Valutazione della sicurezza: impedire agli utenti di richiedere un certificato valido per gli utenti arbitrari in base al modello di certificato (ESC1) (anteprima)
Questo articolo descrive Microsoft Defender per identità Impedisci agli utenti di richiedere un certificato valido per gli utenti arbitrari in base al report di valutazione del comportamento di sicurezza delle identità ESC1 (Certificate Template).
Che cosa sono le richieste di certificati per gli utenti arbitrari?
Ogni certificato è associato a un'entità tramite il relativo campo oggetto. Tuttavia, i certificati includono anche un campo Nome alternativo soggetto (SAN), che consente la validità del certificato per più entità.
Il campo SAN viene comunemente usato per i servizi Web ospitati nello stesso server, supportando l'uso di un singolo certificato HTTPS anziché certificati separati per ogni servizio. Quando il certificato specifico è valido anche per l'autenticazione, contenente un EKU appropriato, ad esempio l'autenticazione client, può essere usato per autenticare diversi account.
Se per un modello di certificato è attivata l'opzione Di fornitura nella richiesta , il modello è vulnerabile e gli utenti malintenzionati potrebbero essere in grado di registrare un certificato valido per gli utenti arbitrari.
Importante
Se il certificato è consentito anche per l'autenticazione e non sono applicate misure di mitigazione, ad esempio l'approvazione del manager o le firme autorizzate necessarie, il modello di certificato è pericoloso perché consente a qualsiasi utente senza privilegi di assumere il controllo di qualsiasi utente arbitrario, incluso un utente amministratore di dominio.
Questa impostazione specifica è una delle configurazioni più comuni.
Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per le richieste di certificati per gli utenti arbitrari. Ad esempio:
Per correggere le richieste di certificato per gli utenti arbitrari, eseguire almeno uno dei passaggi seguenti:
Disattivare Specifica nella configurazione della richiesta .
Rimuovere tutte le EKU che abilitano l'autenticazione utente, ad esempio Autenticazione client, accesso smart card, autenticazione client PKINIT o Qualsiasi scopo.
Rimuovere autorizzazioni di registrazione eccessivamente permissive, che consentono a qualsiasi utente di registrare il certificato in base a tale modello di certificato.
I modelli di certificato contrassegnati come vulnerabili da Defender per identità dispongono di almeno una voce di elenco di accesso che supporta la registrazione per un gruppo predefinito senza privilegi, rendendo questa operazione sfruttabile da qualsiasi utente. Esempi di gruppi predefiniti senza privilegi includono Utenti autenticati o Tutti.
Attivare il requisito di approvazione di Gestione certificati CA.
Rimuovere il modello di certificato da pubblicare da qualsiasi AUTORITÀ di certificazione. I modelli non pubblicati non possono essere richiesti e pertanto non possono essere sfruttati.
Assicurarsi di testare le impostazioni in un ambiente controllato prima di attivarle nell'ambiente di produzione.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Mentre l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.
I report mostrano le entità interessate degli ultimi 30 giorni. Dopo tale periodo, le entità non interessate verranno rimosse dall'elenco delle entità esposte.