Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Blog
    2. PKI

Vilka är bästa praxis för NDES-säkerhet?

Postat avHemant Bhatt 05 minuter
Bästa praxis för NDES-säkerhet
Innehållsförteckning

Ocuco-landskapet Registreringstjänst för nätverksenheter (NDES) tillåter programvara på nätverksenheter, såsom routrar, brandväggar, switchar etc., att hämta digitala certifikat utan att köra några domänuppgifter. NDES är också en av rolltjänsterna på Active Directory-certifikattjänster (AD CS). Den implementerar Simple Certificate Enrollment Protocol (SCEP), som definierar kommunikationen mellan registreringsmyndigheten (RA) och nätverksenheter för certifikatregistrering.

Funktioner hos NDES

NDES utför följande funktioner:

  1. Genererar och tillhandahåller engångslösenord för registrering till administratörer
  2. Skicka in anmälningsförfrågningar till Certifikatmyndighet (CA)
  3. Hämtar registrerade certifikat från CA och vidarebefordrar dem till nätverksenheten

Best Practices

Aktivera SSL för NDES-administratörswebbplatsen

SSL-skydd säkerställer att lösenordet för registreringsutmaningen är skyddat mot inspektionsattacker när nätverksenheten ansluter till MSCEP_Admin-webbplatsen.

Skapa enhetscertifikat med förlängd giltighetstid

Standardmallen för IPsec-certifikat (Offline Request) har bara en giltighetsperiod på ett år. Om du definierar mallar för anpassad signering, kryptering eller allmänna certifikat, överväg att skapa en certifikatmall version 2 med en giltighetsperiod på två år. En längre giltighetsperiod minskar hanteringskostnaden för att begära enhetscertifikat.

Inaktivera NDES-tjänsten när den inte används

Att stoppa NDES-tjänsten säkerställer att obehöriga certifikat inte utfärdas. Att stoppa tjänsten säkerställer också att all data, till exempel alla lösenord som inte användes av nätverksenheter, rensas från tjänstens cache.

Använd guiden Säkerhetskonfiguration för att låsa servern

Säkerhetskonfigurationsguiden rekommenderar att du låser IIS och andra tjänster som är installerade på NDES-servern.

Implementera rollseparation

Olika konton involverade i installation, konfigurering och drift av NDES:

  • Skapa konto
  • Enhetsadministratörer
  • NDES-konto
    • Nätverkstjänst
    • Grupphanterat tjänstkonto (gMSA) eller
    • Domänanvändarkonto

Rekommendationer baserade på valet av NDES-konto

  • AES-kryptering krävs för gMSA- eller domänanvändarkonton.
  • Konfigurera inloggningsbegränsningar och ett långt lösenord för domänanvändarkonton
  • Använd inte gMSA- eller domänanvändarkonton på andra datorer eller för andra ändamål.
  •  Markera kryssrutan ”Kontot är känsligt och kan inte delegeras” för domänanvändarkonton.
  • Kom ihåg att manuellt konfigurera behörigheter för NDES-certifikatens privata nycklar när du använder en gMSA- eller anpassad certifikatmall.

Säkerställ att systemet härdas

Minska antalet lokala administratörsgrupper så att endast PKI-administratörer ingår. Endast medlemmar i PKI-administratörsgruppen beviljas inloggningsrättigheter (interaktiv, fjärrinteraktiv, inloggning som ett batchjobb, inloggning som en tjänst).

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Säkra nycklarna

Följande rutiner bör implementeras för att säkra nycklarna:

  • Det rekommenderas starkt att använda en Hårdvarusäkerhetsmodul (HSM) för att generera, lagra och hantera åtkomst till NDES-nycklar. HSM:er säkerställer att NDES-nycklarna aldrig finns i operativsystemets minne, ger ytterligare operativa kontroller och begränsar exponeringen för nyckelmaterialet.
  • Om NDES virtualiseras rekommenderas att HSM används för att lagra privata NDES-nycklar eftersom nycklarna kan hittas i en okrypterad version av Virtualizations värdadministratörer som har åtkomst till virtuell maskin, disk och minne.
  • Säkerhetskopior måste krypteras och åtkomst bör vara extremt begränsad om en HSM inte används för att lagra privata nycklar, eftersom ögonblicksbilder/kontrollpunkter och andra typer av säkerhetskopior vanligtvis innehåller NDES:s privata nycklar.

