicios de certificados de Active Directory (AD CS) ha servido como la columna vertebral de la infraestructura de clave pública empresarial durante más de dos décadas. Permite a las organizaciones emitir Certificados digitales para autenticación de usuario, identidad de computadora, firma de códigocifrado, inicio de sesión con tarjeta inteligente y comunicaciones seguras, todo ello estrechamente integrado con Active Directory.

Pero esa profunda integración es un arma de doble filo. Plantillas de certificadoLos objetos de política que rigen qué certificados se emiten, a quién y con qué privilegios se almacenan como objetos de Active Directory. Una sola plantilla mal configurada puede permitir que un atacante acceda en minutos a un administrador empresarial, pasando de ser un usuario de dominio sin privilegios a un administrador empresarial, sin activar la detección tradicional de puntos finales.

Los SpecterOps Usados certificados El libro blanco (2021) fue el momento decisivo, documentando ocho rutas de escalada (ESC1–ESC8) que convirtieron las configuraciones erróneas de plantillas de certificados en vectores de compromiso de dominio. Desde entonces, la taxonomía se ha expandido a ESC16, mientras que Microsoft, CISA (AA23-278A), la NSA y las agencias asociadas de Five Eyes (Informe conjunto de septiembre de 2024) han respondido con plazos de cumplimiento, mandatos de parcheo y clasificación formal de Nivel 0 de la infraestructura de CA. Este manual ofrece la profundidad técnica que necesitan los administradores de PKI, los arquitectos de seguridad y los equipos de gobernanza. Para conceptos fundamentales, consulte las guías de Encryption Consulting sobre ¿Qué es PKI?, Autoridades de Certificación, el Certificados X.509.

Anatomía de la plantilla de certificado: Las ocho propiedades significativas que definen su postura de riesgo

Cada plantilla de AD CS es un objeto pKICertificateTemplate almacenado en CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration en Active Directory. El perfil de certificado X.509 se define mediante RFC 5280, mientras que el marco de la declaración de política de certificación y prácticas de certificación sigue RFC 3647Microsoft distribuye tres versiones de esquema:

Versión 1 – Plantillas heredadas. Edición limitada, sin inscripción automática. El más peligroso porque las plantillas Schema V1 son vulnerables a ESC15 (CVE-2024-49019, anulación de EKU a través de CSR).
Versión 2 – Configuración completa, inscripción automática y todos los controles de seguridad estándar.
Versión 3 – Agrega soporte para algoritmos criptográficos Suite B / CNG (ECDSA P-256/P-384/P-521), alineado con SP 800-57 del NIST Recomendaciones clave para la gestión.

Pestañas de propiedades de plantilla y sus implicaciones de seguridad

Pestaña de propiedades	Lo que controla	Error de seguridad más común
General	Nombre para mostrar, nombre de la plantilla (CN), período de validez, ventana de renovación, publicación de AD	Períodos de validez excesivamente largos (valores predeterminados de 1 a 2 años); publicación innecesaria de certificados en el atributo userCertificate.
Compatibilidad	Versiones mínimas del sistema operativo de la CA y del receptor, control de las características criptográficas disponibles.	Se mantiene habilitada la compatibilidad con sistemas operativos heredados, lo que impide el uso de algoritmos más potentes.
Manejo de solicitudes	Finalidad (Firma / Cifrado / Ambos), exportabilidad de la clave privada, CSP/KSP, tamaño mínimo de la clave	Claves privadas exportables en plantillas de alto valor; lo que permite CSP débiles.
Nombre del tema	Construir a partir de atributos de AD frente a valores proporcionados por el inscrito (CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT)	Dejar habilitado el SAN proporcionado por el inscrito: causa raíz de ESC1
Prórrogas de tiempo para presentar declaraciones de impuestos	Usos de clave extendida (EKU) por RFC 5280 #4.2.1.12	EKU de AnyPurpose, EKU faltante (actúa como SubCA) o EKU de autenticación demasiado amplia.
Criptografía	Algoritmo (RSA/ECDSA), tamaño de clave, hash por SP 800-57 del NIST	SHA-1 sigue presente; las claves RSA de 1024 bits aún se aceptan.
Requisito de emisión	Aprobación del gerente, firmas del agente de inscripción autorizado	No se aprueban las plantillas sensibles (WebServer, CodeSigned, EnrollmentAgent).
Seguridad / Listas de control de acceso (ACL)	¿Quién puede leer, escribir, inscribir, inscribir automáticamente y controlar completamente el objeto de plantilla?	Usuarios autenticados o usuarios de dominio autorizados para inscribirse en plantillas confidenciales

Comprensión de los tipos de temas y las categorías de uso clave

Cada plantilla predeterminada pertenece a un tipo de sujeto y a una categoría de uso de clave. Para obtener más información sobre las estructuras de los certificados, consulte ¿Qué es un certificado X.509? RFC 5280 (Perfil de certificado PKI X.509 de Internet).

