Avaliação de segurança: Editar configuração vulnerável da Autoridade de Certificação (ESC6) (Visualização)

  • Artigo

Este artigo descreve o relatório de configuração da Autoridade de Certificação Vulnerável do Microsoft Defender for Identity.

O que são configurações vulneráveis da Autoridade de Certificação?

Cada certificado é associado a uma entidade através do seu campo de assunto. No entanto, um certificado também inclui um campo SAN (Nome Alternativo da Entidade), que permite que o certificado seja válido para várias entidades.

O campo SAN é normalmente usado para serviços Web hospedados no mesmo servidor, suportando o uso de um único certificado HTTPS em vez de certificados separados para cada serviço. Quando o certificado específico também é válido para autenticação, contendo um EKU apropriado, como Autenticação de Cliente, ele pode ser usado para autenticar várias contas diferentes.

Usuários sem privilégios que podem especificar os usuários nas configurações de SAN podem levar a um comprometimento imediato e representar um grande risco para sua organização.

Se o sinalizador AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 estiver ativado, cada usuário poderá especificar as configurações de SAN para sua solicitação de certificado. Isso, por sua vez, afeta todos os modelos de certificado, independentemente de terem a opção ativada Supply in the request ou não.

Se houver um modelo em que a EDITF_ATTRIBUTESUBJECTALTNAME2 configuração esteja ativada e o modelo for válido para autenticação, um invasor poderá registrar um certificado que poderá representar qualquer conta arbitrária.

Pré-requisitos

Essa avaliação está disponível apenas para clientes que instalaram um sensor em um servidor AD CS. Para obter mais informações, consulte Novo tipo de sensor para os Serviços de Certificados do Ative Directory (AD CS).

Como posso utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para editar as configurações vulneráveis da Autoridade de Certificação. Por exemplo:

    Screenshot of the Edit vulnerable Certificate Authority setting (ESC6) recommendation.

  2. Pesquise por que a EDITF_ATTRIBUTESUBJECTALTNAME2 configuração está ativada.

  3. Desative a configuração executando:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Reinicie o serviço executando:

    net stop certsvc & net start certsvc

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Nota

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que não forem mais afetadas serão removidas da lista de entidades expostas.

Próximos passos