Sicherheit im Active Directory: Schwachstelle "Certifried"

Microsoft versucht, im Kampf gegen Goldene Zertifikate die Schrauben anzuziehen – leider nicht völlig erfolgreich.

Lesezeit: 20 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Hans-Joachim Knobloch
Inhaltsverzeichnis

Die Gefahr durch Goldene Zertifikate ist auf die nützliche Funktion zurückzuführen, dass Clients (sowohl Benutzer als auch Computer) sich im Active Directory über das PKINIT-Verfahren mit Zertifikat und zugehörigem Private Key per Kerberos am Domänencontroller anmelden und damit auch ohne Nutzung des Passworts ein Kerberos-Ticket bekommen können.

Der Begriff "Goldenes Zertifikat" wurde von Christoph Falta in Anlehnung an die Goldenen Tickets bei der Kerberos-Anmeldung im Active Directory geprägt und bereits in einem früheren Artikel detailliert behandelt. Die passwortlose Anmeldung wird unter anderem beim Smartcard-Logon und bei Windows Hello for Business genutzt. PKINIT ist aber auch dann aktiv, wenn keine dieser Anmeldemethoden im betreffenden AD produktiv genutzt wird.

Schwerpunkt Netzwerksicherheit im Active Directory

Die Voraussetzungen, die ein Zertifikat erfüllen muss, damit es für eine PKINIT-Kerberos-Anmeldung infrage kommt, sind im Kasten "Voraussetzungen für PKINIT-Anmeldezertifikate" genauer aufgeführt. Aus Sicherheitssicht ist der entscheidende Punkt, wie der Domänencontroller nach der grundsätzlichen Gültigkeitsprüfung das Zertifikat einem bestimmten AD-Computer- oder Benutzerkonto zuordnet, für das ein Kerberos-Ticket erstellt wird. Die möglichen Wege dieses auch als Certificate Mapping bezeichneten Vorgangs sind im Kasten "Mapping von Zertifikaten auf Active-Directory-Konten" beschrieben.