Sicherheit im Active Directory: Schwachstelle "Certifried"

Microsoft versucht, im Kampf gegen Goldene Zertifikate die Schrauben anzuziehen – leider nicht völlig erfolgreich.

Artikel verschenken

05.08.2022, 15:45 Uhr

Lesezeit: 20 Min.

iX Magazin

Von

Hans-Joachim Knobloch

Sicherheit im Active Directory: Schwachstelle "Certifried"
- Gut gebraten
Der (vielleicht nicht letzte) Microsoft-Patch
Nachbesserung und Nebenwirkungen
Patch mit Risiken
Fazit
Exkurs: Mapping von Zertifikaten auf Active-Directory-Konten

Artikel in iX 9/2022 lesen

Die Gefahr durch Goldene Zertifikate ist auf die nützliche Funktion zurückzuführen, dass Clients (sowohl Benutzer als auch Computer) sich im Active Directory über das PKINIT-Verfahren mit Zertifikat und zugehörigem Private Key per Kerberos am Domänencontroller anmelden und damit auch ohne Nutzung des Passworts ein Kerberos-Ticket bekommen können.

Der Begriff "Goldenes Zertifikat" wurde von Christoph Falta in Anlehnung an die Goldenen Tickets bei der Kerberos-Anmeldung im Active Directory geprägt und bereits in einem früheren Artikel detailliert behandelt. Die passwortlose Anmeldung wird unter anderem beim Smartcard-Logon und bei Windows Hello for Business genutzt. PKINIT ist aber auch dann aktiv, wenn keine dieser Anmeldemethoden im betreffenden AD produktiv genutzt wird.

Die Voraussetzungen, die ein Zertifikat erfüllen muss, damit es für eine PKINIT-Kerberos-Anmeldung infrage kommt, sind im Kasten "Voraussetzungen für PKINIT-Anmeldezertifikate" genauer aufgeführt. Aus Sicherheitssicht ist der entscheidende Punkt, wie der Domänencontroller nach der grundsätzlichen Gültigkeitsprüfung das Zertifikat einem bestimmten AD-Computer- oder Benutzerkonto zuordnet, für das ein Kerberos-Ticket erstellt wird. Die möglichen Wege dieses auch als Certificate Mapping bezeichneten Vorgangs sind im Kasten "Mapping von Zertifikaten auf Active-Directory-Konten" beschrieben.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Im Herbst 2024 steht unweigerlich wieder eine frische Windows-Version mit einem Schwung neuer Funktionen an. Was drinsteckt, ist bereits gut zu erkennen.

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Im Herbst 2024 steht unweigerlich wieder eine frische Windows-Version mit einem Schwung neuer Funktionen an. Was drinsteckt, ist bereits gut zu erkennen.

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Sicherheit im Active Directory: Schwachstelle "Certifried"

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.