Microsoft Active Directory-certificaatservices (AD CS) Het vormt al meer dan twee decennia de ruggengraat van enterprise PKI. Het stelt organisaties in staat om PKI-systemen uit te geven. digitale certificaten voor gebruikersauthenticatie, computeridentiteit, code ondertekeningVersleuteling, aanmelden met smartcard en beveiligde communicatie: alles is nauw geïntegreerd met Active Directory.

Maar die diepe integratie is een tweesnijdend zwaard. CertificaatsjablonenDe beleidsobjecten die bepalen welke certificaten worden uitgegeven, aan wie en met welke privileges, worden zelf als AD-objecten opgeslagen. Een enkele verkeerd geconfigureerde sjabloon kan een aanvaller binnen enkele minuten toegang geven van een domeingebruiker zonder privileges tot Enterprise Admin, zonder dat traditionele endpointdetectie wordt geactiveerd.

De SpecterOps Gecertificeerd tweedehands Het whitepaper (2021) was een keerpunt, omdat het acht escalatiepaden (ESC1-ESC8) documenteerde die verkeerde configuraties van certificaatsjablonen omzetten in risico's voor domeincompromissen. Sindsdien is de taxonomie uitgebreid naar ESC16, terwijl Microsoft, CISA (AA23-278A), NSA en partneragentschappen van de Five Eyes (Gezamenlijk advies september 2024) hebben hierop gereageerd met handhavingstermijnen, patchverplichtingen en een formele Tier 0-classificatie van de CA-infrastructuur. Deze handleiding biedt de technische diepgang die PKI-beheerders, beveiligingsarchitecten en governance-teams nodig hebben. Voor fundamentele concepten kunt u de handleidingen van Encryption Consulting raadplegen over Wat is PKI?, Certificaatautoriteitenen X.509-certificaten.

Anatomie van een certificaatsjabloon: de acht belangrijke eigenschappen die uw risicoprofiel bepalen

Elke AD CS-sjabloon is een pKICertificateTemplate-object dat is opgeslagen onder CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration in Active Directory. Het X.509-certificaatprofiel wordt gedefinieerd door RFC 5280terwijl het kader voor het certificaatbeleid en de verklaring over certificeringspraktijken het volgende volgt: RFC 3647Microsoft levert drie schemaversies:

versie 1 – Oude sjablonen. Beperkte bewerkbaarheid, geen automatische inschrijving. Het gevaarlijkst omdat Schema V1-sjablonen kwetsbaar zijn voor ESC15 (CVE-2024-49019EKU-override via CSR).
versie 2 – Volledige configuratie, automatische inschrijving en alle standaard beveiligingsfuncties.
versie 3 – Voegt ondersteuning toe voor cryptografische algoritmen van Suite B / CNG (ECDSA P-256/P-384/P-521), afgestemd op NIST SP 800-57 Belangrijke managementaanbevelingen.

Tabbladen met sjablooneigenschappen en hun beveiligingsimplicaties

Tabblad Eigenschappen	Wat het controleert	Meest voorkomende beveiligingsfout
Algemeen	Weergavenaam, sjabloonnaam (CN), geldigheidsperiode, verlengingsperiode, AD-publicatie	Te lange geldigheidsperioden (standaard 1-2 jaar); certificaten onnodig publiceren naar het userCertificate-attribuut.
Compatibiliteit	Minimale CA- en ontvanger-OS-versies, die de beschikbare cryptografische functies beperken.	De compatibiliteit met oudere besturingssystemen blijft ingeschakeld, waardoor het gebruik van sterkere algoritmen wordt voorkomen.
Verzoekafhandeling	Doel (handtekening / versleuteling / beide), exporteerbaarheid van de privésleutel, CSP/KSP, minimale sleutelgrootte	Exporteerbare privésleutels op waardevolle sjablonen; waardoor zwakke CSP's mogelijk zijn.
Onderwerp	Opbouw op basis van AD-attributen versus door de ingeschrevene verstrekte waarden (CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT)	Het ingeschakeld laten van de door de deelnemer geleverde SAN is de hoofdoorzaak van ESC1.
uitbreidingen	Uitgebreid sleutelgebruik (EKU's) per RFC 5280 #4.2.1.12	AnyPurpose EKU, ontbrekende EKU (die fungeert als SubCA) of te brede authenticatie-EKU's
Geheimschrift	Algoritme (RSA/ECDSA), sleutelgrootte, hash per NIST SP 800-57	SHA-1 is nog steeds aanwezig; 1024-bits RSA-sleutels worden nog steeds geaccepteerd.
Uitgiftevereiste	Goedkeuring door de manager, handtekeningen van de bevoegde inschrijvingsagent	Geen goedkeuring voor gevoelige sjablonen (WebServer, CodeSigning, EnrollmentAgent)
Beveiliging / ACL's	Wie mag het sjabloonobject lezen, schrijven, inschrijven, automatisch inschrijven en volledig beheren?	Geverifieerde gebruikers of domeingebruikers hebben toestemming gekregen om zich in te schrijven voor gevoelige sjablonen.

