- ¿Qué es AD CS y por qué son importantes los contenedores?
- Los contenedores clave de AD CS, uno por uno
- Herramientas para visualizar y administrar contenedores de AD CS
- Resumen de referencia rápida
- ¿Cómo puede ayudarle la consultoría en cifrado con su infraestructura de clave pública (PKI)?
- Conclusión
Si alguna vez ha administrado un entorno Windows y se ha preguntado dónde reside realmente la configuración de su Autoridad de Certificación dentro de Active Directory, no está solo. La mayoría de los profesionales saben que Servicios de certificados de Active Directory (AD CS) Se encarga de la emisión de certificados, pero la infraestructura subyacente, concretamente el conjunto de contenedores especializados que almacenan la configuración de PKI en todo el bosque, a menudo sigue siendo un misterio.
Esta guía le explicará cada contenedor de claves que utiliza AD CS, qué almacena, por qué es importante, cómo verlo y qué puede salir mal si está mal configurado o se descuida.
Lo que aprenderá
- Qué son los contenedores AD CS y dónde se encuentran en Active Directory.
- El propósito de cada contenedor: Autoridades de certificación, AIA, CDP, Servicios de inscripción, Certificados NTAuth, KRA, OID y más.
- Cómo ver y administrar contenedores usando PKIView, ADSI Edit y certutil.
¿Qué es AD CS y por qué son importantes los contenedores?
Servicios de certificados de Active Directory (AD CS) es el sistema integrado de Microsoft. Solución de infraestructura de clave pública (PKI)Permite a las organizaciones emitir y administrar certificados digitales para funciones como la autenticación de usuarios, la autenticación de equipos, el correo electrónico cifrado, SSL/TLS, el inicio de sesión con tarjeta inteligente y la firma de código.
AD CS depende en gran medida de Active Directory para almacenar la configuración, publicar certificados, distribuir información de revocación e informar a los equipos cliente sobre las autoridades de certificación en las que pueden confiar. Los contenedores que vamos a explorar son las ubicaciones específicas dentro de Active Directory donde reside toda esa información.
El contexto de nomenclatura de la configuración
Todos los datos de configuración de AD CS se almacenan en el contexto de nomenclatura de configuración, dentro del contenedor de servicios de clave pública, que se replica en cada controlador de dominio de todo el bosque. Este es un detalle importante. A diferencia del contexto de nomenclatura de dominio (que se limita a un solo dominio), los datos de configuración abarcan todo el bosque. Esto significa que un cambio en una plantilla de certificado o en un punto de distribución de CRL en un controlador de dominio eventualmente aparecerá en los controladores de dominio de todos los dominios del bosque.
CN=Servicios de clave pública, CN=Servicios, CN=Configuración, DC={dominio raíz del bosque}
Todo lo que analizamos en este artículo se encuentra en algún lugar bajo ese camino. Entonces, ¿por qué es importante la seguridad en todo el bosque?
- Cualquier configuración incorrecta en los contenedores de AD CS afecta a todos los dominios del bosque.
- Los permisos de estos contenedores se configuran a nivel de bosque por los administradores de la empresa.
- Una CA comprometida o una plantilla de certificado maliciosa pueden elevar los privilegios a través de los límites del dominio.
- Por eso, reforzar la seguridad de los contenedores de AD CS es una cuestión de seguridad que afecta a todo el bosque, y no solo a un dominio específico.
Los contenedores clave de AD CS, uno por uno
Analicemos cada contenedor en detalle.
Contenedor de autoridades de certificación
Este contenedor almacena los certificados CA de cada CA raíz en la que su organización ha decidido confiar. Cuando instala una Enterprise CA raízEl asistente de configuración publica automáticamente el certificado de CA aquí. Los clientes de Windows leen este contenedor al crear cadenas de certificados, lo que les permite saber si deben confiar en un certificado emitido por su CA interna.
Puede instalar manualmente el certificado de CA raíz en este contenedor ejecutando el siguiente comando certutil.exe:
certutil –dspublish –fRootCA
Reemplace con la ruta real y el nombre del archivo del certificado. Tenga en cuenta que también se instala una copia del certificado de la CA raíz en el contenedor AIA.
