Sdílet prostřednictvím

Posouzení zabezpečení: Úprava nastavení ohrožené certifikační autority (ESC6) (Preview)

  • Článek

Tento článek popisuje sestavu nastavení ohrožené certifikační autority Microsoft Defender for Identity.

Co jsou ohrožená nastavení certifikační autority?

Každý certifikát je přidružený k entitě prostřednictvím pole předmětu. Certifikát ale obsahuje také pole Alternativní název subjektu (SAN), které umožňuje, aby certifikát byl platný pro více entit.

Pole SAN se běžně používá pro webové služby hostované na stejném serveru a podporuje použití jednoho certifikátu HTTPS místo samostatných certifikátů pro každou službu. Pokud je konkrétní certifikát platný také pro ověřování, může se použít k ověření několika různých účtů tím, že obsahuje odpovídající EKU, jako je ověřování klientů.

Neprivilegované uživatele, kteří můžou určit uživatele v nastavení sítě SAN, můžou vést k okamžitému ohrožení zabezpečení a způsobit velké riziko pro vaši organizaci.

Pokud je příznak SLUŽBY AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 zapnutý, může každý uživatel zadat nastavení sítě SAN pro svoji žádost o certifikát. To zase ovlivňuje všechny šablony certifikátů, ať už mají Supply in the request tuto možnost zapnutou nebo ne.

Pokud je šablona, u které EDITF_ATTRIBUTESUBJECTALTNAME2 je nastavení zapnuté a šablona je platná pro ověřování, může útočník zaregistrovat certifikát, který může zosobnit libovolný účet.

Požadavky

Toto hodnocení je dostupné jenom pro zákazníky, kteří nainstalovali senzor na server AD CS. Další informace najdete v tématu Nový typ senzoru pro službu Ad CS (Active Directory Certificate Services).

Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení organizace?

  1. Projděte si doporučenou akci pro https://security.microsoft.com/securescore?viewid=actions úpravu nastavení certifikační autority, která je ohrožená. Příklady:

    Snímek obrazovky s doporučením Upravit nastavení certifikační autority s ohrožením zabezpečení (ESC6)

  2. Zjistěte, proč EDITF_ATTRIBUTESUBJECTALTNAME2 je nastavení zapnuté.

  3. Vypněte nastavení spuštěním příkazu:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Restartujte službu spuštěním příkazu:

    net stop certsvc & net start certsvc

Před zapnutím v produkčním prostředí nezapomeňte nastavení otestovat v řízeném prostředí.

Poznámka

Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.

Další kroky