Ocena zabezpieczeń: certyfikaty

W tym artykule opisano raport oceny stanu zabezpieczeń certyfikatów Microsoft Defender for Identity.

Uwaga

Przed włączeniem ich w środowisku produkcyjnym należy przetestować ustawienia w kontrolowanym środowisku. Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Wymuszanie szyfrowania interfejsu rejestracji certyfikatów RPC (ESC11)

Opis

Usługi certyfikatów Active Directory (AD CS) obsługują rejestrację certyfikatów przy użyciu protokołu RPC, w szczególności za pomocą interfejsu MS-ICPR. W takich przypadkach ustawienia urzędu certyfikacji określają ustawienia zabezpieczeń interfejsu RPC, w tym wymagania dotyczące prywatności pakietów.

Jeśli flaga IF_ENFORCEENCRYPTICERTREQUEST jest włączona, interfejs RPC akceptuje tylko połączenia z poziomem RPC_C_AUTHN_LEVEL_PKT_PRIVACY uwierzytelniania. Jest to najwyższy poziom uwierzytelniania i wymaga podpisania i zaszyfrowania każdego pakietu, aby zapobiec atakowi przekaźnika. Jest to podobne do SMB Signing w protokole SMB.

Jeśli interfejs rejestracji RPC nie wymaga prywatności pakietów, staje się narażony na ataki przekaźnika (ESC11). Flaga IF_ENFORCEENCRYPTICERTREQUEST jest domyślnie włączona, ale często jest wyłączona, aby umożliwić klientom, którzy nie mogą obsługiwać wymaganego poziomu uwierzytelniania RPC, takim jak klienci z systemem Windows XP.

Uwaga

Ta ocena jest dostępna tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS.

Implementacji

1. Zapoznaj się z zalecaną akcją pod adresem https://security.microsoft.com/securescore?viewid=actions wymuszania szyfrowania dla rejestracji certyfikatu RPC.

   

2. Zbadaj, dlaczego flaga IF_ENFORCEENCRYPTICERTREQUEST jest wyłączona.

3. Upewnij się, że flaga została włączona, IF_ENFORCEENCRYPTICERTREQUEST aby usunąć lukę w zabezpieczeniach.

   Aby włączyć flagę, uruchom polecenie:

   certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
   

   Aby ponownie uruchomić usługę, uruchom polecenie:

   net stop certsvc & net start certsvc
   

Przed włączeniem ich w środowisku produkcyjnym należy przetestować ustawienia w kontrolowanym środowisku.

Edytowanie niezabezpieczonych punktów końcowych usług IIS rejestracji certyfikatu usługi ADCS (ESC8)

Opis

Usługi certyfikatów Active Directory (AD CS) obsługują rejestrowanie certyfikatów za pomocą różnych metod i protokołów, w tym rejestracji za pośrednictwem protokołu HTTP przy użyciu usługi rejestrowania certyfikatów (CES) lub interfejsu rejestracji internetowej (Certsrv).

Jeśli punkt końcowy usług IIS zezwala na uwierzytelnianie NTLM bez wymuszania podpisywania protokołu (HTTPS) lub bez wymuszania rozszerzonej ochrony na potrzeby uwierzytelniania (EPA), staje się narażony na ataki przekaźnika NTLM (ESC8). Ataki przekaźnika mogą prowadzić do całkowitego przejęcia domeny, jeśli atakującemu uda się go pomyślnie ściągnąć.

Uwaga

Ta ocena jest dostępna tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS. Aby uzyskać więcej informacji, zobacz Konfigurowanie czujników dla usług AD FS, AD CS i Microsoft Entra Connect.

Implementacji

Przejrzyj zalecaną akcję pod adresem, https://security.microsoft.com/securescore?viewid=actions aby uzyskać niezabezpieczone punkty końcowe usług IIS rejestracji certyfikatów usługi AD CS.

Ocena zawiera listę problematycznych punktów końcowych HTTP w organizacji oraz wskazówki dotyczące bezpiecznego konfigurowania punktów końcowych.

Po obsłużeniu ryzyko ataku ESC8 jest ograniczane, co znacznie zmniejsza obszar ataków.

