Tenho uma configuração do AD que aparentemente possui uma vulnerabilidade relacionada ao recurso Serviços de certificados. Pensando nos cursos do MS Server que participei, não me lembro de nada, então procurei on-line e estou inclinado para o "não".
Eu não gero certificados internamente para nada - as estações de trabalho têm permissão para autoassinar e minha organização pai tem etapas a seguir para gerar solicitações de certificado localmente em nossos servidores para serem repassadas na cadeia para uma CA de terceiros. Esta parece ser a função principal do ADCS e não parece que a uso.
Os usuários não usam PKI, apenas nome de usuário e senha, e parece que o ADCS tem algo a ver com a autenticação de CAs associadas a tokens de cartão inteligente. Posso estar enganado e não tem nada a ver com isso.
Então é seguro apenas remover o ADCS? Acredito que ele seja instalado por padrão se você promover algo para um controlador de domínio (ou pelo menos adicionar a função), mas não consigo pensar em nenhuma ocasião em que interagi com ele.
Os DCs executam o Server 2012 e 2019 (com o primeiro em fase de corte em um futuro próximo, para ser substituído por um Server 2019).
Responder1
É seguro remover os Serviços de Certificados do Active Directory. Se você não usá-lo para nenhuma certificação, poderá removê-lo. Nós o removemos recentemente em nossa empresa, quando alteramos nossos controladores de domínio e servidor DHCP, e tudo está funcionando bem.