AD Certificates
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Il Soggetto del certificato denota il suo proprietario.
Una Chiave Pubblica è abbinata a una chiave privata per collegare il certificato al suo legittimo proprietario.
Il Periodo di Validità, definito dalle date NotBefore e NotAfter, segna la durata effettiva del certificato.
Un Numero di Serie unico, fornito dall'Autorità di Certificazione (CA), identifica ciascun certificato.
L'Emittente si riferisce alla CA che ha emesso il certificato.
SubjectAlternativeName consente nomi aggiuntivi per il soggetto, migliorando la flessibilità di identificazione.
Basic Constraints identificano se il certificato è per una CA o un'entità finale e definiscono le restrizioni d'uso.
Extended Key Usages (EKUs) delineano gli scopi specifici del certificato, come la firma del codice o la crittografia delle email, attraverso Identificatori di Oggetto (OIDs).
L'Algoritmo di Firma specifica il metodo per firmare il certificato.
La Firma, creata con la chiave privata dell'emittente, garantisce l'autenticità del certificato.
I Subject Alternative Names (SANs) espandono l'applicabilità di un certificato a più identità, cruciale per i server con più domini. Processi di emissione sicuri sono vitali per evitare rischi di impersonificazione da parte di attaccanti che manipolano la specifica SAN.
AD CS riconosce i certificati CA in un bosco AD attraverso contenitori designati, ognuno con ruoli unici:
Il contenitore Certification Authorities contiene certificati CA radice fidati.
Il contenitore Enrolment Services dettaglia le CA aziendali e i loro modelli di certificato.
L'oggetto NTAuthCertificates include certificati CA autorizzati per l'autenticazione AD.
Il contenitore AIA (Authority Information Access) facilita la validazione della catena di certificati con certificati CA intermedi e incrociati.
Il processo di richiesta inizia con i client che trovano una CA aziendale.
Viene creato un CSR, contenente una chiave pubblica e altri dettagli, dopo aver generato una coppia di chiavi pubblica-privata.
La CA valuta il CSR rispetto ai modelli di certificato disponibili, emettendo il certificato in base ai permessi del modello.
Una volta approvato, la CA firma il certificato con la sua chiave privata e lo restituisce al client.
Definiti all'interno di AD, questi modelli delineano le impostazioni e i permessi per l'emissione dei certificati, inclusi EKU consentiti e diritti di iscrizione o modifica, critici per gestire l'accesso ai servizi di certificato.
Il processo di iscrizione per i certificati è avviato da un amministratore che crea un modello di certificato, che viene poi pubblicato da un'Autorità di Certificazione (CA) aziendale. Questo rende il modello disponibile per l'iscrizione del client, un passaggio ottenuto aggiungendo il nome del modello al campo certificatetemplates
di un oggetto Active Directory.
Per un client per richiedere un certificato, devono essere concessi diritti di iscrizione. Questi diritti sono definiti da descrittori di sicurezza sul modello di certificato e sulla CA aziendale stessa. I permessi devono essere concessi in entrambe le posizioni affinché una richiesta abbia successo.
Questi diritti sono specificati attraverso Access Control Entries (ACEs), dettagliando permessi come:
Diritti di Certificate-Enrollment e Certificate-AutoEnrollment, ciascuno associato a GUID specifici.
ExtendedRights, che consentono tutti i permessi estesi.
FullControl/GenericAll, fornendo il controllo completo sul modello.
I diritti della CA sono delineati nel suo descrittore di sicurezza, accessibile tramite la console di gestione dell'Autorità di Certificazione. Alcune impostazioni consentono anche a utenti con privilegi bassi l'accesso remoto, il che potrebbe essere una preoccupazione per la sicurezza.
Possono applicarsi controlli specifici, come:
Approvazione del Manager: pone le richieste in uno stato di attesa fino all'approvazione da parte di un manager di certificati.
Agenti di Iscrizione e Firme Autorizzate: specificano il numero di firme richieste su un CSR e i necessari OIDs di Politica Applicativa.
I certificati possono essere richiesti tramite:
Windows Client Certificate Enrollment Protocol (MS-WCCE), utilizzando interfacce DCOM.
ICertPassage Remote Protocol (MS-ICPR), tramite pipe nominate o TCP/IP.
L'interfaccia web di iscrizione ai certificati, con il ruolo di Web Enrollment dell'Autorità di Certificazione installato.
Il Certificate Enrollment Service (CES), in combinazione con il servizio di Politica di Iscrizione ai Certificati (CEP).
Il Network Device Enrollment Service (NDES) per dispositivi di rete, utilizzando il Simple Certificate Enrollment Protocol (SCEP).
Gli utenti Windows possono anche richiedere certificati tramite l'interfaccia GUI (certmgr.msc
o certlm.msc
) o strumenti da riga di comando (certreq.exe
o il comando Get-Certificate
di PowerShell).
Active Directory (AD) supporta l'autenticazione con certificato, utilizzando principalmente i protocolli Kerberos e Secure Channel (Schannel).
Nel processo di autenticazione Kerberos, la richiesta di un utente per un Ticket Granting Ticket (TGT) è firmata utilizzando la chiave privata del certificato dell'utente. Questa richiesta subisce diverse validazioni da parte del controller di dominio, inclusi la validità del certificato, il percorso e lo stato di revoca. Le validazioni includono anche la verifica che il certificato provenga da una fonte affidabile e la conferma della presenza dell'emittente nel NTAUTH certificate store. Validazioni riuscite portano all'emissione di un TGT. L'oggetto NTAuthCertificates
in AD, si trova a:
è centrale per stabilire fiducia per l'autenticazione dei certificati.
Schannel facilita connessioni TLS/SSL sicure, dove durante un handshake, il client presenta un certificato che, se validato con successo, autorizza l'accesso. La mappatura di un certificato a un account AD può coinvolgere la funzione S4U2Self di Kerberos o il Subject Alternative Name (SAN) del certificato, tra i vari metodi.
I servizi di certificato di AD possono essere enumerati tramite query LDAP, rivelando informazioni sulle Enterprise Certificate Authorities (CAs) e le loro configurazioni. Questo è accessibile da qualsiasi utente autenticato nel dominio senza privilegi speciali. Strumenti come Certify e Certipy sono utilizzati per l'enumerazione e la valutazione delle vulnerabilità negli ambienti AD CS.
I comandi per utilizzare questi strumenti includono:
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)