セキュリティ評価: ユーザーが証明書テンプレート (ESC1) に基づいて任意のユーザーに対して有効な証明書を要求できないようにする (プレビュー)
この記事では、証明書テンプレート (ESC1) ID セキュリティ体制評価レポートに基づいて、Microsoft Defender for Identity の [ユーザーが任意のユーザーに対して有効な証明書を要求できないようにする] について説明します。
任意のユーザーに対する証明書要求とは
各証明書は、サブジェクト フィールドを介してエンティティに関連付けられます。 ただし、証明書にはサブジェクト代替名 (SAN) フィールドも含まれています。これにより、証明書を複数のエンティティに対して有効にすることができます。
SAN フィールドは、同じサーバーでホストされている Web サービスでよく使用され、サービスごとに個別の証明書ではなく、1 つの HTTPS 証明書を使用できます。 特定の証明書が認証にも有効な場合は、クライアント認証などの適切な EKU を含めることで、複数の異なるアカウントを認証するために使用できます。
証明書テンプレートの [要求で指定] オプションがオンになっている場合、テンプレートは脆弱になり、攻撃者は任意のユーザーに対して有効な証明書を登録できる可能性があります。
重要
証明書の認証も許可されており、マネージャーの承認や必要な承認された署名などの軽減策が適用されていない場合、特権のないユーザーが doメイン 管理者ユーザーを含む任意のユーザーを引き継ぐので、証明書テンプレートは危険です。
この特定の設定は、最も一般的な構成ミスの 1 つです。
このセキュリティ評価を使用して、どのように組織のセキュリティ体制を改善できるのでしょうか。
任意のユーザーの証明書要求に https://security.microsoft.com/securescore?viewid=actions 対して推奨されるアクションを確認します。 次に例を示します。
任意のユーザーの証明書要求を修復するには、次の手順のうち少なくとも 1 つを実行します。
要求構成で Supply をオフにします。
クライアント認証、カード スマート ログオン、PKINIT クライアント認証、任意の目的など、ユーザー認証を有効にする EKU を削除します。
過度に制限されていない登録アクセス許可を削除します。これにより、すべてのユーザーは、その証明書テンプレートに基づいて証明書を登録できます。
Defender for Identity によって脆弱としてマークされた証明書テンプレートには、組み込みの特権のないグループの登録をサポートするアクセス リスト エントリが少なくとも 1 つ存在し、これを任意のユーザーが悪用できるようにします。 組み込みの特権のないグループの例としては、 認証済みユーザー や Everyone などがあります。
CA 証明書 マネージャーの承認 要件を有効にします。
証明書テンプレートが CA によって発行されないようにします。 発行されていないテンプレートは要求できないため、悪用することはできません。
運用環境で有効にする前に、制御された環境で設定をテストしてください。
Note
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。
レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。