Microsoft Active Directory-certifikattjänster (AD CS) har fungerat som ryggraden i företags-PKI i över två decennier. Det gör det möjligt för organisationer att utfärda digitala certifikat för användarautentisering, datoridentitet, kodsignering, kryptering, inloggning med smartkort och säker kommunikation – allt tätt integrerat med Active Directory.

Men den djupa integrationen är ett tveeggat svärd. Certifikatmallar– policyobjekten som styr vilka certifikat som utfärdas, till vem och med vilka behörigheter – lagras själva som AD-objekt. En enda felkonfigurerad mall kan ge en angripare en väg från oprivilegierad domänanvändare till företagsadministratör på några minuter, utan att utlösa traditionell slutpunktsidentifiering.

SpecterOps Certifierad Förägd Whitepaper (2021) var en avgörande händelse och dokumenterade åtta eskaleringsvägar (ESC1–ESC8) som förvandlade felkonfigurationer av certifikatmallar till domänkompromissvektorer. Sedan dess har taxonomin utökats till ESC16, medan Microsoft, CISA (AA23-278A), NSA och Five Eyes partnermyndigheter (Gemensam rådgivning september 2024) har svarat med tidsfrister för tillämpning, patchmandat och formell Tier 0-klassificering av CA-infrastruktur. Denna handbok ger det tekniska djup som PKI-administratörer, säkerhetsarkitekter och styrningsteam behöver. För grundläggande koncept, se Encryption Consultings guider om Vad är PKI?, Certifikatutfärdareoch X.509-certifikat.

Certifikatmallens anatomi: De åtta viktiga egenskaperna som definierar din riskposition

Varje AD CS-mall är ett pKICertificateTemplate-objekt som lagras under CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration i Active Directory. X.509-certifikatprofilen definieras av RFC 5280, medan ramverket för certifikatpolicy och certifieringspraxis följer RFC 3647Microsoft levererar tre schemaversioner:

version 1 – Äldre mallar. Begränsad redigerbarhet, ingen automatisk registrering. Farligast eftersom Schema V1-mallar är sårbara för ESC15 (CVE-2024-49019, EKU-överstyrning via CSR).
version 2 – Fullständig konfiguration, automatisk registrering och alla standardsäkerhetskontroller.
version 3 – Lägger till stöd för kryptografiska algoritmer för Suite B / CNG (ECDSA P-256/P-384/P-521), i linje med NIST SP 800-57 viktiga ledningsrekommendationer.

Mallens egenskapsflikar och deras säkerhetskonsekvenser

Fliken Egenskaper	Vad den kontrollerar	Vanligaste säkerhetsmisstaget
Allmänt	Visningsnamn, mallnamn (CN), giltighetsperiod, förnyelsefönster, AD-publicering	Alltför långa giltighetsperioder (1–2 år som standard); publicering av certifikat till userCertificate-attributet i onödan
Kompatibilitet	Minsta version av CA och mottagares operativsystem, samt tillgängliga kryptografiska funktioner för grindning	Att låta kompatibilitet med äldre operativsystem vara aktiverat, vilket förhindrar användning av starkare algoritmer
Begäran Hantering	Syfte (signatur / kryptering / båda), exporterbarhet av privat nyckel, CSP/KSP, minsta nyckelstorlek	Exporterbara privata nycklar på mallar med högt värde; möjliggör svaga CSP:er
Ämnesnamn	Bygg från AD-attribut kontra värden som tillhandahålls av registrerade (CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT)	Att lämna SAN-anslutningen aktiverad – grundorsaken till ESC1
förlängningar	Utökad nyckelanvändning (EKU) per RFC 5280 #4.2.1.12	AnyPurpose EKU, saknad EKU (fungerar som SubCA) eller alltför breda autentiserings-EKU:er
Kryptografi	Algoritm (RSA/ECDSA), nyckelstorlek, hash per NIST SP 800-57	SHA-1 fortfarande tillgängligt; 1024-bitars RSA-nycklar accepteras fortfarande
Utgivningskrav	Chefens godkännande, underskrifter från auktoriserad registreringsagent	Inget godkännande för känsliga mallar (WebServer, CodeSigning, EnrollmentAgent)
Säkerhet / ACL:er	Vem kan läsa, skriva, registrera, automatiskt registrera, ha fullständig kontroll över mallobjektet	Autentiserade användare eller domänanvändare har beviljats registrering för känsliga mallar

Förstå ämnestyper och viktiga användningskategorier

Varje standardmall tillhör en ämnestyp och en nyckelanvändningskategori. För mer information om certifikatstrukturer, se Vad är ett X.509-certifikat? och RFC 5280 (Internet X.509 PKI-certifikatprofil).