Imagínelo como la "lista oficial de CA de confianza" que hereda todo el bosque. Cuando un usuario recibe un certificado firmado por su CA interna, Windows comprueba este contenedor (entre otros almacenes) para confirmar que la CA emisora es de confianza.
| Nota de seguridad |
|---|
| Por defecto, solo los administradores de la empresa pueden agregar o eliminar objetos aquí. |
| Supervise la adición de certificados raíz de CA no autorizados; esta es una táctica clásica de los atacantes para establecer una CA de confianza fraudulenta. |
| Usa el comando: Utilice certutil -store -enterprise Root para listar las raíces de confianza actuales y compararlas con las CA esperadas. |
Contenedor de servicios de inscripción
Este es uno de los contenedores más importantes desde el punto de vista operativo. Cada CA empresarial que se une a su bosque publica un objeto aquí. Cuando un cliente Windows desea solicitar un certificado, consulta este contenedor para averiguar qué CA están disponibles y qué plantillas admite cada una.
Este proceso de detección permite la inscripción automática. Cuando la directiva de grupo activa la inscripción automática de certificados, Windows comprueba el contenedor de Servicios de inscripción para determinar a qué entidad de certificación debe contactar y qué plantillas debe solicitar. Si no se encuentra un objeto válido, la inscripción automática simplemente deja de funcionar.
El objeto pKIEnrollmentService también incluye un atributo llamado certificateTemplates, que es una lista de las plantillas publicadas por esa CA en particular. Esto significa que si desea saber exactamente qué plantillas ofrece actualmente una CA específica, aquí es donde debe buscar.
Visualización en PKIView.msc
Compruebe los objetos de Servicios de inscripción con el complemento MMC de PKI empresarial.
- Abra PKIView.msc (ejecute pkiview.msc desde el menú Inicio).
- La vista de árbol de la izquierda muestra la jerarquía de PKI empresarial.
- Cada nodo CA representa un objeto en el contenedor de Servicios de inscripción.
- Haz clic con el botón derecho en una CA y elige Propiedades para ver sus atributos.
- Haga clic con el botón derecho en Enterprise. PKI y seleccione Administrar contenedores de AD para un acceso más profundo.
Contenedor de plantillas de certificados
Las plantillas de certificados definen el modelo para cada tipo de certificado que su infraestructura de clave pública (PKI) puede emitir. La plantilla especifica el uso de la clave, el período de validez, los algoritmos criptográficos, el formato del nombre del sujeto, el uso extendido de la clave, la configuración de inscripción automática y quién tiene permiso para solicitar ese tipo de certificado.
Todas las plantillas, estén o no publicadas en una CA, residen en este contenedor. Es importante distinguir entre "la plantilla existe" y "la plantilla está publicada": una plantilla puede estar en este contenedor sin que ninguna CA la ofrezca activamente. Solo cuando un administrador de CA publica la plantilla, esta aparece en el objeto de Servicios de inscripción de esa CA.
Por qué las plantillas son un punto crítico de seguridad
Certificado Las plantillas son la principal superficie de ataque en la mayoría de las implementaciones de AD CS. Investigaciones realizadas por empresas de seguridad (entre las que destaca la ESC1 a ESC16 Las clases de vulnerabilidad documentadas por SpecterOps han demostrado que las plantillas mal configuradas pueden permitir que usuarios sin privilegios soliciten certificados que otorguen privilegios de administrador de dominio.
Las configuraciones erróneas más peligrosas incluyen:
- Permitir que los usuarios autenticados se inscriban en una plantilla que tiene la aprobación del gerente deshabilitada.
- Habilitación nombres alternativos del sujeto (SAN) proporcionado por el solicitante en plantillas confidenciales
- Otorgar derechos de inscripción a grupos demasiado amplios.
- Habilitar innecesariamente la opción "Marcar clave privada como exportable"
- Uso de plantillas de certificado con el indicador ENROLLEE_SUPPLIES_SUBJECT en plantillas de alto privilegio.
Advertencia de seguridad crítica
Nunca otorgue permisos de inscripción a "Usuarios autenticados" en plantillas que no requieren la aprobación del administrador.
