我有一个 AD 设置,显然存在与证书服务功能相关的漏洞。回想一下我参加过的 MS Server 课程,我什么都不记得了,所以我在网上搜索了一下,我倾向于“不”。
我不会在内部为任何东西生成证书 - 允许工作站进行自签名,并且我的父组织有一些步骤可以在我们的服务器上本地生成证书请求,以将其传递给第三方 CA。这似乎是ADCS的主要功能,我似乎没有使用它。
用户不使用 PKI,只使用用户名和密码,而且似乎 ADCS 与验证与智能卡令牌关联的 CA 有关。我可能记错了,这与此无关。
那么仅删除 ADCS 是否安全?我相信如果您将某些东西提升到域控制器(或至少添加角色),它只是默认安装,但我想不出任何时候我与它进行过交互。
DC 运行 Server 2012 和 2019(前者将在不久的将来某个时候被淘汰,将被 Server 2019 取代)。
删除 Active Directory 证书服务是安全的。如果您不将其用于任何认证,则可以将其删除。最近,当我们更改域控制器和 DHCP 服务器时,我们在公司中删除了它,一切正常。