Kategorien
Tutorials

RDP Zertifikat über CA und GPO verteilen

Jeder der in der IT arbeitet nutzt RDP und fast jeder kennt auch die Sicherheitswarnung "Die Identität des Remotecomputers kann nicht überprüft werden. Möchten Sie die Verbindung dennoch herstellen?" beim Aufbauen einer RDP-Verbindung zu einem Server, weil das Zertifikat von einer nicht vertrauenswürdigen Zertifizierungsstelle kommt.

Zertifikatswarnung bei RDP-Verbindungen.

Auch IT-Administratoren, die einen Vulnerability Scanner wie Nessus verwenden, kennen Sicherheitswarnungen wie "SSL Self-Signed Certificate" oder "SSL Certificate Cannot Be Trusted" in Verbindung mit Port 3389 (RDP). In diesem Artikel möchte ich daher zeigen, wie sich ein RDP Zertifikat mit den Active Directory Zertifikatsdiensten ausstellen und anschließend per GPO verteilen lässt, um diese Sicherheitsprobleme zu beheben.

Getestet wurde dieser Artikel mit Windows Server 2019 als Server für die Active Directory Zertifikatsdienste (CA). Zur Verifizierung mit Nessus wurde Nessus 8.15.0 und 10.0.1 verwendet.

Zertifikatsvorlage erstellen

Auf dem CA-Server ist die Zertifizierungsstelle aufzurufen. Das geht per MMC Snap-In oder über das Startmenü:

CA Zertifizierungsstelle aufrufen
Die Zertifizierungsstelle kann beispielsweise über die Windows Suche gestartet werden.

Dort ist die entsprechende Zertifizierungsstelle aufzuklappen und per Rechtsklick auf "Zertifikatsvorlagen" und auf "Verwalten" zu klicken:

CA Zertifikatvorlagen verwalten
Zunächst muss eine passende Zertifikatvorlage erstellt werden.

Es öffnet sich die Zertifikatvorlagenkonsole, wo per Rechtsklick auf die Vorlage "Computer" ein Duplikat angelegt werden kann:

CA Zertifikatvorlagen erstellen
Die bestehende Vorlage "Computer" kann einfach dupliziert werden.

Im Reiter "Allgemein" ist ein Name und die Gültigkeit für unsere neue Vorlage festzulegen:

CA RDP Zertifikatvorlage erstellen
Wir erstellen eine neue RDP Zertifikatvorlage.

Im Reiter "Erweiterungen" wählen wir nun die Anwendungsrichtlinien aus und klicken auf "Bearbeiten...". Es öffnet sich ein Dialog, in dem wir die vorausgefüllten Anwendungsrichtlinien für Client- und Serverauthentifizierung entfernen:

CA RDP Zertifikatvorlage Anwendungsrichtlinie erstellen
Die vorausgefüllten Anwendungsrichtlinien können aus der RDP Zertifikatvorlage entfernt werden.

Sind die vorausgefüllten Anwendungsrichtlinien entfernt, klicken wir auf "Hinzufügen..." und auf "Neu...":

CA RDP Zertifikatvorlage Anwendungsrichtlinie erstellen
Es ist eine neue Anwendungsrichtlinie für RDP zu erstellen.

Es öffnet sich ein weiterer Dialog, in dem ein Name und eine eindeutige Objektkennung anzugeben ist. Als Name verwende ich "RDP Authentifizierung" und als Objektkennung "1.3.6.1.4.1.311.54.1.2":

CA RDP Zertifikatvorlage Anwendungsrichtlinie erstellen
Es ist eine neue Anwendungsrichtlinie für RDP zu erstellen.

Nach einem Klick auf "OK" sieht das Fenster mit den Anwendungsrichtlinien bei mir wie folgt aus:

CA RDP Zertifikatvorlage Anwendungsrichtlinie erstellen
Der neuen RDP Zertifikatvorlage ist nur noch die Anwendungsrichtlinie "RDP Authentifizierung" zugewiesen.

Im Reiter "Sicherheit" ist schließlich sicherzustellen, dass bei der gewünschten Computergruppe, die das Zertifikat beziehen soll, der Haken "Registrieren" bei "Domänencomputer" gesetzt ist. Weil ich möchte, dass jeder Client bzw. Server in der Domäne ein RDP Zertifikat beziehen soll, muss ich hier nichts ändern.

