Ocena zabezpieczeń: uniemożliwia użytkownikom żądanie certyfikatu ważnego dla dowolnego użytkownika na podstawie szablonu certyfikatu (ESC1) (wersja zapoznawcza)

W tym artykule opisano, że usługa Microsoft Defender for Identity uniemożliwia użytkownikom żądanie certyfikatu ważnego dla dowolnych użytkowników na podstawie raportu oceny stanu zabezpieczeń tożsamości szablonu certyfikatu (ESC1).

Co to są żądania certyfikatów dla dowolnych użytkowników?

Każdy certyfikat jest skojarzony z jednostką za pośrednictwem pola podmiotu. Jednak certyfikaty zawierają również pole Alternatywna nazwa podmiotu (SAN), które pozwala certyfikatowi być ważne dla wielu jednostek.

Pole SIECI SAN jest często używane w przypadku usług internetowych hostowanych na tym samym serwerze, co obsługuje używanie pojedynczego certyfikatu HTTPS zamiast oddzielnych certyfikatów dla każdej usługi. Jeśli określony certyfikat jest również ważny do uwierzytelniania, zawierający odpowiedni klucz EKU, taki jak uwierzytelnianie klienta, może służyć do uwierzytelniania kilku różnych kont.

Jeśli szablon certyfikatu ma włączoną opcję Podaj w żądaniu , szablon jest narażony na zagrożenia, a osoby atakujące mogą zarejestrować certyfikat ważny dla dowolnych użytkowników.

Ważne

Jeśli certyfikat jest również dozwolony do uwierzytelniania i nie są wymuszane żadne środki zaradcze, takie jak zatwierdzenie menedżera lub wymagane autoryzowane podpisy, szablon certyfikatu jest niebezpieczny, ponieważ umożliwia dowolnemu nieuprzywilejowanemu użytkownikowi przejęcie dowolnego użytkownika, w tym użytkownika administratora domeny.

To konkretne ustawienie jest jednym z najczęstszych błędów konfiguracji.

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić poziom zabezpieczeń organizacji?

1. Zapoznaj się z zalecaną akcją w temacie https://security.microsoft.com/securescore?viewid=actions W przypadku żądań certyfikatów dla dowolnych użytkowników. Na przykład:

   

2. Aby skorygować żądania certyfikatów dla dowolnych użytkowników, wykonaj co najmniej jedną z następujących czynności:

   • Wyłącz pozycję Podaj w konfiguracji żądania .

   • Usuń wszystkie EKU, które umożliwiają uwierzytelnianie użytkowników, takie jak uwierzytelnianie klienta, logowanie za pomocą karty inteligentnej, uwierzytelnianie klienta PKINIT lub dowolny cel.

   • Usuń nadmierne uprawnienia rejestracji, które umożliwiają dowolnemu użytkownikowi zarejestrowanie certyfikatu na podstawie tego szablonu certyfikatu.

     Szablony certyfikatów oznaczone jako podatne na zagrożenia przez usługę Defender for Identity mają co najmniej jeden wpis listy dostępu, który obsługuje rejestrację dla wbudowanej, nieuprzywilejowanej grupy, dzięki czemu może to być wykorzystywane przez dowolnego użytkownika. Przykłady wbudowanych, nieuprzywilejowanych grup to Użytkownicy uwierzytelnieni lub Wszyscy.

   • Włącz wymaganie zatwierdzenia Menedżera certyfikatów urzędu certyfikacji.

   • Usuń szablon certyfikatu z publikowania przez dowolny urząd certyfikacji. Nie można zażądać szablonów, których nie opublikowano, i dlatego nie można ich wykorzystać.

Pamiętaj, aby przetestować ustawienia w kontrolowanym środowisku przed włączeniem ich w środowisku produkcyjnym.

Uwaga

Chociaż oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Chociaż lista jednostek, których dotyczy ten wpływ, zostanie zaktualizowana w ciągu kilku minut od wdrożenia zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Raporty pokazują jednostki, których dotyczy problem z ostatnich 30 dni. Po tym czasie jednostki, których nie dotyczy problem, zostaną usunięte z listy uwidocznionych jednostek.

Następne kroki

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft
• Zapoznaj się z forum usługi Defender for Identity!