Avaliação de segurança: impedir que os usuários solicitem um certificado válido para usuários arbitrários com base no modelo de certificado (ESC1) (Visualização)
Este artigo descreve o relatório de avaliação de postura de segurança de identidade do Microsoft Defender for Identity Prevent solicitarem um certificado válido para usuários arbitrários com base no relatório de avaliação de postura de segurança de identidade ESC1 (modelo de certificado).
O que são solicitações de certificado para usuários arbitrários?
Cada certificado é associado a uma entidade por meio de seu campo de assunto. No entanto, os certificados também incluem um campo SAN (Nome Alternativo da Entidade), que permite que o certificado seja válido para várias entidades.
O campo SAN é comumente usado para serviços Web hospedados no mesmo servidor, oferecendo suporte ao uso de um único certificado HTTPS em vez de certificados separados para cada serviço. Quando o certificado específico também é válido para autenticação, contendo um EKU apropriado, como Autenticação de Cliente, ele pode ser usado para autenticar várias contas diferentes.
Se um modelo de certificado tiver a opção Fornecer na solicitação ativada, o modelo ficará vulnerável e os invasores poderão registrar um certificado válido para usuários arbitrários.
Importante
Se o certificado também for permitido para autenticação e não houver nenhuma medida de mitigação imposta, como a aprovação do Gerenciador ou assinaturas autorizadas necessárias, o modelo de certificado será perigoso, pois permitirá que qualquer usuário sem privilégios assuma o controle de qualquer usuário arbitrário, incluindo um usuário administrador de domínio.
Essa configuração específica é uma das configurações incorretas mais comuns.
Como usar essa avaliação de segurança para melhorar minha postura de segurança organizacional?
Revise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para solicitações de certificado para usuários arbitrários. Por exemplo:
Para corrigir solicitações de certificado para usuários arbitrários, execute pelo menos uma das seguintes etapas:
Desative Fornecimento na configuração da solicitação .
Remova todos os EKUs que habilitam a autenticação do usuário, como Autenticação de Cliente, logon de cartão inteligente, autenticação de cliente PKINIT ou Qualquer finalidade.
Remova permissões de registro excessivamente permissivas, que permitem que qualquer usuário registre certificado com base nesse modelo de certificado.
Os modelos de certificado marcados como vulneráveis pelo Defender for Identity têm pelo menos uma entrada de lista de acesso que oferece suporte ao registro para um grupo interno sem privilégios, tornando isso explorável por qualquer usuário. Exemplos de grupos internos sem privilégios incluem Usuários Autenticados ou Todos.
Ative o requisito de aprovação do Gerenciador de certificados da CA.
Remova o modelo de certificado de ser publicado por qualquer CA. Os modelos que não são publicados não podem ser solicitados e, portanto, não podem ser explorados.
Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.
Observação
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.
Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades não mais afetadas serão removidas da lista de entidades expostas.