Speichert Intune On-Premises CA-Zertifikate dauerhaft in der Cloud?

Publiziert am 22. April 2024 von Günter Born

[English]Gute Frage, die ein Administrator von Microsoft Intune aufgeworfen hat. Der Mann hatte Probleme mit Zertifikaten und hat etwas genauer hingeschaut. Es sieht so aus, als ob Intune die für On-Premises-Systeme generierten CA-Zertifikate dauerhaft in der Cloud speichert. Ein weiterer Intune-Administrator hat mich auf den betreffenden Beitrag auf reddit.com hingewiesen. Es stellt sich die Frage, ob das bestätigt werden kann.

Anzeige

Intune zur Geräteverwaltung

Microsoft Intune ist eine Software zum Cloud Computing der Firma Microsoft. Sie dient der Verwaltung von PC und mobilen Endgeräten über das Internet und wurde 2011 vorgestellt. Microsoft beschreibt Intune in diesem Supportbeitrag als Lösung, die Identitäten Apps und Geräte sicher verwaltet.

Microsoft Intune sei eine cloudbasierte Endpunktverwaltungslösung, die den Benutzerzugriff auf Organisationsressourcen verwaltet und die App- und Geräteverwaltung auf vielen Geräten (einschließlich mobiler Geräte, Desktopcomputer und virtueller Endpunkt) vereinfacht.

Ein Leserhinweis und eine Vermutung

Es war nur eine kurze Mail, die mich vor Stunden erreichte (Danke dafür). Die Nachricht enthielt die Information "Auf Reddit habe ich etwas interessantes gefunden. Das passt zu den aktuellen Schlagzeilen rund um Microsoft und Sicherheit." Der Hintergrund: Auf der Plattform reddit.com hat ein Intune-Administrator etwas zu seinen Erfahrungen und Analysen gepostet und die Frage "Speichert Intune vor Ort generierte CA-Zertifikate dauerhaft in der Cloud?" aufgeworfen.

Eine Beobachtung

Der betreffende Intune-Administrator hatte in seiner Umgebung Probleme mit Zertifikaten von iOS PKCS und Wi-Fi Profilen und begann darauf hin, die Sache näher zu untersuchen. Während der Analyse der Zertifikatsprobleme erhielt der Betroffene vom Support die Aufgabe, die Profile vorübergehend über "Ausgeschlossene Gruppen" zu entfernen, auf die Anwendung von Änderungen auf dem Gerät zu warten und das Profil erneut bereitzustellen. Dabei machte der Administrator eine überraschende Feststellung:

Anzeige
  • das alte Gerätezertifikat nicht widerrufen wurde
  • dass das gleiche Gerätezertifikat mit identischem Thumbprint angewendet wurde

Also prüfte der Administrator in einem weiteren Schritt auf den Servern mit installiertem "Certificate Connector":

  • das dort gespeicherte Ereignisprotokoll sowie den
  • Microsoft Intune\PFXCertificateConnector\PfxRequest-Ordner,

um zu sehen, wann Intune das ausgestellte Zertifikat beim On-Premise Microsoft AD CS anfordert. Der Administrator fand aber keine Anforderung in den Protokollen. Die Zertifikate mussten von einem anderen Ort bezogen werden. Dann hat der Betroffene einen Test gefahren, den er auf reddit.com beschreibt.

Es sieht so aus, als ob die Gerätezertifikate direkt in Microsoft Intune in der Cloud gespeichert werden. Der Betroffene fragt, ob andere Anwender diese Beobachtung ebenfalls gemacht haben. Der Administrator merkt an: "Warum sollte es für ein MDM notwendig sein, Gerätezertifikate dauerhaft auf der Management Plattform selbst zu speichern? Zumindest ist es mir bei anderen MDMs noch nicht aufgefallen."

Normalerweise sollten solche Zertifikate doch nur bei einer Zertifizierungsstelle (CA) dauerhaft gespeichert werden, oder? Es ergeben sich sofort fragen wie: Was ist, wenn die Zertifikate nicht bei der "gut gesicherten" Zertifizierungsstelle vor Ort verloren gehen oder gestohlen werden, sondern an einem anderen, weniger gut gesicherten Ort? Ist es dann immer noch sinnvoll, eine zertifikatsbasierte Authentifizierung zu verwenden? Der Administrator spielt auf Microsofts Cloud-Hacks durch Storm-0558 und Midnight Blizzard an.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
US-Behörde CISA verdonnert Admins zur "Entschärfung der Cyberrisiken" der Microsoft Cloud

Anzeige
Dieser Beitrag wurde unter Cloud, Geräte, Sicherheit, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Speichert Intune On-Premises CA-Zertifikate dauerhaft in der Cloud?

  1. Luzifer sagt:
    22. April 2024 um 05:56 Uhr

    Naja Sicherheit versteht Microsoft eben etwas anders als der Rest der Welt:
    MS stellt sicher das MS sicher an die Daten seiner Kunden kommt! ;-P

    Antworten
  2. Fritz sagt:
    22. April 2024 um 07:22 Uhr

    In diesem Artikel geht einiges im Wording durcheinander, welches (zumindest mir) beim Lesen das Verständnis erschwert.