Ämnestyper

Användare – Certifikat för mänskliga identiteter: autentisering, e-postsignering/kryptering, EFS, kodsignering, smartkortsinloggning. Inkluderar administratör, användare, smartkortsanvändare, registreringsagent, kodsignering, EFS-återställningsagent, Exchange-användare/signatur.
Dator – Certifikat för maskinidentiteter: server-/klientautentisering, IPsec, Kerberos (RFC 4556 – PKINITInkluderar dator, webbserver, domänkontroller, Kerberos-autentisering, arbetsstationsautentisering, RAS och IAS-server.
Certifikatmyndighet (CA) – Certifikat som identifierar certifikatutfärdare inom PKI-hierarkiRot-CA, underordnad CA, korscertifieringsutfärdare.
DirEmailRep – Katalog-e-postreplikering för att säkra AD-replikeringstrafik.
Agent för nyckelåterställning – Certifikat som möjliggör auktoriserad återställning av arkiverade privata nycklar, avgörande för nyckelhantering styrning.

Viktiga användningskategorier

Endast signatur – Digitala signaturer för integritet och autenticitet per RFC 5280 #4.2.1.3 (Kodsignering, TrustListSigning, EnrollmentAgent, OCSP-svarssignering, CA-mallar).
Endast kryptering – Nyckelkryptering för konfidentialitet (BasicEFS, CEPEncryption, EFSRecovery, ExchangeUser, KeyRecoveryAgent).
Signatur + Kryptering – Båda operationerna (Administratör, Dator, Användare, Domänkontrollant, Webbserver, SmartcardLogon, KerberosAuthentication, IPSec).

Bästa praxis: Ändra aldrig standardmallarna direkt. Duplicera, inaktivera originalet och förhöj kopian. Se Microsofts guide för härdning av AD CS.

Standardmallar: Riskprofiler du måste känna till

Mall	Standardregistrering	Farliga egenskaper	Attackvektorer	Risk
Användare (V1)	Domänanvändare	Klientautentiserings-EKU, V1-schema	ESC3, ESC15	HÖG
Dator (V1)	Domändatorer	Klientautentiserings-EKU, V1-schema	ESC3, ESC8	HÖG
Webbserver (V1)	Domänadministratörer (ofta utökade)	REGISTRERA_MATERIAL_ÄMNE	ESC1, ESC15	KRITISK
SubCA (V1)	Domänadministratörer	Ingen EKU (SubCA-beteende)	ESC7	KRITISK
Registreringsagent	Ofta breddad	Certifikatförfrågningsagent EKU	ESC3-kedja	HÖG

Vanligaste användningsfallen för företag

Innan vi går in på attackvägar, låt oss förstå de legitima användningsfallen för företag. För en bredare översikt, se Krypteringskonsultföretagets PKI-tjänster:

Webbserver / TLS: WebServer-mallen utfärdar certifikat för interna HTTPS-slutpunkter, styrda av RFC 8446 (TLS 1.3) och RFC 6125 (verifiering av certifikatidentitet)Det kräver legitimt SAN-nätverk som tillhandahålls av registrerade, vilket gör det till det främsta ESC1/ESC15-målet när registreringsbehörigheter utökas. Offentligt betrodda webbcertifikat måste också uppfylla Grundläggande krav för CA/webbläsarforum.
Användarautentisering (802.1X/VPN): Användarmallen tillhandahåller EAP-TLS-certifikat för trådlös autentisering och VPN. Dess breda registrering för domänanvändare gör den till en ESC3/ESC15-vektor.
Kerberos-autentisering: Domänkontrollanter använder den här mallen för PKINIT-baserad Kerberos-autentisering (RFC 4556), LDAPS och DC-till-DC-replikering. Kompromiss möjliggör domänpersistens.
Kodsignering: Utvecklare signerar interna skript och applikationer. Se vad som är Kodsignering? Privata nycklar bör aldrig vara exporterbar, och utfärdandet bör kräva godkännande från chefen.
Kryptering (EFS/S/MIME): BasicEFS- och Exchange-användarmallar skyddar fil- och e-postkryptering. Nyckelarkivering bör vara aktiverad för affärskontinuitet per NIST SP 800-57 nyckelhantering vägledning.

ESC1 till ESC16: Den kompletta attacktaxonomin

Attackvägar delas in i fem kategorier. Hela forskningen finns dokumenterad i Whitepaper om certifierade begagnade bilar (PDF), med löpande uppdateringar via BloodHound AD CS-attackvägar och MITRE ATT&CK T1649:

Attacker mot felaktig mallkonfiguration

ESC1 — Registrerad SAN (väg nummer 1)

ESC1 kräver: Lagring CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT aktiverat, Lagring Klientautentiserings-EKU, Lagring lågprivilegierad registrering, Lagring inget godkännande från chefen. Angriparen specificerar [e-postskyddad] i SAN:et och autentiserar via RFC 4556Total tid till företagsadministratören: under 60 sekunder.

