Gli EKU extra hanno impostato nel certificato client un rischio per la sicurezza?

2

Ho implementato una PKI CS di Windows AD a due livelli. Per 802.1x sto usando autoenroll per distribuire automaticamente certificati di computer a qualsiasi computer connesso al dominio.

Attualmente utilizzo un modello di computer singolo per tutti i computer, sia server che workstation. Questo modello include autenticazione client, autenticazione server e EKU di autenticazione desktop remoto.

Per le workstation, l'autenticazione del client è tutto ciò che è richiesto, ma gli EKU extra impostati nel certificato sono un problema di sicurezza?

(per impostazione predefinita non ci sono gruppi che separano i server dalle workstation, quindi non è possibile assegnare diversi modelli di certificati di registrazione automatica ai server e alle workstation. È possibile creare un gruppo di server e aggiungere server a questo gruppo, ma ciò aggiunge un'azione manuale aggiuntiva. )

    
posta Michel 04.06.2018 - 10:13
fonte

1 risposta

1

Dipende dalla tua politica di sicurezza. Se la tua politica richiede un certificato separato per ogni applicazione / servizio, allora è male. Se la tua politica di sicurezza consente l'uso di un singolo certificato per più applicazioni / servizi (ove applicabile), è ok.

Non esiste un approccio universale, ognuno ha i suoi vantaggi e svantaggi. Ad esempio, quando si richiede un certificato separato per ciascuna applicazione, si aumentano gli sforzi amministrativi (poiché è necessario mantenere più certificati), ma si riducono gli accoppiamenti. Un errore nel certificato singolo influirà solo sul singolo servizio, altri servizi non sono interessati.

Quando riutilizzate un singolo certificato in più applicazioni, riducete gli sforzi amministrativi (poiché deve essere mantenuto solo un singolo certificato per dispositivo). D'altra parte, un errore nel certificato influirà su tutte le applicazioni a cui è associato il certificato.

    
risposta data 04.06.2018 - 10:37
fonte

Leggi altre domande sui tag