Contenedor AIA (Acceso a la Información de la Autoridad)
El contenedor AIA almacena los certificados de las CA subordinadas (intermedias) y cualquier certificado cruzado que su organización haya establecido. Cuando un equipo cliente recibe un certificado y necesita validarlo, debe construir una cadena desde el certificado de la entidad final hasta una raíz de confianza. Si el cliente no tiene almacenado localmente el certificado de la CA intermedia, utiliza la URL de AIA incrustada en el certificado para obtenerlo.
La URL LDAP que apunta a este contenedor normalmente está integrada en la extensión AIA de cada certificado que emite su CA subordinada. Por lo tanto, cuando una máquina dice "¿dónde puedo obtener el certificado de la CA que emitió esto?", se deduce que LDAP URL y se encuentra en este contenedor.
Verifique AIA con certutil
Compruebe qué se publica en el contenedor AIA desde la línea de comandos.
- Abra un símbolo del sistema elevado
- Ejecutar: certutil -store -enterprise SubCA
- Aquí se enumeran todos los certificados en el contenedor AIA basado en AD.
- Compare el resultado con sus CA intermedios esperados.
- Para publicar un certificado faltante: certutil -dsPublish -f SubCA.cer SubCA
Un problema común: si el contenedor AIA no tiene el certificado de la CA intermedia, los clientes de otros dominios o bosques que no tengan el certificado en caché no superarán la validación de la cadena de certificados. Esto suele manifestarse como errores SSL en sitios web o fallos de autenticación en escenarios entre dominios.
| Construcción de la cadena de pruebas |
|---|
| Después de publicar en AIA, siempre pruebe la validación de la cadena desde una máquina cliente utilizando: |
| certutil -verify -urlfetch |
| Este comando simula la construcción completa de la cadena, incluyendo la obtención de datos desde las URL de AIA y CDP, para que pueda confirmar que todo se resuelve correctamente. |
Contenedor CDP (Punto de Distribución CRL)
El contenedor CDP es donde se almacenan las listas de revocación de certificados (CRL) dentro de Active Directory. Una CRL es básicamente una lista firmada de números de serie de certificados que han sido revocados antes de su fecha de vencimiento. Cuando una aplicación cliente valida un certificado, una de sus comprobaciones es si el certificado ha sido revocado. Para ello, descarga la CRL desde una URL del CDP.
Active Directory es una de las ubicaciones CDP compatibles (HTTP es otra opción común). La URL LDAP que apunta a este contenedor está integrada en la extensión CDP de cada certificado emitido. Cuando se valida un certificado, el cliente sigue esa URL y recupera la CRL para comprobar si se ha revocado.
Cada CA obtiene su propio subcontenedor dentro de CN=CDP. Dentro de ese subcontenedor encontrará:
- CRL base: La lista completa de certificados revocados, publicada periódicamente.
- Delta CRL: Una lista incremental más pequeña de cambios desde el último CRL base.
Publicación manual de una CRL
Forzar la publicación de CRL en el contenedor AD CDP
- En el servidor CA, abra un símbolo del sistema con privilegios de administrador.
- Ejecutar: certutil -crl para forzar la publicación de la CRL
- Esto publica tanto la CRL base como la delta en todas las ubicaciones de CDP configuradas.
- Verificar con: certutil -store -enterprise ldap:///CN= ,CN=CDP,….
- En PKIView.msc, un icono amarillo junto a una CA indica que la validez de la CRL está próxima a expirar.
Vista desde ADSI.edit
| Las CRL caducadas lo estropean todo. |
|---|
| Una CRL caducada o inexistente provoca que todos los certificados emitidos por esa CA fallen en la validación. |
| Las aplicaciones interpretan el mensaje "no se puede recuperar la CRL" como un fallo grave a menos que estén configuradas para permitir fallos en la comprobación de revocación. |
| Supervise de forma proactiva la caducidad de la CRL. Una configuración típica: validez de la CRL base de 7 días, validez de la CRL delta de 1 día, publicada cada 12 horas. |
| Configure alertas de monitoreo cuando falten menos de 24 horas para que caduque la CRL. |
Tienda de certificados NTAuth
Aunque su nombre sugiera que se trata de un contenedor, NTAuthCertificates es en realidad un único objeto de Active Directory con un atributo multivalor. Almacena los certificados de CA de todas las entidades de certificación autorizadas para emitir certificados utilizados para el inicio de sesión con tarjeta inteligente y el archivo de claves.
