Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem statischen Passwort konfigurieren

Es gibt Situationen, in welchen man NDES nicht mit wechselnden Passwörtern betreiben kann. Meist ist dies der Fall, wenn es entweder keine Managementlösung für die zu verwaltenden Geräte gibt, oder wenn diese nicht mit wechselnden Passwörtern umgehen kann.

In diesem Fall kann man NDES konfigurieren, ein statisches Passwort zu generieren, welches sich danach nicht mehr ändert.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Diese Konfiguration ist latent unsicher, da jeder, der Kenntnis über das Passwort hat, beliebig Zertifikate für die im NDES hinterlegte Zertifikatvorlage beantragen kann. Sollte es im Netzwerk mehrere Anwendungen geben, welche die Verwendung eines statischen Passworts erfordern, ist es ratsam, für jedes einen separaten NDES-Server bereitzustellen sowie – sofern umsetzbar – das Passwort in regelmäßigen Abständen zu erneuern.

Lösung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die gewünschte Einstellung befindet sich in folgendem Registry-Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\UseSinglePassword

Darunter befindet sich ein 32-Bit DWORD Wert namens UseSinglePassword, welcher in der Standardinstallation auf 0 gesetzt ist. Durch setzen des Wertes auf 1 wird die Verwendung eines statischen Passworts aktiviert.

Da das statische Passwort in der Registry abgespeichert wird, muss dem NDES Dienstkonto Schreibberechtigung auf den MSCEP Registrierungsschlüssel erteilt werden.

Dies wird über die "Full Control" Berechtigung erreicht.

Sofern der NDES-Dienst mit der Identität des IIS Anwendungspools läuft, kann diese mit folgender Syntax eingetragen werden:

IIS APPPOOL\SCEP

Bitte auch den Suchbereich (Locations…) auf die lokale Maschine einschränken.

Handelt es sich bei dem NDES-Dienstkonto um ein Domänenkonto, muss noch die Option "Load User Profile" in der erweiterten Konfiguration des IIS Anwendungspools aktiviert werden.

Ebenso muss ein Benutzerprofil existieren, d.h. das NDES-Dienstkonto muss sich einmalig interaktiv am NDES Server anmelden, damit dieses erzeugt werden kann.

Diese Einstellung kann auch mit folgendem Windows PowerShell Befehl gesetzt werden:

Import-Module -Name WebAdministration
Set-ItemProperty IIS:\AppPools\SCEP -name processModel -value @{LoadUserProfile="true"}

Anschließend kann der NDES Dienst mit dem iisreset Befehl neu gestartet werden, sodass die neue Konfiguration eingelesen werden kann.

Der NDES-Server wird bei jedem Dienststart das Ereignis Nr. 50 protokollieren, um auf die Konfiguration mit dem statischen Kennwort hinzuweisen.

Die NDES Administrations-Webseite (mscep_admin) sollte nun anzeigen, dass sich das Passwort nicht mehr ändert.

Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem statischen Passwort konfigurieren

Lösung

Weiterführende Links:

11 Gedanken zu „Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem statischen Passwort konfigurieren“