GlobalSign 博客

减轻微软活动目录证书服务的弱点

微软的活动目录是Windows企业网络系统的核心。该系统负责对试图访问网络系统的个人用户和计算机进行身份验证和授权。作为网络的重要组成部分,大量的报道指出了这项服务的安全性和潜在的安全漏洞。

然而,微软的活动目录证书服务平台还没有进行同样数量的分析和研究,这使得它充满了潜在的严重安全漏洞。微软的活动目录证书服务是微软的PKI实现,它为组织机构提供数字安全特性。

在本文中,我们将了解Microsoft Active Directory Certificate Services是做什么的以及它们是如何工作的。然后,我们将研究这些服务所表现出的安全漏洞和弱点。最后,我们将探讨如何减轻这些网络安全风险因素。

Active Directory证书服务是如何工作的?

Active Directory Certificate Services(简称AD CS)提供用户自定义公钥基础设施证书的服务。公钥基础设施(Public Key Infrastructure,简称PKI)可用于各种数字安全目的,包括加密、数字签名、电子邮件、用户身份验证、电子文档和消息传递。AD CS为组织提供创建和管理特定PKI证书的服务。

Active Directory证书服务支持多个应用程序。这些应用包括互联网协议安全(Internet Protocol Security, IPSec)、加密文件系统(EFS, Virtual Private Networks, vpn)、安全无线网络、网络访问保护(Network Access Protection, NAP)和智能卡登录等。

Active Directory可以与CRM(客户关系管理)应用程序和系统集成,使其成为商家的热门选择。小型企业通常寻找具有关键功能的CRM,如票务系统、人工智能自动化、加密、安全和高级应用集成。由于活动目录易于集成,它是为CRM应用程序提供目录和安全结构的流行选择。

安装AD CS可能是一项昂贵的工作,因为它不仅需要硬件本身的昂贵开销,还需要专家团队进行安装、部署和持续维护。

下面是活动目录证书服务的工作原理。首先,它们用于建立一个私有的企业CA (Certificate Authority,证书颁发机构)。然后,CA被用来生成证书,将特定的帐户、用户或机器身份与特定的公私密钥对联系起来。这个密钥对可以用于不同的功能和操作。这些操作包括签名文档、加密文件和身份验证等。 

AD CS服务器管理员为这些证书制作模板。模板是未来用户的大纲,是指导如何签发证书、为谁签发证书、可以认证哪些操作、这些证书将持续多长时间以及它们将包含哪些加密设置的详细地图。

AD CS系统类似于HTTPS,证书颁发机构提供验证活动目录系统是否可以接受任何特定的公私密钥对。经过身份验证的计算机或用户必须从AD CS获得证书,创建公私密钥对,并将该密钥对连同任何设置、首选项和规格一起发送给证书颁发机构。

所有这些步骤都是证书签名请求(certificate signing request, CSR)的一部分。提交请求的经过身份验证的用户或计算机的身份被列为域帐户。CSR文件中包含了这个用户身份域账号、用于申请证书的特定模板,以及证书将用于的操作列表。

微软活动目录证书服务的网络安全弱点

网络安全分析师最近发布的一份报告显示,微软的广告CS经常包括配置错误,可能会产生严重的破坏性后果。高频率的配置错误意味着AD CS服务器正成为黑客寻求访问私人帐户和隐藏域的频繁目标。 

当Web注册未能完全清理特定用户输入时,跨站脚本攻击或XSS攻击可能发生在活动目录证书服务中,因此输入未通过充分测试就被存储在安全的数据库中。除了XSS和跨站脚本攻击,这种未经过滤的输入还可以直接导致SQL注入攻击。在这种类型的网络攻击中,恶意行为者可以直接干扰应用程序对其数据库的任何查询,给数据驱动的应用程序注入不稳定性和不安全性。

根据最近的研究,如今60%的客户更喜欢使用手机与小企业沟通。如果该公司使用的广告CS存在安全漏洞,那么通过客户智能手机接收用户输入很可能会被破解,从而暴露该客户的敏感数据。  

那么安全风险有多严重呢?

虽然不是每个活动目录服务器都自动安装AD CS,但它在企业和工业环境中被广泛使用。这意味着在AD CS系统中,由于证书服务的错误配置,会直接导致安全漏洞造成巨大的潜在危害。 

例如,在2021年的一次持续攻击中,一个黑客组织使用一种名为“FoggyWeb”的技术对已被入侵的活动目录服务器进行了持续攻击。他们利用这种持续访问来窃取数据,从服务器内部接收代码,并执行这些恶意代码,造成破坏和混乱。

如何缓解Active Directory证书服务的弱点 

微软的安全团队已经发布了一些特定的方法来缓解Active Directory证书服务在系统服务器内部的弱点。Microsoft建议首先在所有Active Directory证书服务服务器上禁用HTTP并启用EPA。然后,微软建议在可行的情况下启用Require SSL并禁用NTLM身份验证。在Windows域控制器上禁用NTLM身份验证可以做很多损害控制。

用户还应该阻止由目录证书创建的连接到任意主机和服务的连接。一个运行良好的目录证书只会开始连接到可认证的接收者,比如其他目录证书,或者对特定通信至关重要的预先授权的主机。如果域使用分层,则任何出站连接必须限制为第0层的主机和服务。

除了从AD CS服务器内部增强安全性外,组织还可以实施几个外部安全补丁来增强整体安全性。组织可以使用自动注册网关(AEG)在网络中的每个端点提供额外的安全层。AEG可以填补安全空白,并增加额外的用户和计算机认证级别,以弥补AD CS系统中任何可能的网络安全疏忽和弱点。  

结论 

虽然微软的活动目录证书服务可以提供有用的功能,如加密、数字签名、文件存储、消息传递、电子邮件和身份验证,但服务器经常出现配置错误。这些错误配置在网络安全方面存在重大差距,需要开发人员解决。

与此同时,用户可以通过禁用HTTP和启用EPA,以及阻断与任意主机的目录证书连接,来减轻这些固有网络安全弱点的影响。此外,用户可以使用自动注册网关提供额外的强大安全层,加强安全漏洞,并提供更强的端到端加密和身份验证。

近期博客