He aquí por qué esto es importante: cuando un usuario intenta iniciar sesión en Windows con una tarjeta inteligente, el controlador de dominio no solo verifica si el certificado de la tarjeta es válido y de confianza, sino que también comprueba si la CA que emitió dicho certificado aparece en NTAuthCertificates. Si la CA emisora no figura en esa lista, se deniega el inicio de sesión, incluso si el certificado en sí es perfectamente válido.
Las autoridades de certificación empresariales se agregan automáticamente a NTAuthCertificates durante la instalación. Las autoridades de certificación de terceros o las autoridades de certificación independientes utilizadas para certificados de tarjetas inteligentes deben agregarse manualmente.
Comprobar los certificados NTAuth desde la línea de comandos
Verifique qué certificados CA se encuentran en el almacén NTAuthCertificates.
- Abra un símbolo del sistema elevado
- Ejecutar: certutil -store -enterprise NTAuth
- Aquí se enumeran todos los certificados CA que se encuentran actualmente en NTAuthCertificates.
- Para agregar una CA faltante: certutil -dsPublish -f NTAuthCA
- Después de agregarlo, ejecute: certutil -pulse en los controladores de dominio para forzar la actualización de la política.
| Objetivo de alto valor para los atacantes |
|---|
| Agregar un certificado CA no autorizado a NTAuthCertificates permite a un atacante crear certificados falsificados para el inicio de sesión con tarjeta inteligente. |
| Esta es una técnica de persistencia conocida. Supervise este objeto para detectar cualquier cambio inesperado. |
| Alerta sobre modificaciones en: CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration, |
| Auditorías periódicas: compare los valores actuales de cACertificate con su inventario de certificados CA válidos. |
Contenedor KRA (Agente de Recuperación de Claves)
El contenedor KRA almacena los certificados KRA. Cuando una CA está configurada para el archivado de claves, utiliza la clave pública de un certificado KRA (almacenado en este contenedor) para cifrar la copia archivada de la clave privada del usuario. Solo el titular de la clave privada KRA puede descifrar y recuperar posteriormente dicha clave archivada.
Este es un contenedor sensible. Si un atacante obtiene el control de la clave privada de un certificado KRA, puede descifrar todas las claves privadas de usuario archivadas y, potencialmente, acceder a años de correos electrónicos, documentos y otros datos confidenciales cifrados.
Contenedor OID (Identificador de Objeto)
Identificadores de objeto (OID) Los OID son identificadores numéricos únicos a nivel mundial que se asignan a prácticamente todo en el mundo de la infraestructura de clave pública (PKI): algoritmos, extensiones de certificados, políticas y más. El contenedor OID en Active Directory es donde su organización registra los OID personalizados que se utilizan en las plantillas de certificados para las políticas de aplicación (¿para qué es válido el certificado?) y las políticas de emisión (¿bajo qué condiciones se emitió este certificado?).
Al crear una extensión de directiva de aplicación personalizada en el complemento Plantillas de certificado de MMC, el objeto OID resultante se almacena aquí. Este contenedor también es el que utiliza AD CS para saber los nombres legibles que debe mostrar para esos OID en la interfaz de usuario de Plantillas de certificado.
Si bien este contenedor conlleva un riesgo de seguridad directo menor que los demás, conviene auditarlo para asegurarse de que no se hayan añadido definiciones OID inesperadas, lo que podría afectar al comportamiento de la plantilla de forma sutil.
Herramientas para visualizar y administrar contenedores de AD CS
Ahora que sabemos qué hay en cada contenedor, hablemos de cómo interactuar con ellos. Tienes a tu disposición tres herramientas principales, cada una adecuada para diferentes tareas.
PKIView.msc: El punto de partida ideal
PKIView (también conocido como complemento MMC de PKI empresarial) es la forma más accesible de obtener una visión general del estado de su PKI. Muestra la jerarquía de CA, señala los problemas de accesibilidad de CRL y AIA con iconos de estado codificados por colores y permite navegar por los contenedores de AD sin necesidad de conocer las rutas LDAP.
PKIView.msc – Vista del estado de la infraestructura de clave pública empresarial
Esto es lo que verá al ejecutar pkiview.msc en un equipo unido a un dominio.