Tipos de asignaturas

El sistema de reservas de escritorios, interactivo y fácil de usar, ayuda a gestores y empresas a adaptarse a la nueva rutina laboral. El sistema inteligente optimiza espacios y horarios según necesidades reales. Certificados para identidades humanas: autenticación, firma/cifrado de correo electrónico, EFS, firma de código, inicio de sesión con tarjeta inteligente. Incluye Administrador, Usuario, Usuario de tarjeta inteligente, Agente de inscripción, Firma de código, Agente de recuperación EFS, Usuario/Firma de Exchange.
Módulo – Certificados para identidades de máquinas: autenticación servidor/cliente, IPsec, Kerberos (RFC 4556 – PKINIT). Incluye computadora, servidor web, controlador de dominio, autenticación Kerberos, autenticación de estación de trabajo, servidor RAS y servidor IAS.
Autoridad de certificación (CA) – Certificados que identifican a las CA dentro de la Jerarquía de PKI: Autoridad de certificación raíz, Autoridad de certificación subordinada, Autoridad de certificación cruzada.
Director de correo electrónico – Replicación de correo electrónico de directorio para proteger el tráfico de replicación de Active Directory.
Agente de recuperación de claves – Certificados que permiten la recuperación autorizada de claves privadas archivadas, esenciales para gestión de claves gobernancia.

Categorías de uso clave

Solo firma – Firmas digitales para garantizar la integridad y autenticidad según RFC 5280 #4.2.1.3 (CodeSigning, TrustListSigning, EnrollmentAgent, OCSP Response Signing, plantillas CA).
Solo cifrado – Cifrado de claves para garantizar la confidencialidad (BasicEFS, CEPEncryption, EFSRecovery, ExchangeUser, KeyRecoveryAgent).
Firma + Cifrado – Ambas operaciones (Administrador, Equipo, Usuario, Controlador de dominio, Servidor web, Inicio de sesión con tarjeta inteligente, Autenticación Kerberos, IPSec).

Mejores prácticas: Nunca modifique las plantillas predeterminadas directamente. Duplique, desactive la original y refuerce la copia. Consulte Guía de Microsoft para reforzar la seguridad de AD CS.

Plantillas predeterminadas: Perfiles de riesgo que debe conocer

Plantilla	Inscripción predeterminada	Propiedades peligrosas	Vectores de ataque	Supervisión
Usuario (V1)	Usuarios del dominio	Esquema de autenticación de cliente EKU, V1	ESC3, ESC15	ALTO
Computadora (V1)	Computadoras de dominio	Esquema de autenticación de cliente EKU, V1	ESC3, ESC8	ALTO
Servidor web (V1)	Administradores de dominio (término a menudo ampliado)	SUMINISTROS DEL INSCRITO	ESC1, ESC15	CRÍTICA
SubCA (V1)	Administradores del dominio	Sin EKU (comportamiento SubCA)	ESC7	CRÍTICA
Agente de inscripción	A menudo ampliado	Agente de solicitud de certificados EKU	Cadena ESC3	ALTO

Casos de uso empresariales más comunes

Antes de adentrarnos en las rutas de ataque, comprendamos los casos de uso legítimos en las empresas. Para una visión general más amplia, consulte Servicios PKI de Encryption Consulting:

Servidor web / TLS: La plantilla WebServer emite certificados para puntos finales HTTPS internos, regidos por RFC 8446 (TLS 1.3) RFC 6125 (verificación de identidad de certificados). Requiere legítimamente SAN proporcionados por el inscrito, lo que lo convierte en el objetivo número 1 de ESC1/ESC15 cuando se amplían los permisos de inscripción. Los certificados web de confianza pública también deben cumplir con Requisitos básicos del foro de CA/Browser.
Autenticación de usuario (802.1X / VPN): La plantilla de usuario proporciona certificados EAP-TLS para autenticación inalámbrica y VPN. Su amplia inclusión en el registro de usuarios de dominio la convierte en un vector ESC3/ESC15.
Autenticación Kerberos: Los controladores de dominio utilizan esta plantilla para Autenticación Kerberos basada en PKINIT (RFC 4556), LDAPS y replicación DC-to-DC. El compromiso permite la persistencia del dominio.
Firma de código: Los desarrolladores firman scripts y aplicaciones internas. Ver ¿Qué es? ¿Firma de código? Las claves privadas deberían nunca Debe ser exportable y su emisión debe requerir la aprobación del gerente.
Cifrado (EFS / S/MIME): Las plantillas de usuario de BasicEFS y Exchange protegen el cifrado de archivos y correo electrónico. El archivado de claves debe estar habilitado para la continuidad del negocio. Gestión de claves NIST SP 800-57 dirección.

ESC1 a ESC16: La taxonomía completa de ataques

Las rutas de ataque se dividen en cinco categorías. La investigación completa está documentada en el Documento técnico sobre vehículos usados certificados (PDF), con actualizaciones continuas a través de Rutas de ataque de Bloodhound AD CS MITRE ATT&CK T1649:

Ataques de configuración incorrecta de plantillas

ESC1 — SAN proporcionado por el inscrito (la ruta número 1)

ESC1 requiere: (1) CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT habilitado, (2) Autenticación de cliente EKU, (3) inscripción de personas de bajos recursos, (4) Sin aprobación del gerente. El atacante especifica administrator@domain.local en el SAN y se autentica a través de RFC 4556Tiempo total para acceder al panel de administración empresarial: menos de 60 segundos.

ESC2 — Cualquier propósito o EKU faltante

Plantillas con EKU de cualquier propósito (OID 2.5.29.37.0) Cumplir cualquier función. Plantillas con sin EKU actuar como certificados CA subordinados por RFC 5280 #4.2.1.12, capaz de firmar nuevos certificados arbitrarios.

ESC3 — Abuso de agentes de inscripción

ESC3 encadena dos plantillas: primero, se inscribe para obtener un certificado de Agente de Solicitud de Certificados y, a continuación, lo utiliza para solicitar certificados en nombre de usuarios privilegiados a través de plantillas de destino de Esquema V1, omitiendo las restricciones de inscripción normales.

ESC15 (CVE-2024-49019 — “EKUwu”)

Descubierto por TrustedSec (octubre de 2024), CVE-2024-49019 Este ataque explota las plantillas Schema V1 en las que la política de aplicación de certificados msPKI en la solicitud de firma de certificado (CSR) anula el uso extendido de claves pKI de la plantilla. La plantilla WebServer es el objetivo principal.

Remediación: Parchear todas las CA y migrar las plantillas V1 a V2+. Ver IX509ExtensionMSApplicationPolicies

Fallas de control de acceso

ESC4 — Abuso de ACL de objetos de plantilla

Usuarios con pocos privilegios Write, WriteDACL, WriteOwner o GenericAll En una plantilla de objeto de AD, se puede modificar para convertirla en un equivalente de ESC1, solicitar un certificado privilegiado y, a continuación, restaurar la configuración, dejando un rastro forense mínimo.

ESC5 — Abuso de ACL de objetos PKI

Extiende ESC4 a todos los objetos PKI AD: NTAuthCertificates, Enrollment Services, objetos de equipo CA y contenedores principales con ACE heredables. Ver Guía de Microsoft para el endurecimiento de AD CS.

ESC7 — Control de acceso de CA vulnerable

Usuarios con pocos privilegios Administrar CA or Gestionar certificados puede habilitar la plantilla SubCA, enviar una solicitud con SAN arbitrario (denegada), luego aprobar la solicitud fallida para obtener un certificado SubCA capaz de firmar cualquier cosa.

Problemas de configuración de CA

ESC6 — EDITF_ATTRIBUTESUBJECTALTNAME2

Si la CA tiene habilitado EDITF_ATTRIBUTESUBJECTALTNAME2, Cualquier inscrito puede especificar un SAN arbitrario independientemente de la configuración de la plantilla..

Deshabilitar en cada CA:

certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

ESC12 — Clave privada de CA en dispositivo externo

Se dirige a las CA con claves privadas en el exterior. HSM (por ejemplo, YubiHSM) donde las credenciales se almacenan en texto plano en el registro. Enfatiza la necesidad de FIPS 140-2/140-3 Nivel 3 Implementaciones de HSM certificadas con una gestión de credenciales adecuada.

ESC16 — Extensión SID global deshabilitada

La extensión de seguridad SID OID (1.3.6.1.4.1.311.25.2) está deshabilitada globalmente en la DisableExtensionList de la CA. Sin ella, el KDC no puede realizar una asignación de certificados fuerte por KB5014754.

La clave de registro DisableExtensionList existe para suprimir extensiones heredadas o conflictivas. La extensión SID (1.3.6.1.4.1.311.25.2) debería nunca Debe estar presente en cualquier CA de producción. No existe ninguna razón operativa legítima para deshabilitarlo.

Debilidades en el mapeo de certificados

ESC9 — Sin extensión de seguridad (nivel de plantilla)

Las plantillas con CT_FLAG_NO_SECURITY_EXTENSION (0x80000) impiden la incrustación de SID, lo que fuerza una asignación débil basada en UPN. Esto puede ser explotado al combinarse con la capacidad de modificar el propio UPN.

ESC10 — Mapeo débil a nivel de registro

Cuando StrongCertificateBindingEnforcement permanece en 0 o 1. A partir de septiembre de 2025, esta clave dejará de recibir soporte de forma permanente. para KB5014754—La aplicación total de la ley es la única opción.

ESC13 — Enlace al grupo de política de emisión

Explota los atributos msDS-OIDToGroupLink que vinculan los OID de la política de emisión con grupos universales privilegiados. Consulte la documentación detallada. Técnica de abuso ADCS ESC13.

