我有一个 AD 设置,显然存在与证书服务功能相关的漏洞。回想我参加过的 MS Server 课程,我不记得任何有关它的内容,所以我在网上搜索了一下,我倾向于“没有”。
我不会在内部为任何事物生成证书 - 工作站可以自行签名,并且我的上级组织有步骤可遵循,在我们的服务器上本地生成证书请求,然后将其传递给第三方 CA。这似乎是 ADCS 的主要功能,但我似乎没有使用它。
用户不使用 PKI,只使用用户名和密码,ADCS 似乎与验证与智能卡令牌相关的 CA 有关。我可能弄错了,它与此无关。
那么直接删除 ADCS 安全吗?我相信如果您将某个东西提升为域控制器(或至少添加角色),它就会默认安装,但我想不起我与它交互过的任何时间。
DC 运行 Server 2012 和 2019(前者在不久的将来将被淘汰,由 Server 2019 取代)。
答案1
删除 Active Directory 证书服务是安全的。如果您不将其用于任何认证,则可以将其删除。我们最近在公司更改域控制器和 DHCP 服务器时将其删除,一切运行正常。