Sdílet prostřednictvím

Posouzení zabezpečení: Znemožnit uživatelům požádat o certifikát platný pro libovolné uživatele na základě šablony certifikátu (ESC1) (Preview)

  • Článek

Tento článek popisuje Microsoft Defender for Identity Zabránit uživatelům v žádosti o certifikát platný pro libovolné uživatele na základě sestavy posouzení stavu zabezpečení identity šablony certifikátu (ESC1).

Co jsou žádosti o certifikáty pro libovolné uživatele?

Každý certifikát je přidružený k entitě prostřednictvím pole předmětu. Certifikáty ale obsahují také pole Alternativní název subjektu (SAN), které umožňuje, aby certifikát byl platný pro více entit.

Pole SAN se běžně používá pro webové služby hostované na stejném serveru a podporuje použití jednoho certifikátu HTTPS místo samostatných certifikátů pro každou službu. Pokud je konkrétní certifikát platný také pro ověřování, může se použít k ověření několika různých účtů tím, že obsahuje odpovídající EKU, jako je ověřování klientů.

Pokud je u šablony certifikátu zapnutá možnost Zadat v požadavku , je tato šablona zranitelná a útočníci můžou být schopni zaregistrovat certifikát, který je platný pro libovolné uživatele.

Důležité

Pokud je certifikát také povolený pro ověřování a nevynucují se žádná zmírňující opatření, jako je schválení nadřízeným nebo požadované autorizované podpisy, je šablona certifikátu nebezpečná, protože umožňuje jakémukoli neprivilegovaným uživatelům převzít libovolného uživatele, včetně uživatele správce domény.

Toto konkrétní nastavení je jednou z nejběžnějších chybných konfigurací.

Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení organizace?

  1. Projděte si doporučenou akci https://security.microsoft.com/securescore?viewid=actions pro žádosti o certifikáty pro libovolné uživatele. Příklady:

    Snímek obrazovky s doporučením Zabránit uživatelům požadovat certifikát platný pro libovolné uživatele na základě šablony certifikátu (ESC1)

  2. Pokud chcete napravit žádosti o certifikáty pro libovolné uživatele, proveďte alespoň jeden z následujících kroků:

    • V konfiguraci požadavku vypněte Možnost Zadat .

    • Odeberte všechny EKU, které umožňují ověřování uživatelů, jako je ověřování klienta, přihlášení pomocí čipové karty, ověřování klienta PKINIT nebo jakýkoli účel.

    • Odeberte příliš oprávnění k registraci, která umožňují každému uživateli zaregistrovat certifikát založený na této šabloně certifikátu.

      Šablony certifikátů označené defenderem for Identity jako ohrožené mají aspoň jednu položku přístupového seznamu, která podporuje registraci pro integrovanou neprivilegovanou skupinu, takže ji může zneužít každý uživatel. Příkladem předdefinovaných neprivilegovaných skupin jsou Ověření uživatelé nebo Všichni.

    • Zapněte požadavek na schválení správce certifikátů certifikační autority.

    • Odeberte šablonu certifikátu, aby ji publikovala jakákoli certifikační autorita. Šablony, které nejsou publikovány, nelze požadovat, a proto je nelze zneužít.

Před zapnutím v produkčním prostředí nezapomeňte nastavení otestovat v řízeném prostředí.

Poznámka

Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.

Další kroky