ESC14 — Asignaciones de certificados explícitos débiles

Se dirige a asignaciones débiles en altSecurityIdentities (X509RFC822, X509IssuerSubject). Solo las asignaciones fuertes sobreviven después de KB5014754 (X509IssuerSerialNumber, X509SKI, X509SHA1PublicKey).

Ataques de retransmisión de red

ESC8 — Retransmisión NTLM a inscripción HTTP

Los relés impusieron la autenticación NTLM (a través de CVE-2021-36942) a los puntos finales de inscripción web de AD CS que carecen de HTTPS y EPA. El atacante obtiene un certificado de DC que habilita DCSync. Ver Requisitos de seguridad de red del Foro CA/B para principios de endurecimiento de la inscripción web.

ESC11 — Retransmisión NTLM a inscripción RPC

Se dirige a la interfaz RPC ICertPassage. Solución:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

Lo que Microsoft, CISA y la NSA quieren que soluciones

KB5014754: El mapeo de certificados robusto es permanente.

La respuesta de Microsoft a CVE-2022-26923 Se introdujo la extensión de seguridad SID (OID 1.3.6.1.4.1.311.25.2). Cronograma de aplicación completo por KB5014754:

Mayo 2022: Modo de compatibilidad: se agregó la extensión SID, pero aún se acepta el mapeo débil.
2023 de abril: Modo deshabilitado eliminado
Febrero 2025: Aplicación total activada por defecto
Septiembre 2025: La clave StrongCertificateBindingEnforcement ya no es compatible.

Repercusiones: Solo se conservan las asignaciones X509IssuerSerialNumber, X509SKI y X509SHA1PublicKey. Para obtener orientación sobre cómo actualizar las asignaciones de certificados, consulte Blog de Encryption Consulting sobre la aplicación de la asignación segura de certificados de Microsoft.

Mejoras de Windows Server 2025 AD CS

Particionamiento de CRL: Divide los CLR monolíticos en particiones de rango de números de serie para implementaciones grandes (ver Importantes mejoras en ADCS en 2025)
Límite de extensión de 16 KB o más: Permite metadatos listos para PQC (ver Guía de criptografía postcuántica de Encryption Consulting)
Eventos de auditoría mejorados: 4886–4889 ahora incluyen valores SAN, nombre de plantilla, sistema operativo del cliente, CSP y tipo de autenticación (Documentación de auditoría de Microsoft)
Valores predeterminados de seguridad: El cifrado LDAP es obligatorio, Credential Guard está habilitado, NTLM está obsoleto y RC4 está obsoleto en Kerberos.

Avisos gubernamentales y de la industria

CISA/NSA AA23-278A (octubre de 2023): Nombra las configuraciones incorrectas de AD CS como uno de los diez principales problemas de ciberseguridad. Exige la clasificación de CA de nivel 0.
Informe conjunto de la alianza Five Eyes (septiembre de 2024): Coautores: ASD, CISA, NSA, CCCS, NCSC-NZ, NCSC-UK. Destaca ESC1 y ESC8 por su nombre.
MITRE ATT&CK T1649: Marco de detección/mitigación para el robo y la falsificación de certificados (M1047, M1042, M1041).
Catálogo de vulnerabilidades explotadas conocidas de CISA: CVE-2022-26923 CVE-2024-49019 Listados con plazos de subsanación obligatorios.
NIST SP 800-57 (Gestión de claves) SP 800-152 (Perfil CKMS federal): Marco de gobernanza criptográfica. SP 800-57 Rev. 6 (borrador) añade directrices sobre algoritmos resistentes a la computación cuántica.
NIST SP 800-53 Rev. 5 (Controles de seguridad): SC-12 (Establecimiento de clave criptográfica), SC-17 (Certificados PKI) e IA-5 (Gestión de autenticadores) se aplican directamente a la gobernanza de AD CS.
NIST SP 800-207 (Arquitectura de confianza cero)La identidad basada en certificados es fundamental para la confianza cero. Véase también Guía de confianza cero de Encryption Consulting.

Lista de verificación de endurecimiento de plantillas de 15 puntos

Implemente estos controles inmediatamente. Cada uno se asigna a vectores ESC específicos y se alinea con CISA AA23-278A, NIST SP 800-53 SC-12/SC-17, el Guía de Microsoft para el endurecimiento de AD CS:

Despublica todas las plantillas predeterminadas no utilizadas. La mayoría de los entornos utilizan entre 5 y 8, pero dejan 32 o más publicados. [Reduce: ESC1–ESC3, ESC15]
- Para ver lo que está publicado actualmente:
```
certutil -catemulates
```
- Eliminar las plantillas de la lista publicada por la CA:
```
certutil -setcatemulates - ,
```
Desactive CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT en todos los lugares donde no sea necesario para el funcionamiento. Habilitar la aprobación del gerente como control compensatorio. [Reduce: ESC1]
- Esta es una bandera por plantilla almacenada en AD (msPKI-Certificate-Name-Flag). Para inspeccionar el valor actual:
```
certutil -dstemplate
```
- Busque msPKI-Certificate-Name-Flag. Si el bit 1 está activado, bórrelo mediante ADSI Edit o:
```
certutil -dstemplate msPKI-Certificate-Name-Blag -1
```
Eliminar AnyPurpose EKU; eliminar plantillas sin EKU a menos que actúen como CA subordinados. Por RFC 5280 #4.2.1.12, falta EKU = Comportamiento SubCA. [Reduce: ESC2]
- EKU es msPKI-Certificate-Application-Policy pKIExtendedKeyUsage en el objeto AD de plantilla. Inspeccione con:
```
certutil -dstemplate
```
- Remediación: establecer OID de EKU específicos y eliminar OID 2.5.29.37.0 (cualquierUsoDeTeclaExtendida).
Restringir la inscripción/inscripción automática a grupos de seguridad específicos con nombre. Usuarios nunca autenticados / Usuarios de dominio / Equipos de dominio en plantillas confidenciales. [Reduce: ESC1–ESC3, ESC15]
Habilitar la aprobación del administrador y las firmas autorizadas en WebServer, CodeSigning, SmartCardLogon y EnrollmentAgent. [Reduce: ESC1, ESC3]
Establezca el tamaño mínimo de clave en RSA de 2048 bits (4096 bits para claves de CA) o ECDSA P-384. Deshabilitar SHA-1 por SP 800-57 del NIST calendario de desuso. [Alinea: NIST, Foro CA/B BR]
- El tamaño mínimo de la clave es msPKI-Minimal-Key-Size en la plantilla. Inspeccione con:
```
certutil -dstemplate
```
- Para establecer SHA-256 como mínimo en la propia CA:
```
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
```
```
net stop certsvc y net start certsvc
```
- Verificar:
```
certutil -getreg ca\csp\CNGHashAlgorithm
```
- Confirme el algoritmo de firma actual:
```
certutil -getreg ca\csp\CNGPublicKeyAlgorithm
```

Deshabilitar EDITF_ATTRIBUTESUBJECTALTNAME2 en cada CA. [Reduce: ESC6]

certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc y net start certsvc

Implementar el cifrado RPC. [Reduce: ESC11]

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

net stop certsvc y net start certsvc

Refuerce o elimine la inscripción web HTTP. Implementar HTTPS + EPA. Deshabilitar NTLM. Alinear con Requisitos de seguridad de red del Foro CA/B. [Reduce: ESC8]
- Para deshabilitar las solicitudes remotas basadas en RPC:
```
certutil -setreg CA\InterfaceFlags +IF_NOREMOTEICERTREQUEST
```
- Esto desactiva las solicitudes remotas basadas en RPC; específicamente para HTTP/CES, desinstale la función de inscripción web o reconfigure IIS.
Bloquear la plantilla y las DACL de CA solo para cuentas de nivel 0. Auditar todos los objetos PKI AD. [Reduce: ESC4, ESC5, ESC7]
- Consulte el descriptor de seguridad de la CA:
```
certutil -getreg CA\Security
```
Elimine CT_FLAG_NO_SECURITY_EXTENSION de todas las plantillas. Asegúrese de la extensión SID según KB5014754. [Reduce: ESC9]
- Es msPKI-Enrollment-Flag bit 0x80000 en la plantilla. Inspeccionar:
```
certutil -dstemplate
```
- Para confirmar que se está aplicando la extensión SID (KB5014754), verifique el registro de la CA:
  - Asegúrese de que EDITF_ATRIBUTESUBJECTALTNAME2 ya está desactivado (ver lista de verificación 7) y el sistema operativo está parcheado para KB5014754.
Parche para ESC15 (CVE-2024-49019). Migrar el esquema V1 → V2+ mediante duplicación. [Reduce: ESC15]
- Para comprobar la versión del esquema de una plantilla (busque msPKI-Template-Schema-Version):
```
certutil -dstemplate
```
- Las plantillas V1 deben duplicarse a V2+ a través de certtmpl.msc.
Audite cada msDS-OIDToGroupLink y altSecurityIdentities. Eliminar enlaces no autorizados y asignaciones débiles. [Reduce: ESC13, ESC14]
Deshabilitar la exportación de clave privada en todas las plantillas que no requieren portabilidad. [Reduce: robo de certificados]
- Es msPKI-Private-Key-Flag en la plantilla — bit claro 0x10 (CT_FLAG_EXPORTABLE_KEY). Inspeccionar:
```
certutil -dstemplate
```
- A través de la interfaz gráfica de usuario: abrir certtmpl.msc → clic derecho en la plantilla → Propiedades → pestaña Manejo de solicitudes → desmarcar “Permitir que se exporte la clave privada” → Aceptar.
Habilitar la separación de roles; nunca ubicar AD CS en un controlador de dominio (DC). Proteja las claves de CA con HSM de nivel 3 FIPS 140-3 (consulta: Cómo puede ayudar la consultoría en cifrado).
- Para claves de CA respaldadas por HSM, configure durante la instalación de la CA o la migración de claves a través del CSP/KSP del proveedor de HSM. Para verificar el CSP actual:
```
certutil -getreg ca\csp
```

Ciclo de vida del certificado: Gobernanza desde la inscripción hasta la revocación.

