Compartilhar via

Avaliação de segurança: Editar configuração de Autoridade de Certificação vulnerável (ESC6) (Visualização)

  • Artigo

Este artigo descreve o relatório de configuração de Autoridade de certificação vulnerável do Microsoft Defender for Identity.

O que são configurações vulneráveis da Autoridade de Certificação?

Cada certificado é associado a uma entidade por meio de seu campo de assunto. No entanto, um certificado também inclui um campo SAN (Nome Alternativo da Entidade), que permite que o certificado seja válido para várias entidades.

O campo SAN é comumente usado para serviços Web hospedados no mesmo servidor, oferecendo suporte ao uso de um único certificado HTTPS em vez de certificados separados para cada serviço. Quando o certificado específico também é válido para autenticação, contendo um EKU apropriado, como Autenticação de Cliente, ele pode ser usado para autenticar várias contas diferentes.

Usuários sem privilégios que podem especificar os usuários nas configurações de SAN podem levar ao comprometimento imediato e gerar um grande risco para sua organização.

Se o sinalizador do AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 estiver ativado, cada usuário poderá especificar as configurações de SAN para sua solicitação de certificado. Isso, por sua vez, afeta todos os modelos de certificado, independentemente de terem a opção ativada Supply in the request ou não.

Se houver um modelo em que a configuração esteja ativada EDITF_ATTRIBUTESUBJECTALTNAME2 e o modelo for válido para autenticação, um invasor poderá registrar um certificado que pode representar qualquer conta arbitrária.

Pré-requisitos

Essa avaliação está disponível apenas para clientes que instalaram um sensor em um servidor AD CS. Para obter mais informações, consulte Novo tipo de sensor para os Serviços de Certificados do Active Directory (AD CS).

Como usar essa avaliação de segurança para melhorar minha postura de segurança organizacional?

  1. Revise a ação recomendada em para editar configurações vulneráveis da https://security.microsoft.com/securescore?viewid=actions Autoridade de Certificação. Por exemplo:

    Screenshot of the Edit vulnerable Certificate Authority setting (ESC6) recommendation.

  2. Pesquise por que a EDITF_ATTRIBUTESUBJECTALTNAME2 configuração está ativada.

  3. Desative a configuração executando:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Reinicie o serviço executando:

    net stop certsvc & net start certsvc

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Observação

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades não mais afetadas serão removidas da lista de entidades expostas.

Próximas etapas