Quais são os riscos de adicionar um certificado de CA raiz de terceiros ao armazenamento NTAuth?

2

Quais são os riscos associados à importação de certificados de CA raiz de terceiros para o NTAuth Store corporativo no domínio do Windows, exceto que a CA é confiável para emitir certificados?

O objetivo deste teste é corrigir um problema com clientes sem fio que recebem um Alerta de Segurança do Windows ao se conectarem a uma rede sem fio e serem autenticados por meio do novo servidor NPS em execução no WS2012 R2.

O certificado da CA Raiz já está presente no armazenamento de computadores das máquinas clientes em Autoridades de Certificação Raiz Confiáveis , mas a janela ainda aparece na primeira tentativa de conexão.

O objetivo é livrar-se da janela pop-up:

EDIT: vou elaborar um pouco.

Os objetivos:

  • permite que dispositivos associados ao domínio se autentiquem via NPS;
  • use certificado de terceiros;
  • os usuários não devem receber a janela pop-up Aviso de segurança;

O NPS no WS2012R2 é usado. PEAP / MsCHAPv2 usado para autenticação.

    
por Volodymyr M. 14.08.2015 / 11:48

2 respostas

4

Existem vários pontos na questão.

Primeiro, o armazenamento NTAuth é usado para armazenar certificados de CA * emitidos * qualificados para emitir certificados de logon (quando o certificado de cliente é mapeado para uma conta de usuário no Active Directory durante a autenticação). Se o certificado de CA for apresentado neste armazenamento, ele poderá emitir certificados que podem representar qualquer conta de usuário. O risco é óbvio e eu não confiaria em nenhuma CA que estivesse fora do controle da empresa.

A caixa de diálogo apresentada informa que o emissor do certificado RADIUS apresentado não está configurado no perfil * wireless / VPN * .

O que você deve fazer é configurar a conexão sem fio da seguinte maneira:

nocampo2,vocêpodeespecificarumalistacodificadadeservidoresRADIUSconfiáveis.Nocampo3,vocêpodeespecificarautoridadesraizconfiáveiscompermissãoparaemitircertificadosparaservidoresRADIUSparaesteperfil.

Emoutraspalavras,sevocêseconectaraoRADIUSespecificadonocampo2eàscadeiasdecertificadosRADIUSatéqualquerCAraizselecionadanocampo3,vocêseconectarásilenciosamente(semcaixadediálogodeaviso).Sequalquerumdosrequisitosnãoatender,vocêreceberáumacaixadediálogodeaviso.

Noambientededomínio,vocêpodepré-configurarperfissemfiousandopolíticasdegrupo: link

    
por 14.08.2015 / 21:07
-1

O repositório NTAuth é um repositório central para certificados, armazenados no Active Directory, que são confiáveis para todos os membros da floresta / domínio.

Existe uma certa quantidade de risco associado a cada certificado no qual você decide confiar. Geralmente é uma quantidade muito pequena, mas é diferente de zero.

O motivo pelo qual é arriscado é semelhante à vida real, sempre que você confia em alguém, há um risco de que sua confiança possa ser traída ou provar que foi extraviada. Isso pode acontecer maliciosamente ou por acidente.

Uma Autoridade de Certificação pode ter sido hackeada ou ter sua chave privada vazada e, nesse ponto, os hackers têm a capacidade de representar a Autoridade de Certificação - na qual você confia implicitamente.

No entanto, como eu disse, o risco é geralmente pequeno, e é um risco que todos nós tomamos todos os dias.

    
por 14.08.2015 / 14:34