El endurecimiento de la plantilla por sí solo es insuficiente sin gestión del ciclo de vida del certificado gobernanza a lo largo de todo el ciclo de vida del certificado. El marco del ciclo de vida se alinea con NIST SP 800-57 #8 (Ciclo de vida de la gestión de claves) RFC 3647 (Política de certificados / Marco CPS):

Controles de inscripción

Defina los flujos de trabajo de autorización por NIST SP 800-53 IA-5 (Gestión de autenticadores)Utilice la inscripción automática de directivas de grupo para certificados estándar; requiera solicitud y aprobación manual para plantillas de alto valor. Para protocolos de inscripción modernos, considere EST (RFC 7030), CMP (RFC 4210), o ACME (RFC 8555).

Validación de emisión

La CA debe validar a los solicitantes, la información del sujeto y los SAN. Módulos de políticas de código abierto como TameMyCerts aplicar reglas en el momento de la emisión. Para la automatización del ciclo de vida de nivel empresarial, consulte Administrador de CertSecure.

Revocación y verificación de estado

Mantenimiento Puntos de distribución de CRL Respondedores de OCSP (RFC 6960) para la verificación de validez en tiempo real. Monitorear fallos de revocación (IDs de evento 4870–4873). Para Grapado y vida útil de los certificados OCSPConsulte la guía de Encryption Consulting.

Periodos de validez y renovación

Per Requisitos básicos del Foro CA/BLos certificados TLS de confianza pública tienen una duración máxima de 398 días. Recomendaciones internas: 1 año para el usuario, 2 años para el equipo, 5 años para la CA emisora, 10-20 años para la raíz sin conexión. Alinear con NIST SP 800-57 Parte 1 Guía del período criptográfico.

Archivo y recuperación de claves

Habilite el archivado de claves en las plantillas de cifrado para la continuidad del negocio. Designe agentes de recuperación de claves con controles estrictos según NIST SP 800-152 (Perfil CKMS federal).

Estrategia de auditoría: Los identificadores de eventos que importan

La auditoría es el aspecto más descuidado de las operaciones de AD CS. Habilite la auditoría completa de CA por Documentación de los Servicios de Certificación de Auditoría de Microsoft:

Configurar filtro de auditoría de CA: certutil -setreg ca\auditfilter 127 (las siete categorías)
Habilitar la subcategoría de directiva de grupo: Política de auditoría avanzada → Acceso a objetos → Servicios de certificación de auditoría → Éxito y fracaso

Identificadores de eventos críticos

Identificador de sucesos	Descripción	A qué prestarle atención
4886	Solicitud de certificado recibida	Combinaciones inusuales de solicitante/plantilla; direcciones IP de origen inesperadas.
4887	Certificado aprobado y emitido	Discrepancia entre SAN y solicitante; identidades privilegiadas en el campo SAN.
4888	Solicitud de certificado denegada	Las denegaciones repetidas pueden indicar ataques de denegación y posterior aprobación de ESC7.
4890	Se modificaron los ajustes del administrador de CA.	Cambios de configuración de CA no autorizados (ESC6, ESC7)
4899/4900	Plantilla modificada / seguridad actualizada	Cambios en las propiedades de la plantilla o en la ACL (detección de ESC4, ESC5)
4768	Solicitud de TGT de Kerberos	PreAuthType=16 = autenticación basada en certificado (RFC 4556 PKINIT); correlacionar con 4887

Reenvía todos los eventos de CA a tu SIEM. Correlaciona con Guía de detección MITRE ATT&CK T1649 Alertas de Microsoft Defender para identidad AD CS.

Ofensivo (Pruebas autorizadas)

Certify 2.0 (SpecterOps): Estándar C# compatible con ESC1–ESC16. find /vulnerable enumera todas las configuraciones erróneas explotables.
Certipy (Oliver Lyak): Basado en Python, compatible con Linux. Salida JSON compatible con BloodHound, relé NTLM para ESC8.

