安全性評估：防止使用者根據證書範本要求對任意使用者有效的憑證（ESC1）（預覽）

本文說明適用於身分識別的 Microsoft Defender 防止使用者根據證書範本（ESC1） 身分識別安全性狀態評估報告，向任意使用者要求有效的憑證。

任意用戶的憑證要求為何？

每個憑證都會透過其主體欄位與實體相關聯。不過，憑證也包含 主體別名 （SAN）字段，可讓憑證對多個實體有效。

SAN 欄位通常用於裝載在相同伺服器上的 Web 服務，支援使用單一 HTTPS 憑證，而不是針對每個服務使用不同的憑證。當特定憑證也適用於驗證時，藉由包含適當的 EKU，例如 客戶端驗證，它可以用來驗證數個不同的帳戶。

如果證書範本已 開啟 [要求 中的供應] 選項，範本就很脆弱，攻擊者或許可以註冊對任意使用者有效的憑證。

重要

如果憑證也允許進行驗證，而且不會強制執行任何緩和措施，例如 管理員核准 或必要的授權簽章，則證書範本會很危險，因為它允許任何不特殊許可權的使用者接管任何任意使用者，包括網域系統管理員使用者。

此特定設定是最常見的設定錯誤之一。

針對任意用戶的憑證要求，請檢閱的建議動作 https://security.microsoft.com/securescore?viewid=actions 。例如：
若要補救任意使用者的憑證要求，請執行下列至少一個步驟：
- 關閉要求組態中的 [供應]。
- 拿掉任何啟用使用者驗證的 EKU，例如 客戶端驗證、 智慧卡登入、 PKINIT 用戶端驗證或任何用途。
- 拿掉過度寬鬆的註冊許可權，以允許任何用戶根據該證書範本註冊憑證。
  
  身分識別的 Defender 標示為易受攻擊的證書範本至少有一個存取清單專案，可支援針對內建、無特殊許可權的群組進行註冊，讓任何使用者都能夠利用此專案。內建、非特殊許可權群組的範例包括 已驗證的使用者 或 所有人。
- 開啟 CA 憑證 管理員核准 需求。
- 拿掉任何 CA 所發佈的證書範本。無法要求未發佈的範本，因此無法加以利用。

在生產環境中開啟設定之前，請務必先在受控制的環境中測試您的設定。

注意

雖然評定會近乎即時地更新，但分數和狀態會每隔 24 小時更新一次。雖然受影響的實體清單會在您實作建議的幾分鐘內更新，但狀態可能需要一些時間才能將其標示為 已完成。

報告會顯示過去 30 天內受影響的實體。在那段時間之後，將不再受影響的實體會從公開的實體清單中移除。