andreas65m
10.03.2025
view868
view4
0
Goto Top

Minimale Berechtigung für certutil -view

gelöstFrageWindows Server
Hallo,

auf unserem CA Server haben wir eine Aufgabe laufen, die über den Befehl

certutil –view –out RequesterName,CommonName,EMail,CertificateTemplate,NotAfter,Request.RevokedWhen CSV

Informationen zur Fälligkeit der Zertifikate liefert.

Derzeit läuft der Job mit den rechten eines lokalen Administrators, was wohl nicht sein sollte.
Ich habe lange gesucht, habe aber nicht herausgefunden, welche die mindestrechte sind, die der Benutzer braucht um diesen Befehl auszuführen.

Kann mir vielleicht jemand hier auf Administrator.de weiterhelfen.

Grüße
Andreas
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 671847

Url: https://administrator.de/forum/minimale-berechtigung-fuer-certutil-view-671847.html

Ausgedruckt am: 12.04.2025 um 16:04 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
Penny.Cilin
Penny.Cilin 10.03.2025 um 17:26:25 Uhr
Goto Top
Gude,

warum richtet ich nicht einen gMSA Account für die geplante Aufgabe ein?

https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/g ...
https://techcommunity.microsoft.com/blog/askds/managed-service-accounts- ...
https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/g ...


Gruss Penny.
DerWoWusste
DerWoWusste 10.03.2025 um 21:35:53 Uhr
Goto Top
Nimm das lokale Systemkonto "system".
andreas65m
andreas65m 11.03.2025 um 08:54:06 Uhr
Goto Top
Zitat von @Penny.Cilin:

Gude,

warum richtet ich nicht einen gMSA Account für die geplante Aufgabe ein?

Hallo Penny,

diese Info hatte ich leider unterlassen. Wir verwenden gmsa, trotzdem sollte der gmsa-Benutzer nur die mindestens notwendigen Rechte haben, denn auch gmsa hat so seine Tücken

https://www.semperis.com/de/blog/golden-gmsa-attack/

Grüße
Andreas
DerWoWusste
Lösung DerWoWusste 11.03.2025 aktualisiert um 10:28:07 Uhr
Goto Top
Moin Andreas.

Ich muss mal fragen, welchen Sinn
trotzdem sollte der gmsa-Benutzer nur die mindestens notwendigen Rechte haben
hat. Das "least privilege"-Konzept in Ehren, aber hier ist es sinnlos, es zu verfolgen. Ein Task ist nicht von außen angreifbar. Setzt Du, wie von mir vorgeschlagen, das Systemkonto ein (höchstmögliche Rechte, Kennwort wechselt bereits automatisch, genau wie beim GMSA), dann erfüllt das den Zweck und die Sicherheit bleibt davon unbenommen.
Wer hier ein gMSA empfiehlt, versteht nicht, wann man es nutzen sollte - nämlich genau dann, wenn es mit außen interagiert, zum Beispiel über einen Dienstport. Es hier zu nutzen ist also nur unnötige Mühe.
gelöstFrageWindows Server
Mehr von andreas65mandreas65mAD Checks. ping-castle, purpleknight und was noch?andreas65m - 3 Kommentareandreas65mAudit delegationsandreas65mandreas65mWCAG 2 kompatibilität testenandreas65m - 2 Kommentareandreas65mDhcp-Server manuell aus AD entfernenandreas65m - 9 Kommentare
Heiß diskutiert
BN2023Windows PC auf Linux umstellen, da Win11 Upgrade nicht möglich?BN2023 - 62 KommentareBN2023Am Verstärker angeschlossene Festplatte über Laptop findenBN2023 - 40 KommentareMysticFoxDEEine alternative Erklärung des Doppler-Effekts durch variable LichtgeschwindigkeitMysticFoxDE - 26 KommentareBitsortiererInformatik Studium Ja oder Nein?Bitsortierer - 25 KommentareMysticFoxDEWINDOWS 11 24H2 - CU25-04 - TAGEBUCH - TAG 1MysticFoxDE - 21 KommentareFlashLightzKann PC nicht der Domäne hinzufügenFlashLightz - 18 KommentareDerWoWussteThunderbird per IMAP an Exchange - Lesebestätigung verhindernDerWoWusste - 17 KommentarekreuzbergerSound-Recording und Sound-Bearbeitungkreuzberger - 16 KommentareAndi-75Zugriff auf NAS-Ordner von VM nicht möglichAndi-75 - 16 KommentarewimaflixMikrotik 7.16 WLAN vs. VLANwimaflix - 14 KommentareAbstrackterSystemimperatorFragen zum bevorstehenden FachgesprächAbstrackterSystemimperator - 13 KommentareinsidERRUSB-Dongle wird in der VirtualBox VM (zweiter Host) nicht richtig erkanntinsidERR - 13 KommentarekpunktSQL 2022 Standard richtig lizensieren (wieder mal)kpunkt - 12 Kommentare