Valutazione della sicurezza: Modificare l'impostazione dell'autorità di certificazione vulnerabile (ESC6) (anteprima)

  • Articolo

Questo articolo descrive il report sull'impostazione dell'autorità di certificazione vulnerabile di Microsoft Defender per identità.

Quali sono le impostazioni dell'autorità di certificazione vulnerabili?

Ogni certificato è associato a un'entità tramite il relativo campo oggetto. Tuttavia, un certificato include anche un campo Nome alternativo soggetto (SAN), che consente la validità del certificato per più entità.

Il campo SAN viene comunemente usato per i servizi Web ospitati nello stesso server, supportando l'uso di un singolo certificato HTTPS anziché certificati separati per ogni servizio. Quando il certificato specifico è valido anche per l'autenticazione, contenente un EKU appropriato, ad esempio l'autenticazione client, può essere usato per autenticare diversi account.

Gli utenti senza privilegi che possono specificare gli utenti nelle impostazioni SAN possono causare una compromissione immediata e comportano un notevole rischio per l'organizzazione.

Se il editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 flag Servizi certificati Active Directory è attivato, ogni utente può specificare le impostazioni SAN per la richiesta di certificato. Ciò influisce a sua volta su tutti i modelli di certificato, indipendentemente dal fatto che l'opzione Supply in the request sia attivata o meno.

Se è presente un modello in cui è attivata l'impostazione EDITF_ATTRIBUTESUBJECTALTNAME2 e il modello è valido per l'autenticazione, un utente malintenzionato può registrare un certificato in grado di rappresentare qualsiasi account arbitrario.

Prerequisiti

Questa valutazione è disponibile solo per i clienti che hanno installato un sensore in un server servizi certificati Active Directory. Per altre informazioni, vedere Nuovo tipo di sensore per Servizi certificati Active Directory.For more information, see New sensor type for Active Directory Certificate Services (AD CS).

Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?

  1. Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per modificare le impostazioni vulnerabili dell'autorità di certificazione. Ad esempio:

    Screenshot of the Edit vulnerable Certificate Authority setting (ESC6) recommendation.

  2. Ricercare il motivo per cui l'impostazione EDITF_ATTRIBUTESUBJECTALTNAME2 è attivata.

  3. Disattivare l'impostazione eseguendo:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Riavviare il servizio eseguendo:

    net stop certsvc & net start certsvc

Assicurarsi di testare le impostazioni in un ambiente controllato prima di attivarle nell'ambiente di produzione.

Nota

Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Mentre l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.

I report mostrano le entità interessate degli ultimi 30 giorni. Dopo tale periodo, le entità non interessate verranno rimosse dall'elenco delle entità esposte.

Passaggi successivi