Edytowanie nieprawidłowo skonfigurowanego właściciela szablonów certyfikatów (ESC4)

Ten artykuł zawiera omówienie raportu oceny stanu zabezpieczeń właściciela nieprawidłowo skonfigurowanych szablonów certyfikatów Microsoft Defender for Identity (ESC4).

Opis

Szablon certyfikatu jest obiektem usługi Active Directory z właścicielem, który kontroluje dostęp do obiektu i możliwość edytowania obiektu.

Jeśli uprawnienia właściciela przyznają wbudowaną, nieuprzywilejowane grupy z uprawnieniami, które zezwalają na zmiany ustawień szablonu, atakujący może wprowadzić błędną konfigurację szablonu, eskalować uprawnienia i naruszyć całą domenę.

Przykładami wbudowanych, nieuprzywilejowanych grup są uwierzytelnieni użytkownicy, użytkownicy domeny lub wszyscy. Przykłady uprawnień, które zezwalają na zmiany ustawień szablonu, to Pełna kontrola lub Zapis listy DACL.

Implementacji

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby uzyskać nieprawidłowo skonfigurowanego właściciela szablonu certyfikatu.

   

2. Zbadaj, dlaczego właściciel szablonu może zostać błędnie skonfigurowany.

3. Korygowanie problemu przez zmianę właściciela na uprzywilejowanego i monitorowanego użytkownika.

Edytowanie nieprawidłowo skonfigurowanej listy ACL urzędu certyfikacji (ESC7)

Opis

Urzędy certyfikacji (CA) obsługują listy kontroli dostępu (ACL), które określają role i uprawnienia urzędu certyfikacji. Jeśli kontrola dostępu nie jest poprawnie skonfigurowana, każdy użytkownik może mieć możliwość ingerowania w ustawienia urzędu certyfikacji, obejścia środków zabezpieczeń i potencjalnego naruszenia całej domeny.

Wpływ błędnie skonfigurowanej listy ACL zależy od typu zastosowanego uprawnienia. Przykład:

• Jeśli nieuprzywilejowany użytkownik ma prawo Zarządzaj certyfikatami , może zatwierdzić oczekujące żądania certyfikatów, pomijając wymaganie zatwierdzenia menedżera .
• Po prawej stronie Zarządzanie urzędem certyfikacji użytkownik może modyfikować ustawienia urzędu certyfikacji, takie jak dodanie flagi Użytkownika określa sieć SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), tworząc sztuczną błędną konfigurację, która może później prowadzić do całkowitego naruszenia zabezpieczeń domeny.

Wymagania wstępne

Ta ocena jest dostępna tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS.

Implementacji

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby uzyskać nieprawidłowo skonfigurowane listy ACL urzędu certyfikacji. Przykład:

   

2. Zbadaj, dlaczego lista ACL urzędu certyfikacji jest nieprawidłowo skonfigurowana.

3. Rozwiązuj problemy, usuwając wszystkie uprawnienia, które udzielają nieuprzywilejowanych grup wbudowanych przy użyciu uprawnień Zarządzaj urzędem certyfikacji i/lub Zarządzaj certyfikatami .

Edytowanie nieprawidłowo skonfigurowanych szablonów certyfikatów listy ACL (ESC4)

Opis

Szablony certyfikatów to obiekty usługi Active Directory z listą ACL kontrolującą dostęp do obiektu. Oprócz określania uprawnień rejestracji lista ACL określa również uprawnienia do edytowania samego obiektu.

Jeśli z jakiegoś powodu na karcie ACL znajduje się wpis, który przyznaje wbudowanej, nieuprzywilejowanej grupie uprawnienia, które zezwalają na zmiany ustawień szablonu, atakujący może wprowadzić błędną konfigurację szablonu, eskalować uprawnienia i naruszyć całą domenę.

Przykładami wbudowanych, nieuprzywilejowanych grup są uwierzytelnieni użytkownicy, użytkownicy domeny lub wszyscy. Przykłady uprawnień, które zezwalają na zmiany ustawień szablonu, to Pełna kontrola lub Zapis listy DACL.

