보안 평가: 사용자가 인증서 템플릿(ESC1)(미리 보기)을 기반으로 임의 사용자에게 유효한 인증서를 요청하지 않도록 방지
이 문서에서는 Microsoft Defender for Identity의 ESC1(인증서 템플릿) ID 보안 상태 평가 보고서에 따라 임의의 사용자에게 유효한 인증서를 요청하지 못하도록 하는 방법을 설명합니다.
임의 사용자에 대한 인증서 요청이란?
각 인증서는 주체 필드를 통해 엔터티와 연결됩니다. 그러나 인증서에는 여러 엔터티에 대해 인증서가 유효하도록 허용하는 SAN(주체 대체 이름 ) 필드도 포함됩니다.
SAN 필드는 일반적으로 동일한 서버에서 호스트되는 웹 서비스에 사용되며, 각 서비스에 대해 별도의 인증서 대신 단일 HTTPS 인증서 사용을 지원합니다. 특정 인증서가 인증에도 유효한 경우 클라이언트 인증과 같은 적절한 EKU를 포함하면 여러 다른 계정을 인증하는 데 사용할 수 있습니다.
인증서 템플릿에 요청 옵션의 공급이 켜져 있으면 템플릿이 취약하고 공격자가 임의의 사용자에게 유효한 인증서를 등록할 수 있습니다.
Important
인증서도 인증에 허용되고 관리자 승인 또는 필요한 권한 있는 서명과 같은 완화 조치가 적용되지 않는 경우 권한 없는 사용자가 할 일기본 관리자 사용자를 포함하여 임의 사용자를 인수할 수 있으므로 인증서 템플릿은 위험합니다.
이 특정 설정은 가장 일반적인 구성 오류 중 하나입니다.
이 보안 평가를 사용하여 조직의 보안 상태를 개선할 어떻게 할까요? 있나요?
임의의 사용자에 대한 인증서 요청에 대한 권장 작업을 https://security.microsoft.com/securescore?viewid=actions 검토합니다. 예시:
임의의 사용자에 대한 인증서 요청을 수정하려면 다음 단계 중 하나 이상을 수행합니다.
요청 구성에서 Supply를 끕니다.
클라이언트 인증, Smart카드 로그온, PKINIT 클라이언트 인증 또는 모든 용도와 같이 사용자 인증을 사용하도록 설정하는 모든 EKU를 제거합니다.
사용자가 해당 인증서 템플릿을 기반으로 인증서를 등록할 수 있도록 허용하는 지나치게 허용되는 등록 권한을 제거합니다.
Defender for Identity에서 취약한 것으로 표시된 인증서 템플릿에는 권한이 없는 기본 제공 그룹에 대한 등록을 지원하는 하나 이상의 액세스 목록 항목이 있으므로 모든 사용자가 이를 악용할 수 있습니다. 권한 없는 기본 제공 그룹의 예로는 인증된 사용자 또는 모든 사용자가 있습니다.
CA 인증서 관리자 승인 요구 사항을 켭니다.
CA에서 인증서 템플릿을 게시하지 않도록 제거합니다. 게시되지 않은 템플릿은 요청할 수 없으므로 악용할 수 없습니다.
프로덕션 환경에서 설정을 켜기 전에 제어된 환경에서 설정을 테스트해야 합니다.
참고 항목
평가는 거의 실시간으로 업데이트되지만 점수 및 상태 24시간마다 업데이트됩니다. 영향을 받는 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.
보고서에는 지난 30일 동안의 영향을 받는 엔터티가 표시됩니다. 이 시간 이후에는 더 이상 영향을 받지 않는 엔터티가 노출된 엔터티 목록에서 제거됩니다.