Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. PKI

Wat zijn de beste beveiligingspraktijken voor NDES?

Posted byHemant Bhatt 05 Minuten
NDES-beveiligingsbest practices
Inhoudsopgave

Het Netwerkapparaatregistratieservice (NDES) zorgt ervoor dat software op netwerkapparaten, zoals routers, firewalls, switches, enz., toegang krijgt tot digitale certificaten zonder domeinreferenties uit te voeren. NDES is ook een van de rolservices op Active Directory-certificaatservices (AD CS). Het implementeert de Eenvoudig certificaatinschrijvingsprotocol (SCEP), die de communicatie tussen de registratieautoriteit (RA) en netwerkapparaten voor certificaatinschrijving definieert.

Functies van NDES

NDES vervult de volgende functies:

  1. Genereert en verstrekt eenmalige inschrijvingswachtwoorden aan beheerders
  2. Dien inschrijvingsverzoeken in bij de Certificate Authority (CA)
  3. Haalt ingeschreven certificaten op van de CA en stuurt deze door naar het netwerkapparaat

Best Practices

SSL inschakelen voor de NDES-beheerdersite

SSL-beveiliging zorgt ervoor dat het wachtwoord voor de inschrijvingstest wordt beschermd tegen inspectie-aanvallen wanneer het netwerkapparaat verbinding maakt met de MSCEP_Admin-website.

Maak apparaatcertificaten met een verlengde geldigheidsduur aan

De standaard IPsec (Offline Request)-certificaatsjabloon heeft een geldigheidsduur van slechts één jaar. Als u aangepaste certificaatsjablonen voor ondertekening, encryptie of algemene doeleinden definieert, overweeg dan om een ​​certificaatsjabloon versie 2 te maken met een geldigheidsduur van twee jaar. Een langere geldigheidsduur vermindert de beheerkosten voor het aanvragen van apparaatcertificaten.

Schakel de NDES-service uit wanneer deze niet in gebruik is

Door de NDES-service te stoppen, voorkomt u dat ongeautoriseerde certificaten worden uitgegeven. Ook worden alle gegevens, zoals wachtwoorden die niet door netwerkapparaten zijn gebruikt, uit de cache van de service verwijderd.

Gebruik de wizard Beveiligingsconfiguratie om de server te vergrendelen

De wizard Beveiligingsconfiguratie adviseert om IIS en andere services die op de NDES-server zijn geïnstalleerd, te vergrendelen.

Rolscheiding implementeren

Verschillende accounts betrokken bij de installatie, configuratie en bediening van NDES:

  • Account aanmaken
  • Apparaat beheerders
  • NDES-account
    • Netwerkservice
    • Groepsbeheerde serviceaccount (gMSA) of
    • Domeingebruikersaccount

Aanbevelingen op basis van de keuze van het NDES-account

  • AES-encryptie is vereist voor gMSA- of domeingebruikersaccounts.
  • Configureer inlogbeperkingen en een lang wachtwoord voor domeingebruikersaccounts
  • Gebruik gMSA- of domeingebruikersaccounts niet op andere computers of voor andere doeleinden.
  •  Schakel het selectievakje 'Account is gevoelig en kan niet worden gedelegeerd' in voor domeingebruikersaccounts.
  • Vergeet niet om handmatig machtigingen voor de persoonlijke sleutels van de NDES-certificaten te configureren wanneer u een gMSA of een aangepaste certificaatsjabloon gebruikt.

Zorg voor systeemverharding

Verminder het aantal lokale beheerdersgroepen tot alleen PKI-beheerders. Alleen leden van de PKI-beheerdersgroep krijgen gebruikersrechten voor aanmelden (interactief, interactief op afstand, aanmelden als batchtaak, aanmelden als service).

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Beveilig de sleutels

Om de sleutels te beveiligen, moeten de volgende procedures worden toegepast:

  • Het wordt sterk aangeraden om een Hardwarebeveiligingsmodule (HSM) Om NDES-sleutels te genereren, op te slaan en de toegang ertoe te beheren. HSM's zorgen ervoor dat de NDES-sleutels nooit in het geheugen van het besturingssysteem blijven staan, bieden extra operationele controles en beperken de blootstelling aan het sleutelmateriaal.
  • Als de NDES gevirtualiseerd is, wordt aanbevolen om HSM te gebruiken om de persoonlijke NDES-sleutels op te slaan. De sleutels kunnen namelijk in een ongecodeerde versie worden gevonden door de hostbeheerders van Virtualization die toegang hebben tot de VM, schijf en het geheugen.
  • Back-ups moeten worden gecodeerd en de toegang moet uiterst beperkt zijn als er geen HSM wordt gebruikt om persoonlijke sleutels op te slaan, aangezien snapshots/controlepunten en andere soorten back-ups doorgaans de persoonlijke sleutels van de NDES bevatten.

