Limita Microsoft Network Policy Server (NPS) a fidarsi solo dei certificati client da una determinata CA?

1

Sto lavorando a un'installazione di un server Sever Server di rete Microsoft (NPS) / RADIUS per controllare l'accesso al Wi-Fi aziendale utilizzando 802.1x / WPA2-Enterprise - utilizzando i certificati client per l'autenticazione.

Abbiamo già una CA radice aziendale integrata con AD integrata. È perfetto avere certificati client registrati automaticamente da qui. I client possono anche essere configurati per accettare solo certificati server da una determinata CA per la fiducia del server, come mostrato qui (preso a prestito da link ):

(Questoèanchedettagliatosu link .)

La mia preoccupazione qui è il contrario, comunque. Come si può limitare l'NPS per accettare solo certificati client dalla nostra CA? Non fornisce una finestra di dialogo simile per "Convalida certificato client", in cui potrei eventualmente scegliere solo la nostra CA interna. Nel criterio di rete NPS, vincoli, metodi di autenticazione, tipi EAP, possiamo specificare il certificato del server che viene presentato.

Smart Card or other Certificate Properties
This server identifies itself to callers before the connection is completed. Select the certificate that you want it to use as proof of identity.

Tuttavia, non vi è alcuna impostazione visibile sul lato client (sopra), che potrebbe essere utilizzata per limitare quali CA del certificato client sono attendibili.

Con OpenVPN, FreeRADIUS, ecc., è possibile specificare specifici ancoraggi di trust sul lato server. Chiamami paranoico, ma dovrebbe lo stesso non essere in grado di essere configurato all'interno di NPS? Così come, oltre alla nostra CA interna, ci affidiamo anche a tutti i certificati che possono essere emessi dalle CA radice affidabili predefinite (AddTrust, DigiCert, Equifax, Microsoft, Thawte, VeriSign, ecc.). Ciò può essere accettabile per la fiducia dei server Web esterni, dai server interni in cui la navigazione sul Web è vietata / impedita. Tuttavia, ai fini dell'autenticazione del client su un gateway wireless, una violazione da parte di una CA altrimenti non necessaria potrebbe consentire l'accesso non autorizzato a una rete interna.

La rimozione di altre CA dai server NPS potrebbe funzionare, ma mi chiedo se è supportata?

Stavo anche esaminando se i certificati radice potessero essere rimossi solo per l'account del servizio Windows NPS, lasciando intatto l'archivio certificati del computer, ma credo che sia un'aggiunta solo per ereditarietà, consentendo solo l'aggiunta di trust aggiuntivi ma non rimosso? (Anche se pubblicherò un CRL per tutti gli altri a questo livello, mi occorrerebbe un processo per qualsiasi altra CA radice che possa essere successivamente aggiunta a livello di computer.)

Riferimenti

Conclusione

  1. Ci sono delle opzioni per limitare quali CA del certificato utente sono attendibili - simili ad altri provider RADIUS, o come disponibili per client > attendibilità del server (ma per server - > attendibilità del client)?
  2. Soprattutto se non ci sono buone opzioni per quanto sopra, ci sono altri fattori attenuanti che possono / dovrebbero essere considerati? (Non vedo nessuna opzione disponibile per l'autenticazione a più fattori qui, ecc. - anche se vorremmo mantenere qualcosa qui trasparente agli utenti finali.) Se non altro, forse una sorta di proxy di autenticazione che potrebbe filtrare l'EAP richieste prima ancora di essere presentate a NPS?
posta ziesemer 09.02.2017 - 18:14
fonte

2 risposte

0
  1. Are there any options to restrict which user certificate CAs are trusted - similar to other RADIUS providers, or as available for client-> server trust (but for server -> client trust)?

No, NPS semplicemente non supporta questo (!) - come per numero di incidente 117021015302705 che è stato aperto il 2017-02-10 con il supporto Microsoft.

L'unico consiglio che sono stati in grado di offrire è stato quello di rimuovere le CA radice predefinite dai server, come avevo evitato nella domanda - ma non si espanderebbe se questo fosse considerato supportato, né quali problemi potrebbero nascono da questo all'interno di Windows stesso.

Se qualcuno di Microsoft si imbatte in questo e può ulteriormente intensificare o rispondere a questo, per favore - tramite questo post, l'incidente originale o le mie informazioni di contatto sull'incidente.

Questa è una risposta, ma deludente. Sto ancora sperando in alcune risposte in competizione / opzioni aggiuntive, specialmente in merito a possibili fattori mitiganti che potrebbero essere considerati. (Continuo a pensare che una sorta di proxy di autenticazione che potrebbe essere aggiunto in linea con NPS potrebbe funzionare bene architettonicamente come soluzione, se esistesse una cosa del genere.)

    
risposta data 02.03.2017 - 10:39
fonte
0

Non sono un esperto NPS, ma se si utilizza RADIUS con EAP-TLS è possibile configurare il criterio EAP-TLS per richiedere un utilizzo avanzato delle chiavi personalizzato. Solo i certificati emessi dalla tua PKI privata conterrebbero questo EKU personalizzato in modo tale da accettare solo quei certificati. Dovresti creare l'EKU personalizzato sulla CA e aggiungerlo come criterio applicazione al modello di certificato, quindi aggiungere l'EKU personalizzato alle impostazioni EAP-TLS sul server RADIUS. Per inciso, le CA di Root Enterprise sono un'idea orribile dal punto di vista della sicurezza.

    
risposta data 17.02.2017 - 14:15
fonte