Biztonsági értékelés: Sebezhető hitelesítésszolgáltatói beállítás (ESC6) szerkesztése (előzetes verzió)
Ez a cikk a Microsoft Defender for Identity sebezhető hitelesítésszolgáltató beállítási jelentését ismerteti.
Mik a sebezhető hitelesítésszolgáltatói beállítások?
Minden tanúsítvány egy entitáshoz van társítva a tulajdonosmezőn keresztül. A tanúsítvány tartalmaz azonban egy tulajdonos alternatív neve (SAN) mezőt is, amely lehetővé teszi, hogy a tanúsítvány több entitásra is érvényes legyen.
A SAN mezőt gyakran használják az ugyanazon a kiszolgálón üzemeltetett webszolgáltatásokhoz, amelyek támogatják az egyes szolgáltatásokhoz tartozó különálló tanúsítványok helyett egyetlen HTTPS-tanúsítvány használatát. Ha az adott tanúsítvány hitelesítésre is érvényes, egy megfelelő termékváltozat (például ügyfélhitelesítés) használatával több különböző fiók hitelesítésére is használható.
A nem hátrányos helyzetű felhasználók, amelyek meg tudják adni a felhasználókat a SAN-beállításokban, azonnali veszélybe kerülhetnek, és nagy kockázatot jelenthetnek a szervezet számára.
Ha az AD CS editflags
>EDITF_ATTRIBUTESUBJECTALTNAME2
jelző be van kapcsolva, minden felhasználó megadhatja a tanúsítványkérelem san-beállításait. Ez viszont az összes tanúsítványsablonra hatással van, függetlenül attól, hogy be van-e kapcsolva a Supply in the request
beállítás.
Ha van olyan sablon, amelyben a EDITF_ATTRIBUTESUBJECTALTNAME2
beállítás be van kapcsolva, és a sablon érvényes a hitelesítéshez, a támadók regisztrálhatnak egy tanúsítványt, amely bármilyen tetszőleges fiókot megszemélyesíthet.
Előfeltételek
Ez az értékelés csak azoknak az ügyfeleknek érhető el, akik egy érzékelőt telepítettek egy AD CS-kiszolgálón. További információ: Az Active Directory Tanúsítványszolgáltatások (AD CS) új érzékelőtípusa.
Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?
Tekintse át a sebezhető hitelesítésszolgáltatók beállításainak szerkesztéséhez javasolt műveletet https://security.microsoft.com/securescore?viewid=actions . Például:
Annak vizsgálata, hogy a
EDITF_ATTRIBUTESUBJECTALTNAME2
beállítás miért van bekapcsolva.Kapcsolja ki a beállítást a következő futtatásával:
certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
Indítsa újra a szolgáltatást a következő futtatásával:
net stop certsvc & net start certsvc
Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.
Megjegyzés:
Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.
A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.