{"id":294586,"date":"2024-04-22T00:03:00","date_gmt":"2024-04-21T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294586"},"modified":"2024-05-10T09:57:26","modified_gmt":"2024-05-10T07:57:26","slug":"speichert-intune-on-premises-ca-zertifikate-dauerhaft-in-der-cloud","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/22\/speichert-intune-on-premises-ca-zertifikate-dauerhaft-in-der-cloud\/","title":{"rendered":"Speichert Intune On-Premises CA-Zertifikate dauerhaft in der Cloud?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Cloud\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/05\/05\/does-intune-store-on-premises-ca-certificates-permanently-in-the-cloud\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Gute Frage, die ein Administrator von Microsoft Intune aufgeworfen hat. Der Mann hatte Probleme mit Zertifikaten und hat etwas genauer hingeschaut. Es sieht so aus, als ob Intune die f\u00fcr On-Premises-Systeme generierten CA-Zertifikate dauerhaft in der Cloud speichert. Ein weiterer Intune-Administrator hat mich auf den betreffenden Beitrag auf reddit.com hingewiesen. Es stellt sich die Frage, ob das best\u00e4tigt werden kann.<\/p>\n<p><!--more--><\/p>\n<h2>Intune zur Ger\u00e4teverwaltung<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/6001348e39a0471c820befe31e137605\" alt=\"\" width=\"1\" height=\"1\" \/>Microsoft <a href=\"https:\/\/de.wikipedia.org\/wiki\/Microsoft_Intune\" target=\"_blank\" rel=\"noopener\">Intune<\/a> ist eine Software zum Cloud Computing der Firma Microsoft. Sie dient der Verwaltung von PC und mobilen Endger\u00e4ten \u00fcber das Internet und wurde 2011 vorgestellt. Microsoft beschreibt Intune in <a href=\"https:\/\/learn.microsoft.com\/de-de\/mem\/intune\/fundamentals\/what-is-intune\" target=\"_blank\" rel=\"noopener\">diesem Supportbeitrag<\/a> als L\u00f6sung, die Identit\u00e4ten Apps und Ger\u00e4te sicher verwaltet.<\/p>\n<p>Microsoft Intune sei eine cloudbasierte Endpunktverwaltungsl\u00f6sung, die den Benutzerzugriff auf Organisationsressourcen verwaltet und die App- und Ger\u00e4teverwaltung auf vielen Ger\u00e4ten (einschlie\u00dflich mobiler Ger\u00e4te, Desktopcomputer und virtueller Endpunkt) vereinfacht.<\/p>\n<h2>Ein Leserhinweis und eine Vermutung<\/h2>\n<p>Es war nur eine kurze Mail, die mich vor Stunden erreichte (Danke daf\u00fcr). Die Nachricht enthielt die Information \"Auf Reddit habe ich etwas <a href=\"https:\/\/www.reddit.com\/r\/Intune\/comments\/1c8qlc2\/stores_intune_onpremise_ca_generated_certificates\/\" target=\"_blank\" rel=\"noopener\">interessantes gefunden<\/a>. Das passt zu den aktuellen Schlagzeilen rund um Microsoft und Sicherheit.\" Der Hintergrund: Auf der Plattform reddit.com hat ein Intune-Administrator etwas zu seinen Erfahrungen und Analysen gepostet und die Frage \"Speichert Intune vor Ort generierte CA-Zertifikate dauerhaft in der Cloud?\" aufgeworfen.<\/p>\n<h2>Eine Beobachtung<\/h2>\n<p>Der betreffende Intune-Administrator hatte in seiner Umgebung Probleme mit Zertifikaten von iOS PKCS und Wi-Fi Profilen und begann darauf hin, die Sache n\u00e4her zu untersuchen. W\u00e4hrend der Analyse der Zertifikatsprobleme erhielt der Betroffene vom Support die Aufgabe, die Profile vor\u00fcbergehend \u00fcber \"Ausgeschlossene Gruppen\" zu entfernen, auf die Anwendung von \u00c4nderungen auf dem Ger\u00e4t zu warten und das Profil erneut bereitzustellen. Dabei machte der Administrator eine \u00fcberraschende Feststellung:<\/p>\n<ul>\n<li>das alte Ger\u00e4tezertifikat nicht widerrufen wurde<\/li>\n<li>dass das gleiche Ger\u00e4tezertifikat mit identischem Thumbprint angewendet wurde<\/li>\n<\/ul>\n<p>Also pr\u00fcfte der Administrator in einem weiteren Schritt auf den Servern mit installiertem \"Certificate Connector\":<\/p>\n<ul>\n<li>das dort gespeicherte Ereignisprotokoll sowie den<\/li>\n<li>Microsoft Intune\\PFXCertificateConnector\\PfxRequest-Ordner,<\/li>\n<\/ul>\n<p>um zu sehen, wann Intune das ausgestellte Zertifikat beim On-Premise Microsoft AD CS anfordert. Der Administrator fand aber keine Anforderung in den Protokollen. Die Zertifikate mussten von einem anderen Ort bezogen werden. Dann hat der Betroffene einen Test gefahren, den er auf reddit.com beschreibt.