Share via

Biztonsági értékelés: Sebezhető hitelesítésszolgáltatói beállítás (ESC6) szerkesztése (előzetes verzió)

  • Cikk

Ez a cikk a Microsoft Defender for Identity sebezhető hitelesítésszolgáltató beállítási jelentését ismerteti.

Mik a sebezhető hitelesítésszolgáltatói beállítások?

Minden tanúsítvány egy entitáshoz van társítva a tulajdonosmezőn keresztül. A tanúsítvány tartalmaz azonban egy tulajdonos alternatív neve (SAN) mezőt is, amely lehetővé teszi, hogy a tanúsítvány több entitásra is érvényes legyen.

A SAN mezőt gyakran használják az ugyanazon a kiszolgálón üzemeltetett webszolgáltatásokhoz, amelyek támogatják az egyes szolgáltatásokhoz tartozó különálló tanúsítványok helyett egyetlen HTTPS-tanúsítvány használatát. Ha az adott tanúsítvány hitelesítésre is érvényes, egy megfelelő termékváltozat (például ügyfélhitelesítés) használatával több különböző fiók hitelesítésére is használható.

A nem hátrányos helyzetű felhasználók, amelyek meg tudják adni a felhasználókat a SAN-beállításokban, azonnali veszélybe kerülhetnek, és nagy kockázatot jelenthetnek a szervezet számára.

Ha az AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 jelző be van kapcsolva, minden felhasználó megadhatja a tanúsítványkérelem san-beállításait. Ez viszont az összes tanúsítványsablonra hatással van, függetlenül attól, hogy be van-e kapcsolva a Supply in the request beállítás.

Ha van olyan sablon, amelyben a EDITF_ATTRIBUTESUBJECTALTNAME2 beállítás be van kapcsolva, és a sablon érvényes a hitelesítéshez, a támadók regisztrálhatnak egy tanúsítványt, amely bármilyen tetszőleges fiókot megszemélyesíthet.

Előfeltételek

Ez az értékelés csak azoknak az ügyfeleknek érhető el, akik egy érzékelőt telepítettek egy AD CS-kiszolgálón. További információ: Az Active Directory Tanúsítványszolgáltatások (AD CS) új érzékelőtípusa.

Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?

  1. Tekintse át a sebezhető hitelesítésszolgáltatók beállításainak szerkesztéséhez javasolt műveletet https://security.microsoft.com/securescore?viewid=actions . Például:

    Screenshot of the Edit vulnerable Certificate Authority setting (ESC6) recommendation.

  2. Annak vizsgálata, hogy a EDITF_ATTRIBUTESUBJECTALTNAME2 beállítás miért van bekapcsolva.

  3. Kapcsolja ki a beállítást a következő futtatásával:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Indítsa újra a szolgáltatást a következő futtatásával:

    net stop certsvc & net start certsvc

Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.

Megjegyzés:

Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.

A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.

További lépések