none
Frage zu KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services RRS feed

  • Frage

  • Ich habe da noch ein paar Fragen...

    In KB5005413 gibt es einen Abschnitt, der darauf hinweist, die web.config noch manuell zu editieren: "After enabling EPA in the UI, the Web.config file created by CES role at 'windir\systemdata\CES\_CES_Kerberos\web.config'..."

    Ich habe eine Test-Installation, wo nur das 'Certificate Authority Web Enrollment' installiert ist, nicht der 'Certificate Enrollment Web Service'. Eine web.config kann ich bei dieser Installation nirgendwo entdecken.

    Ich vermute, dass ein Editieren der web.config nur notwendig ist, wenn 'Certificate Enrollment Web Service' installiert sind - korrekt?

    Im 'Certificate Authority Web Enrollment' habe ich nur 'Negotiate: Kerberos' über die GUI (wie auf den Screenshots) gesetzt, da bekomme ich eine Warnung über 'Enable Kernel-mode authentication' in der Extended Protection.

    Im Screenshot von MS ist bei der 'Extended Protection' zu sehen, dass MS diese auf 'Required' stellt, aber die haben noch die Checkbox 'Enable Kernel-mode authentication' selektiert. Ist wohl ein 'Bug' auf den Screenshots
    und die 'Enable Kernel-mode authentication' gehört vermutlich ausgeschaltet, wenn nur 'Negotiate: Kerberos' gewählt wird - oder?

    Zusammenfassend: 'Certificate Authority Web Enrollment' nur auf 'Negotiate: Kerberos' stellen und bei Extended Protection auf 'Required' und die Kernel-mode auth. ausschalten - korrekt?
    Montag, 26. Juli 2021 08:57

Alle Antworten



  • Ich vermute, dass ein Editieren der web.config nur notwendig ist, wenn 'Certificate Enrollment Web Service' installiert sind - korrekt?
    Ja.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 26. Juli 2021 16:47


  • Zusammenfassend: 'Certificate Authority Web Enrollment' nur auf 'Negotiate: Kerberos' stellen und bei Extended Protection auf 'Required' und die Kernel-mode auth. ausschalten - korrekt?
    Ja, aber mein nachdrücklicher Rat wäre, Web Enrollment gar nicht erst zu benutzen. Spätestens wenn der IE weg ist, ist das Teil komplett nutzlos.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 26. Juli 2021 16:48
  • Hello Robert,

    thanks for your question.

    Please follow these steps:

    Enable EPA for certification authority web registration, where Required is the more secure and recommended option: Enable EPA for certificate registration


    web service. The more secure and recommended option is required:


    After activating EPA in the user interface, the Web.config file created by the CES role under <% windir%> \ systemdata \ CES \ <CA name> _CES_Kerberos \ web.config updated by < extendedProtectionPolicy> with the value. Either WhenSupported or Always is added depending on which Advanced Protection option is selected in the IIS UI above.

    For more information on the options available for extendedProtectionPolicy, see <transport> of < The most commonly used settings are as follows:

    <Binding          Name = "TransportWithHeaderClientAuth">
         <Security
    Mode = "Transport"> <transport clientCredentialType = "Windows">
             <extendedProtectionPolicy policyEnforcement = "Always" />
             </transport>
             <message clientCredentialType = "None" EstablishSecurityContext = "false" NegotiationServiceCredential = "false" />
         </ Security>
         <



    For more information you can visit this link:
    https://support.microsoft.com/de-DE/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773 -4043-4aa9-b23d-b87910cd3429

    If the answer was helpful, please don't forget to rate it positively or accept it as an answer.
    Thank you, Bharti

    -------------------------------------------------- -------------------------------------------------- --------

    Would you like to earn extra money in your free time? We need people like you! We are looking for experts for Microsoft Client & Server, Storage and Microsoft Failover Clusters.

    If you become a successful Microsoft Content Expert for the Limitless app, you can start making money on a gig basis (whenever and wherever you want) with your knowledge of Microsoft products and services. Make money by doing exactly what you are doing right now.


    Please click hereto visit our application / onboarding page for quick registration!

      

    Donnerstag, 29. Juli 2021 14:08