Bagikan melalui

Penilaian keamanan: Mencegah pengguna meminta sertifikat yang valid untuk pengguna arbitrer berdasarkan templat sertifikat (ESC1) (Pratinjau)

  • Artikel

Artikel ini menyediakan penjelasan tentang mencegah pengguna Microsoft Defender untuk Identitas meminta sertifikat yang valid untuk pengguna arbitrer berdasarkan laporan penilaian postur keamanan identitas templat sertifikat (ESC1).

Apa permintaan sertifikat untuk pengguna arbitrer?

Setiap sertifikat dikaitkan dengan entitas melalui bidang subjeknya. Namun, sertifikat juga menyertakan bidang Nama Alternatif Subjek (SAN), yang memungkinkan sertifikat valid untuk beberapa entitas.

Bidang SAN umumnya digunakan untuk layanan web yang dihosting di server yang sama, mendukung penggunaan satu sertifikat HTTPS alih-alih sertifikat terpisah untuk setiap layanan. Ketika sertifikat tertentu juga valid untuk autentikasi, dengan berisi EKU yang sesuai, seperti Autentikasi Klien, sertifikat tersebut dapat digunakan untuk mengautentikasi beberapa akun yang berbeda.

Jika templat sertifikat mengaktifkan Opsi pasokan dalam permintaan , templat rentan, dan penyerang mungkin dapat mendaftarkan sertifikat yang valid untuk pengguna arbitrer.

Penting

Jika sertifikat juga diizinkan untuk autentikasi dan tidak ada langkah-langkah mitigasi yang diberlakukan, seperti persetujuan Manajer atau tanda tangan resmi yang diperlukan, templat sertifikat berbahaya karena memungkinkan pengguna yang tidak memiliki hak istimewa untuk mengambil alih pengguna sewenang-wenang, termasuk pengguna admin domain.

Pengaturan khusus ini adalah salah konfigurasi yang paling umum.

Bagaimana cara menggunakan penilaian keamanan ini untuk meningkatkan postur keamanan organisasi saya?

  1. Tinjau tindakan yang direkomendasikan untuk https://security.microsoft.com/securescore?viewid=actions permintaan sertifikat untuk pengguna arbitrer. Misalnya:

    Screenshot of the Prevent users to request a certificate valid for arbitrary users based on the certificate template (ESC1) recommendation.

  2. Untuk memulihkan permintaan sertifikat untuk pengguna arbitrer, lakukan setidaknya salah satu langkah berikut:

    • Nonaktifkan Pasokan dalam konfigurasi permintaan .

    • Hapus EKUs apa pun yang mengaktifkan autentikasi pengguna, seperti Autentikasi Klien, masuk Smartcard, autentikasi klien PKINIT, atau Tujuan apa pun.

    • Hapus izin pendaftaran yang terlalu permisif, yang memungkinkan setiap pengguna mendaftarkan sertifikat berdasarkan templat sertifikat tersebut.

      Templat sertifikat yang ditandai sebagai rentan oleh Defender for Identity memiliki setidaknya satu entri daftar akses yang mendukung pendaftaran untuk grup bawaan yang tidak memiliki hak istimewa, membuat ini dapat dieksploitasi oleh pengguna mana pun. Contoh grup bawaan yang tidak memiliki hak istimewa termasuk Pengguna Terautentikasi atau Semua Orang.

    • Aktifkan persyaratan persetujuan Manajer sertifikat CA.

    • Hapus templat sertifikat agar tidak diterbitkan oleh CA apa pun. Templat yang tidak diterbitkan tidak dapat diminta, dan oleh karena itu tidak dapat dieksploitasi.

Pastikan untuk menguji pengaturan Anda di lingkungan terkontrol sebelum mengaktifkannya dalam produksi.

Catatan

Meskipun penilaian diperbarui mendekati real time, skor dan status diperbarui setiap 24 jam. Meskipun daftar entitas yang terkena dampak diperbarui dalam beberapa menit setelah Anda menerapkan rekomendasi, status mungkin masih membutuhkan waktu hingga ditandai sebagai Selesai.

Laporan menunjukkan entitas yang terpengaruh dari 30 hari terakhir. Setelah itu, entitas yang tidak lagi terpengaruh akan dihapus dari daftar entitas yang terekspos.

Langkah berikutnya