1
Windows Server 2012 R2 PKI - Computerzertifikate - Einstellungen
Hallo Zusammen,
im Einsatz sind eine Windows Server 2012 R2 PKI mit einer Offlinezertifizierungsstelle und einer Zwischenzertifizierungsstelle.
Es werden unter Anderem Computerzertifikate an Windows 10 Enterprise Notebooks ausgestellt.
Wenn man nun von von folgendem Ernstfall ausgeht:
Ein solches Notebook wird kompromittiert und der Angreifer das lokal gespeicherte Computerzertifikat auf ein anderes Notebook (vielleicht sogar gleiche Hardware und gleicher Computername) per Export/Import überträgt und somit kopiert.
Lässt sich so einfach der Schutz der PKI umgehen?
Oder kann dies z.B. nur durch Einstellung der Zertifikatsvorlage verhindert werden, das z.B. der private Schlüssel nicht exportierbar sein soll etc.?
Danke für Eure Hilfe/Tipps!
Gruß
im Einsatz sind eine Windows Server 2012 R2 PKI mit einer Offlinezertifizierungsstelle und einer Zwischenzertifizierungsstelle.
Es werden unter Anderem Computerzertifikate an Windows 10 Enterprise Notebooks ausgestellt.
Wenn man nun von von folgendem Ernstfall ausgeht:
Ein solches Notebook wird kompromittiert und der Angreifer das lokal gespeicherte Computerzertifikat auf ein anderes Notebook (vielleicht sogar gleiche Hardware und gleicher Computername) per Export/Import überträgt und somit kopiert.
Lässt sich so einfach der Schutz der PKI umgehen?
Oder kann dies z.B. nur durch Einstellung der Zertifikatsvorlage verhindert werden, das z.B. der private Schlüssel nicht exportierbar sein soll etc.?
Danke für Eure Hilfe/Tipps!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 370035
Url: https://administrator.de/contentid/370035
Printed on: April 19, 2024 at 21:04 o'clock
1 Comment
Moin,
Gruß,
Dani
Ein solches Notebook wird kompromittiert und der Angreifer das lokal gespeicherte Computerzertifikat auf ein anderes Notebook (vielleicht sogar gleiche Hardware und gleicher Computername) per Export/Import überträgt und somit kopiert.
ohne privaten Schlüssel bringt ihm das Zertifikat erstmal nichts. Falls der private Schlüssel exportierbar ist, müsste der Angreife lokale Adminrechte auf dem Rechner haben. Was durch ein sauberes Design aber gar nicht der Fall ist.Lässt sich so einfach der Schutz der PKI umgehen?
Welchen Schutz liefert eine PKI? Oder kann dies z.B. nur durch Einstellung der Zertifikatsvorlage verhindert werden, das z.B. der private Schlüssel nicht exportierbar sein soll etc.?
Das sollte out of the Box bei der Standardvorlage Computer auch so sein.Gruß,
Dani
