In jedem Unternehmen gibt es Zehntausende, wenn nicht Hunderttausende von digitalen Zertifikaten, die zum Schutz von Dingen wie Webservern durch Geräteauthentifizierung und Datenverschlüsselung verwendet werden. Bei dieser Größenordnung kann es wie ein nicht enden wollender Kampf erscheinen, jedes Zertifikat zu inventarisieren und im Auge zu behalten. Aufgrund begrenzter IT-Ressourcen entscheiden sich viele Unternehmen dafür, den Umfang der von ihnen verwalteten Zertifikate einzuschränken, anstatt sich der Aufgabe zu stellen, alles zu sichern. Manuell ausgestellte Zertifikate erhalten die ganze Aufmerksamkeit (z. B. SSL/TLS Zertifikate), während Active Directory (AD) Auto-Enrollment-Zertifikate leicht übersehen werden.
Übersicht über die automatische Einschreibung von Zertifikaten
Wenn Sie mit der automatischen Registrierung nicht vertraut sind, handelt es sich um eine Funktion der Active Directory Certificate Services (ADCS), die durch Gruppenrichtlinien (GPO) aktiviert wird und es Benutzern und Geräten ermöglicht, sich für Zertifikate zu registrieren. In den meisten Fällen ist keine Benutzerinteraktion erforderlich.
Die automatische Registrierung automatisiert die Ausstellung von Zertifikaten für den Microsoft-Zertifikatspeicher auf Windows-PCs und -Servern (einen tieferen Einblick in die automatische Registrierung finden Sie in diesem Blog unter Tipps für die automatische Ausstellung von Zertifikaten). So verwenden beispielsweise Internet Information Services (IIS) und Exchange Server den Microsoft-Zertifikatspeicher. Er ermöglicht auch die automatische Erneuerung und Aktualisierung von Zertifikaten. Einfach, nicht wahr?
Zertifikate im Heuhaufen
In einer perfekten Welt müssten sich IT- und Sicherheitsteams, die für die Public-Key-Infrastruktur (PKI) verantwortlich sind, nie um die automatische Registrierung von Zertifikaten kümmern. Die Realität sieht jedoch so aus, dass diese Zertifikate erhebliche Sicherheitslücken oder störende Ausfälle verursachen können, wenn sie während ihres Lebenszyklus nicht ordnungsgemäß überwacht werden.
Jedes Zertifikat läuft ab. Die Überwachung der automatischen Registrierung bedeutet, dass Sie alle erfolgreichen Zertifikatserneuerungen überprüfen müssen, um diejenigen ausfindig zu machen, die bald ausfallen könnten. Stellen Sie sich vor, Sie haben 10.000 Arbeitsstationen, jede mit einem Client-Zertifikat, und eine Handvoll von ihnen wurde nicht innerhalb der in Ihrem GPO definierten Erneuerungsschwelle erneuert. Diese Zertifikate zu finden und zu ersetzen, bevor sie ablaufen, gleicht der Suche nach einer Nadel im Heuhaufen, vor allem, wenn Sie keine Plattform zur Automatisierung des Zertifikatslebenszyklus verwenden.
Warum die automatische Eintragung von Zertifikaten wichtig ist
Angesichts des zunehmenden Drucks, der heutzutage auf IT-Teams lastet, ist es nicht verwunderlich, dass IT- und Sicherheitsexperten manchmal Probleme ignorieren, wenn sie kein unmittelbares Problem sehen. Diese Probleme verschlimmern sich jedoch oft im Laufe der Zeit, wenn sie übersehen werden, was zu ernsteren Problemen führen kann. Hier sind drei Gründe, warum die automatische Zertifikatsregistrierung Teil Ihrer PKI-Gesamtstrategie sein muss.
1. Krypto-Agilität
Da sich die kryptografischen Standards weiterentwickeln, müssen Sie Ihre ausgestellten Zertifikate ständig überprüfen und feststellen, ob sie nicht den Richtlinien entsprechen oder veraltete Schlüssel oder Algorithmen verwenden. Ihr Unternehmen verlässt sich darauf, dass Sie proaktiv und präventiv handeln. Daher müssen Sie in der Lage sein, über das Sicherheitsprofil Ihrer gesamten Zertifikatslandschaft Bericht zu erstatten, was natürlich auch automatisch registrierte Zertifikate einschließt. Ein AD-Administrator könnte beispielsweise automatisch registrierte 1048-Bit-Zertifikate ausstellen, die noch innerhalb ihres Gültigkeitszeitraums liegen, selbst wenn die aktuelle Vorlage auf 2048-Bit geändert wird. Die Möglichkeit, diese nicht konformen Zertifikate schnell zu identifizieren und in großen Mengen neu auszustellen, kann störende Situationen verhindern, die eine Behebung erfordern.
2.) Fehlkonfiguration
Gruppenrichtlinien bestimmen die Ausstellung und Verwendung von automatisch registrierten Zertifikaten und erfordern im Laufe der Zeit regelmäßige Änderungen und Aktualisierungen. Da diese Änderungen manuell durchgeführt werden, sind Fehler und Versäumnisse nicht ungewöhnlich. In einer hochvolumigen PKI-Umgebung kann eine kleine Fehlkonfiguration zu einem großen Problem führen. Zertifikatsvorlagen können leicht falsch konfiguriert werden, so dass Sie Tausende von Zertifikaten im gesamten Netzwerk suchen, widerrufen und neu ausstellen müssen.
Ohne die richtigen Tools zur Überwachung Ihrer Microsoft CA kann eine falsch konfigurierte Richtlinie dazu führen, dass zu viele Zertifikate ausgestellt werden oder, schlimmer noch, Zertifikate, die nicht mit Ihren Sicherheitsrichtlinien konform sind. In einigen Fällen haben wir gesehen, dass automatisch registrierten Benutzerzertifikaten eine Gültigkeitsdauer zugestanden wurde, die über das hinausgeht, was für die jeweilige Organisation akzeptabel ist. In anderen Fällen haben wir schwerwiegendere Probleme festgestellt, wie z. B. das Zulassen des Exports von privaten Schlüsseln (ein großes Sicherheitsproblem). In diesem Fall können Sie durch die Festlegung von Schwellenwerten für die Ausstellung von Zertifikaten auf Ihrer Microsoft CA und die kontinuierliche Überwachung Ihrer Zertifikatslandschaft abtrünnige oder nicht konforme Zertifikate erkennen, die in Ihrer Umgebung Schaden anrichten können.
3.) Verpasste Verlängerungen
Automatisch registrierte Zertifikate werden manchmal nicht erneuert, was schwer zu bemerken ist - bis der Endbenutzer davon betroffen ist. Je nach Bereitstellung können die Auswirkungen eines abgelaufenen Zertifikats von einer kleinen Unannehmlichkeit für einen einzelnen Benutzer bis hin zu einem weit verbreiteten oder geschäftskritischen Ausfall der Anwendung reichen. In jedem Fall verursacht es unnötige Produktivitätsunterbrechungen und in der Regel eine gewisse Ausfallzeit zur Behebung.
Nicht jede Organisation ist im Bereich der Lebensrettung tätig. Aber für diejenigen, die es sind, kann ein abgelaufenes Zertifikat den Unterschied zwischen Leben und Tod bedeuten. Nehmen Sie das Beispiel des Gesundheitswesens - und ein Operationsteam, das ständigen Zugang zu seinen Arbeitsplätzen im Operationssaal benötigt. Chirurgen können nicht riskieren, während eines chirurgischen Eingriffs den Zugang zu wichtigen medizinischen Informationen zu verlieren, nur weil ein Zertifikat auf dem Gerät nicht erneuert wurde. Hier können Überwachungstools Warnungen über bevorstehende Abläufe ausgeben und Ausfallzeiten verhindern, die das Leben des Patienten beeinträchtigen könnten.
Erfahren Sie hier mehr über die Automatisierung von Zertifikaten.
