Sdílet prostřednictvím

Posouzení zabezpečení: Úprava nastavení zranitelné certifikační autority (ESC6) (Preview)

  • Článek

Tento článek popisuje sestavu nastavení ohrožené certifikační autority v programu Microsoft Defender for Identity.

Co jsou ohrožená nastavení certifikační autority?

Každý certifikát je přidružený k entitě prostřednictvím pole předmětu. Certifikát ale obsahuje také pole alternativního názvu subjektu (SAN), které umožňuje, aby certifikát byl platný pro více entit.

Pole SAN se běžně používá pro webové služby hostované na stejném serveru, které podporují použití jednoho certifikátu HTTPS místo samostatných certifikátů pro každou službu. Pokud je konkrétní certifikát platný i pro ověřování, obsahující odpovídající EKU, jako je ověřování klienta, je možné ho použít k ověření několika různých účtů.

Neprivilegovaní uživatelé, kteří můžou určit uživatele v nastavení sítě SAN, můžou vést k okamžitému ohrožení a povedou k velkému riziku pro vaši organizaci.

Pokud je příznak SLUŽBY AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 zapnutý, může každý uživatel zadat nastavení sítě SAN pro žádost o certifikát. To zase ovlivňuje všechny šablony certifikátů, ať už mají zapnutou Supply in the request nebo ne.

Pokud je šablona, ve které EDITF_ATTRIBUTESUBJECTALTNAME2 je nastavení zapnuté a šablona je platná pro ověřování, může útočník zaregistrovat certifikát, který může zosobnit libovolný účet.

Požadavky

Toto posouzení je dostupné jenom zákazníkům, kteří nainstalovali senzor na server AD CS. Další informace najdete v tématu Nový typ senzoru pro službu Active Directory Certificate Services (AD CS).

Návody toto posouzení zabezpečení použít ke zlepšení stavu zabezpečení organizace?

  1. Projděte si doporučenou akci https://security.microsoft.com/securescore?viewid=actions pro úpravu ohrožených nastavení certifikační autority. Příklad:

    Screenshot of the Edit vulnerable Certificate Authority setting (ESC6) recommendation.

  2. Zjistěte, proč EDITF_ATTRIBUTESUBJECTALTNAME2 je nastavení zapnuté.

  3. Vypněte nastavení spuštěním příkazu:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Restartujte službu spuštěním následujícího příkazu:

    net stop certsvc & net start certsvc

Před zapnutím nastavení v produkčním prostředí nezapomeňte otestovat nastavení v řízeném prostředí.

Poznámka:

I když se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit během několika minut od implementace doporučení aktualizuje, může tento stav chvíli trvat, než se označí jako Dokončeno.

Sestavy zobrazují ovlivněné entity za posledních 30 dnů. Po uplynutí této doby se entity ze seznamu vystavených entit odeberou.

Další kroky