Implementacji

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby uzyskać nieprawidłowo skonfigurowaną listę ACL szablonu certyfikatu. Przykład:

   

2. Zbadaj, dlaczego lista ACL szablonu może zostać błędnie skonfigurowana.

3. Koryguj problem, usuwając wpis, który przyznaje nieuprzywilejowanym uprawnieniom grupy, które umożliwiają manipulowanie szablonem.

4. Usuń szablon certyfikatu z publikowania przez dowolny urząd certyfikacji, jeśli nie są one potrzebne.

Edytowanie nieprawidłowo skonfigurowanego szablonu certyfikatu agenta rejestracji (ESC3)

Opis

Zazwyczaj użytkownicy mają agenta rejestracji, który rejestruje dla nich swoje certyfikaty. W określonych okolicznościach certyfikaty agenta rejestracji mogą rejestrować certyfikaty dla każdego kwalifikującego się użytkownika, stwarzając zagrożenie dla organizacji.

Gdy Microsoft Defender for Identity raporty dotyczące szablonów certyfikatów agenta rejestracji, które zagrażają Twojej organizacji, ryzykowne szablony agenta rejestracji są wyświetlane w okienku Uwidocznione jednostki.

Implementacji

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby uzyskać nieprawidłowo skonfigurowane szablony certyfikatów agenta rejestracji. Przykład:

   

2. Aby rozwiązać problemy, wykonaj co najmniej jeden z następujących kroków:

   • Usuń jednostkę EKU agenta żądania certyfikatu .
   • Usuń nadmiernie permisywne uprawnienia rejestracji, które umożliwiają każdemu użytkownikowi rejestrowanie certyfikatów na podstawie tego szablonu certyfikatu. Szablony oznaczone jako narażone przez usługę Defender for Identity mają co najmniej jeden wpis listy dostępu, który umożliwia rejestrację dla wbudowanej grupy nieuprzywilejowanej, dzięki czemu jest to możliwe do wykorzystania przez dowolnego użytkownika. Przykładami wbudowanych, nieuprzywilejowanych grup są uwierzytelnieni użytkownicy lub wszyscy.
   • Włącz wymaganie zatwierdzenia menedżera certyfikatów urzędu certyfikacji.
   • Usuń szablon certyfikatu z publikowania przez dowolny urząd certyfikacji. Nie można zażądać szablonów, które nie zostały opublikowane, i dlatego nie można ich wykorzystać.
   • Użyj ograniczeń agenta rejestracji na poziomie urzędu certyfikacji. Na przykład możesz chcieć ograniczyć, którzy użytkownicy mogą pełnić rolę agenta rejestracji i których szablonów można zażądać.

Edytowanie nadmiernie permisywnego szablonu certyfikatu przy użyciu uprzywilejowanej jednostki EKU (dowolne przeznaczenie EKU lub brak EKU) (ESC2)

Opis

Certyfikaty cyfrowe odgrywają istotną rolę w ustanawianiu zaufania i zachowaniu integralności w całej organizacji. Dotyczy to nie tylko uwierzytelniania w domenie Kerberos, ale także w innych obszarach, takich jak integralność kodu, integralność serwera i technologie, które opierają się na certyfikatach, takich jak Active Directory Federation Services (AD FS) i IPSec.

Jeśli szablon certyfikatu nie ma jednostek EKU lub ma jednostkę EKU dowolnego przeznaczenia i można go zarejestrować dla dowolnego nieuprzywilejowanego użytkownika, certyfikaty wystawione na podstawie tego szablonu mogą być złośliwie używane przez przeciwnika, co zagraża zaufaniu.

Mimo że certyfikatu nie można użyć do personifikacji uwierzytelniania użytkownika, narusza on inne składniki zwalniające certyfikaty cyfrowe dla modelu zaufania. Osoby atakujące mogą tworzyć certyfikaty protokołu TLS i personifikować dowolną witrynę internetową.