Infrastructuur

Met betrekking tot de infrastructuur voor NDES dienen de volgende procedures te worden gevolgd:

  • Wanneer u internettoegang tot NDES toestaat (bijvoorbeeld om certificaten te registreren op door Intune beheerde mobiele apparaten), moet u ervoor zorgen dat NDES goed is beveiligd met een omgekeerde proxy (zoals Azure AD Application Proxy of Web Application Proxy (WAP)).
  • NDES moet worden geïnstalleerd op een andere computer dan die waarop de CA-service wordt gehost. Bovendien mogen er geen andere services worden uitgevoerd op de computer waarop NDES wordt gehost.
  • Als NDES op een CA-computer is geïmplementeerd, configureert u de firewallregel CERTSVC-RPC-TCP-IN (Certification Authority Enrollment and Management Protocol) zo dat alleen het NDES- (en OCSP-)IP-adres toegang heeft tot de CA voor inschrijving.

Certificaatautoriteit en certificaatsjablonen

De certificaatsjablonen die standaard worden toegewezen tijdens de configuratie van NDES zijn:

  • CEP-encryptie: Een certificaat op basis van deze sjabloon wordt tijdens de configuratie van de service aan de NDES-computer uitgegeven. Dit certificaat wordt gebruikt om SCEP-specifieke encryptie toe te passen op de communicatie met de aanvragende client. 
  • Exchange Enrollment Agent (offline verzoek): Een certificaat op basis van deze sjabloon wordt uitgegeven aan de NDES-computer tijdens de configuratie van de service. De NDES gebruikt dit om de inschrijvingsaanvraag die van het apparaat of de MDM is ontvangen, digitaal opnieuw te ondertekenen. Vervolgens wordt de opnieuw ondertekende inschrijvingsaanvraag doorgestuurd naar de uitgevende CA.

Let op: Beide bovenstaande sjablonen worden alleen gebruikt tijdens de eerste installatie van NDES en bij het verlengen van het certificaat voordat het verloopt. Verwijder de toewijzing van deze sjablonen aan de CA tijdens normale openingstijden. Het installatieaccount moet tijdens de configuratie van NDES over registratierechten voor deze sjabloon beschikken. 

IPSec (Offline Request), ook wel "Device Template" of "SCEP Certificate Template" genoemd

Deze certificaatsjabloon wordt gebruikt voor het registreren van apparaat- of gebruikerscertificaten en wordt automatisch toegewezen aan de CA tijdens de NDES-configuratie. Meestal zult u ervoor kiezen om deze te vervangen door een certificaatsjabloon dat beter bij uw behoeften past. De apparaatbeheerder en het NDES-serviceaccount moeten registratierechten voor deze sjabloon hebben.

Implementeer data-in-transit-encryptie

TLS moet worden gebruikt om de communicatie tussen NDES en MDM/het apparaat dat het certificaat aanvraagt, te versleutelen. Dit omvat het volgende:

  • TLS afdwingen door de HTTP-listener van IIS uit te schakelen
  • TLS 1.2-naleving

Conclusie

We moeten alle bovengenoemde best practices implementeren om NDES te beveiligen. Het is uiterst belangrijk om de privésleutels te beschermen, aangezien elke kwaadwillende persoon die er toegang toe krijgt, een geldig certificaat kan opvragen om met een willekeurig subject in te loggen op Active Directory.

Referentie: Aanbevolen procedures voor NDES-beveiliging – Microsoft Community Hub

Ontdek onze

Gerelateerde blogs

Inzicht in Active Directory-certificaatservices

Inzicht in Active Directory-certificaatservicecontainers

27 april 2026
CEP en CES

Jouw ultieme gids voor het begrijpen van CEP en CES

26 april 2026
PKI-onderhoud en driemaandelijkse opschoning voor Microsoft CA

PKI-onderhoud en driemaandelijkse opschoning voor Microsoft CA

15 april 2026

Bestudeer

Meer onderwerpen