¿Los EKU adicionales configurados en el certificado del cliente son un riesgo para la seguridad?

2

He implementado una PKI de CS de Windows AD de 2 niveles. Para 802.1x estoy usando la inscripción automática para distribuir certificados de computadora automáticamente a cualquier computadora unida al dominio.

Actualmente, utilizo una única plantilla de computadora para todas las computadoras, tanto servidores como estaciones de trabajo. Esta plantilla incluye la autenticación de cliente, la autenticación de servidor y los EKU de autenticación de escritorio remoto.

Para las estaciones de trabajo, la autenticación del cliente es todo lo que se requiere, pero ¿los EKU adicionales establecidos en el certificado son un problema de seguridad?

(De forma predeterminada, no hay grupos que separen los servidores de las estaciones de trabajo, por lo que no puede asignar diferentes plantillas de certificado de inscripción automática a los servidores y estaciones de trabajo. Es posible crear un grupo de servidores y agregar servidores a este grupo, pero esto agrega una acción manual adicional. )

    
pregunta Michel 04.06.2018 - 10:13
fuente

1 respuesta

1

Depende de tu política de seguridad. Si su política requiere un certificado separado para cada aplicación / servicio, entonces es malo. Si su política de seguridad permite el uso del certificado único para múltiples aplicaciones / servicios (donde corresponda), está bien.

No hay un enfoque universal, cada uno tiene sus propias ventajas y desventajas. Por ejemplo, cuando requiere un certificado separado para cada aplicación, aumenta los esfuerzos administrativos (ya que tiene que mantener varios certificados), pero reduce los acoplamientos. Un error en el certificado único solo afectará a un solo servicio, otros servicios no se verán afectados.

Cuando reutiliza un solo certificado en varias aplicaciones, reduce los esfuerzos administrativos (ya que solo debe mantenerse un único certificado por dispositivo). Por otro lado, una falla en el certificado afectará a todas las aplicaciones a las que está asociado el certificado.

    
respondido por el Crypt32 04.06.2018 - 10:37
fuente

Lea otras preguntas en las etiquetas