Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El servicio de inscripción de dispositivos de red (NDES) de Active Directory Certificate Services (AD CS) admite un módulo de directivas que proporciona seguridad adicional para el Protocolo de inscripción de certificados simple (SCEP). Sin este módulo de directiva, cuando un usuario o un dispositivo solicitan un certificado, SCEP requiere una contraseña única o compartida. Un usuario no autorizado que use una contraseña obtenida legítimamente podría solicitar un certificado que cree los siguientes riesgos de seguridad:
El valor del nombre del firmante coincide con un usuario diferente, lo que permite al usuario no autorizado suplantar a ese otro usuario.
El usuario cambia el propósito del certificado, otorgándose a sí mismo privilegios elevados.
Cuando se usa un módulo de directivas con NDES, este módulo aborda estos riesgos de seguridad al requerir autenticación adicional. Por ejemplo, el módulo puede comprobar que el certificado solicitado es para un usuario específico y para un propósito específico, y puede exigir si se va a implementar un certificado de usuario o un certificado de equipo.
En este artículo se explica cómo funciona el módulo de directivas y las opciones de implementación.
Flujo de proceso para un módulo de directiva y el servicio de inscripción de dispositivos de red
Use un módulo de directiva para admitir la inscripción de certificados de usuario y equipo para dispositivos móviles mediante servicios en la nube. Este escenario también se conoce como inscripción por vía inalámbrica. En el diagrama siguiente se muestra un proceso de ejemplo para un escenario en el que un administrador de dispositivos móviles configura una directiva de inscripción de certificados para dispositivos móviles que usan los trabajadores de la información.
El software de administración de dispositivos móviles (MDM) solicita una contraseña de desafío desde NDES.
Note
El software MDM se pone en contacto con la interfaz de mscep_admin NDES.
El NDES delega la solicitud de contraseña de reto al módulo de directiva.
El módulo de directivas crea una contraseña de desafío que requiere que la solicitud de certificado incluya el usuario, el propósito y el tipo de certificado (usuario o equipo) y, a continuación, envía esta instrucción al NDES.
Cuando el software de administración de dispositivos móviles recibe la contraseña de desafío, este software envía el indicador uniforme de recursos (URI) para ponerse en contacto con el NDES y la contraseña de desafío al dispositivo móvil.
El dispositivo móvil se pone en contacto con el NDES para inscribir un certificado.
El NDES delega la solicitud al módulo de directivas.
El módulo de directiva comprueba la contraseña de desafío y la solicitud de certificado. A continuación, el módulo de directiva devuelve el resultado de la comprobación en el NDES. Si la contraseña de desafío y la solicitud de certificado no se comprueban correctamente, el NDES devuelve un error al dispositivo móvil. Si la comprobación se realiza correctamente, el NDES reenvía la solicitud a la entidad de certificación.
Cuando la entidad de certificación aprueba la solicitud, el certificado se emite al NDES.
El NDES envía el certificado al dispositivo móvil.
Opciones de implementación para el servicio de inscripción de dispositivos de red y un módulo de directiva
Puede elegir entre las tres opciones de implementación al usar NDES y el módulo de directivas. Implementación en:
Un bosque independiente
Una red aislada
Un dominio interno
Implementación en un bosque independiente
Puede crear un bosque que abarque el servidor que ejecuta NDES, el módulo de directivas y la entidad de certificación emisora (CA). Este diseño crea un límite de seguridad a partir de los controladores de dominio internos y las cuentas de dominio de la intranet, lo que reduce el riesgo de exposición. Este diseño de implementación es el más seguro, pero requiere más infraestructura para admitir más equipos en otro bosque.
Note
Al instalar el NDES en un miembro de dominio, también debe instalar una ENTIDAD de certificación emisora en el mismo dominio. Si instala NDES en un equipo de grupo de trabajo, debe instalar la autoridad certificadora emisora en el mismo equipo.
Este diseño ayuda a proteger la red interna al aislar las cuentas de dominio y bosque que se usan en la red perimetral y en la red interna. Dado que la entidad de certificación emisora en la red perimetral está subordinada a la CA raíz, el sistema confía en los certificados que emite en las redes perimetrales e internas. Si la red perimetral está comprometida, puede usar la entidad de certificación raíz (CA) para revocar el certificado de la CA emisora en la red perimetral, lo que invalida todos los certificados de la CA emisora. Una vez resuelto el problema de seguridad, puede volver a generar la red perimetral y emitir nuevos certificados.
Implementación en una red aislada
Este diseño de despliegue ofrece un compromiso entre los diseños más seguros y menos seguros. Todavía tiene que cambiar algunas configuraciones y infraestructura, pero no es necesario crear un bosque independiente.
Este diseño de implementación requiere un único equipo para ejecutar el NDES y la solución de administración de dispositivos móviles. Este equipo es miembro del dominio interno, por lo que no tiene que instalar una CA emisora independiente. Conectas el ordenador que ejecuta NDES y la solución de gestión de dispositivos móviles a través de una conexión VPN o DirectAccess, lo que proporciona el entorno de red aislado. Los dispositivos móviles se autentican en el software de administración de dispositivos móviles que escriben un nombre de usuario y una contraseña para poder obtener el certificado que les permite acceder a los recursos en la red inalámbrica protegida internamente.
En este diseño, existe la posibilidad de que el servidor que ejecuta el NDES y la solución de administración de dispositivos móviles corre el riesgo de que los atacantes pongan en peligro la red interna. Para ayudar a mitigar este riesgo, use una cuenta de administrador de dominio temporal o administrador de empresa para instalar y configurar el servidor que ejecuta el NDES en el dominio interno. Una vez que haya terminado, elimine la cuenta temporal y, a continuación, mueva el servidor a la red aislada. Use controles de seguridad adicionales para proteger este servidor y supervisarlo cuidadosamente para detectar actividades sospechosas o signos que podrían estar en peligro.
Implementación en un dominio interno
Este diseño de implementación es el menos seguro, pero le permite usar la estructura de dominio interna existente para implementar la solución de inscripción.
En este diseño, el NDES no está aislado y es miembro del dominio interno. El software de administración de dispositivos móviles debe autenticar todas las solicitudes de certificados de la red inalámbrica. Por ejemplo, el software podría solicitar a los usuarios el nombre de usuario y la contraseña que los autentiquen.
Este diseño de implementación no usa un límite de seguridad al conectar la red inalámbrica que emite certificados al dominio interno. En este escenario, un atacante podría usar la red inalámbrica externa directamente para intentar poner en peligro el dominio interno. Si usa este diseño, todos los equipos de la red interna se convierten en posibles objetivos de ataque si la red inalámbrica está en peligro, así que asegúrese de usar controles de seguridad adicionales para proteger toda la red interna y todos los equipos. Supervise cuidadosamente los dispositivos para detectar actividades sospechosas o señales que podrían estar en peligro.
Contenido relacionado
Para obtener información sobre cómo instalar y desinstalar el módulo de directivas, consulte Instalación y desinstalación del módulo de directivas.
Introducción a los perfiles de certificado en Configuration Manager.
Consideraciones de diseño de PKI mediante Servicios de certificados de Active Directory