Inzicht in onderwerptypen en belangrijke gebruikscategorieën

Elke standaardsjabloon behoort tot een onderwerptype en een categorie voor sleutelgebruik. Voor meer informatie over certificaatstructuren, zie Wat is een X.509-certificaat? en RFC 5280 (Internet X.509 PKI-certificaatprofiel).

Onderwerptypen

Gebruiker – Certificaten voor menselijke identiteiten: authenticatie, e-mailondertekening/versleuteling, EFS, codeondertekening, smartcardaanmelding. Inclusief Beheerder, Gebruiker, Smartcardgebruiker, Inschrijvingsagent, Codeondertekening, EFS-herstelagent, Exchange-gebruiker/handtekening.
Computer – Certificaten voor machine-identiteiten: server-/clientauthenticatie, IPsec, Kerberos (RFC 4556 – PKINITDit omvat Computer, WebServer, DomainController, KerberosAuthentication, WorkstationAuthentication, RAS en IAS Server.
Certificate Authority (CA) – Certificaten die de CA's binnen de identificeren PKI-hiërarchie: Root CA, Subordinate CA, Cross-Certification Authority.
DirEmailRep – Directory Email Replication voor het beveiligen van AD-replicatieverkeer.
Sleutelherstelagent – Certificaten die het mogelijk maken om geautoriseerde herstel van gearchiveerde privésleutels mogelijk te maken, essentieel voor sleutelbeheer bestuur.

Belangrijkste gebruikscategorieën

Alleen handtekening – Digitale handtekeningen voor integriteit en authenticiteit per RFC 5280 #4.2.1.3 (CodeSigning, TrustListSigning, EnrollmentAgent, OCSP Response Signing, CA templates).
Alleen versleuteling – Sleutelversleuteling voor vertrouwelijkheid (BasicEFS, CEPEncryption, EFSRecovery, ExchangeUser, KeyRecoveryAgent).
Handtekening + Versleuteling – Beide bewerkingen (Administrator, Computer, User, DomainController, WebServer, SmartcardLogon, KerberosAuthentication, IPSec).

Beste oefening: Wijzig standaardsjablonen nooit rechtstreeks. Dupliceer ze, schakel het origineel uit en beveilig de kopie. Zie Microsofts handleiding voor het beveiligen van AD CS.

Standaardsjablonen: Risicoprofielen die u moet kennen

Sjabloon	Standaardinschrijving	Gevaarlijke eigenschappen	Aanvalsvectoren	Risico
Gebruiker (V1)	Domein gebruikers	Client Auth EKU, V1-schema	ESC3, ESC15	HIGH
Computer (V1)	Domeincomputers	Client Auth EKU, V1-schema	ESC3, ESC8	HIGH
Webserver (V1)	Domeinbeheerders (vaak een bredere definitie)	INGESCHREVEN_BENODIGDHEDEN_ONDERWERP	ESC1, ESC15	KRITISCHE
SubCA (V1)	Domeinbeheerders	Geen EKU (SubCA-gedrag)	ESC7	KRITISCHE
Inschrijvingsagent	Vaak verbreed	Certificaataanvraagagent EKU	ESC3-keten	HIGH

Meest voorkomende gebruiksscenario's voor bedrijven

Voordat we ingaan op aanvalspaden, laten we eerst de legitieme gebruiksscenario's voor bedrijven bekijken. Voor een breder overzicht, zie PKI-diensten van Encryption Consulting:

Webserver / TLS: De WebServer-sjabloon geeft certificaten uit voor interne HTTPS-eindpunten, beheerd door RFC 8446 (TLS 1.3) en RFC 6125 (certificaatidentiteitsverificatie)Het vereist terecht dat de deelnemer SAN's aanlevert, waardoor het de belangrijkste ESC1/ESC15-doelgroep is wanneer de inschrijvingsrechten worden uitgebreid. Openbaar vertrouwde webcertificaten moeten ook voldoen aan Basisvereisten voor het CA/Browser Forum.
Gebruikersauthenticatie (802.1X / VPN): De gebruikerstemplate biedt EAP-TLS-certificaten voor draadloze authenticatie en VPN. De brede toepasbaarheid voor domeingebruikers maakt het een ESC3/ESC15-vector.
Kerberos-authenticatie: Domeincontrollers gebruiken deze sjabloon voor PKINIT-gebaseerde Kerberos-authenticatie (RFC 4556), LDAPS en DC-naar-DC-replicatie. Compromise maakt domeinpersistentie mogelijk.
Codeondertekening: Ontwikkelaars ondertekenen interne scripts en applicaties. Zie Wat is Codeondertekening? Privésleutels zouden nooit Het product moet exporteerbaar zijn en de uitgifte ervan moet goedkeuring van de manager vereisen.
Versleuteling (EFS / S/MIME): BasicEFS en Exchange-gebruikerssjablonen beschermen de versleuteling van bestanden en e-mails. Sleutelarchivering moet zijn ingeschakeld voor bedrijfscontinuïteit. NIST SP 800-57 sleutelbeheer de begeleiding.