Implementacji

1. Zapoznaj się z zalecaną akcją pod adresem https://security.microsoft.com/securescore?viewid=actions , aby uzyskać zbyt permisywne szablony certyfikatów z uprzywilejowaną jednostką EKU. Przykład:

   

2. Zbadaj, dlaczego szablony mają uprzywilejowaną jednostkę EKU.

3. Skoryguj problem, wykonując następujące czynności:

   • Ogranicz nadmiernie permisywne uprawnienia szablonu.
   • Wymuś dodatkowe środki zaradcze, takie jak dodawanie wymagań dotyczących zatwierdzania i podpisywania menedżera, jeśli to możliwe.

Zapobieganie rejestrowaniu certyfikatów przy użyciu dowolnych zasad aplikacji (ESC15)

Opis

To zalecenie dotyczy bezpośrednio ostatnio opublikowanego cve-2024-49019, które podkreśla zagrożenia bezpieczeństwa związane z wrażliwymi konfiguracjami usług AD CS. Ta ocena stanu zabezpieczeń zawiera listę wszystkich narażonych szablonów certyfikatów znalezionych w środowiskach klienta z powodu nieprzypisanych serwerów cs usługi AD.

Szablony certyfikatów, które są podatne na CVE-2024-49019 , umożliwiają osobie atakującej wystawianie certyfikatu z dowolnymi zasadami aplikacji i alternatywną nazwą podmiotu. Certyfikat może służyć do eskalowania uprawnień, co może spowodować pełne naruszenie zabezpieczeń domeny. 

Te szablony certyfikatów narażają organizacje na znaczne ryzyko, ponieważ umożliwiają osobom atakującym wystawianie certyfikatów przy użyciu dowolnych zasad aplikacji i alternatywnych nazw podmiotów (SLAN). Takie certyfikaty można wykorzystać do eskalacji uprawnień i potencjalnie naruszyć całą domenę. W szczególności te luki w zabezpieczeniach umożliwiają użytkownikom nieuprzywilejowującym wystawianie certyfikatów, które mogą uwierzytelniać się jako konta o wysokich uprawnieniach, co stanowi poważne zagrożenie dla bezpieczeństwa.

Uwaga

Ta ocena jest dostępna tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS. Aby uzyskać więcej informacji, zobacz Nowy typ czujnika dla usług certyfikatów Active Directory (AD CS).

Implementacji

1. Zapoznaj się z zalecaną akcją w temacie Prevent Certificate Enrollment with arbitrary Application Policies (ESC15) (Zapobieganie rejestracji certyfikatów przy użyciu dowolnych zasad aplikacji (ESC15).

2. Identyfikowanie szablonów certyfikatów narażonych na zagrożenia:

   • Usuń uprawnienie rejestracji dla nieuprzywilejowanych użytkowników.
   • Wyłącz opcję "Podaj w żądaniu ".

3. Zidentyfikuj serwery AD CS, które są narażone na cve-2024-49019 i zastosuj odpowiednią poprawkę.

   

Uniemożliwianie użytkownikom żądania certyfikatu prawidłowego dla dowolnych użytkowników na podstawie szablonu certyfikatu (ESC1) (wersja zapoznawcza)

Opis

Każdy certyfikat jest skojarzony z jednostką za pośrednictwem pola podmiotu. Jednak certyfikaty zawierają również pole Alternatywna nazwa podmiotu (SAN), które umożliwia ważność certyfikatu dla wielu jednostek.

Pole sieci SAN jest często używane w przypadku usług sieci Web hostowanych na tym samym serwerze, co obsługuje użycie pojedynczego certyfikatu HTTPS zamiast oddzielnych certyfikatów dla każdej usługi. Jeśli określony certyfikat jest również ważny do uwierzytelniania, zawierający odpowiednią jednostkę EKU, taką jak uwierzytelnianie klienta, może służyć do uwierzytelniania kilku różnych kont.

Jeśli szablon certyfikatu ma włączoną opcję Podaj w żądaniu , szablon jest narażony na ataki, a osoby atakujące mogą zarejestrować certyfikat, który jest ważny dla dowolnych użytkowników.

