Jaa

Suojausarviointi: Muokkaa haavoittuvassa asemassa olevaa varmenteiden myöntäjän asetusta (ESC6) (esikatselu)

  • Artikkeli

Tässä artikkelissa kuvataan Microsoft Defender for Identity haavoittuvan varmenteiden myöntäjän asetusraporttia.

Mitä ovat haavoittuvassa asemassa olevat varmenteiden myöntäjän asetukset?

Jokainen varmenne liitetään entiteettiin sen aihekentän kautta. Varmenne sisältää kuitenkin myös Aiheen vaihtoehtoinen nimi (SAN) -kentän, jonka avulla varmenne voi olla voimassa useissa entiteeteissä.

SAN-kenttää käytetään yleisesti samassa palvelimessa isännöitäville verkkopalveluille, ja se tukee yksittäisen HTTPS-varmenteen käyttöä erillisten varmenteiden sijaan kussakin palvelussa. Kun tietty varmenne on voimassa myös todennusta varten ja sisältää asianmukaisen EKU:n, kuten asiakastodennuksen, sen avulla voidaan todentaa useita eri tilejä.

Vähäpätöiset käyttäjät, jotka voivat määrittää käyttäjät san-asetuksissa, voivat aiheuttaa välittömiä kompromisseja ja aiheuttaa organisaatiollesi suuren riskin.

Jos AD CS - editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 merkintä on käytössä, jokainen käyttäjä voi määrittää varmennepyyntönsä SAN-asetukset. Tämä puolestaan vaikuttaa kaikkiin varmennemalleihin riippumatta siitä, onko asetus Supply in the request käytössä vai ei.

Jos käytössä on malli, jossa EDITF_ATTRIBUTESUBJECTALTNAME2 asetus on käytössä ja malli on kelvollinen todennusta varten, hyökkääjä voi rekisteröidä varmenteen, joka voi tekeytyä mikä tahansa mielivaltainen tili.

Ennakkovaatimukset

Tämä arviointi on saatavilla vain asiakkaille, jotka asensivat tunnistimen AD CS -palvelimeen. Lisätietoja on artikkelissa Active Directory -varmennepalvelujen (AD CS) uusi tunnistintyyppi.

Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?

  1. Tarkista suositeltu toiminto kohdassa, jos haluat muokata haavoittuvassa https://security.microsoft.com/securescore?viewid=actions asemassa olevia varmenteiden myöntäjän asetuksia. Esimerkki:

    Näyttökuva Muokkaa haavoittuvaa varmenteiden myöntäjän asetusta (ESC6) -suosituksesta.

  2. Oheistietoa siitä, EDITF_ATTRIBUTESUBJECTALTNAME2 miksi asetus on käytössä.

  3. Poista asetus käytöstä suorittamalla:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Käynnistä palvelu uudelleen suorittamalla:

    net stop certsvc & net start certsvc

Muista testata asetukset hallitussa ympäristössä, ennen kuin otat ne käyttöön tuotannossa.

Huomautus

Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.

Seuraavat vaiheet