ESC1 tot en met ESC16: De complete aanvalstaxonomie

Aanvalspaden vallen in vijf categorieën. Het volledige onderzoek is gedocumenteerd in het document. Whitepaper over gecertificeerde occasions (PDF), met doorlopende updates via BloodHound AD CS aanvalspaden en MITRE ATT&CK T1649:

Aanvallen door verkeerde sjabloonconfiguratie

ESC1 — Door de deelnemer aangeleverde SAN (De belangrijkste route)

ESC1 vereist: (1) CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT ingeschakeld, (2) Clientauthenticatie EKU, (3) inschrijving van kansarme leerlingen, (4) Geen goedkeuring van de manager. De aanvaller specificeert administrator@domain.local in de SAN en authenticeert via RFC 4556Totale tijd tot Enterprise Admin: minder dan 60 seconden.

ESC2 — AnyPurpose of Missing EKU

Sjablonen met AnyPurpose EKU (OID 2.5.29.37.0) Geschikt voor elke functie. Sjablonen met geen EKO fungeren als ondergeschikte CA-certificaten per RFC 5280 #4.2.1.12, in staat om willekeurige nieuwe certificaten te ondertekenen.

ESC3 — Misbruik door inschrijvingsagent

ESC3 combineert twee sjablonen: eerst wordt een certificaat voor een Certificate Request Agent aangevraagd, en vervolgens wordt dit gebruikt om namens bevoegde gebruikers certificaten aan te vragen via Schema V1-doelsjablonen, waarbij de normale inschrijvingsbeperkingen worden omzeild.

ESC15 (CVE-2024-49019 — “EKUwu”)

Ontdekt door TrustedSec (oktober 2024), CVE-2024-49019 Deze kwetsbaarheid maakt gebruik van Schema V1-templates waarbij msPKI-Certificate-Application-Policy in de CSR de pKIExtendedKeyUsage van de template overschrijft. De WebServer-template is het primaire doelwit.

Sanering: Patch alle CA's en migreer V1-sjablonen naar V2+. Zie IX509ExtensionMSApplicationPolicies

Toegangscontrolefouten

ESC4 — Misbruik van ACL voor sjabloonobjecten

Gebruikers met beperkte privileges met Write, WriteDACL, WriteOwner of GenericAll Een AD-object op basis van een sjabloon kan worden aangepast naar een ESC1-equivalent, een certificaat met privileges kan worden aangevraagd en vervolgens de instellingen kunnen worden hersteld, waardoor er minimale forensische sporen achterblijven.

ESC5 — Misbruik van PKI-object-ACL

Breidt ESC4 uit naar alle PKI AD-objecten: NTAuthCertificates, Enrollment Services, CA-computerobjecten en bovenliggende containers met overerfbare ACE's. Zie Microsofts richtlijnen voor het beveiligen van Active Directory CS.

ESC7 — Kwetsbare CA-toegangscontrole

Gebruikers met beperkte privileges met ManageCA or Certificaten beheren Je kunt de SubCA-sjabloon inschakelen, een verzoek indienen met een willekeurige SAN (afgewezen), en vervolgens het mislukte verzoek goedkeuren om een SubCA-certificaat te verkrijgen waarmee je alles kunt ondertekenen.

CA-configuratieproblemen

ESC6 — EDITF_ATTRIBUTESUBJECTALTNAME2

Als de CA EDITF_ATTRIBUTESUBJECTALTNAME2 heeft ingeschakeld, Iedere deelnemer kan een willekeurig SAN opgeven, ongeacht de sjablooninstellingen..

Schakel dit uit voor elke CA:

certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

ESC12 — CA-privésleutel op extern apparaat

Richt zich op CA's met privésleutels op externe locaties HSM's (Bv YubiHSM) waarbij inloggegevens in platte tekst in het register worden opgeslagen. Benadrukt de noodzaak van FIPS 140-2/140-3 Niveau 3 Gecertificeerde HSM-implementaties met correct beheer van inloggegevens.

ESC16 — Globale SID-extensie uitgeschakeld

De SID-beveiligingsuitbreiding OID (1.3.6.1.4.1.311.25.2) is globaal uitgeschakeld in de DisableExtensionList van de CA. Zonder deze uitbreiding kan de KDC geen sterke certificaatmapping uitvoeren. KB5014754.

De registersleutel DisableExtensionList is bedoeld om verouderde of conflicterende extensies te onderdrukken. De SID-extensie (1.3.6.1.4.1.311.25.2) zou nooit Het is beschikbaar op elke productie-CA. Er is geen legitieme operationele reden om het uit te schakelen.

Zwakke punten van certificaatmapping

ESC9 — Geen beveiligingsuitbreiding (sjabloonniveau)

Sjablonen met CT_FLAG_NO_SECURITY_EXTENSION (0x80000) voorkomen het inbedden van SID's, waardoor een zwakke UPN-gebaseerde mapping wordt afgedwongen. Dit is te misbruiken in combinatie met de mogelijkheid om de eigen UPN te wijzigen.

ESC10 — Zwakke mapping op registerniveau

Wanneer StrongCertificateBindingEnforcement op 0 of 1 blijft staan. Vanaf september 2025 wordt deze sleutel niet langer permanent ondersteund. voor KB5014754—Volledige handhaving is de enige optie.

ESC13 — Uitgiftebeleidsgroep Link

Maakt gebruik van msDS-OIDToGroupLink-attributen die OID's van uitgiftebeleid koppelen aan geprivilegieerde universele groepen. Zie de gedetailleerde beschrijving. ADCS ESC13 Misbruiktechniek.

ESC14 — Zwakke expliciete certificaattoewijzingen

Dit richt zich op zwakke mappings in altSecurityIdentities (X509RFC822, X509IssuerSubject). Alleen sterke mappings blijven na KB5014754 overeind (X509IssuerSerialNumber, X509SKI, X509SHA1PublicKey).

Netwerkrelay-aanvallen

ESC8 — NTLM-relay naar HTTP-inschrijving

Relais dwongen NTLM-authenticatie af (via CVE-2021-36942) naar AD CS-webinschrijvingseindpunten zonder HTTPS en EPA. De aanvaller verkrijgt een DC-certificaat waarmee DCSync mogelijk wordt. Zie Beveiligingsvereisten voor het CA/B-forumnetwerk voor principes ter versterking van de beveiliging van webinschrijvingen.

ESC11 — NTLM-relais naar RPC-inschrijving

Dit betreft de ICertPassage RPC-interface. Oplossing:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

Wat Microsoft, CISA en NSA willen dat je repareert

KB5014754: Sterke certificaattoewijzing is permanent

Het antwoord van Microsoft op CVE-2022-26923 introduceerde de SID-beveiligingsuitbreiding (OID 1.3.6.1.4.1.311.25.2). Volledige implementatietijdlijn per KB5014754:

Mei 2022: Compatibiliteitsmodus—SID-extensie toegevoegd, zwakke mapping nog steeds geaccepteerd
April 2023: Uitgeschakelde modus verwijderd
Februari 2025: Volledige handhaving is standaard geactiveerd.
September 2025: De StrongCertificateBindingEnforcement-sleutel wordt permanent niet ondersteund.

Impact: Alleen de toewijzingen X509IssuerSerialNumber, X509SKI en X509SHA1PublicKey blijven behouden. Zie voor meer informatie over het bijwerken van certificaattoewijzingen de documentatie. Blog van Encryption Consulting over de handhaving van sterke certificaattoewijzing door Microsoft..

Verbeteringen in Active Directory CS voor Windows Server 2025

CRL-partitionering: Splitst monolithische CLR's op in partities op basis van serienummerbereik voor grote implementaties (zie Krachtige verbeteringen aan ADCS in 2025)
Limiet voor extensies van 16KB of meer: Maakt PQC-compatibele metadata mogelijk (zie De gids voor post-kwantumcryptografie van Encryption Consulting)
Verbeterde auditgebeurtenissen: 4886–4889 bevatten nu SAN-waarden, sjabloonnaam, clientbesturingssysteem, CSP en authenticatietype (Microsoft-auditdocumentatie)
Standaard beveiligingsinstellingen: LDAP-versleuteling verplicht, Credential Guard ingeschakeld, NTLM afgeschaft, RC4 afgeschaft in Kerberos

Adviezen van de overheid en het bedrijfsleven

CISA/NSA AA23-278A (oktober 2023)Benoemt AD CS-configuratiefouten als een van de tien belangrijkste cybersecurityproblemen. Verplicht een Tier 0 CA-classificatie.
Gezamenlijk advies van de Five Eyes-alliantie (september 2024)Mede geschreven door ASD, CISA, NSA, CCCS, NCSC-NZ en NCSC-UK. ESC1 en ESC8 worden bij naam genoemd.
MITRE ATT&CK T1649: Detectie-/mitigatiekader voor certificaatdiefstal en -vervalsing (M1047, M1042, M1041).
CISA Bekende misbruikte kwetsbaarhedencatalogus: CVE-2022-26923 en CVE-2024-49019 vermeld met verplichte hersteltermijnen.
NIST SP 800-57 (Sleutelbeheer) en SP 800-152 (Federaal CKMS-profiel)Cryptografisch governancekader. SP 800-57 Rev. 6 (concept) voegt richtlijnen toe voor kwantumresistente algoritmen.
NIST SP 800-53 Rev. 5 (Beveiligingsmaatregelen)SC-12 (Cryptographic Key Establishment), SC-17 (PKI Certificates) en IA-5 (Authenticator Management) zijn rechtstreeks van toepassing op AD CS-governance.
NIST SP 800-207 (Zero Trust Architecture)Certificaatgebaseerde identiteit vormt de basis van zero trust. Zie ook De Zero Trust-handleiding van Encryption Consulting.

De checklist voor het beveiligen van sjablonen met 15 punten

Voer deze besturingselementen onmiddellijk in. Elk element komt overeen met specifieke ESC-vectoren en sluit daarop aan. CISA AA23-278A, NIST SP 800-53 SC-12/SC-17en Microsofts richtlijnen voor het beveiligen van Active Directory CS:

Verwijder alle ongebruikte standaardsjablonen uit de publicatie. De meeste omgevingen gebruiken 5–8, maar laten 32+ gepubliceerd staan. [Vermindert: ESC1–ESC3, ESC15]
- Om te zien wat er momenteel gepubliceerd is:
```
certutil -catemplates
```
- Verwijder sjablonen uit de gepubliceerde lijst van de CA:
```
certutil -setcatemplates - ,
```
Schakel CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT overal uit waar dit operationeel niet nodig is. Schakel goedkeuring van de manager in als compenserende controle. [Vermindert: ESC1]
- Dit is een sjabloonspecifieke vlag die in Active Directory is opgeslagen (msPKI-Certificate-Name-Flag). Om de huidige waarde te controleren:
```
certutil -dstemplate
```
- Zoeken msPKI-Certificate-Name-FlagAls bit 1 is ingesteld, wis deze dan via ADSI Edit of:
```
certutil -dstemplate msPKI-Certificaat-Naam-Vlag -1
```
Verwijder AnyPurpose EKU; verwijder sjablonen zonder EKU. tenzij ze als ondergeschikte CA's fungeren. Per RFC 5280 #4.2.1.12, ontbrekende EKU = SubCA-gedrag. [Vermindert: ESC2]
- EKU is msPKI-Certificate-Application-Policy en pKIExtendedKeyUsage op het AD-sjabloonobject. Inspecteer met:
```
certutil -dstemplate
```
- Herstelmaatregel: stel specifieke EKU OID's in en verwijder deze. OID-2.5.29.37.0 (anyExtendedKeyUsage).
Beperk inschrijving/automatische inschrijving tot specifieke, benoemde beveiligingsgroepen. Nooit geverifieerde gebruikers / domeingebruikers / domeincomputers op gevoelige sjablonen. [Vermindert: ESC1–ESC3, ESC15]
Schakel goedkeuring door de manager en geautoriseerde handtekeningen in voor WebServer, CodeSigning, SmartCardLogon en EnrollmentAgent. [Vermindert: ESC1, ESC3]
Stel de minimale sleutelgrootte in op 2048-bit RSA (4096-bit voor CA-sleutels) of ECDSA P-384. SHA-1 uitschakelen per NIST SP 800-57 schema voor het afschaffen van oude systemen. [Afstemming: NIST, CA/B Forum BR]
- Minimale sleutelgrootte is msPKI-Minimal-Key-Size op de sjabloon. Inspecteren met:
```
certutil -dstemplate
```
- Om de minimale SHA-256-verificatie op de CA zelf in te stellen:
```
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
```
```
net stop certsvc en net start certsvc
```
- Verifiëren:
```
certutil -getreg ca\csp\CNGHashAlgorithm
```
- Bevestig het huidige ondertekeningsalgoritme:
```
certutil -getreg ca\csp\CNGPublicKeyAlgorithm
```

Schakel EDITF_ATTRIBUTESUBJECTALTNAME2 uit op elke CA. [Verlaagt: ESC6]

certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc en net start certsvc

Schakel RPC-versleuteling in. [Verlaagt: ESC11]

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

net stop certsvc en net start certsvc

Beveilig of verwijder HTTP-webregistratie. Schakel HTTPS en EPA in. Schakel NTLM uit. Stem af met Beveiligingsvereisten voor het CA/B-forumnetwerk. [Verlaagt: ESC8]
- Om externe RPC-gebaseerde verzoeken uit te schakelen:
```
certutil -setreg CA\InterfaceFlags +IF_NOREMOTEICERTREQUEST
```
- Daarmee worden RPC-gebaseerde verzoeken op afstand uitgeschakeld; voor HTTP/CES moet u specifiek de webregistratierol verwijderen of IIS opnieuw configureren.
Vergrendel sjablonen en CA DACL's alleen voor Tier 0-accounts. Audit alle PKI AD-objecten. [Vermindert: ESC4, ESC5, ESC7]
- Bekijk de beveiligingsbeschrijving van de CA:
```
certutil -getreg CA\Security
```
Verwijder CT_FLAG_NO_SECURITY_EXTENSION uit alle sjablonen. Zorg voor SID-uitbreiding conform KB5014754. [Vermindert: ESC9]
- Dit is msPKI-Enrollment-Flag beetje 0x80000 op de sjabloon. Inspecteren:
```
certutil -dstemplate
```
- Om te bevestigen dat de SID-extensie is afgestempeld (KB5014754), raadpleegt u het register van de certificeringsinstantie:
  - Verzekeren EDITF_ATTRIBUTESUBJECTALTNAME2 is al uitgeschakeld (zie checklist 7) en het besturingssysteem is gepatcht voor KB5014754.
Patch voor ESC15 (CVE-2024-49019). Migreer schema V1 → V2+ door te dupliceren. [Verlaagt: ESC15]
- Om de schemaversie van een sjabloon te controleren (zoek naar msPKI-Template-Schema-Version):
```
certutil -dstemplate
```
- V1-sjablonen moeten worden gedupliceerd naar V2+ via certtmpl.msc.
Controleer elke msDS-OIDToGroupLink en altSecurityIdentities. Verwijder ongeautoriseerde links en zwakke koppelingen. [Vermindert: ESC13, ESC14]
Exporteren van privésleutels uitschakelen op alle sjablonen die geen overdraagbaarheid vereisen. [Vermindert: certificaatdiefstal]
- Dit is msPKI-Private-Key-Flag op de sjabloon — duidelijk stukje 0x10 (CT_FLAG_EXPORTABLE_KEY). Inspecteren:
```
certutil -dstemplate
```
- Via de grafische gebruikersinterface: openen certtmpl.msc → Klik met de rechtermuisknop op de sjabloon → Eigenschappen → Tabblad Verzoekafhandeling → Schakel het selectievakje 'Privésleutel exporteren toestaan' uit → OK.
Schakel rolscheiding in; plaats AD CS nooit samen met een domeincontroller. Bescherm CA-sleutels met FIPS 140-3 niveau 3 HSM's (Zie Hoe encryptieconsulting kan helpen).
- Voor CA-sleutels die door een HSM worden ondersteund, configureert u deze tijdens de CA-installatie of sleutelmigratie via de CSP/KSP van de HSM-leverancier. Om de huidige CSP te controleren:
```
certutil -getreg ca\csp
```