    Zunächst mal: ein Zertifikat ist nichts Geheimes. Es wird vom Inhaber sowieso zur Prüfung vorgezeigt und viele große Zertifizierungsstellen betreiben auch eine Website zur Abfrage aller jemals ausgestellten Zertifikate, bei Let's Encrypt zum Beispiel ist das https://crt.sh/.

    Spanndender, weil wirklich geheim ist der private Schlüssel zu diesem Zertifikat, den man z.B. braucht um sich damit auszuweisen. Den sollte – wie der Name schon sagt – der Inhaber geheim halten.

    Kommt Hardware in der PKI zum Einsatz, wird dieser Schlüssen oft so abgelegt, daß in NIEMAND (auch der Eigentümer nicht) jemals im Klartext sieht. Entweder liegt er auf einer Smartcard, einem Hardware-Token oder im berühmt-berüchtigten TPM. Lediglich wenn nichts davon vorhanden ist, kommt ein Software-Store zum Einsatz, den man aber auch noch auf verschiedene Arten schützen kann (etwa indem man bei jedem Signiervorgang das Paßwort des Nutzers oder eine andere zugelassene Authentifizierungsmethode wie etwa Windows Hello) abfragt oder auch indem man den Schlüssel als "nicht exportierbar" markiert.

    Zur Überprüfung muß man natürlich das Zertifikat des Nutzers anschauen, bei den oben angesprochenen Unternehmens-PKI auch noch die Kette eventueller Zuwischenzertifikate und das Stammzertifikat des betreffenden Unternehmens (ist das nicht von einer "globalen" CA wie etwa Verisign authentifiziert muß es auch noch speziell als "vertrauenswürdig" für alle Zertifikate dieses Unternehmens markiert sein, bei Windows indem man es in den entsprechenden Container für vertrauenswürdige Stammzertifizierungsstellen ablegt).

    InTune macht da nichts anderes als die lokale CA (ein Rollendienst auf einem Windows-Server) und muß natürlich die genannten Zertifikate vorhalten.

    Ohne privaten Schlüssel (das ist der eigentliche Knackpunkt) kann es diese Zertifikate überprüfen, aber eben keine neuen ausstellen oder bestehende verlängern und sich auch nicht als der eigentliche Zertifikatsinhaber "impersonieren".

    Das irritiert mich ein wenig an der obigen Lesereinsendung – es wird nirgendwo gesagt, ob der private Schlüssel da irgendwo auch gespeichert wird.

    Antworten
  3. Bob sagt:
    22. April 2024 um 09:44 Uhr

    Ich stimme dem Kommentar von Fritz zu: Das Wording hinsichtlich "Zertifikaten" ist etwas schwammig.
    Gemeint ist wohl tatsächlich der Private key des Computer-Zertifikats.
    Aus dem Artikel geht leider nicht hervor, ob dieser vom Device gelöscht wurde.
    Wenn dieser nicht vom Device gelöscht wurde, ist klar, weshalb er immer noch da ist.
    Denn das Löschen eines WLAN-Profils löscht nicht die Zertifikate im Windows Zertifikatsspeicher.
    Das muss also nicht heißen, dass da irgendein private key in der Cloud gespeichert wäre.
    Das ist meines Erachtens bislang eine reine Mutmaßung, die vermutlich falsch ist.
    Zumindest nach den Informationen im Artikel.
    Lasse mich aber auch des besseren Belehren.

    Antworten
    • Darkfader sagt:
      22. April 2024 um 15:30 Uhr

      Genau, klingt für mich auch so, als ob es im Zertikatsspeicher geblieben ist.
      Man kann kritisch sehen, dass es bei dem "exclude" nicht weggezogen wurde, aber das ist ja nicht, was er bemängelt (und auch nicht gerade trivial in den möglichen Folgen)

      Antworten
  4. Michael sagt:
    22. April 2024 um 10:39 Uhr

    Das Zertifikat wird sicher nicht gelöscht beim entfernen der Intune Profile. Ich denke es wird kein neues Zertifikat ausgestellt, da das alte nie entfernt wird.

    Zusätzlich sollte in diesem Scenario besser auf SCEP gesetzt werden. Hier verlässt der private Key niemals das Endgerät und kann somit nirgends zwischengespeichert werden.
    Bei PKCS wird der Key am Connector erstellt und vom Service Account exportiert und Richtung Intune geschickt.

    Antworten
  5. AP sagt:
    23. April 2024 um 12:23 Uhr

    Hallo,

    Kann das auch bestätigen. Wir verwenden den Intune für MacOS Verwaltung, nur die Macs bekommen die PKCS Certs übers Intune. Windows Maschinen noch direkt per CA.

    Es gibt auch keine Möglichkeit die Certs übers Intune zu löschen, bisher habe ich nichts dazu gefunden.

    Bei den Macs wird der Cert schon aus der Keychain gelöscht, sowie das Profil.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.