Tengo una configuración de AD que aparentemente tiene una vulnerabilidad relacionada con la función Servicios de certificados. Pensando en los cursos de MS Server que he tomado, no recuerdo nada al respecto, así que busqué en línea y me inclino por "no".
No genero certificados internamente para nada: las estaciones de trabajo pueden realizar la autofirma y mi organización matriz tiene pasos a seguir para generar solicitudes de certificados localmente en nuestros servidores para pasarlas en la cadena a una CA de terceros. Esta parece ser la función principal de ADCS y parece que no la uso.
Los usuarios no usan PKI, solo nombre de usuario y contraseña, y parece que ADCS tiene algo que ver con la autenticación de CA asociadas con tokens de tarjetas inteligentes. Puede que me equivoque y no tiene nada que ver con esto.
Entonces, ¿es seguro simplemente eliminar ADCS? Creo que simplemente se instala de forma predeterminada si promocionas algo a un controlador de dominio (o al menos agregas la función), pero no recuerdo ningún momento en el que haya interactuado con él.
Los DC ejecutan Server 2012 y 2019 (con el primero en la tabla de cortar en algún momento en el futuro cercano, que será reemplazado por uno de Server 2019).
Respuesta1
Es seguro eliminar los Servicios de certificados de Active Directory. Si no lo utiliza para ninguna certificación, puede eliminarlo. Lo eliminamos en nuestra empresa recientemente cuando cambiamos nuestros controladores de dominio y servidor DHCP, y todo está funcionando bien.