Infrastruktur

Följande praxis bör följas avseende infrastruktur för NDES:

  • När du tillåter internetåtkomst till NDES (till exempel för att registrera certifikat i Intune-hanterade mobila enheter), se till att NDES är korrekt skyddad med en omvänd proxy (till exempel Azure AD Application Proxy eller Web Application Proxy (WAP)).
  • NDES bör installeras på en annan dator än den som är värd för CA-tjänsten. Dessutom bör inga andra tjänster köras på datorn som är värd för NDES.
  • Om NDES distribueras på en CA-dator, konfigurera brandväggsregeln för Certification Authority Enrollment and Management Protocol (CERTSVC-RPC-TCP-IN) så att endast NDES (och OCSP) IP-adressen kan komma åt CA:n för registrering.

Certifikatutfärdare och certifikatmallar

Certifikatmallarna som tilldelas som standard under konfigurationen av NDES är:

  • CEP-kryptering: Ett certifikat baserat på den här mallen utfärdas till NDES-datorn under konfigurationen av tjänsten. Det används för att tillämpa SCEP-specifik kryptering på kommunikationen med den begärande klienten. 
  • Exchange-registreringsagent (offline-förfrågan): Ett certifikat baserat på denna mall utfärdas till NDES-datorn under konfigurationen av tjänsten. NDES använder det för att digitalt omsignera registreringsbegäran som mottagits från enheten eller MDM:n. Därefter vidarebefordras den omsignerade registreringsbegäran till den utfärdande certifikatutfärdaren.

Obs: Båda mallarna ovan används endast under den första installationen av NDES och vid förnyelse av certifikatet innan det löper ut – ta bort tilldelningen av dessa mallar från certifikatutfärdaren under normal drifttid. Installationskontot måste ha registreringsbehörighet för den här mallen under konfigurationen av NDES. 

IPSec (Offline Request) även känd som "Enhetsmall" eller "SCEP-certifikatmall"

Den här certifikatmallen används för att registrera enhets- eller användarcertifikat och tilldelas automatiskt till certifikatutfärdaren under NDES-konfigurationen. För det mesta väljer du att ersätta den med en certifikatmall som bättre passar dina behov. Enhetsadministratören och NDES-tjänstkontot måste ha registreringsbehörighet för den här mallen.

Implementera kryptering av data under överföring

TLS måste användas för att kryptera kommunikationen mellan NDES och MDM/den enhet som begär certifikatet. Detta inkluderar följande:

  • Tillämpa TLS genom att inaktivera IIS HTTP-lyssnare
  • TLS 1.2-efterlevnad

Slutsats

Vi bör implementera alla ovan nämnda bästa praxis för att säkra NDES. Det är oerhört viktigt att skydda de privata nycklarna eftersom alla illvilliga personer som får tillgång till dem kommer att kunna begära ett giltigt certifikat för att logga in i Active Directory med valfritt ämne.

Hänvisning: Bästa praxis för NDES-säkerhet – Microsoft Community Hub

Upptäck vår

Relaterade bloggar

Återuppbygga kryptografisk postur-PKI

Den tysta krisen inuti din PKI: Hur smarta säkerhetsteam återuppbygger kryptografisk hållning innan det är för sent

May 25, 2026

Förstå och optimera OCSP för Enterprise PKI

Förstå och optimera OCSP för Enterprise PKI

May 7, 2026

Förstå Active Directory-certifikattjänster

Förstå behållare för Active Directory-certifikattjänster

27 april 2026

Utforska

Fler ämnen