Оценка безопасности. Запретить пользователям запрашивать сертификат, действительный для произвольных пользователей на основе шаблона сертификата (ESC1) (предварительная версия)
В этой статье описано, как Microsoft Defender для удостоверений запретить пользователям запрашивать сертификат, действительный для произвольных пользователей на основе отчета об оценке состояния безопасности удостоверений (ESC1).
Что такое запросы сертификатов для произвольных пользователей?
Каждый сертификат связан с сущностью через поле субъекта. Однако сертификаты также включают поле альтернативного имени субъекта (SAN), которое позволяет сертификату быть допустимым для нескольких сущностей.
Поле SAN обычно используется для веб-служб, размещенных на одном сервере, поддерживая использование одного сертификата HTTPS вместо отдельных сертификатов для каждой службы. Если определенный сертификат также действителен для проверки подлинности, используя соответствующий EKU, например проверку подлинности клиента, его можно использовать для проверки подлинности нескольких разных учетных записей.
Если шаблон сертификата имеет параметр "Предоставить" в параметре запроса , шаблон уязвим, и злоумышленники могут зарегистрировать сертификат, действительный для произвольных пользователей.
Важно!
Если сертификат также разрешен для проверки подлинности и не применяется никаких мер по устранению рисков, таких как утверждение диспетчера или обязательные авторизованные подписи, шаблон сертификата является опасным, так как он позволяет любому непривилегированному пользователю взять на себя любого произвольного пользователя, включая пользователя администратора домена.
Этот конкретный параметр является одним из наиболее распространенных неправильных конфигураций.
Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?
Просмотрите рекомендуемое действие https://security.microsoft.com/securescore?viewid=actions для запросов сертификатов для произвольных пользователей. Например:
Чтобы устранить запросы сертификатов для произвольных пользователей, выполните по крайней мере одно из следующих действий:
Отключите поставку в конфигурации запроса.
Удалите все EKUs, которые обеспечивают проверку подлинности пользователей, такие как проверка подлинности клиента, smart карта вход, проверка подлинности клиента PKINIT или любая цель.
Удалите чрезмерно допустимые разрешения регистрации, которые позволяют любому пользователю регистрировать сертификат на основе этого шаблона сертификата.
Шаблоны сертификатов, помеченные как уязвимые в Defender для удостоверений, имеют по крайней мере одну запись списка доступа, которая поддерживает регистрацию для встроенной, непривилегируемой группы, что делает эту эксплуатируемую любым пользователем. Примеры встроенных непривилегированных групп включают прошедших проверку подлинности пользователей или всех пользователей.
Включите требование утверждения диспетчера сертификатов ЦС.
Удалите шаблон сертификата из публикации любого ЦС. Шаблоны, которые не публикуются, не могут быть запрошены и поэтому не могут быть использованы.
Перед включением параметров в рабочей среде обязательно протестируйте параметры в управляемой среде.
Примечание.
Хотя оценки обновляются почти в режиме реального времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока не будет отмечено как завершено.
В отчетах отображаются затронутые сущности за последние 30 дней. После этого сущности больше не будут затронуты из списка предоставляемых сущностей.