Каковы риски добавления стороннего сертификата корневого центра сертификации в хранилище NTAuth?
Каковы риски, связанные с импортом стороннего сертификата корневого ЦС в Enterprise NTAuth Store в домене Windows, за исключением того, что в этом случае ЦС доверяет выпускать сертификаты?
Это сделано в целях тестирования, чтобы исправить проблему с беспроводными клиентами, получающими предупреждение системы безопасности Windows при подключении к беспроводной сети и аутентификации через новый сервер NPS, работающий на WS2012 R2.
Сертификат корневого ЦС уже присутствует в компьютерном магазине клиентских машин под Надежные корневые центры сертификации, но окно все равно появляется при первой попытке подключения.
Цель - избавиться от всплывающего окна:
РЕДАКТИРОВАТЬ: Я немного уточню.
Цели:
- разрешить подключенным к домену устройствам проходить аутентификацию через NPS;
- использовать сторонний сертификат;
- пользователи не должны получать всплывающее окно с предупреждением о безопасности;
NPS на WS2012R2 используется. PEAP / MsCHAPv2 используется для аутентификации.
В вопросе несколько моментов.
Во-первых, хранилище NTAuth используется для хранения *выдача * Сертификаты ЦС, которые могут выдавать сертификаты входа в систему (когда сертификат клиента сопоставляется с учетной записью пользователя в Active Directory во время аутентификации). Если сертификат CA представлен в этом хранилище, он сможет выдавать сертификаты, которые могут олицетворять любую учетную запись пользователя. Риск очевиден, и я бы не стал доверять ни одному CA, находящемуся вне контроля компании.
Представленное диалоговое окно сообщает, что эмитент представленного сертификата RADIUS не настроен в *беспроводной / VPN * профиль.
Что вам нужно сделать, так это настроить беспроводное соединение следующим образом: 
в поле 2 вы можете указать жестко запрограммированный список доверенных серверов RADIUS. В поле 3 вы можете указать доверенные корневые центры, которым разрешено выдавать сертификаты серверам RADIUS для этого профиля.
Другими словами, если вы подключаетесь к RADIUS, указанному в поле 2, и цепочка сертификатов RADIUS до любого выбранного корневого ЦС в поле 3, вы будете подключаться без вывода сообщений (без диалогового окна с предупреждением). Если какое-либо из требований не выполняется, вы получите диалоговое окно с предупреждением.
В доменной среде вы можете предварительно настроить профили беспроводной сети с помощью групповых политик: http://blogs.technet.com/b/networking/archive/2012/05/30/creating-a-secure-802-1x-wireless-infrastructure-using-microsoft-windows.aspx
Хранилище NTAuth - это центральное хранилище сертификатов, хранящихся в Active Directory, которым должны доверять все члены леса / домена.
Существует определенный риск, связанный с каждым сертификатом, которому вы доверяете. Обычно это очень небольшая сумма, но она не равна нулю.
Причина, по которой это рискованно, как и в реальной жизни, заключается в том, что всякий раз, когда вы кому-то доверяете, существует риск того, что ваше доверие может быть обманутым или окажется неуместным. Это могло произойти злонамеренно или случайно.
Центр сертификации может быть взломан или иным образом произошла утечка его закрытого ключа, и в этот момент хакеры имеют возможность выдавать себя за центр сертификации, которому вы безоговорочно доверяете.
Однако, как я уже сказал, риск обычно невелик, и каждый из нас принимает на себя его каждый день.