Sdílet prostřednictvím

Posouzení zabezpečení: Zabránit uživatelům v vyžádání certifikátu platného pro libovolné uživatele na základě šablony certifikátu (ESC1) (Preview)

  • Článek

Tento článek popisuje, jak zabránit uživatelům v programu Microsoft Defender for Identity požadovat certifikát platný pro libovolné uživatele na základě sestavy posouzení stavu zabezpečení identity (ESC1).

Co jsou žádosti o certifikáty pro libovolné uživatele?

Každý certifikát je přidružený k entitě prostřednictvím pole předmětu. Certifikáty ale také obsahují pole alternativního názvu subjektu (SAN), které umožňuje, aby certifikát byl platný pro více entit.

Pole SAN se běžně používá pro webové služby hostované na stejném serveru, které podporují použití jednoho certifikátu HTTPS místo samostatných certifikátů pro každou službu. Pokud je konkrétní certifikát platný i pro ověřování, obsahující odpovídající EKU, jako je ověřování klienta, je možné ho použít k ověření několika různých účtů.

Pokud je u šablony certifikátu zapnutá možnost Dodat v žádosti , je šablona zranitelná a útočníci můžou zaregistrovat certifikát, který je platný pro libovolné uživatele.

Důležité

Pokud je certifikát také povolený pro ověřování a neexistují žádná opatření pro zmírnění rizik, jako je schválení správce nebo povinné autorizované podpisy, je šablona certifikátu nebezpečná, protože umožňuje všem neprivilegovaným uživatelům převzít libovolný uživatel, včetně uživatele správce domény.

Toto konkrétní nastavení je jedním z nejběžnějších chybných konfigurací.

Návody toto posouzení zabezpečení použít ke zlepšení stavu zabezpečení organizace?

  1. Projděte si doporučenou akci https://security.microsoft.com/securescore?viewid=actions pro žádosti o certifikát pro libovolné uživatele. Příklad:

    Screenshot of the Prevent users to request a certificate valid for arbitrary users based on the certificate template (ESC1) recommendation.

  2. Pokud chcete napravit požadavky na certifikáty pro libovolné uživatele, proveďte alespoň jeden z následujících kroků:

    • Vypněte možnost Zadat v konfiguraci požadavku .

    • Odeberte všechny jednotky EKU, které umožňují ověřování uživatelů, jako je ověřování klientů, přihlášení pomocí čipové karty, ověřování klienta PKINIT nebo jakýkoli účel.

    • Odeberte nadměrně přístupná oprávnění k registraci, která umožňují každému uživateli registrovat certifikát na základě této šablony certifikátu.

      Šablony certifikátů označené jako zranitelné službou Defender for Identity mají aspoň jednu položku přístupového seznamu, která podporuje registraci pro integrovanou neprivilegovanou skupinu, což zneužitelné libovolným uživatelem. Mezi příklady předdefinovaných neprivilegovaných skupin patří Ověření uživatelé nebo Všichni.

    • Zapněte požadavek na schválení správce certifikátů certifikační autority.

    • Odeberte šablonu certifikátu, aby ji publikovala libovolná certifikační autorita. Šablony, které nejsou publikovány, nelze požadovat, a proto je nelze zneužít.

Před zapnutím nastavení v produkčním prostředí nezapomeňte otestovat nastavení v řízeném prostředí.

Poznámka:

I když se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit během několika minut od implementace doporučení aktualizuje, může tento stav chvíli trvat, než se označí jako Dokončeno.

Sestavy zobrazují ovlivněné entity za posledních 30 dnů. Po uplynutí této doby se entity ze seznamu vystavených entit odeberou.

Další kroky