Fünf Dinge, die Sie über Microsoft PKI wissen sollten

Microsoft PKI, auch bekannt als Active Directory Certificate Services (ADCS), ist seit Jahrzehnten ein zuverlässiges Werkzeug. Aber es ist Zeit, sich davon zu verabschieden.

Mehrere Jahre lang, nachdem es Anfang der 2000er Jahre auf den Markt kam, war ADCS die "sichere Wahl" (oder in einigen Fällen die einzige Wahl) für Organisationen, die PKI implementieren wollten. Heute ist es jedoch zu einer der größten Schwachstellen in der Infrastruktur der Organisationen geworden, die es einsetzen.

Warum genau ist es so riskant? Im Folgenden werden die fünf größten Sicherheitsrisiken und Einschränkungen von Microsoft ADCS sowie verschiedene Optionen für die Zukunft vorgestellt.

Leider birgt Microsoft ADCS in der heutigen Umgebung potenzielle Sicherheitsrisiken, die dazu führen können, dass sich Ihre PKI eher wie eine Belastung als wie eine Kernkomponente Ihrer Sicherheitsinfrastruktur anfühlt. Vor diesem Hintergrund finden Sie hier die fünf größten Risiken und Einschränkungen, die jedes Team, das ADCS einsetzt, kennen sollte:

ADCS ist nicht von Natur aus unsicher, aber es ist täuschend einfach falsch zu konfigurieren. In den letzten Jahren haben Sicherheitsforscher aufgrund dieser weit verbreiteten Fehlkonfigurationen mehrere Sicherheitslücken und Schwachstellen gefunden, so dass ADCS von der NSA und der CISA sogar als eine der 10 wichtigsten Fehlkonfigurationen im Bereich der Cybersicherheit im Jahr 2023 durch die NSA und CISA.

Zu den häufigsten Fehlkonfigurationen gehören:

• Überschüssige Berechtigungen
• Falsch konfigurierte Zertifikatsvorlagen
• Unsichere Einstellungen der Zugriffskontrolle
• Schwachstellen in Windows OS, NDES, etc.

Um es klar zu sagen: Auch außerhalb von ADCS ist eine Fehlkonfiguration bei PKI möglich, wenn Sie neue Zertifikate ausstellen. Das heißt, die Art und Weise, wie ADCS oft eingerichtet und verwendet wird, öffnet typischerweise die Tür für mehr Möglichkeiten zur Fehlkonfiguration. Das liegt vor allem daran, dass es sehr schwer ist, Dokumentation zu ADCS zu finden, so dass wohlmeinende Administratoren, die versuchen, Anleitungen zur Vermeidung einiger dieser Herausforderungen zu finden, oft nicht in der Lage sind, dies zu tun.

So gibt es innerhalb von ADCS verschiedene Möglichkeiten, die es Personen versehentlich erlauben, Zertifikate mit beliebigem Inhalt anzufordern, was neben anderen Risiken zu einem Angriff zur Ausweitung der Berechtigungen führen kann. Dies bedeutet zum Beispiel, dass Einzelpersonen ein Zertifikat erhalten können, das sie als jemand anderes ausweist. Ähnlich verhält es sich mit Microsoft NDES: Es gibt Produkte von Drittanbietern, die Sie auffordern, die Challenge-Passwörter auf Ihrem NDES-Endpunkt zu deaktivieren, was effektiv bedeutet, dass jeder, der weiß, wo sich dieser Endpunkt befindet, Zertifikate mit beliebigen Informationen anfordern kann, einschließlich Identifikatoren für andere Personen im Unternehmen, z. B. Ihren CFO, Ihren CEO oder einen Ihrer leitenden Administratoren. Dies sind nur zwei Beispiele von vielen, die ungeprüfte oder unzureichend geprüfte Inhalte in Zertifikaten zulassen.

Laut der 2023 State of Cloud Umfrage von HashiCorphaben 76 % der Unternehmen eine Multi-Cloud-Strategie oder planen deren Umsetzung. Vor diesem Hintergrund, Keyfactor und das Ponemon Institute festgestellt dass die flexible Bereitstellung die wichtigste Eigenschaft für die heutigen Unternehmen bei der Bewertung von PKI-Lösungen ist.

Das Problem ist jedoch, dass mehr als die Hälfte der Unternehmen angeben, dass ihre bestehende PKI nicht in der Lage ist, die neuen Anwendungen zu unterstützen, die sie bei der Migration in die Cloud benötigen. Bei vielen Unternehmen handelt es sich bei der bestehenden PKI um ADCS, das in diesen Cloud-Umgebungen nicht gut funktioniert. 

Da ADCS auf Active Directory läuft, führt diese Verbindung zu großen Herausforderungen, wenn man versucht, in einer Cloud-Umgebung zu arbeiten. Diese Herausforderungen umfassen:

• Schwierigkeiten bei der Unterstützung von Containerisierung und Automatisierung
• Keine Optionen für aktiv-aktive Hochverfügbarkeit (nur aktiv-passiv mit Microsoft Cluster-Servern)
• Unfähigkeit, sich für DCOM/RDP-Ports und andere Netzwerkanforderungen zu öffnen, da die Kommunikation in der Cloud eine viel größere Vielfalt an Ports erfordert als vor Ort 

In modernen Umgebungen unterstützt PKI im Durchschnitt 10-20 verschiedene Anwendungen im gesamten Unternehmen. Dies umfasst alles von IIS und Linux-Maschinen bis hin zu Load Balancern und Cloud-Workloads. Angesichts dieser modernen Anwendungsfälle beginnt ADCS, sein Alter zu zeigen und ernsthafte Herausforderungen zu stellen. 

Zu den modernen Anwendungsfällen, bei denen ADCS die größten Probleme bereitet, gehört die Arbeit mit:

• Multi-Cloud- und Multi-OS-Umgebungen
• Nicht-Windows-Geräte
• Moderne Protokolle wie ACME, EST und CMPv2
• REST-API

Dies ist besorgniserregend, da Dinge wie EST und ACME in den heutigen webbasierten Umgebungen extrem weit verbreitet sind. REST-APIs sind ebenfalls weit verbreitet, und obwohl Microsoft ab Server 2012 einige webbasierte APIs eingeführt hat, decken sie nicht alles ab, was Unternehmen benötigen, und sind in plattformübergreifenden Szenarien eher umständlich. Im Allgemeinen ist die Unfähigkeit, etwas hinter einem webbasierten Load Balancer zu platzieren, um Zertifikatsanfragen zu behandeln, was einen moderneren Ansatz zum Aufrufen von Cloud-basierten Diensten und Funktionen bietet, eines der größeren Hindernisse für die Verwendung von ADCS in einer Multi-Cloud- oder Hybrid-Cloud-Umgebung. Dies wiederum ist der Grund für die Ausbreitung der PKI, denn wenn Ihre aktuelle PKI wichtige Anwendungsfälle nicht unterstützen kann, suchen die Teams nach etwas anderem, das diese Aufgabe übernehmen kann.

ADCS kann im großen Maßstab sehr komplex und kostspielig werden, vor allem weil Microsoft CA nicht mandantenfähig ist. Ab einer bestimmten Größenordnung benötigen Sie mehrere Server und Datenbanken, in manchen Fällen sogar 70 oder 80 Server, die die PKI unterstützen. 

Das liegt daran, dass ADCS Sie auf eine Zertifizierungsstelle pro Maschine beschränkt, was bedeutet, dass Sie, wenn Sie mehr Zertifizierungsstellen installieren müssen - entweder um die Skalierung zu handhaben oder für verschiedene Anwendungsfälle, Netzwerksegmente, Vertrauensgrenzen oder etwas anderes - mindestens eine weitere virtuelle Maschine benötigen, was eine weitere Windows Server-Lizenz und ein weiteres System bedeutet, das Sie sichern, patchen und aktualisieren müssen. Das ist eine Einschränkung, die es bei den meisten anderen Optionen für Zertifikatsdienste nicht gibt, die viele Möglichkeiten bieten, zusätzliche Zertifizierungsstellen einzurichten, die aus Sicht des IT-Footprints nicht ganz so kostspielig sind.

All dies führt zu einer weiteren Herausforderung, da die Teams anfangen, viele Workarounds zu pflegen, um ADCS zum Laufen zu bringen, aber die Kosten für die Unterstützung dieser Workarounds und deren Pflege werden mit der Zeit immer höher, da der Rest des Ökosystems nicht mehr mit ADCS kompatibel ist. Außerdem wird es zu einer Art Eigenentwicklung für Unternehmen, die nur einer kleinen Handvoll IT-Mitarbeiter bekannt ist. Und wenn die Mitarbeiter das Unternehmen verlassen, sinkt das Wissen über diese Umgehungslösungen bis zu einem Punkt, an dem es zu einem potenziellen Risiko wird, sie am Laufen zu halten.

Die Quintessenz ist, dass sich ADCS im Laufe der Jahre einfach nicht viel verändert hat. Tatsächlich hat es seit Server 2012 keine größeren Updates mehr erfahren. Das bedeutet, dass ADCS-Benutzer, wenn neue Standards und Anwendungsfälle auftauchen, ohne Unterstützung dastehen und gezwungen sind, Workarounds zu finden oder zu anderen Optionen zu wechseln.

ADCS war für Microsoft nie ein strategisches Element von software , sondern eher ein Mittel zum Zweck, um bestimmte Anwendungsfälle zu lösen, wie etwa die Bereitstellung vor Ort, die Ausstellung von Zertifikaten für Dinge wie SCCM oder SCOM und die Unterstützung von Wi-Fi- und VPN-Authentifizierung. Und diese Anwendungsfälle werden immer noch sehr gut gelöst. Aber da es für Microsoft nicht strategisch ist, wurde es nie auf die gleiche Weise aktualisiert wie Office, Windows OS und Azure.

Microsoft hat derzeit eine Cloud-basierte Zertifikatsausstellungsfunktion als Teil von Intune im Angebot, aber im Moment dient diese ausschließlich der Ausstellung von Zertifikaten für Intune, ist also kein Ersatz für ADCS. Und da Microsoft weiterhin in Azure investiert, ist es weniger wahrscheinlich, dass wir Investitionen in alle Dinge vor Ort, wie ADCS, sehen werden. 

Die einzige Ausnahme könnte für Post-Quantum-Algorithmen gelten, da die gesamte Branche Post-Quantum unterstützen muss, sobald die Standards des NIST feststehen. Derzeit unterstützt ADCS jedoch einige der neueren Protokolle und Zertifikatsformate wie Matter, SSH und V2X nicht.

ADCS war eine großartige Lösung für traditionelle On-Premise-Anwendungsfälle, aber in unserer modernen Multi-Cloud-Welt stößt es an seine Grenzen. Wie sieht also der weitere Weg für Unternehmen aus, die ADCS einsetzen? Es gibt mehrere Optionen:

• Status quo: Eine Möglichkeit, die Lücken von ADCS zu schließen, besteht darin, es mit anderen Lösungen für bestimmte Anwendungsfälle zu kombinieren (z. B. mit einer in Entwickler-Tools integrierten PKI oder Cloud-Diensten wie AWS Private CA und Google Cloud CA Service). Aber so viele verschiedene Emittenten zu haben, kann auch zu Komplexität führen, da Sie mit fragmentierten Tools enden, die keine einheitliche Sichtbarkeit oder Kontrolle bieten.

• Erweitern: Sie können Ihr ADCS neben diesen anderen PKI-Lösungen mit dem Zertifikatsmanagement ergänzen, das eine standardisierte Schnittstelle und eine zentrale Stelle bietet, um Transparenz und Kontrolle über alle Ihre verschiedenen Aussteller zu erhalten.

• Modernize: Taking it one step further, you can simplify and consolidate onto a modern PKI alternative. A modern solution (like Keyfactor’s EJBCA) can support the diversity of current environments, including use cases, platforms, and cloud services found in enterprises today. These important capabilities allow for a smooth migration to a multi-cloud environment and support more modern protocols. If you’re ready to learn more about modernizing, contact Keyfactor here.
• Migrieren: Schließlich können Sie die Infrastruktur und die Wartung der PKI auslagern, indem Sie zu einem SaaS-basierten oder verwalteten PKI-Dienst migrieren. Dieser Ansatz ist nicht für jeden geeignet, kann aber für Teams, die nicht mehr über die Ressourcen oder die Bandbreite verfügen, um PKI intern zu betreiben, eine gute Lösung sein.

Unabhängig davon, welchen Ansatz die Teams wählen, beobachten wir eine enorme Entwicklung hin zu PKI in der Cloud. Um diesen Wechsel erfolgreich zu vollziehen, müssen Teams einen moderneren Ansatz für PKI wählen, und glücklicherweise gibt es viele Optionen.

Sind Sie bereit, die Verantwortung für Ihre PKI zu übernehmen? Unser Team ist bereit, Ihre PKI in das moderne Zeitalter zu begleiten. Lassen Sie uns Kontakt aufnehmen.