- Inicio > Ejecutar > pkiview.msc
- Panel izquierdo: árbol jerárquico de su infraestructura de clave pública empresarial (CA raíz en la parte superior, CA subordinadas debajo).
- Icono de marca de verificación verde = el contenedor/URL está en buen estado y es accesible.
- Icono de advertencia amarillo = La CRL está próxima a caducar o la URL tarda en responder.
- Icono de X roja = La URL CRL o AIA no está disponible o ha caducado.
- Haga clic con el botón derecho en Enterprise PKI > Administrar contenedores de AD para ver, eliminar o actualizar los objetos de contenedor.
PKIView ofrece una gran visibilidad, pero limita las posibilidades de realizar cambios más allá de eliminar entradas obsoletas. Para una gestión más completa, necesita las herramientas que se indican a continuación.
Edición ADSI: El explorador de bajo nivel
ADSI Edit (adsiedit.msc) es un editor de directorios sin formato que permite explorar y modificar cualquier objeto en Active Directory, incluidos los contenedores PKI. Es como un explorador de archivos para Active Directory. Un gran poder conlleva una gran responsabilidad: una edición incorrecta en ADSI Edit puede dañar su PKI de forma irreversible, por lo que siempre debe probarlo primero en un entorno que no sea de producción.
Edición de ADSI: Navegación a los servicios de clave pública
Consulte la estructura completa del contenedor PKI.
- Inicio > Ejecutar > adsiedit.msc
- Haga clic con el botón derecho en ADSI Editar en el panel izquierdo > Conectar a…
- Seleccione 'Configuración' en el menú desplegable de contexto de nomenclatura conocido > Aceptar
- Expandir: Configuración[DC=…] > CN=Configuración > CN=Servicios > CN=Servicios de clave pública
- Ahora verá todos los subcontenedores: AIA, CDP, Autoridades de Certificación, Servicios de Inscripción, KRA, OID
- Haz clic con el botón derecho en cualquier objeto y elige Propiedades para ver todos sus atributos y valores.
Certutil.exe
Certutil es la herramienta de línea de comandos fundamental para todo lo relacionado con AD CS. Permite leer y escribir en contenedores de AD CS, publicar certificados y CRL, verificar cadenas de certificados y mucho más. Estos son los comandos más utilizados para la administración de contenedores:
| Task | Comando |
|---|---|
| Enumerar las CA raíz de confianza en Active Directory. | certutil -store -enterprise Root |
| Lista de contadores públicos intermedios en AIA | certutil -store -enterprise SubCA |
| Lista de certificados NTAuth | certutil -store -enterprise NTAuth |
| Publicar un certificado de CA raíz en Active Directory | certutil -dsPublish -f RootCA.cer RootCA |
| Publicar un certificado CA intermedio | certutil -dsPublish -f SubCA.cer SubCA |
| Agregar una CA a NTAuthCertificates | certutil -dsPublish -f CA.cer NTAuthCA |
| Publicar obligatoriamente CRL en AD | certutil -crl (ejecutar en el servidor CA) |
| Verificar la cadena de certificados con obtención de URL | certutil -verify -urlfetch cert.cer |
| Mostrar información de configuración de CA | certutil -CAInfo |
Resumen de referencia rápida
Aquí tenéis una referencia consolidada de todos los contenedores AD CS que hemos tratado:
| Envase | Propósito | Riesgo en caso de compromiso |
|---|---|---|
| Autoridades de certificación | Certificados CA raíz de confianza para el bosque | Confianza de CA raíz maliciosa establecida |
| Servicios de inscripción | Autoridades de certificación empresariales disponibles para inscripción/inscripción automática. | El sistema de inscripción automática no funciona; se publica una CA falsa. |
| Plantillas de certificado | Plan maestro para los tipos de certificados que puede emitir la PKI. | Escalada de privilegios mediante ataques ESC |
| AFP | Certificaciones intermedias de CA para la construcción de cadenas | Fallos en la validación de certificados |
| CDP | Listas de revocación de certificados para todas las autoridades de certificación | La comprobación de revocación falla; revocación obsoleta. |
| Certificados NTAuth | Autoridades de certificación autorizadas para el inicio de sesión con tarjeta inteligente | Acceso no autorizado a la CA mediante tarjeta inteligente; omisión de autenticación |
| KRA | Certificados del agente de recuperación de claves | Descifrado masivo de claves de usuario archivadas |
| OID | Definiciones OID personalizadas para políticas | Manipulación del comportamiento de la plantilla |
¿Cómo puede ayudarle la consultoría en cifrado con su infraestructura de clave pública (PKI)?
