私の AD セットアップには、証明書サービス機能に関連する脆弱性があるようです。受講した MS Server コースを振り返ってみても、それについては何も覚えていないので、オンラインで調べたところ、「ない」という結論に至りました。
私は社内で証明書を生成しません。ワークステーションは自己署名が許可されており、親組織には、チェーンの上位のサードパーティ CA に渡す証明書要求をサーバー上でローカルに生成するための手順があります。これが ADCS の主な機能のようですが、私はこれを使用していないようです。
ユーザーは PKI を使用せず、ユーザー名とパスワードのみを使用します。ADCS はスマート カード トークンに関連付けられた CA の認証に関係しているようです。私の考えが間違っている可能性があり、このこととは何の関係もありません。
では、ADCS を削除しても安全でしょうか? 何かをドメイン コントローラーに昇格させる (または少なくとも役割を追加する) と、デフォルトでインストールされるだけだと思いますが、ADCS を操作した記憶はありません。
DC では Server 2012 と 2019 が稼働しています (前者は近い将来廃止され、Server 2019 に置き換えられる予定です)。
答え1
Active Directory 証明書サービスを削除しても安全です。証明書に使用しない場合は削除できます。当社では最近、ドメイン コントローラーと DHCP サーバーを変更したときにこれを削除しましたが、すべて正常に動作しています。