本文介绍Microsoft Defender for Identity的“使用任意应用程序策略 (ESC15 阻止证书注册) 安全状况评估报告。
为什么查看证书模板很重要?
此建议直接解决最近发布的 CVE-2024-49019, 其中突出显示了与易受攻击的 AD CS 配置相关的安全风险。 此安全状况评估列出了由于未修补的 AD CS 服务器在客户环境中发现的所有易受攻击的证书模板。
易受 CVE-2024-49019 攻击的证书模板允许攻击者颁发具有任意应用程序策略和使用者可选名称的证书。 证书可用于升级权限,可能会导致完全域泄露。
这些证书模板使组织面临重大风险,因为它们使攻击者能够颁发具有任意应用程序策略和使用者可选名称的证书, (SAN) 。 此类证书可用于提升特权,并可能危及整个域。 特别是,这些漏洞允许非特权用户颁发证书,这些证书可以作为高特权帐户进行身份验证,从而构成严重的安全威胁。
先决条件
此评估仅适用于在 AD CS 服务器上安装了传感器的客户。 有关详细信息,请参阅 Active Directory 证书服务的新传感器类型 (AD CS) 。
如何实现使用此安全评估来改善我的组织安全状况?
查看使用 任意应用程序策略阻止证书注册 (ESC15) 中的建议操作。
识别易受攻击的证书模板:
- 删除无特权用户的注册权限。
- 禁用 “在请求中提供” 选项。
确定易受 CVE-2024-49019 攻击的 AD CS 服务器,并应用相关修补程序。
例如:
