Điểm:3

Tôi có cần Dịch vụ chứng chỉ Active Directory không

lá cờ us

Tôi có một thiết lập AD dường như có lỗ hổng liên quan đến tính năng Dịch vụ chứng chỉ. Nghĩ lại về các khóa học MS Server mà tôi đã tham gia, tôi không nhớ bất cứ điều gì về nó, vì vậy tôi đã tìm hiểu trên mạng và tôi nghiêng về phía "không".

Tôi không tạo chứng chỉ nội bộ cho bất kỳ điều gì - máy trạm được phép Tự ký và tổ chức mẹ của tôi có các bước cần thực hiện để tạo yêu cầu chứng chỉ cục bộ trên máy chủ của chúng tôi để chuyển chuỗi tới CA bên thứ ba. Đây dường như là chức năng chính của ADCS và tôi dường như không sử dụng nó.

Người dùng không sử dụng PKI, chỉ sử dụng tên người dùng và mật khẩu và có vẻ như ADCS có liên quan đến việc xác thực các CA được liên kết với mã thông báo thẻ thông minh. Tôi có thể nhầm lẫn, và nó không liên quan gì đến việc này.

Vì vậy, nó có an toàn để loại bỏ ADCS? Tôi tin rằng nó chỉ được cài đặt theo mặc định nếu bạn quảng cáo thứ gì đó cho Bộ điều khiển miền (hoặc ít nhất là thêm vai trò), nhưng tôi không thể nghĩ ra bất kỳ lúc nào mình đã tương tác với nó.

Các DC chạy Máy chủ 2012 và 2019 (với cái trước sẽ bị cắt trong tương lai gần, sẽ được thay thế bằng Máy chủ 2019).

lá cờ br
Hãy xem Bảng điều khiển quản lý ADCS và xem liệu nó có được cấp bất kỳ chứng chỉ nào gần đây không?
lá cờ us
Nếu bạn không có trường hợp sử dụng thực tế, tôi không chắc tại sao nó lại được cài đặt ngay từ đầu. Nó không được cài đặt theo mặc định như bạn nêu. Nhưng CA nội bộ cũng được sử dụng cho chứng chỉ ký email, chứng chỉ SCCM, chứng chỉ ký máy trạm và máy chủ cho những thứ như ký SMB, v.v. và những thứ khác. Vì vậy, bạn sẽ cần xác định xem có lý do gì để giữ nó lại không. Cho đến nay có vẻ như câu trả lời là không... nhưng chỉ bạn mới có thể nói chắc chắn.
lá cờ us
Cảm ơn các câu trả lời. Đã có cơ hội tự kiểm tra máy chủ (chỉ có quyền truy cập vào kết quả quét trước đó). Có vẻ như Dịch vụ Chứng chỉ không thực sự được cài đặt, khiến phát hiện này (PetitPotam) hơi khó hiểu. Đặc biệt là khi bản sửa lỗi của Microsoft xoay quanh các thay đổi trong IIS, vốn không được cài đặt trên Bộ điều khiển miền.
lá cờ cn
Khi sử dụng Dịch vụ chứng chỉ, bạn có thể tùy ý có một trang web được lưu trữ trên IIS để xử lý đăng ký chứng chỉ qua giao diện web, nhưng bạn không cần phải làm như vậy. Theo như tôi hiểu thì PetitPotam là một vấn đề trong giao diện web với các cài đặt mặc định, nếu bạn không có thì bạn sẽ ổn thôi.
lá cờ us
Peter, cảm ơn vì phản hồi - sau đó đây dường như là một phát hiện sai lầm. Thật không may, đầu ra của plugin không đưa ra nhiều hướng dẫn - chỉ có lỗ hổng do trình quét đã gửi yêu cầu và nhận được phản hồi nhất định mà nó không thích.
Điểm:1
lá cờ de

Việc xóa Dịch vụ chứng chỉ Active Directory là an toàn. Nếu bạn không sử dụng nó cho bất kỳ chứng chỉ nào, bạn có thể xóa nó. Gần đây, chúng tôi đã xóa nó trong công ty của mình khi chúng tôi thay đổi Bộ điều khiển miền và máy chủ DHCP và mọi thứ vẫn hoạt động tốt.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.