У меня есть настройка AD, которая, по-видимому, имеет уязвимость, связанную с функцией Certificate Services. Вспоминая курсы по MS Server, которые я посещал, я не помню ничего об этом, поэтому я покопался в сети и склоняюсь к "нет".
Я не генерирую сертификаты внутри компании для чего-либо — рабочим станциям разрешено самоподписываться, а моей головной организации необходимо следовать шагам для генерации запросов на сертификаты локально на наших серверах, которые будут переданы по цепочке стороннему CA. Похоже, это основная функция ADCS, и я, похоже, ею не пользуюсь.
Пользователи не используют PKI, только имя пользователя и пароль, и похоже, что ADCS как-то связан с аутентификацией CA, связанных с токенами смарт-карт. Я могу ошибаться, и это не имеет к этому никакого отношения.
Так безопасно ли просто удалить ADCS? Я думаю, что он просто устанавливается по умолчанию, если вы повышаете что-то до контроллера домена (или, по крайней мере, добавляете роль), но я не могу вспомнить ни одного случая, когда я с ним взаимодействовал.
В центрах обработки данных используются Server 2012 и 2019 (первый в ближайшем будущем будет снят с производства и заменен на Server 2019).
решение1
Безопасно удалить Active Directory Certificate Services. Если вы не используете его для сертификации, вы можете удалить его. Мы удалили его в нашей компании недавно, когда мы сменили наши контроллеры домена и DHCP-сервер, и все работает просто отлично.