ESC2 — AnyPurpose eller saknad EKU

Mallar med AnyPurpose EKU (OID 2.5.29.37.0) tjäna vilken funktion som helst. Mallar med ingen EKU agera som underordnade CA-certifikat per RFC 5280 #4.2.1.12, kunna signera godtyckliga nya certifikat.

ESC3 — Missbruk av registreringsagenter

ESC3 länkar två mallar: först registrerar du dig för ett certifikat för certifikatbegäranagent och använder det sedan för att begära certifikat åt privilegierade användare via Schema V1-målmallar, och kringgår därmed vanliga registreringsbegränsningar.

ESC15 (CVE-2024-49019 — “EKUwu”)

Upptäckt av TrustedSec (oktober 2024), CVE-2024-49019 utnyttjar Schema V1-mallar där msPKI-Certificate-Application-Policy i CSR:n åsidosätter mallens pKIExtendedKeyUsage. WebServer-mallen är det primära målet.

Sanering: Uppdatera alla CA:er och migrera V1-mallar till V2+. Se IX509ExtensionMSApplicationPolicies

Fel i åtkomstkontrollen

ESC4 — Missbruk av ACL för mallobjekt

Användare med låg privilegium med Skriv, SkrivDACL, SkrivÄgare eller GenericAll på ett mall-AD-objekt kan modifiera det till en ESC1-ekvivalent, begära ett privilegierat certifikat och sedan återställa inställningar – vilket lämnar minimala kriminaltekniska spår.

ESC5 — Missbruk av PKI-objekt-ACL

Utökar ESC4 till alla PKI AD-objekt: NTAuthCertificates, Enrollment Services, CA-datorobjekt och överordnade containrar med ärftliga ACE:er. Se Microsofts riktlinjer för härdning av AD CS.

ESC7 — Sårbar åtkomstkontroll för CA

Användare med låg privilegium med HanteraCA or Hantera certifikat kan aktivera SubCA-mallen, skicka in en begäran med godtyckligt SAN (nekad) och sedan godkänna den misslyckade begäran för att erhålla ett SubCA-certifikat som kan signera vad som helst.

Problem med CA-konfiguration

ESC6 — EDITF_ATTRIBUTESUBJECTALTNAME2

Om certifikatutfärdaren har EDITF_ATTRIBUTESUBJECTALTNAME2 aktiverat, vilken registrerad som helst kan ange ett godtyckligt SAN oavsett mallinställningar.

Inaktivera på alla certifikatutfärdare:

certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

ESC12 — CA-privat nyckel på extern enhet

Riktar sig mot CA:er med privata nycklar på externa HSM (t.ex, YubiHSM) där inloggningsuppgifter lagras i klartext i registret. Betonar behovet av FIPS 140-2/140-3 Nivå 3 certifierade HSM-distributioner med korrekt hantering av autentiseringsuppgifter.

ESC16 — Global SID-tillägg inaktiverat

SID-säkerhetstillägget OID (1.3.6.1.4.1.311.25.2) är globalt inaktiverat i CA:ns DisableExtensionList. Utan det kan KDC inte utföra stark certifikatmappning per KB5014754.

Registernyckeln DisableExtensionList finns för att undertrycka äldre eller motstridiga tillägg. SID-tillägget (1.3.6.1.4.1.311.25.2) bör aldrig finnas i den på någon produktions-CA. Den har ingen legitim operativ anledning att inaktiveras.

Svagheter i certifikatmappning

ESC9 — Ingen säkerhetstillägg (mallnivå)

Mallar med CT_FLAG_NO_SECURITY_EXTENSION (0x80000) förhindrar SID-inbäddning, vilket tvingar fram svag UPN-baserad mappning. Kan utnyttjas i kombination med möjligheten att modifiera sin egen UPN.

ESC10 — Svag mappning på registernivå

När StrongCertificateBindingEnforcement förblir på 0 eller 1. Från och med september 2025 stöds den här nyckeln permanent. för KB5014754– Fullständig verkställighet är det enda alternativet.

ESC13 — Länk till utgivningspolicygrupp

Utnyttjar msDS-OIDToGroupLink-attribut som länkar utfärdandepolicy-OID:er till privilegierade universella grupper. Se detaljerad ADCS ESC13 Missbruksteknik.

ESC14 — Svaga explicita certifikatmappningar

Riktar in sig på svaga mappningar i altSecurityIdentities (X509RFC822, X509IssuerSubject). Endast starka mappningar finns kvar efter KB5014754 (X509IssuerSerialNumber, X509SKI, X509SHA1PublicKey).

