Evaluación de seguridad: impedir que los usuarios soliciten un certificado válido para usuarios arbitrarios basados en la plantilla de certificado (ESC1) (versión preliminar)
En este artículo se describe el informe de evaluación de la posición de seguridad de identidad (ESC1) para impedir que los usuarios soliciten un certificado válido para los usuarios arbitrarios.
¿Qué son las solicitudes de certificado para usuarios arbitrarios?
Cada certificado está asociado a una entidad a través de su campo de asunto. Sin embargo, los certificados también incluyen un campo Nombre alternativo del firmante (SAN), que permite que el certificado sea válido para varias entidades.
El campo SAN se usa normalmente para los servicios web hospedados en el mismo servidor, lo que admite el uso de un solo certificado HTTPS en lugar de certificados independientes para cada servicio. Cuando el certificado específico también es válido para la autenticación, al contener una EKU adecuada, como la autenticación de cliente, se puede usar para autenticar varias cuentas diferentes.
Si una plantilla de certificado tiene activada la opción Proporcionar en la solicitud , la plantilla es vulnerable y es posible que los atacantes puedan inscribir un certificado válido para usuarios arbitrarios.
Importante
Si también se permite el certificado para la autenticación y no se aplican medidas de mitigación, como la aprobación del administrador o las firmas autorizadas necesarias, la plantilla de certificado es peligrosa, ya que permite que cualquier usuario sin privilegios tome el control de cualquier usuario arbitrario, incluido un usuario administrador de dominio.
Esta configuración específica es una de las configuraciones incorrectas más comunes.
Cómo usar esta evaluación de seguridad para mejorar mi posición de seguridad de la organización?
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para las solicitudes de certificado para usuarios arbitrarios. Por ejemplo:
Para corregir las solicitudes de certificado para usuarios arbitrarios, realice al menos uno de los pasos siguientes:
Desactive El suministro se encuentra en la configuración de la solicitud .
Quite cualquier EKU que habilite la autenticación de usuario, como autenticación de cliente, inicio de sesión de tarjeta inteligente, autenticación de cliente PKINIT o Cualquier propósito.
Quite los permisos de inscripción excesivamente permisivos, que permiten a cualquier usuario inscribir el certificado en función de esa plantilla de certificado.
Las plantillas de certificado marcadas como vulnerables por Defender for Identity tienen al menos una entrada de lista de acceso que admita la inscripción para un grupo integrado y sin privilegios, lo que hace que cualquier usuario pueda aprovechar esto. Entre los ejemplos de grupos integrados y sin privilegios se incluyen Usuarios autenticados o Todos.
Active el requisito de aprobación del Administrador de certificados de CA.
Quite la plantilla de certificado de la publicación de cualquier entidad de certificación. Las plantillas que no están publicadas no se pueden solicitar y, por tanto, no se pueden aprovechar.
Asegúrese de probar la configuración en un entorno controlado antes de activarlos en producción.
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos a partir de la implementación de las recomendaciones, el estado puede tardar tiempo hasta que se marque como Completado.
Los informes muestran las entidades afectadas de los últimos 30 días. Después de ese tiempo, las entidades ya no afectadas se quitarán de la lista de entidades expuestas.