Évaluation de la sécurité : empêcher les utilisateurs de demander un certificat valide pour les utilisateurs arbitraires en fonction du modèle de certificat (ESC1) (préversion)
Cet article décrit Microsoft Defender pour Identity’s Empêcher les utilisateurs de demander un certificat valide pour les utilisateurs arbitraires en fonction du rapport d’évaluation de la posture de sécurité des identités du modèle de certificat (ESC1).
Qu’est-ce que les demandes de certificat pour les utilisateurs arbitraires ?
Chaque certificat est associé à une entité par le biais de son champ objet. Toutefois, les certificats incluent également un champ SAN (Subject Alternative Name ), qui permet au certificat d’être valide pour plusieurs entités.
Le champ SAN est couramment utilisé pour les services web hébergés sur le même serveur, prenant en charge l’utilisation d’un seul certificat HTTPS au lieu de certificats distincts pour chaque service. Lorsque le certificat spécifique est également valide pour l’authentification, en contenant une référence EKU appropriée, telle que l’authentification du client, il peut être utilisé pour authentifier plusieurs comptes différents.
Si un modèle de certificat a l’option Fournir dans l’option de demande activée, le modèle est vulnérable et les attaquants peuvent être en mesure d’inscrire un certificat valide pour les utilisateurs arbitraires.
Important
Si le certificat est également autorisé pour l’authentification et qu’aucune mesure d’atténuation n’est appliquée, comme l’approbation du Gestionnaire ou les signatures autorisées requises, le modèle de certificat est dangereux car il permet à tout utilisateur non privilégié de prendre en charge un utilisateur arbitraire, y compris un utilisateur administrateur de domaine.
Ce paramètre spécifique est l’une des configurations les plus courantes.
Comment faire utiliser cette évaluation de sécurité pour améliorer ma posture de sécurité organisationnelle ?
Passez en revue l’action recommandée pour https://security.microsoft.com/securescore?viewid=actions les demandes de certificat pour les utilisateurs arbitraires. Par exemple :
Pour corriger les demandes de certificat pour les utilisateurs arbitraires, effectuez au moins l’une des étapes suivantes :
Désactivez l’approvisionnement dans la configuration de la demande .
Supprimez les EKUs qui activent l’authentification utilisateur, telles que l’authentification du client, l’ouverture de session Smart carte, l’authentification du client PKINIT ou tout objectif.
Supprimez les autorisations d’inscription trop permissives, ce qui permet à tout utilisateur d’inscrire un certificat en fonction de ce modèle de certificat.
Les modèles de certificat marqués comme vulnérables par Defender pour Identity ont au moins une entrée de liste d’accès qui prend en charge l’inscription pour un groupe intégré et non privilégié, ce qui rend cette opération exploitable par n’importe quel utilisateur. Parmi les exemples de groupes intégrés et non privilégiés, citons les utilisateurs authentifiés ou tout le monde.
Activez l’exigence d’approbation du Gestionnaire de certificats d’autorité de certification.
Supprimez le modèle de certificat d’être publié par n’importe quelle autorité de certification. Les modèles qui ne sont pas publiés ne peuvent pas être demandés et ne peuvent donc pas être exploités.
Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.
Remarque
Bien que les évaluations soient mises à jour en quasi temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités affectées soit mise à jour dans les quelques minutes suivant l’implémentation des recommandations, l’état peut prendre du temps jusqu’à ce qu’il soit marqué comme terminé.
Les rapports affichent les entités affectées des 30 derniers jours. Après cette période, les entités ne sont plus affectées à partir de la liste des entités exposées.