Defensiva

Cerrajero 2 (Trimarc Security): Auditoría de PowerShell de primera clase para ESC1–ESC16. Genera scripts de corrección por hallazgo.
PSPKIAudit (SpecterOps): Kit de herramientas de PowerShell para ESC1–ESC8, con Get-CertRequest para respuesta a incidentes.
Sabueso de sangre 5.4+: Integración completa de nodos/bordes de AD CS (ADCSESC1, ADCSESC3, ADCSESC6a/b, ADCSESC9a/b, ADCSESC10a/b, ADCSESC13, GoldenCert).
Microsoft Defender para la identidad: Sensor AD CS con evaluaciones de postura en tiempo real para ESC1–ESC8, ESC11, ESC15.
TameMyCertsMódulo de política de CA de código abierto que bloquea las solicitudes mal formadas en el momento de la emisión. Valida los nombres de los sujetos, restringe los SAN y aplica tamaños de clave.
Gestor de CertSecure (Consultoría en Cifrado):Empresa gestión del ciclo de vida del certificado Plataforma que proporciona detección, inscripción, renovación y revocación automatizadas en entornos de múltiples autoridades de certificación.

La realidad operativa: por qué AD CS local está perdiendo terreno.

AD CS fue diseñado para entornos locales centrados en Windows. Para un análisis detallado de las limitaciones, lea nuestro blog sobre Cómo abordar los riesgos en los servicios de certificados de Active Directory.

Dispositivos que no son Windows y BYOD (Trae tu propio dispositivo)

La inscripción automática funciona exclusivamente a través de la Política de grupo. macOS, Linux, iOS, Android y ChromeOS carecen de soporte nativo. NDES/SCEP (RFC 5272 / CMC) es la solución típica, pero introduce problemas de seguridad. Las alternativas modernas incluyen EST (RFC 7030) ACME (RFC 8555)—ninguna de las dos es compatible de forma nativa con AD CS.

Fuerza laboral remota e híbrida

La inscripción de certificados mediante RPC/DCOM requiere conectividad con el controlador de dominio (DC) y la autoridad de certificación (CA). Los trabajadores remotos experimentan fallos en la renovación cuando la propia VPN exige un certificado válido. Arquitecturas de confianza cero (NIST SP 800-207) Exigir una identidad basada en certificados, independientemente de la ubicación en la red.

Costo y carga de conocimientos especializados

El costo total de propiedad incluye hardware CA, HSM (FIPS 140-3 Certificado), licencias de Windows Server, instalaciones raíz sin conexión, personal especializado en PKI, infraestructura CRL/AIA y pruebas de parches. A partir de 2026, el 62 % de las organizaciones informan carecer de suficiente experiencia en PKI.

El enfoque híbrido pragmático

La estrategia óptima: AD CS reforzado para cargas de trabajo integradas en el dominio junto con una Plataforma PKI gestionada moderna Para BYOD, sistemas operativos múltiples, cargas de trabajo en la nube, IoT/OT y fuerza laboral remota. Ver Diseño e implementación de infraestructura de clave pública (PKI) por Encryption Consulting. para arquitecturas híbridas.

Proteja su infraestructura de clave pública (PKI): Cómo puede ayudarle la consultoría en cifrado

La seguridad de las plantillas de AD CS requiere gobernanza, supervisión y experiencia continuas. Consultoría de cifrado Ofrece conocimientos especializados sobre infraestructura de clave pública (PKI) en materia de evaluación, implementación y servicios gestionados:

Servicios de evaluación de PKI

Nuestra completo Evaluación de salud de PKI examina cada aspecto de su implementación de AD CS a través de la taxonomía ESC1–ESC16, mandatos de CISA/NSA, Controles NIST SP 800-53y las mejores prácticas de Microsoft:

Auditoría de plantillas de certificados: Revisión sistemática de las configuraciones y el uso de las plantillas de certificados ADCS para detectar configuraciones erróneas que puedan ser explotadas.
Revisión de la infraestructura de CA: Diseño jerárquico, Configuración de HSM (FIPS 140-3 cumplimiento), separación de roles, registro de auditoría, estado CRL/AIA.
Análisis de la ruta de ataque: Mapear cada ruta explotable según el Usados certificados marco y MITRE ATT&CK T1649.
Análisis de brechas de gobernanza: Evaluación contra SP 800-57 del NIST, ESP 800-152, RFC 3647 (CP/CPS), el Requisitos básicos del Foro CA/B.
Hoja de ruta para la remediación: Recomendaciones priorizadas y prácticas, con orientación para su implementación y planes de reversión.

PKI como servicio (PKIaaS)

Reduzca la complejidad operativa al tiempo que refuerza la seguridad con nuestra PKI administrada:

CA gestionada en la nube: Totalmente gestionado con Respaldado por HSM Protección de claves, redundancia integrada, disponibilidad con garantía de nivel de servicio (SLA).
Inscripción multiprotocolo: Nativo SCEP (RFC 5272), EST (RFC 7030), ACME (RFC 8555), CMP (RFC 4210) Compatibilidad con todos los dispositivos, sistemas operativos y arquitecturas.
Gestión automatizada del ciclo de vida: Vía Administrador de CertSecure—descubrimiento, inscripción, renovación y revocación en toda su empresa.
Soporte multiplataforma: Windows, macOS, Linux, iOS, Android, ChromeOS, IoT, cargas de trabajo en la nube: una única plataforma de gestión.
Informes listos para el cumplimiento: Alineado con SP 800-53 del NIST, ESP 800-171SOC 2, PCI DSS y HIPAA.