Nätverksreläattacker

ESC8 — NTLM-relä till HTTP-registrering

Reläer tvingade NTLM-autentisering (via CVE-2021-36942) till AD CS webbregistreringsslutpunkter som saknar HTTPS och EPA. Angriparen erhåller ett DC-certifikat som aktiverar DCSync. Se Krav för nätverkssäkerhet hos CA/B-forumet för principer för hårdare webbregistrering.

ESC11 — NTLM-relä till RPC-registrering

Riktar in sig på ICertPassage RPC-gränssnittet. Åtgärd:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERQUEST

Vad Microsoft, CISA och NSA vill att du ska åtgärda

KB5014754: Stark certifikatmappning är permanent

Microsofts svar på CVE-2022-26923 introducerade SID-säkerhetstillägget (OID 1.3.6.1.4.1.311.25.2). Fullständig tidslinje för tillämpning per KB5014754:

Maj 2022: Kompatibilitetsläge – SID-tillägg tillagt, svag mappning accepteras fortfarande
April 2023: Inaktiverat läge har tagits bort
Februari 2025: Fullständig tillämpning aktiverad som standard
September 2025: StrongCertificateBindingEnforcement-nyckeln stöds inte permanent

Inverkan: Endast mappningarna X509IssuerSerialNumber, X509SKI och X509SHA1PublicKey finns kvar. För vägledning om hur du uppdaterar certifikatmappningar, se Encryption Consultings blogg om Microsofts starka certifikatmappningshantering.

Förbättringar av Windows Server 2025 AD CS

CRL-partitionering: Delar upp monolitiska CLR:er i partitioner med serienummerintervall för stora distributioner (se kraftfulla förbättringar av ADCS år 2025)
Gräns för tillägg på 16 KB+: Möjliggör PQC-klara metadata (se Encryption Consultings guide om postkvantkryptografi)
Utökade granskningshändelser: 4886–4889 inkluderar nu SAN-värden, mallnamn, klient-OS, CSP och autentiseringstyp (Microsofts granskningsdokumentation)
Säkerhetsstandardinställningar: LDAP-kryptering obligatorisk, Credential Guard aktiverad, NTLM-utfasning, RC4-utfasning i Kerberos

Råd från myndigheter och industri

CISA/NSA AA23-278A (oktober 2023)Namnger AD CS-felkonfigurationer som ett av de tio vanligaste cybersäkerhetsfynden. Kräver CA-klassificering på nivå 0.
Five Eyes gemensam rådgivning (september 2024)Medförfattare: ASD, CISA, NSA, CCCS, NCSC-NZ, NCSC-UK. Belyser ESC1 och ESC8 med namn.
MITRE ATT&CK T1649Ramverk för upptäckt/begränsning av certifikatstöld och förfalskning (M1047, M1042, M1041).
CISA-katalogen över kända exploaterade sårbarheter: CVE-2022-26923 och CVE-2024-49019 listade med obligatoriska saneringsfrister.
NIST SP 800-57 (Nyckelhantering) och SP 800-152 (Federal CKMS-profil)Kryptografiskt styrningsramverk. SP 800-57 Rev. 6 (utkast) lägger till vägledning för kvantresistenta algoritmer.
NIST SP 800-53 Rev. 5 (Säkerhetskontroller)SC-12 (Etablering av kryptografiska nycklar), SC-17 (PKI-certifikat), IA-5 (Autentiseringshantering) gäller direkt för AD CS-styrning.
NIST SP 800-207 (Arkitektur utan förtroende)Certifikatbaserad identitet är grundläggande för noll förtroende. Se även Encryption Consultings guide om noll förtroende.

Checklista för härdning av mallar med 15 punkter

Implementera dessa kontroller omedelbart. Varje kontroller mappas till specifika ESC-vektorer och anpassas till CISA AA23-278A, NIST SP 800-53 SC-12/SC-17och Microsofts riktlinjer för härdning av AD CS:

Avpublicera alla oanvända standardmallar. De flesta miljöer använder 5–8 men lämnar 32+ publicerade. [Reducerar: ESC1–ESC3, ESC15]
- För att se vad som är publicerat just nu:
```
certutil-katemallar
```
- Ta bort mallar från CA:s publicerade lista:
```
certutil -setcatemplates - ,
```
Inaktivera CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT överallt där det inte krävs i drift. Aktivera chefsgodkännande som kompenserande kontroll. [Reducerar: ESC1]
- Detta är en flagga per mall som lagras i AD (msPKI-Certificate-Name-Flag). För att kontrollera det aktuella värdet:
```
certutil-dtemplate
```
- Leta efter msPKI-Certificate-Name-FlagOm bit 1 är satt, rensa den via ADSI Edit eller:
```
certutil-dtemplate msPKI-Certifikatnamn-Flagga -1
```
Ta bort AnyPurpose EKU; eliminera mallar utan EKU om inte de fungerar som underordnade CA:er. RFC 5280 #4.2.1.12, saknas EKU = SubCA-beteende. [Reducerar: ESC2]
- EKU är msPKI-Certificate-Application-Policy och pKIExtendedKeyUsage på mallens AD-objekt. Inspektera med:
```
certutil-dtemplate
```
- Åtgärd: ange specifika EKU OID:er och ta bort dem OID 2.5.29.37.0 (anyExtendedKeyUsage).
Begränsa registrering/automatisk registrering till specifika namngivna säkerhetsgrupper. Aldrig autentiserade användare / domänanvändare / domändatorer på känsliga mallar. [Minskar: ESC1–ESC3, ESC15]
Aktivera godkännande av chefer + auktoriserade signaturer på WebServer, CodeSigning, SmartCardLogon, EnrollmentAgent. [Minskar: ESC1, ESC3]
Ställ in minsta nyckelstorlek till 2048-bitars RSA (4096-bitars för CA-nycklar) eller ECDSA P-384. Inaktivera SHA-1 per NIST SP 800-57 avskrivningsschema. [Justerar: NIST, CA/B Forum BR]
- Minsta nyckelstorlek är msPKI-Minimal-Key-Size på mallen. Kontrollera med:
```
certutil-dtemplate
```
- För att ställa in SHA-256 minimum på själva CA:n:
```
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
```
```
net stop certsvc & net start certsvc
```
- Kontrollera:
```
certutil -getreg ca\csp\CNGHashAlgorithm
```
- Bekräfta aktuell signeringsalgoritm:
```
certutil -getreg ca\csp\CNGPublicKeyAlgorithm
```
Inaktivera EDITF_ATTRIBUTESUBJECTALTNAME2 på alla certifikatutfärdare. [Reducerar: ESC6]
```
certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
```
```
net stop certsvc & net start certsvc
```

Tillämpa RPC-kryptering. [Reducerar: ESC11]

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERQUEST

net stop certsvc & net start certsvc

Härda eller ta bort HTTP-webbregistrering. Tillämpa HTTPS + EPA. Inaktivera NTLM. Anpassa till Krav för nätverkssäkerhet hos CA/B-forumet[Minskar: ESC8]
- Så här inaktiverar du fjärr-RPC-baserade förfrågningar:
```
certutil -setreg CA\InterfaceFlags +IF_NOREMOTEICERTREQUEST
```
- Det inaktiverar fjärr-RPC-baserade förfrågningar; för HTTP/CES specifikt, avinstallera webbregistreringsrollen eller konfigurera om IIS.
Lås mall- och CA-DACL:er endast till nivå 0-konton. Granska alla PKI AD-objekt. [Minskar: ESC4, ESC5, ESC7]
- Visa CA:s säkerhetsbeskrivning:
```
certutil -getreg CA\Säkerhet
```
Ta bort CT_FLAG_NO_SECURITY_EXTENSION från alla mallar. Säkerställ SID-tillägg enligt KB5014754. [Minskar: ESC9]
- Detta är msPKI-Enrollment-Flag bitars 0x80000 på mallen. Kontrollera:
```
certutil-dtemplate
```
- För att bekräfta att SID-tillägget stämplas (KB5014754), kontrollera CA:s register:
  - Se till REDIGERA TF_ATTRIBUTESUBJECTALTNAME2 är redan avstängd (se checklista 7) och operativsystemet är uppdaterat för KB5014754.
Patch för ESC15 (CVE-2024-49019Migrera schema V1 → V2+ genom att duplicera. [Reducerar: ESC15]
- För att kontrollera en malls schemaversion (leta efter msPKI-Template-Schema-Version):
```
certutil-dtemplate
```
- V1-mallar måste dupliceras till V2+ till och med certtmpl.msc.
Granska varje msDS-OIDToGroupLink och altSecurityIdentities. Ta bort obehöriga länkar och svaga mappningar. [Minskar: ESC13, ESC14]
Inaktivera export av privata nycklar på alla mallar som inte kräver portabilitet. [Minskar: certifikatstöld]
- Detta är msPKI-Private-Key-Flag på mallen — tydlig bit 0x10 (CT_FLAG_EXPORTABLE_KEY). Inspektera:
```
certutil-dtemplate
```
- Via grafiskt gränssnitt: öppen certtmpl.msc → högerklicka på mallen → Egenskaper → fliken Hantering av förfrågningar → avmarkera "Tillåt export av privat nyckel" → OK.
Aktivera rollseparation; samlokalisera aldrig AD CS på en domänkontrollant. Skydda CA-nycklar med FIPS 140-3 Nivå 3 HSM (Se Hur krypteringskonsultation kan hjälpa).
- För HSM-baserade CA-nycklar, konfigurera under CA-installation eller nyckelmigrering via HSM-leverantörens CSP/KSP. För att verifiera den aktuella CSP:n:
```
certutil -getreg ca\csp
```

