微软发布Windows Admin Center基于证书认证指南

微软发布了针对Windows Admin Center（WAC）实施基于证书认证的全面指南，通过智能卡集成和Active Directory证书服务为管理员提供增强的安全性。

这种认证方法通过要求管理员在访问管理网关前出示有效证书，显著加强了访问控制，有效在传统密码之外增加了强大的第二认证因素。

基于证书的认证设置

步骤1：准备Active Directory和证书服务

• 确保环境满足所有先决条件，Windows Admin Center网关和管理工作站已加入Active Directory域
• 部署作为企业证书颁发机构的Active Directory证书服务（AD CS），该机构需被域信任以颁发智能卡证书
• 为管理员提供物理智能卡和读卡器，或配置能够安全存储登录证书的TPM支持虚拟智能卡
• 用CA颁发的匹配网关DNS名称的正确SSL证书替换WAC默认的自签名网关证书
• 确认域控制器具有有效的Kerberos PKINIT证书并可访问证书吊销列表分发点以进行证书验证

步骤2：配置AD CS智能卡登录模板

• 在证书模板控制台中复制内置的智能卡登录模板以创建或复制智能卡登录证书模板
• 配置名为"IT管理员智能卡登录"的新模板，设置强加密设置包括2048位或更高密钥长度和PIN提示
• 将主题名称设置为从Active Directory信息构建，使用用户主体名称（UPN）进行正确的证书映射
• 包含智能卡登录扩展密钥用法（OID 1.3.6.1.4.1.311.20.2.2）并向需要证书的管理员组授予注册权限
• 在CA上发布模板并使用certmgr.msc注册每个管理员的智能卡，验证证书信任关系

步骤3：启用认证机制保障

• 在Active Directory中创建名为"WAC-CertAuth-Required"的通用安全组，不添加任何直接成员以进行AMA控制
• 使用ADSI编辑导航到CN=Services,CN=Configuration下的配置分区CN=Public Key Services，并定位OID容器
• 找到其msPKI-Cert-Template-OID属性与证书模板OID匹配的对象并记下对象标识符
• 将该OID对象的msDS-OIDToGroupLink属性设置为"WAC-CertAuth-Required"组的可分辨名称
• 此映射确保域控制器仅在用户使用智能卡证书认证时动态将组包含在用户的Kerberos令牌中

步骤4：配置和测试Windows Admin Center

• 访问Windows Admin Center设置面板，配置Active Directory作为网关认证的身份提供者
• 在用户访问下添加管理组以限制网关访问，并指定"WAC-CertAuth-Required"作为智能卡强制组
• 应用配置使WAC要求同时具备管理组成员资格和基于证书的认证组成员资格
• 测试仅密码登录尝试应导致HTTP 401/403拒绝，然后测试智能卡证书登录应授予无缝访问
• 使用whoami /groups验证设置以确认组成员资格，并查看WAC事件日志以检查认证事件

该实施为组织提供了企业级安全控制，用于Windows基础设施管理，确保管理访问需要适当的授权和基于证书的认证因素。

这种全面方法通过智能卡集成显著降低了安全风险，同时保持了管理效率。