Biztonsági értékelés: Megakadályozza, hogy a felhasználók a tanúsítványsablon (ESC1) (előzetes verzió) alapján érvényes tanúsítványt kérjenek tetszőleges felhasználók számára
Ez a cikk azt ismerteti, hogy a Microsoft Defender for Identity hogyan akadályozhatja meg, hogy a felhasználók a tanúsítványsablon (ESC1) identitásbiztonsági helyzetértékelési jelentése alapján érvényes tanúsítványt kérjenek az tetszőleges felhasználók számára.
Mik az tetszőleges felhasználók tanúsítványkérelmei?
Minden tanúsítvány egy entitáshoz van társítva a tulajdonosmezőn keresztül. A tanúsítványok azonban tartalmaznak egy tulajdonos alternatív neve (SAN) mezőt is, amely lehetővé teszi, hogy a tanúsítvány több entitásra is érvényes legyen.
A SAN mezőt gyakran használják az ugyanazon a kiszolgálón üzemeltetett webszolgáltatásokhoz, amelyek támogatják az egyes szolgáltatásokhoz tartozó különálló tanúsítványok helyett egyetlen HTTPS-tanúsítvány használatát. Ha az adott tanúsítvány hitelesítésre is érvényes, egy megfelelő termékváltozat (például ügyfélhitelesítés) használatával több különböző fiók hitelesítésére is használható.
Ha egy tanúsítványsablonnál be van kapcsolva az Ellátás a kérelem beállításban, a sablon sebezhető, és a támadók tetszőleges felhasználók számára érvényes tanúsítványt regisztrálhatnak.
Fontos
Ha a tanúsítvány hitelesítésre is engedélyezett, és nincsenek kényszerítve olyan kockázatcsökkentő intézkedések, mint például a Felettes jóváhagyása vagy a szükséges hitelesített aláírások, a tanúsítványsablon veszélyes, mivel lehetővé teszi, hogy a nem jogosult felhasználók bármilyen tetszőleges felhasználót átvegyenek, beleértve a tartományi rendszergazdai felhasználókat is.
Ez a beállítás az egyik leggyakoribb helytelen konfiguráció.
Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?
Tekintse át az ajánlott műveletet https://security.microsoft.com/securescore?viewid=actions az tetszőleges felhasználók tanúsítványkérelmeinek esetében. Például:
Az tetszőleges felhasználók tanúsítványkéréseinek szervizeléséhez hajtsa végre az alábbi lépések legalább egyikét:
Kapcsolja ki a kínálatot a kérés konfigurációjában.
Távolítsa el azokat az EKU-kat, amelyek engedélyezik a felhasználói hitelesítést, például ügyfél-hitelesítést, Smartcard-bejelentkezést, PKINIT-ügyfélhitelesítést vagy bármilyen célt.
Távolítsa el a túlzottan megengedő regisztrációs engedélyeket, amelyek lehetővé teszik, hogy bármely felhasználó tanúsítványt regisztráljon az adott tanúsítványsablon alapján.
A Defender for Identity által sebezhetőként megjelölt tanúsítványsablonok legalább egy olyan hozzáférési listabejegyzéssel rendelkeznek, amely támogatja a beépített, nem hátrányos helyzetű csoportok regisztrációját, így ezt bármely felhasználó kihasználhatja. A beépített, nem kiemelt csoportok közé tartoznak például a Hitelesített felhasználók vagy a Mindenki.
Kapcsolja be a hitelesítésszolgáltatói tanúsítványkezelő jóváhagyási követelményét.
Távolítsa el a tanúsítványsablont attól, hogy bármely hitelesítésszolgáltató közzétejessen. A nem közzétett sablonok nem kérhetők, ezért nem használhatók ki.
Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.
Megjegyzés:
Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.
A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.