Certifikatlivscykel: Styrning från registrering till återkallelse

Mallhärdning ensam är otillräcklig utan certifikatlivscykelhantering styrning över hela certifikatets livslängd. Livscykelramverket är i linje med NIST SP 800-57 #8 (Livscykel för nyckelhantering) och RFC 3647 (Certifikatpolicy / CPS-ramverk):

Registreringskontroller

Definiera auktoriseringsarbetsflöden per NIST SP 800-53 IA-5 (Autentiseringshantering)Använd automatisk registrering med grupprincip för standardcertifikat; kräv manuell begäran och godkännande för mallar med högt värde. För moderna registreringsprotokoll, överväg EST (RFC 7030), CMP (RFC 4210), eller ACME (RFC 8555).

Utgivningsvalidering

CA bör validera begäranden, ämnesinformation och SAN:er. Policymoduler med öppen källkod som TameMyCerts tillämpa regler vid utfärdandetillfället. För livscykelautomation på företagsnivå, se CertSecure-hanterare.

Återkallelse och statuskontroll

Bibehålla CRL-distributionspunkter och OCSP-svarare (RFC 6960) för giltighetskontroll i realtid. Övervaka återkallningsfel (händelse-ID:n 4870–4873). För OCSP-häftning och certifikatlivslängder, se Encryption Consultings guide.

Giltighetsperioder och förnyelse

Pelle Grundkrav för CA/B-forumet, offentligt betrodda TLS-certifikat max 398 dagar. Interna rekommendationer: 1 år som användare, 2 år som dator, 5 år som utfärdande certifikatutfärdare, 10–20 år som offline-root. Anpassa till NIST SP 800-57 Del 1 vägledning för kryptoperioder.

Nyckelarkivering och återställning

Aktivera nyckelarkivering på krypteringsmallar för affärskontinuitet. Utse nyckelåterställningsagenter med strikta kontroller per NIST SP 800-152 (Federal CKMS-profil).

Granskningsstrategi: De händelse-ID:n som är viktiga

Granskning är den mest försummade aspekten av AD CS-verksamhet. Aktivera fullständig CA-granskning per Dokumentation för Microsofts revisionscertifieringstjänster:

Ställ in CA-granskningsfilter: certutil -setreg ca\auditfilter 127 (alla sju kategorier)
Aktivera underkategorin för grupprincip: Avancerad granskningspolicy → Objektåtkomst → Granskningscertifieringstjänster → Framgång och misslyckande

Kritiska händelse-ID:n

Händelse-ID	BESKRIVNING	Vad att titta på
4886	Certifikatbegäran mottagen	Ovanliga kombinationer av begärande/mall; oväntade käll-IP-adresser
4887	Certifikat godkänt och utfärdat	SAN/begärandefel matchar inte; privilegierade identiteter i SAN-fältet
4888	Certifikatbegäran nekad	Upprepade avslag kan tyda på ESC7-attacker med avslag och sedan godkännande
4890	Inställningar för CA-hanterare har ändrats	Obehöriga ändringar i CA-konfigurationen (ESC6, ESC7)
4899/4900	Mallen ändrad / säkerheten uppdaterad	Ändringar av mallegenskaper eller ACL (ESC4-, ESC5-detektering)
4768	Kerberos TGT-begäran	PreAuthType=16 = certifikatbaserad autentisering (RFC 4556 PKINIT); korrelerar med 4887

Vidarebefordra alla CA-händelser till din SIEM. Korrelera med MITRE ATT&CK T1649 detekteringsvägledning och Microsoft Defender for Identity AD CS-aviseringar.

Offensiv (Auktoriserad testning)

Certifiera 2.0 (SpecterOps)C#-standarden stöder ESC1–ESC16. find /vulnerable räknar upp alla utnyttjande felkonfigurationer.
Certipy (Oliver Lyak)Python-baserad, Linux-vänlig. BloodHound-kompatibel JSON-utdata, NTLM-relä för ESC8.

Defensiv

Låssmed 2 (Trimarc Security)Förstklassig PowerShell-granskning för ESC1–ESC16. Genererar reparationsskript per fynd.
PSPKIAudit (SpecterOps)PowerShell-verktygslåda för ESC1–ESC8, med Get-CertRequest för incidentrespons.
BloodHound 5.4+Fullständig AD CS-nod-/kantintegration (ADCSESC1, ADCSESC3, ADCSESC6a/b, ADCSESC9a/b, ADCSESC10a/b, ADCSESC13, GoldenCert).
Microsoft Defender för identitetAD CS-sensor med positionsbedömningar i realtid för ESC1–ESC8, ESC11, ESC15.
TameMyCertsÖppen källkod för CA-policymodul som blockerar felaktigt formaterade förfrågningar vid utfärdandetillfället. Validerar ämnesnamn, begränsar SAN och tillämpar nyckelstorlekar.
CertSecure Manager (Krypteringskonsulttjänst)Företag certifikatlivscykelhantering plattform som tillhandahåller automatiserad identifiering, registrering, förnyelse och återkallelse i miljöer med flera CA-licenser.

Den operativa verkligheten: Varför lokala AD CS förlorar mark

AD CS byggdes för Windows-centrerade, lokala miljöer. För en detaljerad analys av begränsningarna, läs vår blogg om Navigera risker i Active Directory-certifikattjänster.

Icke-Windows-enheter och BYOD

Automatisk registrering fungerar uteslutande via gruppolicy. macOS, Linux, iOS, Android och ChromeOS saknar inbyggt stöd. NDES/SCEP (RFC 5272 / CMC) är den typiska lösningen, men medför säkerhetsproblem. Moderna alternativ inkluderar EST (RFC 7030) och ACME (RFC 8555)—inget av dem stöds nativt av AD CS.

Distans- och hybridarbetskraft

Certifikatregistrering via RPC/DCOM kräver DC- och CA-anslutning. Distansarbetare stöter på förnyelsefel när VPN i sig kräver ett giltigt certifikat. Nollförtroendearkitekturer (NIST SP 800-207) begära certifikatbaserad identitet oavsett nätverksplats.

Kostnad och expertisbörda

Total ägandekostnad inkluderar CA-hårdvara, HSM:er (FIPS 140-3 certifierad), Windows Server-licenser, offline-root-faciliteter, specialiserad PKI-personal, CRL/AIA-infrastruktur och patchtestning. Från och med 2026 rapporterar 62 % av organisationerna att de saknar tillräcklig PKI-expertis.

Den pragmatiska hybridmetoden

Den optimala strategin: förstärkt AD CS för domänintegrerade arbetsbelastningar i kombination med en modern hanterad PKI-plattform för BYOD, flera operativsystem, molnarbetsbelastningar, IoT/OT och distansarbetskraft. Se Encryption Consultings PKI-design och implementering för hybridarkitekturer.

Säkra din PKI: Hur krypteringskonsulting kan hjälpa till

AD CS-mallsäkerhet kräver kontinuerlig styrning, övervakning och expertis. Krypteringskonsulting levererar specialiserad PKI-kunskap inom utvärdering, implementering och hanterade tjänster:

PKI-bedömningstjänster

Vårt omfattande PKI-hälsobedömning undersöker varje aspekt av din AD CS-distribution genom ESC1–ESC16-taxonomin, CISA/NSA-mandat, NIST SP 800-53-kontrolleroch Microsofts bästa praxis:

Granskning av certifikatmall: Systematisk granskning av konfigurationer och användningsförhållanden för ADCS-certifikatmallar för att upptäcka utnyttjandefelkonfigurationer.
CA-infrastrukturgranskning: Hierarkidesign, HSM-konfiguration (FIPS 140-3 efterlevnad), rollseparation, granskningsloggning, CRL/AIA-hälsa.
Analys av attackväg: Kartlägger varje exploaterbar väg per Certifierad Förägd ram och MITRE ATT&CK T1649.
Analys av styrningsgap: Bedömning mot NIST SP 800-57, SP 800-152, RFC 3647 (CP/CPS)och Grundkrav för CA/B-forumet.
Åtgärdsplan: Prioriterade, handlingsbara rekommendationer med implementeringsvägledning och återställningsplaner.

PKI som en tjänst (PKIaaS)

Minska den operativa komplexiteten samtidigt som du stärker säkerheten med vår Hanterad PKI:

Molnhanterad CA: Fullständigt hanterad med HSM-stödd nyckelskydd, inbyggd redundans, SLA-baserad tillgänglighet.
Registrering för flera protokoll: Native SCEP (RFC 5272), EST (RFC 7030), ACME (RFC 8555), CMP (RFC 4210) stöd för alla enheter/operativsystem/arkitekturer.
Automatiserad livscykelhantering: Via CertSecure-hanterare—upptäckt, registrering, förnyelse och återkallelse i hela företaget.
Cross-Platform Support: Windows, macOS, Linux, iOS, Android, ChromeOS, IoT, molnarbetsbelastningar – ett enda hanteringsplan.
Rapportering som är redo för efterlevnad: Justerat med NIST SP 800-53, SP 800-171, SOC 2, PCI DSS och HIPAA.

Din domäns integritet beror på säkerheten i certifikatinfrastrukturen. Kontakta Krypteringskonsult idag för att boka en PKI-hälsobedömning.

Referenser och standardregister

Den här artikeln hänvisar till följande offentliga standarder, rekommendationer och verktyg:

IETF RFC:er

RFC 5280 – Internet X.509 PKI-certifikat och CRL-profil
RFC 6960 – Online Certificate Status Protocol (OCSP)
RFC 4556 – Kryptografi med offentlig nyckel för initial autentisering i Kerberos (PKINIT)
RFC 3647 – Certifikatpolicy och ramverk för certifieringspraxis för Internet X.509 PKI
RFC 8446 – Transport Layer Security (TLS)-protokoll version 1.3
RFC 6125 – Representation och verifiering av applikationstjänstens identitet
RFC 7030 – Registrering via säker transport (EST)
RFC 8555 – Automatisk certifikathanteringsmiljö (ACME)
RFC 4210 – Protokoll för certifikathantering (CMP)
RFC 5272 – Certifikathantering via CMS (CMC)

NIST-publikationer

SP 800-57 Del 1 Rev. 5 – Rekommendation för nyckelhantering
SP 800-152 – En profil för amerikanska federala kryptografiska nyckelhanteringssystem
SP 800-53 Rev. 5 – Säkerhets- och integritetskontroller för informationssystem
SP 800-207 – Nollförtroendearkitektur
SP 800-63-4 (Utkast) – Riktlinjer för digital identitet
FIPS 140-2 / FIPS 140-3 – Säkerhetskrav för kryptografiska moduler

CVE

CVE-2022-26923 – Certifried (AD DS Utökad privilegium)
CVE-2024-49019 – EKUwu / ESC15 (AD CS EKU-överstyrning)
CVE-2021-36942 – PetitPotam (NTLM-stafetten)

Regeringsråd

CISA/NSA AA23-278A – NSA och CISA:s tio vanligaste cybersäkerhetsfelkonfigurationer
Five Eyes gemensam rådgivning (september 2024) – Upptäcka och minska Active Directory-komprometter
CISA-katalogen över kända exploaterade sårbarheter
MITRE ATT&CK T1649 – Stjäla eller förfalska autentiseringscertifikat

CA / Browser Forum

Microsoft-dokumentation

Säkerhetsforskning och verktyg

Krypteringskonsultresurser

ADCS 2025 Förbättringsblogg
Microsofts starka tillämpning av certifikatmappning
CertSecure-hanterare – Plattform för hantering av certifikatlivscykel
PKI-tjänster | Hanterad PKI | Konsulttjänster
PKI-hälsokontroll | Säkerhetsbedömning | CBOM-tjänster
Utbildningscenter: PKI | HSM | CLM | OCSP | CRL | Kodsignering | Nyckelhantering | Nollförtroende | PCC

Slutsats

Felaktiga konfigurationer av certifikatmallar är fortfarande den mest underskattade attackytan i Active Directory-miljöer för företag. ESC-taxonomin fortsätter att växa, verktyg för röda team automatiserar utnyttjandet snabbare än de flesta blå team kan granska, och regelverksövervakning från Microsoft, CISA och Five Eyes-partners har eliminerat respitperioden.

De försvar som beskrivs i denna handbok är inte ambitiösa; de utgör den operativa baslinjen. Organisationer som behandlar sin CA-infrastruktur med samma noggrannhet som sina domänkontrollanter kommer att täppa till gapet. De som dröjer kommer att upptäcka att angriparna redan har kartlagt vad de lämnat exponerade.

Om ditt team behöver en utgångspunkt, Encryption Consultings PKI-hälsokontroll kan identifiera vad den här handboken beskriver – innan en motståndare gör det.

Certifikatmallens anatomi: De åtta viktiga egenskaperna som definierar din riskposition
Vanligaste användningsfallen för företag
ESC1 till ESC16: Den kompletta attacktaxonomin
Vad Microsoft, CISA och NSA vill att du ska åtgärda
Checklista för härdning av mallar med 15 punkter
Certifikatlivscykel: Styrning från registrering till återkallelse
Granskningsstrategi: De händelse-ID:n som är viktiga
Verktyg som avslöjar dina blinda fläckar inom AD CS
Den operativa verkligheten: Varför lokala AD CS förlorar mark
Säkra din PKI: Hur krypteringskonsulting kan hjälpa till
- PKI-bedömningstjänster
- PKI som en tjänst (PKIaaS)
Referenser och standardregister
Slutsats