Ważna

Jeśli certyfikat jest również dozwolony do uwierzytelniania i nie są wymuszane żadne środki zaradcze, takie jak zatwierdzenie menedżera lub wymagane autoryzowane podpisy, szablon certyfikatu jest niebezpieczny, ponieważ umożliwia dowolnemu nieuprzywilejowanemu użytkownikowi przejęcie dowolnego użytkownika, w tym użytkownika administratora domeny.

To konkretne ustawienie jest jednym z najczęstszych błędów konfiguracji.

Implementacji

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions dla żądań certyfikatów dla dowolnych użytkowników. Przykład:

   

2. Aby skorygować żądania certyfikatów dla dowolnych użytkowników, wykonaj co najmniej jedną z następujących czynności:

   • Wyłącz pozycję Podaj w konfiguracji żądania.

   • Usuń wszystkie jednostki EKU, które umożliwiają uwierzytelnianie użytkownika, takie jak uwierzytelnianie klienta, logowanie za pomocą karty inteligentnej, uwierzytelnianie klienta PKINIT lub dowolny cel.

   • Usuń nadmiernie permisywne uprawnienia rejestracji, które umożliwiają każdemu użytkownikowi rejestrowanie certyfikatu na podstawie tego szablonu certyfikatu.

     Szablony certyfikatów oznaczone jako narażone przez usługę Defender for Identity mają co najmniej jeden wpis listy dostępu, który obsługuje rejestrację dla wbudowanej, nieuprzywilejowanej grupy, dzięki czemu jest to możliwe do wykorzystania przez dowolnego użytkownika. Przykłady wbudowanych, nieuprzywilejowanych grup obejmują uwierzytelnionych użytkowników lub wszystkich.

   • Włącz wymaganie zatwierdzenia menedżera certyfikatów urzędu certyfikacji.

   • Usuń szablon certyfikatu z publikowania przez dowolny urząd certyfikacji. Nie można zażądać szablonów, które nie zostały opublikowane, i dlatego nie można ich wykorzystać.

Edytowanie ustawienia urzędu certyfikacji, który jest narażony na zagrożenia (ESC6) (wersja zapoznawcza)

Opis

Każdy certyfikat jest skojarzony z jednostką za pośrednictwem pola podmiotu. Jednak certyfikat zawiera również pole Alternatywna nazwa podmiotu (SAN), które umożliwia ważność certyfikatu dla wielu jednostek.

Pole sieci SAN jest często używane w przypadku usług sieci Web hostowanych na tym samym serwerze, co obsługuje użycie pojedynczego certyfikatu HTTPS zamiast oddzielnych certyfikatów dla każdej usługi. Jeśli określony certyfikat jest również ważny do uwierzytelniania, zawierający odpowiednią jednostkę EKU, taką jak uwierzytelnianie klienta, może służyć do uwierzytelniania kilku różnych kont.

Nieuprzywilejowanych użytkowników, którzy mogą określić użytkowników w ustawieniach sieci SAN może prowadzić do natychmiastowego naruszenia zabezpieczeń i opublikować duże ryzyko dla organizacji.

Jeśli flaga AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 jest włączona, każdy użytkownik może określić ustawienia sieci SAN dla żądania certyfikatu. To z kolei ma wpływ na wszystkie szablony certyfikatów, niezależnie od tego, czy opcja jest Supply in the request włączona, czy nie.

Jeśli istnieje szablon, w EDITF_ATTRIBUTESUBJECTALTNAME2 którym ustawienie jest włączone, a szablon jest prawidłowy do uwierzytelniania, osoba atakująca może zarejestrować certyfikat, który może personifikować dowolne dowolne konto.

Uwaga

Ta ocena jest dostępna tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS.

Implementacji

1. Przejrzyj zalecaną akcję pod adresem w https://security.microsoft.com/securescore?viewid=actions celu edytowania ustawień podatnego na zagrożenia urzędu certyfikacji. Przykład:

   

2. Zbadaj, EDITF_ATTRIBUTESUBJECTALTNAME2 dlaczego ustawienie jest włączone.

3. Wyłącz to ustawienie, uruchamiając polecenie:

   certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
   

4. Uruchom ponownie usługę, uruchamiając następujące polecenie:

   net stop certsvc & net start certsvc
   

Następne kroki

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft