Säkerhetsbedömning: Redigera inställningen för sårbar certifikatutfärdare (ESC6) (förhandsversion)

  • Artikel

I den här artikeln beskrivs microsoft Defender för identitetens inställningsrapport för sårbar certifikatutfärdare.

Vad är sårbara inställningar för certifikatutfärdare?

Varje certifikat är associerat med en entitet via ämnesfältet. Ett certifikat innehåller dock även ett SAN-fält (Subject Alternative Name ), som gör att certifikatet kan vara giltigt för flera entiteter.

SAN-fältet används ofta för webbtjänster som finns på samma server, vilket stöder användning av ett enda HTTPS-certifikat i stället för separata certifikat för varje tjänst. När det specifika certifikatet också är giltigt för autentisering, genom att innehålla en lämplig EKU, till exempel klientautentisering, kan det användas för att autentisera flera olika konton.

Oprivilegierade användare som kan ange användarna i SAN-inställningarna kan leda till omedelbara kompromisser och utsätta din organisation för en stor risk.

Om AD CS-flaggan editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 är aktiverad kan varje användare ange SAN-inställningarna för sin certifikatbegäran. Detta påverkar i sin tur alla certifikatmallar, oavsett om alternativet Supply in the request är aktiverat eller inte.

Om det finns en mall där EDITF_ATTRIBUTESUBJECTALTNAME2 inställningen är aktiverad och mallen är giltig för autentisering kan en angripare registrera ett certifikat som kan personifiera valfritt godtyckligt konto.

Förutsättningar

Den här utvärderingen är endast tillgänglig för kunder som har installerat en sensor på en AD CS-server. Mer information finns i Ny sensortyp för Active Directory Certificate Services (AD CS).

Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?

  1. Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions att redigera inställningarna för sårbar certifikatutfärdare. Till exempel:

    Screenshot of the Edit vulnerable Certificate Authority setting (ESC6) recommendation.

  2. Undersöka varför inställningen EDITF_ATTRIBUTESUBJECTALTNAME2 är aktiverad.

  3. Inaktivera inställningen genom att köra:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Starta om tjänsten genom att köra:

    net stop certsvc & net start certsvc

Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.

Kommentar

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.

Nästa steg