Agregar Caracteristica de AD-CS en Windows Server#
Si dentro del panel de Administracion del Servidor tienes lo siguienteSignifica que ya tienes instalada la caracteristica y puedes pasar al paso siguiente.
Abrimos la ventana de ejecucion y escribimos certsrv.msc esto abrira la entidad de certificacion de Active Directory
Click derecho en la Plantilla de Certificados y picamos en Administrar
Veremos varias plantillas de certificados, Duplicaremos la plantilla Firma de Codigo
Editamos las propiedades en la seccion general, le vamos a dar un nombre que podamos identificarlo facilmente, el nombre sera Custom_ESC1Luego nos vamos a la solapa de Nombre del Sujeto y seleccionamos la opcion: proporcionado por el solicitante
Warning! Windows ya nos emitira un cuadro de dialogo, advirtiendonos que la configuracion puede ser un riesgo potencial de seguridad. Cuidadito
Navegamos a la solapa de seguridad, donde pdemos ver los usuarios y grupos.En este caso modificaremos los permisos del grupo Usuarios del dominio para que cualquier usuario pueda solicitar un certificado.Para ello picamos en Agregar
Escribimos usuarios del dominio y le damos a aceptar
Es este punto ya tendriamos agregado el grupo de usuarios del dominio, luego de ello le damos permiso de inscripcion y le damos a aplicar
Ahora nos vamos a la solapa de Extensiones, seleccionamos la directiva de aplicaciones y le damos a modificar
Le damos a agregar en el cuadro
Dentro de las politicas debemos seleccionar Autenticacion del cliente justamente esta politica es la que esta asociada a la vulnerabilidad ESC1 si no se controlan los permisos
Luego de agregar la politica le damos a Aceptar
Verificamos que la politica se haya agregado, visualizando la descripcion de las directivas.
Ya configurada la plantilla, debemos publicarla en el certificado.Regresamos a la ventana de la Autoridad de Certificación (certsrv.msc). Hacemos click con el botón derecho en Plantillas de Certificado → Nuevo → Plantilla de Certificado para Emitir.
Buscamos la plantilla vulnerable en la lista y selecciónamos, en nuestro caso la creamos como Custom_ESC1.
En este punto, es crucial comprender por qué esta plantilla es vulnerable. Esto se debe a que comenzamos a tener una configuración incorrecta como:
Permitir la manipulación del nombre alternativo del sujeto (SAN) → Los atacantes pueden solicitar un certificado como administrator@dc.luc4s
Este problema ocurre en la Administración de Plantillas de Certificado (certtmpl.msc), en la configuración de Gestión de Solicitudes de la plantilla. El error radica en que la opción Incluir en la solicitud permite a los usuarios especificar cualquier Nombre Alternativo del Sujeto (SAN), lo que permite a los atacantes solicitar certificados para cuentas de administrador, de dominio o de servicio.
Hacer accesible a todos los usuarios del dominio → Cualquier usuario del dominio que pertenezca al grupo de usuarios del dominio puede inscribirse.
Este problema ocurre al crear o modificar una plantilla de certificado en certsrv.msc o al configurar los “Permisos de inscripción” en Usuarios y equipos de Active Directory (ADUC). El error radica en permitir que el grupo Usuarios del dominio se inscriba en la plantilla o en otorgar permisos de “Inscripción” o “Inscripción automática” a todos los miembros del grupo.
No se necesita aprobación adicional → No se requiere intervención del administrador para emitir un certificado.
Este problema ocurre en la MMC de la autoridad de certificación (certsrv.msc), en “Propiedades de la plantilla de certificado”. El error permite la emisión de certificados sin aprobación manual, lo que permite a los atacantes solicitar un certificado de administrador sin generar alertas.
Esta configuración hace posible el ataque ESC1, donde un usuario con pocos privilegios puede solicitar un certificado para una cuenta privilegiada, autenticarse usándolo y escalar privilegios.