CA RDP Zertifikatvorlage Berechtigungen anpassen
Die Berechtigung "Registrieren" steuert, wer die neue Zertifikatsvorlage benutzen darf.

Zurück in der Zertifizierungsstelle kann nun eine neue "Auszustellende Zertifikatvorlage" erstellt werden:

CA RDP Zertifikatvorlage erstellen
Die neue RDP Zertifikatvorlage ist als "Auszustellende Zertifikatvorlage" hinzuzufügen.

Nachdem aus der Liste "RDP" ausgewählt wurde, erscheint es schließlich bei den Zertifikatvorlagen und steht fortan zur Verfügung:

CA RDP Zertifikatvorlagen
Die neue Zertifikatvorlage "RDP" ist nun erstellt und verfügbar.

Zertifikat per GPO verteilen

Die gesuchte GPO ist unter folgendem Pfad zu finden: Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopsitzungs-Host -> Sicherheit. Dort ist die Richtlinie "Zertifikatvorlage für Serverauthentifizierung" zu aktivieren und als Zertifikatvorlagenname der Name der Vorlage, in meinem Fall etwa "RDP", einzutragen:

CA GPO RDP Zertifikatvorlage
Die neue Vorlage kann per GPO verteilt werden.

Nach einer Weile sollte auf allen Domänencomputern im Netzwerk das neue Zertifikat auftauchen:

CA RDP Zertifikat
Das RDP Zertifikat taucht auf den Domänenmitgliedern im Zertifikatsspeicher auf.
Wer nicht warten möchte bis das Zertifikat von alleine auftaucht, kann auch ein "gpupdate /force" absetzen und den Dienst "Remotedesktopdienste" auf den entsprechenden Geräten neu starten.

Zertifikat manuell registrieren

Das RDP Zertifikat kann auch manuell auf den gewünschten Domänencomputern registriert werden. Das geht bei den Computerzertifikaten per Kontextmenü:

MMC RDP Zertifikat anfordern
Das RDP Zertifikat kann über die MMC angefordert werden.

Nach zwei Klicks auf "Weiter" kann die entsprechende Vorlage "RDP" ausgewählt werden:

MMC RDP Zertifikat anfordern
Das RDP Zertifikat kann über die MMC registriert werden.

Nach einem Klick auf "Registrieren", wird das Zertifikat schließlich installiert und taucht in der Übersicht auf:

CA RDP Zertifikat
Das RDP Zertifikat taucht schließlich im Zertifikatsspeicher von Windows auf.

Verifizierung mit Nessus

Dass das Zertifikat nun erfolgreich verteilt wurde, kann beispielsweise mit einem Vulnerability Scanner wie Nessus geprüft werden. Vor der Konfiguration hat Nessus immer zwei Sicherheitswarnungen in Zusammenhang mit RDP angezeigt:

Nessus SSL (Multiple Issues)
Nessus hat bei jedem Scan zwei SSL-Fehler in Zusammenhang mit aktiviertem RDP angezeigt.
Nessus RDP SSL Certificate Cannot Be Trusted Port 3389
Nessus SSL Certificate Cannot Be Trusted für Port 3389
Nessus RDP SSL Self-Signed Certificate Port 3389
Nessus SSL Self-Signed Certificate für Port 3389

Nach der Umstellung der RDP Zertifikate zeigt Nessus statt der zwei Zertifikatsfehler nur noch eine Information an:

Nessus RDP SSL Certificate Information Port 3389
Aus den zwei Zertifikatsfehlern ist in Nessus nur noch eine SSL Certificate Information geworden.

Weiterführende Links
https://docs.microsoft.com/en-us/answers/questions/337852/remove-custom-application-policy-from-ca.html

Quellen
https://aventistech.com/2019/08/08/replace-rdp-default-self-sign-certificate/

Seit mehreren Jahren begeistere ich mich privat und beruflich für die IT. Das habe ich dann auch zum Anlass genommen, diesen Blog ins Leben zu rufen, um dort praxisnahe Tutorials über verschiedene IT-Themen zu schreiben und meine selbst geschriebene Software zu veröffentlichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert