인증서 서비스 기능과 관련된 취약점이 있는 것으로 보이는 AD 설정이 있습니다. 내가 수강했던 MS 서버 강좌를 돌이켜보면 아무것도 기억나지 않아서 온라인에 대해 알아보다가 "아니오" 쪽으로 기울고 있습니다.
저는 어떠한 경우에도 내부적으로 인증서를 생성하지 않습니다. 워크스테이션은 자체 서명이 허용되며, 상위 조직에는 서버에서 로컬로 인증서 요청을 생성하여 체인을 통해 제3자 CA에 전달하기 위해 따라야 하는 단계가 있습니다. 이것이 ADCS의 주요 기능인 것으로 보이며 저는 이를 사용하지 않는 것 같습니다.
사용자는 PKI를 사용하지 않고 사용자 이름과 비밀번호만 사용하며 ADCS가 스마트 카드 토큰과 관련된 CA 인증과 관련이 있는 것처럼 보입니다. 제가 틀렸을 수도 있고 이번 사건과는 아무 관련이 없습니다.
그렇다면 ADCS만 제거해도 안전할까요? 도메인 컨트롤러로 무언가를 승격하거나 적어도 역할을 추가하면 기본적으로 설치된다고 생각하지만 상호 작용한 적이 전혀 생각나지 않습니다.
DC는 Server 2012 및 2019를 실행합니다. 전자는 가까운 시일 내에 Server 2019로 교체될 예정입니다.
답변1
Active Directory 인증서 서비스를 제거하는 것이 안전합니다. 인증에 사용하지 않는 경우 제거할 수 있습니다. 최근 회사에서 도메인 컨트롤러와 DHCP 서버를 변경했을 때 이를 제거했는데 모든 것이 잘 작동하고 있습니다.