Beveiligingsevaluatie: Voorkomen dat gebruikers een certificaat aanvragen dat geldig is voor willekeurige gebruikers op basis van de certificaatsjabloon (ESC1) (preview)
In dit artikel vindt u informatie over het voorkomen dat gebruikers van Microsoft Defender for Identity een certificaat aanvragen dat geldig is voor willekeurige gebruikers op basis van het evaluatierapport identiteitsbeveiligingspostuur (ESC1).
Wat zijn certificaataanvragen voor willekeurige gebruikers?
Elk certificaat is gekoppeld aan een entiteit via het onderwerpveld. Certificaten bevatten echter ook een SAN-veld (Subject Alternative Name ), waarmee het certificaat geldig kan zijn voor meerdere entiteiten.
Het SAN-veld wordt vaak gebruikt voor webservices die worden gehost op dezelfde server, die het gebruik van één HTTPS-certificaat ondersteunen in plaats van afzonderlijke certificaten voor elke service. Wanneer het specifieke certificaat ook geldig is voor verificatie, door een geschikte EKU, zoals clientverificatie, te bevatten, kan het worden gebruikt om verschillende accounts te verifiëren.
Als voor een certificaatsjabloon de optie Leveren is ingeschakeld, is de sjabloon kwetsbaar en kunnen aanvallers mogelijk een certificaat inschrijven dat geldig is voor willekeurige gebruikers.
Belangrijk
Als het certificaat ook is toegestaan voor verificatie en er geen beperkingsmaatregelen zijn afgedwongen, zoals goedkeuring door manager of vereiste geautoriseerde handtekeningen, is de certificaatsjabloon gevaarlijk omdat elke onbevoegde gebruiker elke willekeurige gebruiker kan overnemen, inclusief een domeinbeheerder.
Deze specifieke instelling is een van de meest voorkomende onjuiste configuraties.
Hoe kan ik deze beveiligingsevaluatie gebruiken om mijn beveiligingspostuur van mijn organisatie te verbeteren?
Bekijk de aanbevolen actie voor https://security.microsoft.com/securescore?viewid=actions certificaataanvragen voor willekeurige gebruikers. Voorbeeld:
Voer ten minste een van de volgende stappen uit om certificaataanvragen voor willekeurige gebruikers te herstellen:
Schakel Supply uit in de aanvraagconfiguratie .
Verwijder alle EKU's die gebruikersverificatie inschakelen, zoals clientverificatie, Smartcard-aanmelding, PKINIT-clientverificatie of elk doel.
Verwijder te veel machtigingen voor inschrijving, zodat elke gebruiker een certificaat kan inschrijven op basis van die certificaatsjabloon.
Certificaatsjablonen die als kwetsbaar zijn gemarkeerd door Defender for Identity, hebben ten minste één vermelding in de toegangslijst die ondersteuning biedt voor inschrijving voor een ingebouwde, niet-gemachtigde groep, waardoor deze door elke gebruiker kan worden misbruikt. Voorbeelden van ingebouwde, niet-gemachtigde groepen zijn geverifieerde gebruikers of iedereen.
Schakel de goedkeuringsvereiste voor CA-certificaatbeheer in.
Verwijder de certificaatsjabloon uit de publicatie door een certificeringsinstantie. Sjablonen die niet zijn gepubliceerd, kunnen niet worden aangevraagd en kunnen daarom niet worden misbruikt.
Zorg ervoor dat u uw instellingen in een gecontroleerde omgeving test voordat u ze inschakelt in productie.
Notitie
Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.
In de rapporten worden de betrokken entiteiten van de afgelopen 30 dagen weergegeven. Na die tijd worden entiteiten die niet meer worden beïnvloed, verwijderd uit de lijst met weergegeven entiteiten.