Levenscyclus van certificaten: Beheer van inschrijving tot intrekking

Alleen template-harding is onvoldoende zonder Beheer van de levenscyclus van certificaten governance gedurende de gehele levensduur van het certificaat. Het levenscyclusraamwerk sluit aan op NIST SP 800-57 #8 (Levenscyclus van sleutelbeheer) en RFC 3647 (Certificaatbeleid / CPS-raamwerk):

Inschrijvingscontroles

Definieer autorisatieworkflows per NIST SP 800-53 IA-5 (Authenticator Management)Gebruik automatische inschrijving via Groepsbeleid voor standaardcertificaten; vereis handmatige aanvraag en goedkeuring voor waardevolle sjablonen. Overweeg voor moderne inschrijvingsprotocollen het volgende. EST (RFC 7030), CMP (RFC 4210)of ACME (RFC 8555).

Uitgiftevalidatie

De CA moet aanvragers, subjectinformatie en SAN's valideren. Open-source beleidsmodules zoals TameMyCerts Regels direct bij uitgifte handhaven. Voor levenscyclusautomatisering op bedrijfsniveau, zie CertSecure Manager.

Intrekking en statuscontrole

Onderhouden CRL-distributiepunten en OCSP-responders (RFC 6960) Voor realtime geldigheidscontrole. Monitor mislukte intrekkingen (gebeurtenis-ID's 4870–4873). Voor Levensduur van OCSP-nietjes en certificatenZie de handleiding van Encryption Consulting.

Geldigheidsperioden en verlenging

Per Basisvereisten voor het CA/B-forumOpenbaar vertrouwde TLS-certificaten hebben een maximale geldigheidsduur van 398 dagen. Interne aanbevelingen: 1 jaar voor de gebruiker, 2 jaar voor de computer, 5 jaar voor de uitgevende CA, 10-20 jaar voor de offline root. In lijn met NIST SP 800-57 Deel 1 Richtlijnen voor cryptoperiodes.

Sleutelarchivering en -herstel

Schakel sleutelarchivering in op versleutelingssjablonen voor bedrijfscontinuïteit. Wijs sleutelherstelagenten aan met strikte controles per NIST SP 800-152 (Federaal CKMS-profiel).

Auditstrategie: De belangrijkste gebeurtenis-ID's

Auditing is het meest verwaarloosde aspect van AD CS-activiteiten. Schakel volledige CA-auditing in per Documentatie van Microsoft over audit- en certificeringsservices:

CA-auditfilter instellen: certutil -setreg ca\auditfilter 127 (alle zeven categorieën)
Subcategorie Groepsbeleid inschakelen: Geavanceerd auditbeleid → Objecttoegang → Auditcertificeringsdiensten → Succes en mislukking

ID's van kritieke gebeurtenissen

Gebeurtenis-id	Beschrijving	Waarop moet ik letten?
4886	Certificaatverzoek ontvangen	Ongebruikelijke combinaties van aanvrager en sjabloon; onverwachte bron-IP-adressen.
4887	Certificaat goedgekeurd en uitgegeven	SAN/aanvrager-mismatch; geprivilegieerde identiteiten in het SAN-veld
4888	Certificaatverzoek afgewezen	Herhaalde afwijzingen kunnen duiden op ESC7-aanvallen waarbij eerst geweigerd en vervolgens goedgekeurd wordt.
4890	CA-managerinstellingen gewijzigd	Ongeautoriseerde CA-configuratiewijzigingen (ESC6, ESC7)
4899/4900	Sjabloon aangepast / beveiliging bijgewerkt	Sjablooneigenschappen of ACL-wijzigingen (ESC4-, ESC5-detectie)
4768	Kerberos TGT-verzoek	PreAuthType=16 = authenticatie op basis van certificaten (RFC 4556 PKINIT); correleren met 4887

Stuur alle CA-gebeurtenissen door naar uw SIEM. Correlatie met MITRE ATT&CK T1649 detectiebegeleiding en Microsoft Defender voor Identity AD CS-waarschuwingen.

Offensief (geautoriseerde tests)

Certify 2.0 (SpecterOps): C# standaard die ESC1–ESC16 ondersteunt. find /vulnerable geeft een overzicht van alle exploiteerbare configuratiefouten.
Certipy (Oliver Lyak): Gebaseerd op Python, Linux-vriendelijk. BloodHound-compatibele JSON-uitvoer, NTLM-relay voor ESC8.

defensief

Slotenmaker 2 (Trimarc Security): De beste PowerShell-auditing in zijn klasse voor ESC1–ESC16. Genereert herstelscripts volgens de bevindingen.
PSPKIAudit (SpecterOps): PowerShell-toolkit voor ESC1–ESC8, met Get-CertRequest voor incidentafhandeling.
BloodHound 5.4+: Volledige AD CS-knooppunt-/edge-integratie (ADCSESC1, ADCSESC3, ADCSESC6a/b, ADCSESC9a/b, ADCSESC10a/b, ADCSESC13, GoldenCert).
Microsoft Defender voor identiteit: AD CS-sensor met realtime houdingsmetingen voor ESC1–ESC8, ESC11, ESC15.
TameMyCertsOpen-source CA-beleidsmodule die onjuist geformuleerde verzoeken blokkeert tijdens de uitgifte. Valideert onderwerpnamen, beperkt SAN's en handhaaft sleutelgroottes.
CertSecure Manager (Encryptieconsultancy): Onderneming Beheer van de levenscyclus van certificaten Platform dat geautomatiseerde detectie, inschrijving, verlenging en intrekking mogelijk maakt in omgevingen met meerdere certificeringsinstanties.

De operationele realiteit: waarom on-premises AD CS terrein verliest.

AD CS is ontwikkeld voor Windows-georiënteerde, on-premises omgevingen. Lees ons blogartikel voor een gedetailleerde analyse van de beperkingen. Navigeren door risico's in Active Directory-certificaatservices.

Niet-Windows-apparaten en BYOD

Automatische inschrijving werkt uitsluitend via Groepsbeleid. macOS, Linux, iOS, Android en ChromeOS bieden geen native ondersteuning. NDES/SCEP (RFC 5272 / CMC) is de gebruikelijke oplossing, maar brengt wel beveiligingsrisico's met zich mee. Moderne alternatieven zijn onder andere EST (RFC 7030) en ACME (RFC 8555)—geen van beide wordt standaard ondersteund door AD CS.

Werken op afstand en hybride werken

Certificaatregistratie via RPC/DCOM vereist verbinding tussen de domeincontroller (DC) en de certificeringsinstantie (CA). Medewerkers op afstand ondervinden problemen met certificaatvernieuwing wanneer de VPN-verbinding zelf een geldig certificaat vereist. Zero trust-architecturen (NIST SP 800-207) Eis een op certificaten gebaseerde identiteit, ongeacht de netwerklocatie.

Kosten en expertise

De totale eigendomskosten omvatten CA-hardware en HSM's (FIPS 140-3 gecertificeerd), Windows Server-licenties, offline rootfaciliteiten, gespecialiseerd PKI-personeel, CRL/AIA-infrastructuur en patchtesten. In 2026 meldt 62% van de organisaties dat ze niet over voldoende PKI-expertise beschikken.

De pragmatische hybride aanpak

De optimale strategie: een robuuste AD CS voor domein-geïntegreerde workloads in combinatie met een modern beheerd PKI-platform Voor BYOD, meerdere besturingssystemen, cloudworkloads, IoT/OT en werken op afstand. Zie PKI-ontwerp en -implementatie door Encryption Consulting voor hybride architecturen.

Beveilig uw PKI: Hoe encryptieconsulting u kan helpen

De beveiliging van AD CS-sjablonen vereist continu beheer, monitoring en expertise. Encryptie Consulting Biedt specialistische PKI-kennis op het gebied van beoordeling, implementatie en beheerde services:

PKI-beoordelingsdiensten

Onze uitgebreide PKI-gezondheidsbeoordeling onderzoekt elk aspect van uw AD CS-implementatie aan de hand van de ESC1-ESC16-taxonomie. CISA/NSA-mandaten, NIST SP 800-53 controleerten de beste werkwijzen van Microsoft:

Audit van certificaatsjablonen: Systematische beoordeling van ADCS-certificaatsjabloonconfiguraties en gebruikswijze op exploiteerbare configuratiefouten.
Overzicht van de infrastructuur in Californië: Hiërarchisch ontwerp, HSM-configuratie (FIPS 140-3 naleving), rolscheiding, auditregistratie, CRL/AIA-status.
Analyse van aanvalspad: Het in kaart brengen van elk exploiteerbaar pad per de Gecertificeerd tweedehands framework en MITRE ATT&CK T1649.
Analyse van bestuurlijke lacunes: Beoordeling ten opzichte van NIST SP 800-57, SP800-152, RFC 3647 (CP/CPS)en Basisvereisten voor het CA/B-forum.
Herstelplan: Prioritaire, concrete aanbevelingen met implementatierichtlijnen en terugdraaiplannen.

PKI als een service (PKIaaS)

Verminder de operationele complexiteit en versterk tegelijkertijd de beveiliging met onze oplossingen. Beheerde PKI:

Cloud-beheerde CA: Volledig beheerd met HSM-ondersteund Sleutelbeveiliging, ingebouwde redundantie, beschikbaarheid gegarandeerd door SLA.
Inschrijving via meerdere protocollen: Native SCEP (RFC 5272), EST (RFC 7030), ACME (RFC 8555), CMP (RFC 4210) Ondersteuning voor elk apparaat/besturingssysteem/architectuur.
Geautomatiseerd levenscyclusbeheer: Via CertSecure Manager—ontdekking, inschrijving, verlenging en intrekking binnen uw gehele onderneming.
Platformoverschrijdende ondersteuning: Windows, macOS, Linux, iOS, Android, ChromeOS, IoT, cloudworkloads: één beheerplatform.
Rapportage die voldoet aan de compliance-eisen: afgestemd met NIST SP 800-53, SP800-171, SOC 2, PCI DSS en HIPAA.

De integriteit van uw domein is afhankelijk van de beveiliging van uw certificaatinfrastructuur. Neem vandaag nog contact op met Encryption Consulting Om een PKI-gezondheidscheck in te plannen.

Index van referenties en normen

Dit artikel verwijst naar de volgende openbare normen, adviezen en hulpmiddelen:

IETF RFC's

RFC 5280 – Internet X.509 PKI-certificaat en CRL-profiel
RFC 6960 – Online Certificate Status Protocol (OCSP)
RFC 4556 – Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
RFC 3647 – Kader voor beleid en certificeringspraktijken met betrekking tot Internet X.509 PKI-certificaten
RFC 8446 – Transport Layer Security (TLS) Protocol Versie 1.3
RFC 6125 – Weergave en verificatie van de identiteit van de applicatieservice
RFC 7030 – Inschrijving via beveiligd vervoer (EST)
RFC 8555 – Automatische certificaatbeheeromgeving (ACME)
RFC 4210 – Certificaatbeheerprotocol (CMP)
RFC 5272 – Certificaatbeheer via CMS (CMC)

NIST-publicaties

SP 800-57 Deel 1 Rev. 5 – Aanbeveling voor sleutelmanagement
SP800-152 – Een profiel voor Amerikaanse federale systemen voor cryptografisch sleutelbeheer
SP 800-53 Rev. 5 – Beveiligings- en privacycontroles voor informatiesystemen
SP800-207 – Zero Trust-architectuur
SP 800-63-4 (Ontwerp) Richtlijnen voor digitale identiteit
FIPS 140-2 / FIPS 140-3 – Beveiligingsvereisten voor cryptografische modules

CVE's

CVE-2022-26923 – Gecertificeerd (AD DS Verhoging van bevoegdheden)
CVE-2024-49019 – EKUwu / ESC15 (AD CS EKU Override)
CVE-2021-36942 – PetitPotam (NTLM-relais)

Overheidsadviezen

CISA/NSA AA23-278A – De tien meest voorkomende cybersecurity-misconfiguraties volgens NSA en CISA
Gezamenlijk advies van de Five Eyes-alliantie (september 2024) – Active Directory-inbreuken opsporen en verhelpen
CISA Bekende misbruikte kwetsbaarhedencatalogus
MITRE ATT&CK T1649 - Authenticatiecertificaten stelen of vervalsen

CA / Browser Forum

Microsoft-documentatie

Beveiligingsonderzoek en -hulpmiddelen

Adviesbronnen over encryptie

ADCS 2025 Verbeteringen Blog
Microsofts strenge handhaving van certificaattoewijzing
CertSecure Manager Platform voor certificaatlevenscyclusbeheer
PKI-diensten | Beheerde PKI | Consulting Services
PKI-gezondheidscontrole | Beveiligingsbeoordeling | CBOM-diensten
Onderwijscentrum: PKI | HSM | CLM | OCSP | CRL | Code ondertekening | Sleutelbeheer | Geen vertrouwen | PQC

Conclusie

Foutieve configuraties van certificaatsjablonen blijven het meest onderschatte aanvalsoppervlak in Active Directory-omgevingen van bedrijven. De ESC-taxonomie blijft groeien, red-teamtools automatiseren exploitatie sneller dan de meeste blue-teams kunnen controleren, en de wettelijke handhaving door Microsoft, CISA en Five Eyes-partners heeft de respijtperiode afgeschaft.

De verdedigingsmechanismen die in dit draaiboek worden beschreven, zijn geen idealistische doelen; ze vormen de operationele basis. Organisaties die hun CA-infrastructuur met dezelfde zorgvuldigheid behandelen als hun domeincontrollers, zullen de kloof dichten. Degenen die uitstellen, zullen merken dat aanvallers al in kaart hebben gebracht wat ze onbeschermd hebben gelaten.

Als uw team een startpunt nodig heeft, biedt Encryption Consulting uitkomst. PKI-gezondheidscontrole kan herkennen wat dit draaiboek beschrijft — voordat een tegenstander dat doet.

Anatomie van een certificaatsjabloon: de acht belangrijke eigenschappen die uw risicoprofiel bepalen
Meest voorkomende gebruiksscenario's voor bedrijven
ESC1 tot en met ESC16: De complete aanvalstaxonomie
Wat Microsoft, CISA en NSA willen dat je repareert
De checklist voor het beveiligen van sjablonen met 15 punten
Levenscyclus van certificaten: Beheer van inschrijving tot intrekking
Auditstrategie: De belangrijkste gebeurtenis-ID's
Tools die je blinde vlekken in AD CS blootleggen
De operationele realiteit: waarom on-premises AD CS terrein verliest.
Beveilig uw PKI: Hoe encryptieconsulting u kan helpen
- PKI-beoordelingsdiensten
- PKI als een service (PKIaaS)
Index van referenties en normen
Conclusie