Die Gefahr durch Goldene Zertifikate ist auf die nützliche Funktion zurückzuführen, dass Clients (sowohl Benutzer als auch Computer) sich im Active Directory über das PKINIT-Verfahren mit Zertifikat und zugehörigem Private Key per Kerberos am Domänencontroller anmelden und damit auch ohne Nutzung des Passworts ein Kerberos-Ticket bekommen können.
Die Voraussetzungen, die ein Zertifikat erfüllen muss, damit es für eine PKINIT-Kerberos-Anmeldung infrage kommt, sind im Kasten "Voraussetzungen für PKINIT-Anmeldezertifikate" genauer aufgeführt. Aus Sicherheitssicht ist der entscheidende Punkt, wie der Domänencontroller nach der grundsätzlichen Gültigkeitsprüfung das Zertifikat einem bestimmten AD-Computer- oder Benutzerkonto zuordnet, für das ein Kerberos-Ticket erstellt wird. Die möglichen Wege dieses auch als Certificate Mapping bezeichneten Vorgangs sind im Kasten "Mapping von Zertifikaten auf Active-Directory-Konten" beschrieben.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Nur bis zum 31. Mai: heise+ 1 Jahr für nur 1,90 pro Woche lesen. Unbegrenzter Zugriff auf alle heise+ Artikel inklusive allen Digital-Magazinen.Länger lesen, mehr sparen: heise+ 1 Jahr lang für nur 1,90 € pro Woche lesen und brandaktuelles IT- und Tech-Wissen sichern. Zugriff auf alle heise+ Artikel inklusive der Digital-Magazine. Nur bis zum 31. Mai!