Sicherheitsbewertung: Bearbeiten der Einstellung für anfällige Zertifizierungsstellen (ESC6) (Vorschau)
In diesem Artikel wird der Einstellungsbericht der anfälligen Zertifizierungsstelle von Microsoft Defender for Identity beschrieben.
Was sind anfällige Zertifizierungsstelleneinstellungen?
Jedes Zertifikat wird einer Entität über das Betrefffeld zugeordnet. Ein Zertifikat enthält jedoch auch ein SAN-Feld (Subject Alternative Name ), mit dem das Zertifikat für mehrere Entitäten gültig sein kann.
Das SAN-Feld wird häufig für Webdienste verwendet, die auf demselben Server gehostet werden und die Verwendung eines einzelnen HTTPS-Zertifikats anstelle separater Zertifikate für jeden Dienst unterstützen. Wenn das spezifische Zertifikat auch für die Authentifizierung gültig ist, indem es eine entsprechende EKU enthält, z . B. clientauthentifizierung, kann es verwendet werden, um mehrere verschiedene Konten zu authentifizieren.
Nicht privilegierte Benutzer, die die Benutzer in den SAN-Einstellungen angeben können, können zu sofortigen Kompromittierungen führen und ein großes Risiko für Ihre Organisation bereitstellen.
Wenn das AD CS-Flag editflags
>EDITF_ATTRIBUTESUBJECTALTNAME2
aktiviert ist, kann jeder Benutzer die SAN-Einstellungen für seine Zertifikatanforderung angeben. Dies wirkt sich wiederum auf alle Zertifikatvorlagen aus, unabhängig davon, ob sie die Supply in the request
Option aktiviert haben oder nicht.
Wenn eine Vorlage vorhanden ist, in der die EDITF_ATTRIBUTESUBJECTALTNAME2
Einstellung aktiviert ist und die Vorlage für die Authentifizierung gültig ist, kann ein Angreifer ein Zertifikat registrieren, das die Identität eines beliebigen Kontos übernehmen kann.
Voraussetzungen
Diese Bewertung ist nur für Kunden verfügbar, die einen Sensor auf einem AD CS-Server installiert haben. Weitere Informationen finden Sie unter "Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS)".
Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?
Überprüfen Sie die empfohlene Aktion zum https://security.microsoft.com/securescore?viewid=actions Bearbeiten anfälliger Zertifizierungsstelleneinstellungen. Beispiel:
Recherchieren Sie, warum die
EDITF_ATTRIBUTESUBJECTALTNAME2
Einstellung aktiviert ist.Deaktivieren Sie die Einstellung, indem Sie Folgendes ausführen:
certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
Starten Sie den Dienst neu, indem Sie Folgendes ausführen:
net stop certsvc & net start certsvc
Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.
Hinweis
Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.
In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.