La integridad de su dominio depende de la seguridad de la infraestructura de certificados. Contacte con Encryption Consulting hoy mismo para programar una evaluación de salud de PKI.

Índice de referencias y normas

Este artículo hace referencia a las siguientes normas, recomendaciones y herramientas públicas:

RFC de la IETF

RFC 5280 – Certificado PKI X.509 de Internet y perfil CRL
RFC 6960 – Protocolo de estado de certificado en línea (OCSP)
RFC 4556 – Criptografía de clave pública para la autenticación inicial en Kerberos (PKINIT)
RFC 3647 – Marco de políticas y prácticas de certificación de certificados PKI X.509 de Internet
RFC 8446 – Protocolo de seguridad de la capa de transporte (TLS) versión 1.3
RFC 6125 – Representación y verificación de la identidad del servicio de aplicación
RFC 7030 – Inscripción a través de transporte seguro (EST)
RFC 8555 – Entorno de gestión automática de certificados (ACME)
RFC 4210 – Protocolo de gestión de certificados (CMP)
RFC 5272 – Gestión de certificados a través de CMS (CMC)

Publicaciones del NIST

SP 800-57 Parte 1 Rev. 5 – Recomendación para la gestión de claves
ESP 800-152 – Perfil de los sistemas federales de gestión de claves criptográficas de EE. UU.
SP 800-53 Rev. 5 – Controles de seguridad y privacidad para sistemas de información
ESP 800-207 Arquitectura de confianza cero
SP 800-63-4 (Borrador) – Directrices sobre identidad digital
FIPS 140-2 / FIPS 140-3 – Requisitos de seguridad para módulos criptográficos

CVE

CVE-2022-26923 – Certifried (AD DS Elevación de privilegios)
CVE-2024-49019 – EKUwu / ESC15 (Anulación de EKU de AD CS)
CVE-2021-36942 – PetitPotam (Relevo NTLM)

Avisos gubernamentales

CISA/NSA AA23-278A – Las diez principales configuraciones erróneas de ciberseguridad según la NSA y la CISA
Comunicado conjunto de los Cinco Ojos (septiembre de 2024) – Detección y mitigación de vulnerabilidades en Active Directory
Catálogo de vulnerabilidades explotadas conocidas de CISA
MITRE ATT&CK T1649 – Robar o falsificar certificados de autenticación

CA / Foro del navegador

Documentación de Microsoft

Investigación y herramientas de seguridad

Recursos de consultoría en cifrado

Blog de mejoras de ADCS 2025
Aplicación rigurosa del mapeo de certificados de Microsoft
Administrador de CertSecure Plataforma de gestión del ciclo de vida de los certificados
Servicios de PKI | PKI administrada | Servicios de Consultoría
Comprobación del estado de PKI | Evaluacion de seguridad | Servicios CBOM
Centro educativo: PKI | HSM | CLM | OCSP | CRL | Firma de código | Gestión de claves | Zero Trust | PQC

Conclusión

Las configuraciones incorrectas de las plantillas de certificados siguen siendo la superficie de ataque más subestimada en los entornos de Active Directory empresariales. La taxonomía ESC continúa creciendo, las herramientas de los equipos rojos automatizan la explotación más rápido de lo que la mayoría de los equipos azules pueden auditar, y la aplicación de las normativas por parte de Microsoft, CISA y los socios de Five Eyes ha eliminado el período de gracia.

Las medidas de defensa descritas en este manual no son aspiracionales; constituyen la base operativa. Las organizaciones que traten su infraestructura de CA con el mismo rigor que sus controladores de dominio lograrán cerrar la brecha. Aquellas que se demoren descubrirán que los atacantes ya han identificado las vulnerabilidades que dejaron expuestas.

Si su equipo necesita un punto de partida, Encryption Consulting Comprobación del estado de PKI pueden identificar lo que describe este manual, antes de que lo haga un adversario.

Anatomía de la plantilla de certificado: Las ocho propiedades significativas que definen su postura de riesgo
Casos de uso empresariales más comunes
ESC1 a ESC16: La taxonomía completa de ataques
Lo que Microsoft, CISA y la NSA quieren que soluciones
Lista de verificación de endurecimiento de plantillas de 15 puntos
Ciclo de vida del certificado: Gobernanza desde la inscripción hasta la revocación.
Estrategia de auditoría: Los identificadores de eventos que importan
Herramientas que exponen los puntos ciegos de AD CS
La realidad operativa: por qué AD CS local está perdiendo terreno.
Proteja su infraestructura de clave pública (PKI): Cómo puede ayudarle la consultoría en cifrado
- Servicios de evaluación de PKI
- PKI como servicio (PKIaaS)
Índice de referencias y normas
Conclusión