Ich habe ein AD-Setup, das anscheinend eine Sicherheitslücke im Zusammenhang mit der Funktion „Zertifikatsdienste“ aufweist. Wenn ich an die MS Server-Kurse zurückdenke, die ich besucht habe, erinnere ich mich an nichts darüber, also habe ich online nachgeforscht und neige zu „Nein“.
Ich erstelle intern keine Zertifikate für irgendetwas - Arbeitsstationen dürfen sich selbst signieren, und meine übergeordnete Organisation hat Schritte zum lokalen Generieren von Zertifikatsanforderungen auf unseren Servern, die an eine Drittanbieter-Zertifizierungsstelle weitergeleitet werden. Dies scheint die Hauptfunktion von ADCS zu sein, und ich scheine sie nicht zu verwenden.
Benutzer verwenden keine PKI, sondern nur Benutzernamen und Passwörter, und es scheint, als hätte ADCS etwas mit der Authentifizierung von Zertifizierungsstellen zu tun, die mit Smartcard-Tokens verknüpft sind. Ich könnte mich aber irren und es hat nichts damit zu tun.
Ist es also sicher, ADCS einfach zu entfernen? Ich glaube, es wird standardmäßig installiert, wenn Sie etwas zu einem Domänencontroller hochstufen (oder zumindest die Rolle hinzufügen), aber ich kann mich an keine Gelegenheit erinnern, mit ihm zu interagieren.
Auf den DCs laufen Server 2012 und 2019 (ersterer wird in naher Zukunft eingestellt und durch Server 2019 ersetzt).
Antwort1
Es ist sicher, Active Directory-Zertifikatdienste zu entfernen. Wenn Sie sie nicht für Zertifizierungen verwenden, können Sie sie entfernen. Wir haben sie in unserem Unternehmen kürzlich entfernt, als wir unsere Domänencontroller und den DHCP-Server geändert haben, und alles funktioniert einwandfrei.