Bagikan melalui

Penilaian keamanan: Mengedit pengaturan Otoritas Sertifikat (ESC6) yang rentan (Pratinjau)

  • Artikel

Artikel ini menjelaskan laporan pengaturan Otoritas Sertifikat Rentan Microsoft Defender untuk Identitas.

Apa itu pengaturan Otoritas Sertifikat yang rentan?

Setiap sertifikat dikaitkan dengan entitas melalui bidang subjeknya. Namun, sertifikat juga menyertakan bidang Nama Alternatif Subjek (SAN), yang memungkinkan sertifikat valid untuk beberapa entitas.

Bidang SAN umumnya digunakan untuk layanan web yang dihosting di server yang sama, mendukung penggunaan satu sertifikat HTTPS alih-alih sertifikat terpisah untuk setiap layanan. Ketika sertifikat tertentu juga valid untuk autentikasi, dengan berisi EKU yang sesuai, seperti Autentikasi Klien, sertifikat tersebut dapat digunakan untuk mengautentikasi beberapa akun yang berbeda.

Pengguna yang tidak memiliki hak istimewa yang dapat menentukan pengguna di pengaturan SAN dapat menyebabkan kompromi segera, dan memposting risiko besar bagi organisasi Anda.

Jika bendera AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 diaktifkan, setiap pengguna dapat menentukan pengaturan SAN untuk permintaan sertifikat mereka. Ini, pada gilirannya memengaruhi semua templat sertifikat, apakah mereka mengaktifkan Supply in the request opsi atau tidak.

Jika ada templat tempat EDITF_ATTRIBUTESUBJECTALTNAME2 pengaturan diaktifkan, dan templat valid untuk autentikasi, penyerang dapat mendaftarkan sertifikat yang dapat meniru akun arbitrer apa pun.

Prasyarat

Penilaian ini hanya tersedia untuk pelanggan yang menginstal sensor di server AD CS. Untuk informasi selengkapnya, lihat Jenis sensor baru untuk Active Directory Certificate Services (AD CS).

Bagaimana cara menggunakan penilaian keamanan ini untuk meningkatkan postur keamanan organisasi saya?

  1. Tinjau tindakan yang direkomendasikan di https://security.microsoft.com/securescore?viewid=actions untuk mengedit pengaturan Otoritas Sertifikat yang rentan. Misalnya:

    Screenshot of the Edit vulnerable Certificate Authority setting (ESC6) recommendation.

  2. Riset mengapa EDITF_ATTRIBUTESUBJECTALTNAME2 pengaturan diaktifkan.

  3. Nonaktifkan pengaturan dengan menjalankan:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Mulai ulang layanan dengan menjalankan:

    net stop certsvc & net start certsvc

Pastikan untuk menguji pengaturan Anda di lingkungan terkontrol sebelum mengaktifkannya dalam produksi.

Catatan

Meskipun penilaian diperbarui mendekati real time, skor dan status diperbarui setiap 24 jam. Meskipun daftar entitas yang terkena dampak diperbarui dalam beberapa menit setelah Anda menerapkan rekomendasi, status mungkin masih membutuhkan waktu hingga ditandai sebagai Selesai.

Laporan menunjukkan entitas yang terpengaruh dari 30 hari terakhir. Setelah itu, entitas yang tidak lagi terpengaruh akan dihapus dari daftar entitas yang terekspos.

Langkah berikutnya