<\/p>\n<p>Es sieht so aus, als ob die Ger\u00e4tezertifikate direkt in Microsoft Intune in der Cloud gespeichert werden. Der Betroffene fragt, ob andere Anwender diese Beobachtung ebenfalls gemacht haben. Der Administrator merkt an: \"Warum sollte es f\u00fcr ein MDM notwendig sein, Ger\u00e4tezertifikate dauerhaft auf der Management Plattform selbst zu speichern? Zumindest ist es mir bei anderen MDMs noch nicht aufgefallen.\"<\/p>\n<p>Normalerweise sollten solche Zertifikate doch nur bei einer Zertifizierungsstelle (CA) dauerhaft gespeichert werden, oder? Es ergeben sich sofort fragen wie: Was ist, wenn die Zertifikate nicht bei der \"gut gesicherten\" Zertifizierungsstelle vor Ort verloren gehen oder gestohlen werden, sondern an einem anderen, weniger gut gesicherten Ort? Ist es dann immer noch sinnvoll, eine zertifikatsbasierte Authentifizierung zu verwenden? Der Administrator spielt auf Microsofts Cloud-Hacks durch Storm-0558 und Midnight Blizzard an.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/13\/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt\/\">China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/17\/nachlese-zum-storm-0558-cloud-hack-microsoft-tappt-noch-im-dunkeln\/\">Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/20\/microsoft-stellt-kunden-nach-cisa-intervention-erweitertes-logging-in-der-cloud-bereit\/\">Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/22\/gau-geklauter-aad-schlssel-ermglichte-storm-0558-weitreichenden-zugang-zu-microsoft-cloud-diensten\/\">GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/20\/microsoft-durch-russische-midnight-blizzard-gehackt-e-mails-seit-nov-2023-ausspioniert\/\">Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/25\/firma-hpe-von-midnight-blizzard-seit-mai-2023-gehackt\/\">Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/03\/09\/microsoft-besttigt-russische-spione-midnight-blizzard-haben-quellcode-beim-zugriff-auf-systeme-gestohlen\/\">Microsoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/03\/18\/midnight-blizzard-hack-bei-microsoft-us-behrden-und-grokunden-suchen-alternativen\/\">Midnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/04\/12\/us-behrde-cisa-verdonnert-admins-zur-entschrfung-der-cyberrisiken-der-microsoft-cloud\/\">US-Beh\u00f6rde CISA verdonnert Admins zur \"Entsch\u00e4rfung der Cyberrisiken\" der Microsoft Cloud<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Gute Frage, die ein Administrator von Microsoft Intune aufgeworfen hat. Der Mann hatte Probleme mit Zertifikaten und hat etwas genauer hingeschaut. Es sieht so aus, als ob Intune die f\u00fcr On-Premises-Systeme generierten CA-Zertifikate dauerhaft in der Cloud speichert. Ein weiterer &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/04\/22\/speichert-intune-on-premises-ca-zertifikate-dauerhaft-in-der-cloud\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,731,426,301],"tags":[1171,3081,4647,4328,3288],"class_list":["post-294586","post","type-post","status-publish","format-standard","hentry","category-cloud","category-gerate","category-sicherheit","category-windows","tag-cloud","tag-geraete","tag-intune","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294586","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294586"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294586\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294586"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294586"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294586"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}