1
Windows Server 2012 R2 PKI - Computerzertifikate - Einstellungen
Hallo Zusammen,
im Einsatz sind eine Windows Server 2012 R2 PKI mit einer Offlinezertifizierungsstelle und einer Zwischenzertifizierungsstelle.
Es werden unter Anderem Computerzertifikate an Windows 10 Enterprise Notebooks ausgestellt.
Wenn man nun von von folgendem Ernstfall ausgeht:
Ein solches Notebook wird kompromittiert und der Angreifer das lokal gespeicherte Computerzertifikat auf ein anderes Notebook (vielleicht sogar gleiche Hardware und gleicher Computername) per Export/Import überträgt und somit kopiert.
Lässt sich so einfach der Schutz der PKI umgehen?
Oder kann dies z.B. nur durch Einstellung der Zertifikatsvorlage verhindert werden, das z.B. der private Schlüssel nicht exportierbar sein soll etc.?
Danke für Eure Hilfe/Tipps!
Gruß
im Einsatz sind eine Windows Server 2012 R2 PKI mit einer Offlinezertifizierungsstelle und einer Zwischenzertifizierungsstelle.
Es werden unter Anderem Computerzertifikate an Windows 10 Enterprise Notebooks ausgestellt.
Wenn man nun von von folgendem Ernstfall ausgeht:
Ein solches Notebook wird kompromittiert und der Angreifer das lokal gespeicherte Computerzertifikat auf ein anderes Notebook (vielleicht sogar gleiche Hardware und gleicher Computername) per Export/Import überträgt und somit kopiert.
Lässt sich so einfach der Schutz der PKI umgehen?
Oder kann dies z.B. nur durch Einstellung der Zertifikatsvorlage verhindert werden, das z.B. der private Schlüssel nicht exportierbar sein soll etc.?
Danke für Eure Hilfe/Tipps!
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 370035
Url: https://administrator.de/contentid/370035
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
1 Kommentar
Moin,
Gruß,
Dani
Ein solches Notebook wird kompromittiert und der Angreifer das lokal gespeicherte Computerzertifikat auf ein anderes Notebook (vielleicht sogar gleiche Hardware und gleicher Computername) per Export/Import überträgt und somit kopiert.
ohne privaten Schlüssel bringt ihm das Zertifikat erstmal nichts. Falls der private Schlüssel exportierbar ist, müsste der Angreife lokale Adminrechte auf dem Rechner haben. Was durch ein sauberes Design aber gar nicht der Fall ist.Lässt sich so einfach der Schutz der PKI umgehen?
Welchen Schutz liefert eine PKI? Oder kann dies z.B. nur durch Einstellung der Zertifikatsvorlage verhindert werden, das z.B. der private Schlüssel nicht exportierbar sein soll etc.?
Das sollte out of the Box bei der Standardvorlage Computer auch so sein.Gruß,
Dani
