Partekatu honen bidez:

Evaluación de seguridad: editar la configuración de entidad de certificación vulnerable (ESC6) (versión preliminar)

  • Artikulua

En este artículo se describe el informe de configuración de entidad de certificación vulnerable de Microsoft Defender for Identity.

¿Qué son las configuraciones de entidad de certificación vulnerables?

Cada certificado está asociado a una entidad a través de su campo de asunto. Sin embargo, un certificado también incluye un campo Nombre alternativo del firmante (SAN), que permite que el certificado sea válido para varias entidades.

El campo SAN se usa normalmente para los servicios web hospedados en el mismo servidor, lo que admite el uso de un solo certificado HTTPS en lugar de certificados independientes para cada servicio. Cuando el certificado específico también es válido para la autenticación, al contener una EKU adecuada, como la autenticación de cliente, se puede usar para autenticar varias cuentas diferentes.

Los usuarios sin privilegios que pueden especificar los usuarios en la configuración de SAN pueden dar lugar a un riesgo inmediato y publicar un gran riesgo para su organización.

Si la marca de AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 está activada, cada usuario puede especificar la configuración de SAN para su solicitud de certificado. Esto, a su vez, afecta a todas las plantillas de certificado, tanto si tienen la Supply in the request opción activada como si no.

Si hay una plantilla en la que está activada la EDITF_ATTRIBUTESUBJECTALTNAME2 configuración y la plantilla es válida para la autenticación, un atacante puede inscribir un certificado que pueda suplantar cualquier cuenta arbitraria.

Requisitos previos

Esta evaluación solo está disponible para los clientes que instalaron un sensor en un servidor de AD CS. Para obtener más información, consulte Nuevo tipo de sensor para Servicios de certificados de Active Directory (AD CS).

Cómo usar esta evaluación de seguridad para mejorar mi posición de seguridad de la organización?

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para editar la configuración de entidad de certificación vulnerable. Por ejemplo:

    Screenshot of the Edit vulnerable Certificate Authority setting (ESC6) recommendation.

  2. Investigue por qué la EDITF_ATTRIBUTESUBJECTALTNAME2 configuración está activada.

  3. Desactive la configuración ejecutando:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Reinicie el servicio mediante la ejecución de:

    net stop certsvc & net start certsvc

Asegúrese de probar la configuración en un entorno controlado antes de activarlos en producción.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos a partir de la implementación de las recomendaciones, el estado puede tardar tiempo hasta que se marque como Completado.

Los informes muestran las entidades afectadas de los últimos 30 días. Después de ese tiempo, las entidades ya no afectadas se quitarán de la lista de entidades expuestas.

Pasos siguientes