Almacenamiento de certificados inalámbricos en un TPM

2

Dentro de mi organización se nos pide que proporcionemos una experiencia inalámbrica segura pero perfecta, por ejemplo. el usuario inicia sesión en el dispositivo Windows y se conecta automáticamente a la red corporativa a través de la red inalámbrica. La implementación de WPA2-Enterprise utilizando certificados (EAP-TLS) para la autenticación parece ser considerada como "la mejor práctica de la industria" desde una perspectiva de seguridad, pero parece haber poca mención de cómo se deben proteger los certificados. (Nota: tenemos una CA interna, por lo que se cumple este requisito previo)

El almacén de certificados de Windows permite que los certificados se almacenen en el software y se marquen como no exportables, pero si los administradores malintencionados o el malware obtienen privilegios del SISTEMA, creo que se pueden usar herramientas como Mimikatz para extraer claves privadas para su posterior abuso.

Las tarjetas inteligentes son obviamente la opción más segura para almacenar las claves privadas, pero no las usamos y no es algo que podamos implementar solo para este caso de uso

En teoría, la otra opción segura sería utilizar TPM para almacenar las claves privadas. Todo el hardware moderno los tiene incorporados y desde Windows 8 en adelante parece que puede usar el Platform Crypto Provider para almacenar claves en el TPM. Cuando busco implementaciones de autenticación inalámbricas utilizando TPM o el Platform Crypto Provider, no obtengo nada útil que me concierne.

Por lo tanto, mis preguntas son:

  • ¿Se puede usar Windows Platform Crypto Provider (usando el TPM) para redes inalámbricas? autenticación?
  • ¿Se puede implementar sin PIN? (sí, los PIN son más seguros, pero los negocios están pidiendo una experiencia sin problemas)
  • ¿Por qué esto no parece ser un lugar común? ¿La gente es solo un software? almacenamiento lo suficientemente seguro o están utilizando soluciones de otros proveedores donde es hecho fuera de la caja mágicamente?
  • Si las personas confían en el almacén de certificados de Windows, ¿tienen? procesos para revocar certificados por ej. ¿Cada vez que un dispositivo tiene una detección de malware? (Parece torpe y además es el malware que no detectamos que realmente necesitamos preocuparse por)

¡Gracias de antemano por las respuestas!

Rich

    
pregunta RichUK 04.01.2018 - 16:30
fuente

0 respuestas

Lea otras preguntas en las etiquetas