Encryption Consulting proporciona servicios especializados para identificar vulnerabilidades y mitigar riesgos proporcionando Servicios de PKINuestra orientación estratégica alinea las soluciones PKI con los objetivos organizacionales, mejorando la eficiencia y minimizando costos. Al asociarse con Encryption Consulting, las organizaciones pueden aprovechar al máximo el potencial de las soluciones PKI, obteniendo beneficios financieros tangibles y manteniendo sólidas medidas de seguridad.
Consultoría de cifrado PKIaaS Proporciona una solución PKI flexible y segura, adaptada a sus necesidades específicas, con ventajas como opciones personalizables, altos estándares de seguridad y un enfoque gestionado de bajo riesgo. PKIaaS automatiza las tareas de gestión de claves y certificados, reduciendo la sobrecarga operativa y minimizando el riesgo de errores humanos. Además, mejora la visibilidad de la red al requerir certificados para el acceso. Se encargará de construir la infraestructura PKI para liderar y gestionar el entorno PKI (en la nube, híbrido o local) de su organización.
Administrador de CertSecure Cuenta con un conjunto integral de funciones de gestión del ciclo de vida. Desde la detección y el inventario hasta la emisión, el despliegue, la renovación, la revocación y la generación de informes, CertSecure ofrece una solución completa. La generación inteligente de informes, las alertas, la automatización, el despliegue automático en servidores y el registro de certificados añaden un nivel de sofisticación que lo convierte en una herramienta versátil e inteligente.
Conclusión
Los contenedores de AD CS son los héroes anónimos (y a veces villanos) de la infraestructura de clave pública (PKI) de Windows. Cuando están configurados correctamente y protegidos adecuadamente, funcionan silenciosamente en segundo plano, permitiendo la inscripción automática de certificados, el inicio de sesión con tarjeta inteligente, la validación SSL y mucho más. Cuando están mal configurados, se descuidan o son atacados, las consecuencias pueden variar desde molestas (fallos en la inscripción automática) hasta catastróficas (escalada de privilegios en todo el bosque).
Las conclusiones clave de esta guía:
- Toda la configuración de AD CS reside en el contexto de nomenclatura de configuración y se replica en todo el bosque.
- Cada contenedor cumple una función específica en el ciclo de vida del certificado; comprenda el rol de cada uno.
- Las plantillas de certificados son la superficie de ataque de mayor riesgo; audite periódicamente.
- Los certificados NTAuth y el contenedor KRA son objetivos de alto valor que requieren un estricto control de acceso y monitorización.
- PKIView, ADSI Edit y certutil ofrecen tres formas complementarias de inspeccionar y administrar contenedores.
- La mayoría de los problemas comunes de PKI se deben a datos obsoletos, faltantes o caducados en uno de estos contenedores.
Dedicar tiempo a comprender a fondo la estructura de contenedores de su infraestructura de clave pública (PKI) es una de las mejores inversiones que puede realizar para la fiabilidad y la seguridad de su entorno Windows. Una PKI bien comprendida es una PKI que puede protegerse adecuadamente.
- ¿Qué es AD CS y por qué son importantes los contenedores?
- Los contenedores clave de AD CS, uno por uno
- Contenedor de autoridades de certificación
- Contenedor de servicios de inscripción
- Contenedor de plantillas de certificados
- Contenedor AIA (Acceso a la Información de la Autoridad)
- Contenedor CDP (Punto de Distribución CRL)
- Tienda de certificados NTAuth
- Contenedor KRA (Agente de Recuperación de Claves)
- Contenedor OID (Identificador de Objeto)
- Herramientas para visualizar y administrar contenedores de AD CS
- Resumen de referencia rápida
- ¿Cómo puede ayudarle la consultoría en cifrado con su infraestructura de clave pública (PKI)?
- Conclusión
