All'interno della mia organizzazione ci viene chiesto di fornire un'esperienza wireless sicura ma senza soluzione di continuità, ad es. l'utente accede al dispositivo Windows e si connette automaticamente alla rete aziendale tramite wireless. Implementare WPA2-Enterprise utilizzando i certificati (EAP-TLS) per l'autenticazione sembra essere considerato "best practice del settore" dal punto di vista della sicurezza, ma sembra esserci poca menzione su come i certificati dovrebbero essere protetti. (Nota: disponiamo di una CA interna, quindi viene soddisfatta questa pre-richiesta)
L'archivio certificati di Windows consente ai certificati di essere archiviati nel software e contrassegnati come non esportabili, ma se gli amministratori o i malware non autorizzati ottengono i privilegi di SISTEMA, credo che strumenti come Mimikatz possano essere utilizzati per estrarre le chiavi private per un abuso successivo.
Le smartcard sono ovviamente l'opzione più sicura per l'archiviazione delle chiavi private ma non le usiamo e non è qualcosa che possiamo implementare solo per questo caso d'uso
In teoria l'altra opzione sicura sarebbe quella di utilizzare TPM per memorizzare le chiavi private. Tutto l'hardware moderno li ha integrati e da Windows 8 in poi sembra che sia possibile utilizzare il provider di Crypto della piattaforma per memorizzare le chiavi nel TPM. Quando cerco distribuzioni di autenticazione wireless tramite TPM o Platform Crypto Provider, tuttavia, non ricevo nulla di utile su di me.
Le mie domande sono quindi:
- È possibile utilizzare il provider di crittografia della piattaforma Windows (utilizzando TPM) per wireless autenticazione?
- Può essere implementato senza PIN? (sì, i PIN sono più sicuri ma il gli affari chiedono un'esperienza senza soluzione di continuità)
- Perché questo non sembra essere un luogo comune? Le persone si limitano a ritenere il software abbastanza sicuro sull'archiviazione o stanno utilizzando altre soluzioni di vendor dov'è fatto fuori dalla scatola magicamente?
- Se le persone si affidano al negozio di Windows Cert, hanno processi per revocare i certificati, ad es. ogni volta che un dispositivo ha un rilevamento di malware? (Sembra goffo più è il malware che non rileviamo di cui abbiamo davvero bisogno preoccuparsi)
Grazie in anticipo per le risposte!
Rich