zoid1988 0 Posted March 8 Report Share Posted March 8 (edited) Hallo, wir betreiben seit Jahren eine immer größer werdende Domain mit eigener CA. Eigentlich funtkioniert alles wie gewünscht, allerdings haben wir diese Woche etwas bemerkt (ist uns bis jetzt nie aufgefallen und haben wir leider bis jetzt auch nicht bedacht). Wenn ein User einen manuellen Zert Request macht, kann er auf Properties klicken und dort dann zB. angeben das der Private Key exportierbar ist. Das gleiche geht auch für Computer Zertifikate wenn der User lokaler Admin ist. Kann man das irgendwie blockieren ? Edited March 8 by zoid1988 Bilder eingefügt Quote Link to post
NorbertFe 807 Posted March 8 Report Share Posted March 8 Was ist denn in der Vorlage dazu definiert? Quote Link to post
zoid1988 0 Posted March 8 Author Report Share Posted March 8 Hallo, "Allow private key to be exported" ist nicht angehakt. Prinzipiell werden die beiden Zertifikate um die es da geht (jeweils ein User und ein Computer Zert.) autmatisch enrolled. Dort passen die Einstellungen auch, der Private Key kann nicht exportiert werden. Nur wenn der User auf die Idee kommen würde manuell ein Zertifikat anzufordern dann kann er die Einstellungen über "Properties" ändern und den Key leider auch wirklich exportieren. LG. Quote Link to post
NorbertFe 807 Posted March 8 Report Share Posted March 8 (edited) Und warum kann der User ein zertifikat manuell bekommen? Edited March 8 by NorbertFe Quote Link to post
zoid1988 0 Posted March 8 Author Report Share Posted March 8 naja, weil er user zertifikate einfach manuell beantragen kann/könnte ? Genau um das gehts im großen und ganzen ja auch ein bisschen. ich hätte bis jetzt (vermutlich aus unwissenheit) noch keine option gefunden wo man dem user das verbieten kann. In erster Linie würde es uns nicht stören wenn er sich ein zweites zertifikat holt (hat zwar keinen sinn, aber trozdem), aber er sollte nicht um das template herum arbeiten dürfen und einfach so den key exportieren können. Quote Link to post
NorbertFe 807 Posted March 8 Report Share Posted March 8 Naja außer Windows interessiert dieses flag sowieso kein os. ;) und selbst da gibts Mittel und Wege. Quote Link to post
zoid1988 0 Posted March 8 Author Report Share Posted March 8 , ja ich weis schon. aber wenn sich die leute zertifikate ausstellen können, dann ist es nicht so toll wenn der key exportierbar ist. vorallem nicht wenns um computer zertifikate geht (dazu muss man zumindest lokaler admin sein) über die man eine VPN verbindung aufbauen kännte .... Quote Link to post
testperson 673 Posted March 8 Report Share Posted March 8 Hi, finde den Fehler: Gerade eben schrieb zoid1988: (dazu muss man zumindest lokaler admin sein) Gruß Jan 1 Quote Link to post
zoid1988 0 Posted March 8 Author Report Share Posted March 8 ;-), jaja das mit den computer zertifikaten kann ich ja noch verstehen. zum glück ist der anteil von lokalen admins außerst gering. warum aber jeder user (mit user rechten) sich auch (user) zertifikate ausstellen kann und die eigentschaften verändern kann, kann ich mir nicht erklären ? wie sieht das bei euch aus ? Quote Link to post
cj_berlin 76 Posted March 8 Report Share Posted March 8 Moin, das Flag "Allow key to be exported" ist ein Merkmal des privaten Schlüssels, nicht des Zertifikats, das diesen Schlüssel beinhaltet. Somit ist das Flag bereits gesetzt (oder halt nicht), wenn der CSR erstellt wird. Und es gibt meines Wissens unter Windows keine Möglichkeit, das zu unterbinden. Quote Link to post
zoid1988 0 Posted March 8 Author Report Share Posted March 8 danke für die info. das heisst das dieser (meiner meinung nach) designfehler wirklich nicht unterbunden werden kann ? gibt es denn eine andere möglichkeit das zertifikat automatisch auzurollen, aber irgendwie zu verhindern das man es manuell auch anfordern darf ? Quote Link to post
NilsK 1,225 Posted March 8 Report Share Posted March 8 Moin, das "Verhindern" des Exports ist Schlangenöl. Windows bietet seit Jahrzehnten ein Häkchen mit dieser Bezeichnung und tut damit so, als könne man das steuern. Kann man aber nicht. Man steuert damit nur das Verhalten der mitgelieferten Verwaltungstools, mehr nicht. Selbst wenn der Schlüssel als "nicht exportierbar" markiert ist, kann ein User ihn exportieren, sobald er Zugriff darauf hat, er braucht nur ein Werkzeug dafür. (Ist ja auch klar: Um den Schlüssel nutzen zu können, muss ich ihn lesen können. Und zwischen "Lesen" und "Kopieren" gibt es auf einem Computer keinen Unterschied.) Die Frage ist ja eher, was du denn erreichen willst und warum du das beschriebene Verhalten für problematisch hältst. Darüber sollten wir sprechen, bevor wir weiter nach "Lösungen" suchen. Gruß, Nils 1 Quote Link to post
zoid1988 0 Posted March 8 Author Report Share Posted March 8 vor 27 Minuten schrieb NilsK: Die Frage ist ja eher, was du denn erreichen willst und warum du das beschriebene Verhalten für problematisch hältst. Darüber sollten wir sprechen, bevor wir weiter nach "Lösungen" suchen. das ist der richtige ansatz, da hast du recht :-). das beschriebene verhalten ist in dem fall der user zertifikate nicht wirklich schlimm. im fall von computer zertifikaten könnte aber ein lokaler admin auf die idee kommen das er ein gefaktes zertifikat für sich ausstellt und damit zb. rechnern die nicht der firma angehören eine vpn verbindung ermöglicht. Quote Link to post
Solution NilsK 1,225 Posted March 8 Solution Report Share Posted March 8 Moin, ja, das ist korrekt. Und es lässt sich nicht verhindern. Zertifikate sind nicht geeignet, um Hardware eindeutig zu identifizieren - solange diese Zertifikate nicht mit der Hardware "fälschungssicher" und "untrennbar" verbunden sind. Letzteres ist das Prinzip eines TPM, das lässt sich aber durch nachträglich ausgestellte Zertifikate nicht nachbilden. Anders, als viele oft annehmen, sind Zertifikate keine Garanten für Sicherheit. In den meisten praktischen Situationen sind sie sogar eher das Gegenteil. Gruß, Nils Quote Link to post
zoid1988 0 Posted March 9 Author Report Share Posted March 9 Danke für eure Hilfe :-). Um ehrlich zu sein hätte ich mir nicht gedacht das man das nicht irgendwie unterbinden kann. Quote Link to post
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.