Sicherheitsbewertung: Bearbeiten anfälliger Zertifizierungsstelleneinstellungen (ESC6) (Vorschau)

In diesem Artikel wird Microsoft Defender for Identity Bericht über anfällige Zertifizierungsstelleneinstellungen beschrieben.

Was sind anfällige Zertifizierungsstelleneinstellungen?

Jedes Zertifikat wird über sein Betrefffeld einer Entität zugeordnet. Ein Zertifikat enthält jedoch auch ein SAN-Feld ( Subject Alternative Name ), mit dem das Zertifikat für mehrere Entitäten gültig ist.

Das SAN-Feld wird häufig für Webdienste verwendet, die auf demselben Server gehostet werden, und unterstützt die Verwendung eines einzelnen HTTPS-Zertifikats anstelle separater Zertifikate für jeden Dienst. Wenn das spezifische Zertifikat auch für die Authentifizierung gültig ist und eine entsprechende EKU enthält, z. B. Clientauthentifizierung, kann es verwendet werden, um mehrere verschiedene Konten zu authentifizieren.

Nicht privilegierte Benutzer, die die Benutzer in den SAN-Einstellungen angeben können, können zu einer sofortigen Gefährdung führen und ein großes Risiko für Ihre organization darstellen.

Wenn das AD CS-Flag editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 aktiviert ist, kann jeder Benutzer die SAN-Einstellungen für seine Zertifikatanforderung angeben. Dies wirkt sich wiederum auf alle Zertifikatvorlagen aus, unabhängig davon, ob sie die Supply in the request Option aktiviert haben oder nicht.

Wenn es eine Vorlage gibt, in der die EDITF_ATTRIBUTESUBJECTALTNAME2 Einstellung aktiviert ist und die Vorlage für die Authentifizierung gültig ist, kann ein Angreifer ein Zertifikat registrieren, das die Identität eines beliebigen Kontos annehmen kann.

Voraussetzungen

Diese Bewertung ist nur für Kunden verfügbar, die einen Sensor auf einem AD CS-Server installiert haben. Weitere Informationen finden Sie unter Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS).For more information, see New sensor type for Active Directory Certificate Services (AD CS).

Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?

1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions zum Bearbeiten anfälliger Zertifizierungsstelleneinstellungen. Zum Beispiel:

   

2. Untersuchen Sie, warum die EDITF_ATTRIBUTESUBJECTALTNAME2 Einstellung aktiviert ist.

3. Deaktivieren Sie die Einstellung, indem Sie Folgendes ausführen:

   certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
   

4. Starten Sie den Dienst neu, indem Sie Folgendes ausführen:

   net stop certsvc & net start certsvc
   

Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.

Hinweis

Während Bewertungen nahezu in Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, kann die status noch einige Zeit dauern, bis sie als Abgeschlossen markiert ist.

Nächste Schritte

• Weitere Informationen zur Microsoft-Sicherheitsbewertung
• Sehen Sie sich das Defender for Identity-Forum an!