Jeder der in der IT arbeitet nutzt RDP und fast jeder kennt auch die Sicherheitswarnung "Die Identität des Remotecomputers kann nicht überprüft werden. Möchten Sie die Verbindung dennoch herstellen?" beim Aufbauen einer RDP-Verbindung zu einem Server, weil das Zertifikat von einer nicht vertrauenswürdigen Zertifizierungsstelle kommt.
Auch IT-Administratoren, die einen Vulnerability Scanner wie Nessus verwenden, kennen Sicherheitswarnungen wie "SSL Self-Signed Certificate" oder "SSL Certificate Cannot Be Trusted" in Verbindung mit Port 3389 (RDP). In diesem Artikel möchte ich daher zeigen, wie sich ein RDP Zertifikat mit den Active Directory Zertifikatsdiensten ausstellen und anschließend per GPO verteilen lässt, um diese Sicherheitsprobleme zu beheben.
Inhaltsverzeichnis
Zertifikatsvorlage erstellen
Auf dem CA-Server ist die Zertifizierungsstelle aufzurufen. Das geht per MMC Snap-In oder über das Startmenü:
Dort ist die entsprechende Zertifizierungsstelle aufzuklappen und per Rechtsklick auf "Zertifikatsvorlagen" und auf "Verwalten" zu klicken:
Es öffnet sich die Zertifikatvorlagenkonsole, wo per Rechtsklick auf die Vorlage "Computer" ein Duplikat angelegt werden kann:
Im Reiter "Allgemein" ist ein Name und die Gültigkeit für unsere neue Vorlage festzulegen:
Im Reiter "Erweiterungen" wählen wir nun die Anwendungsrichtlinien aus und klicken auf "Bearbeiten...". Es öffnet sich ein Dialog, in dem wir die vorausgefüllten Anwendungsrichtlinien für Client- und Serverauthentifizierung entfernen:
Sind die vorausgefüllten Anwendungsrichtlinien entfernt, klicken wir auf "Hinzufügen..." und auf "Neu...":
Es öffnet sich ein weiterer Dialog, in dem ein Name und eine eindeutige Objektkennung anzugeben ist. Als Name verwende ich "RDP Authentifizierung" und als Objektkennung "1.3.6.1.4.1.311.54.1.2":
Nach einem Klick auf "OK" sieht das Fenster mit den Anwendungsrichtlinien bei mir wie folgt aus:
Im Reiter "Sicherheit" ist schließlich sicherzustellen, dass bei der gewünschten Computergruppe, die das Zertifikat beziehen soll, der Haken "Registrieren" bei "Domänencomputer" gesetzt ist. Weil ich möchte, dass jeder Client bzw. Server in der Domäne ein RDP Zertifikat beziehen soll, muss ich hier nichts ändern.
Zurück in der Zertifizierungsstelle kann nun eine neue "Auszustellende Zertifikatvorlage" erstellt werden:
Nachdem aus der Liste "RDP" ausgewählt wurde, erscheint es schließlich bei den Zertifikatvorlagen und steht fortan zur Verfügung:
Zertifikat per GPO verteilen
Die gesuchte GPO ist unter folgendem Pfad zu finden: Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopsitzungs-Host -> Sicherheit. Dort ist die Richtlinie "Zertifikatvorlage für Serverauthentifizierung" zu aktivieren und als Zertifikatvorlagenname der Name der Vorlage, in meinem Fall etwa "RDP", einzutragen:
Nach einer Weile sollte auf allen Domänencomputern im Netzwerk das neue Zertifikat auftauchen:
Zertifikat manuell registrieren
Das RDP Zertifikat kann auch manuell auf den gewünschten Domänencomputern registriert werden. Das geht bei den Computerzertifikaten per Kontextmenü:
Nach zwei Klicks auf "Weiter" kann die entsprechende Vorlage "RDP" ausgewählt werden:
Nach einem Klick auf "Registrieren", wird das Zertifikat schließlich installiert und taucht in der Übersicht auf:
Verifizierung mit Nessus
Dass das Zertifikat nun erfolgreich verteilt wurde, kann beispielsweise mit einem Vulnerability Scanner wie Nessus geprüft werden. Vor der Konfiguration hat Nessus immer zwei Sicherheitswarnungen in Zusammenhang mit RDP angezeigt:
Nach der Umstellung der RDP Zertifikate zeigt Nessus statt der zwei Zertifikatsfehler nur noch eine Information an:
Weiterführende Links
https://docs.microsoft.com/en-us/answers/questions/337852/remove-custom-application-policy-from-ca.html
Quellen
https://aventistech.com/2019/08/08/replace-rdp-default-self-sign-certificate/