Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)

Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE).

Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.

Benötigte Berechtigungen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Das Dienstkonto, unter welchem die CAWE betrieben wird (Die Identität des IIS Anwendungspools) benötigt folgende Rechte für eine einwandfreie Funktion:

Auf der Zertifizierungsstelle…

  • Access this Computer over the Network (SeNetworkLogonRight) auf der Zertifizierungsstelle.

Auf dem CAWE-Server…

  • Act as part of the operating system (SeTcbPrivilege).
  • Impersonate a Client after Authentication (SeImpersonatePrivilege).
  • Log on as a Batch Job (SeBatchLogonRight), wenn es sich um ein Domänenkonto handelt oder…
  • Log on as a Service (SeServiceLogonRight), wenn es sich um einen Group Managed Service Account (gMSA) handelt.

Weiterführende Links:

Externe Quellen

de_DEDeutsch