本文說明 適用於身分識別的 Microsoft Defender 使用任意應用程式原則 (ESC15) 安全性狀態評估報告來防止憑證註冊。
為什麼檢閱證書範本很重要?
此建議會直接解決最近發佈的 CVE-2024-49019, 其中強調與易受攻擊的 AD CS 設定相關聯的安全性風險。 此安全性狀態評估會列出在客戶環境中因 AD CS 伺服器未修補而找到的所有易受攻擊憑證範本。
容易受到 CVE-2024-49019 攻擊的證書範本,可讓攻擊者以任意的應用程式原則和主體別名發出憑證。 憑證可用來提升許可權,可能會導致完整網域洩露。
這些證書範本會讓組織面臨重大風險,因為它們可讓攻擊者發行具有任意應用程式原則和主體別名的憑證, (SAN) 。 這類憑證可能會遭到惡意探索,以提升許可權,並可能會危害整個網域。 特別是,這些弱點可讓非特殊許可權的使用者簽發憑證,以驗證為高許可權的帳戶,而造成嚴重的安全性威脅。
必要條件
這項評量僅適用於在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊,請 參閱 Active Directory 憑證服務的新感測器類型 (AD CS) 。
如何? 使用此安全性評估來改善我的組織安全性狀態嗎?
請檢閱 防止使用 ESC15 (任意應用程式原則註冊憑證) 的建議動作。
識別易受攻擊的證書範本:
- 拿掉無特殊許可權用戶的註冊許可權。
- 停用 [在要求中提供] 選項。
識別容易受到 CVE-2024-49019 攻擊的 AD CS 伺服器,並套用相關的修補程式。
例如:
