¿Restringir el Servidor de políticas de red (NPS) de Microsoft para que solo confíe en los certificados de cliente de una CA dada?

1

Estoy trabajando en una instalación de un servidor de Servidor de políticas de red (NPS) / RADIUS de Microsoft para controlar el acceso a Wi-Fi corporativo usando 802.1x / WPA2-Enterprise, usando certificados de cliente para la autenticación.

Ya tenemos una CA raíz de la empresa interna integrada en AD. Tener certificados de cliente auto-inscritos desde aquí es perfecto. Los clientes también pueden configurarse para que solo acepten certificados de servidor de una CA dada para la confianza del servidor, como se muestra aquí (tomado de enlace ):

(Estotambiénsedetallaen enlace .)

Mi preocupación aquí es lo contrario, sin embargo. ¿Cómo se puede restringir el NPS para que solo acepte certificados de clientes de nuestra propia CA? No proporciona un cuadro de diálogo similar para "Validar certificado de cliente", en el que, con suerte, podría elegir solo nuestra propia CA interna. Bajo la política de red de NPS, Restricciones, Métodos de autenticación, Tipos de EAP, podemos especificar el certificado del servidor que se presenta.

  

Tarjeta inteligente u otras propiedades del certificado
  Este servidor se identifica a las personas que llaman antes de que se complete la conexión. Seleccione el certificado que desea que use como prueba de identidad.

Sin embargo, no hay una configuración visible como la que hay en el lado del cliente (arriba), que podría usarse para restringir en qué CA de certificados de cliente son de confianza.

Con OpenVPN, FreeRADIUS, etc., se pueden especificar anclajes de confianza específicos en el lado del servidor. Llámeme paranoico, pero ¿no debería configurarse lo mismo dentro de NPS? Tal como está, además de nuestra propia CA interna, también confiamos en los certificados que puedan emitir las CA raíz de confianza predeterminadas (AddTrust, DigiCert, Equifax, Microsoft, Thawte, VeriSign, etc.). Esto puede ser aceptable para confiar en servidores web externos, desde servidores internos donde está prohibida / impedida la navegación web. Sin embargo, para fines de autenticación de cliente en una puerta de enlace inalámbrica, una infracción por parte de una CA de otra manera innecesaria podría permitir el acceso no autorizado a una red interna.

La eliminación de otras CA de los servidores NPS podría funcionar, pero me pregunto si esto es compatible.

También estaba investigando si los certificados raíz podían eliminarse solo para la cuenta de servicio NPS de Windows, mientras dejaba el almacén de certificados de la computadora intacto, pero creo que esto se debe solo por herencia, lo que permite agregar fideicomisos adicionales, pero ¿no quitar? (Incluso si publicaría una CRL para todos los demás en este nivel, necesitaría un proceso implementado para cualquier otra CA raíz que pueda agregarse más adelante en el nivel de la computadora).

Referencias

Conclusión

  1. ¿Existe alguna opción para restringir en qué CA de certificados de usuario son confiables, similar a otros proveedores de RADIUS, o como disponible para el cliente > confianza del servidor (pero para el servidor - > confianza del cliente)?
  2. Especialmente si no hay buenas opciones para lo anterior, ¿hay otros factores atenuantes que puedan o deban considerarse? (No veo ninguna opción disponible para la autenticación multifactor aquí, etc., aunque nos gustaría que todo lo que aquí se presente sea transparente para los usuarios finales). Si no hay nada más, posiblemente algún tipo de proxy de autenticación que pueda filtrar el EAP. solicitudes antes de incluso ser presentado a NPS?
pregunta ziesemer 09.02.2017 - 18:14
fuente

2 respuestas

0
  
  1. ¿Existen opciones para restringir las CA de certificados de usuario en las que se confía, similares a otros proveedores de RADIUS o disponibles para   cliente- > confianza del servidor (pero para el servidor - > confianza del cliente)?
  2.   

No, NPS simplemente no admite esto (!) , según el número de incidente 117021015302705 que se abrió el 2017-02-10 con el Soporte de Microsoft.

El único consejo que pudieron ofrecer fue eliminar las CA raíz predeterminadas de los servidores, como había eludido en la pregunta, pero no ampliaría si esto se consideraría compatible, ni qué problemas podrían Surgir de esto dentro de Windows mismo.

Si alguien en Microsoft se encuentra con esto y puede escalar o responder aún más, hágalo a través de esta publicación, el incidente original o mi información de contacto sobre el incidente.

Esta es una respuesta, pero decepcionante. Todavía espero algunas respuestas competitivas / opciones adicionales, especialmente cualquier idea acerca de posibles factores mitigantes que podrían ser considerados. (Todavía creo que algún tipo de proxy de autenticación que podría agregarse en línea con NPS podría funcionar bien arquitectónicamente como una solución alternativa, si tal cosa existiera).

    
respondido por el ziesemer 02.03.2017 - 10:39
fuente
0

No soy un experto en NPS, pero si está utilizando RADIUS con EAP-TLS, puede configurar su política EAP-TLS para que requiera un uso mejorado de clave personalizado. Solo los certificados emitidos por su PKI privada contendrán este EKU personalizado, por lo que solo se aceptarán esos certificados. Crearía el EKU personalizado en su CA y lo agregaría como una Política de aplicación a su plantilla de certificado, y luego agregaría ese EKU personalizado a su configuración EAP-TLS en el servidor RADIUS. Además, las CA de Root Enterprise son una idea horrible desde una perspectiva de seguridad.

    
respondido por el Paul Adare 17.02.2017 - 14:15
fuente

Lea otras preguntas en las etiquetas