Partager via


Évaluation de la sécurité : Modifier le paramètre d’autorité de certification vulnérable (ESC6) (préversion)

Cet article décrit Microsoft Defender pour Identity rapport de paramètres d’autorité de certification vulnérable.

Quels sont les paramètres d’autorité de certification vulnérables ?

Chaque certificat est associé à une entité par le biais de son champ d’objet. Toutefois, un certificat inclut également un champ Autre nom de l’objet (SAN), ce qui permet au certificat d’être valide pour plusieurs entités.

Le champ SAN est couramment utilisé pour les services web hébergés sur le même serveur, prenant en charge l’utilisation d’un certificat HTTPS unique au lieu de certificats distincts pour chaque service. Lorsque le certificat spécifique est également valide pour l’authentification, en contenant une référence EKU appropriée, telle que l’authentification client, il peut être utilisé pour authentifier plusieurs comptes différents.

Les utilisateurs non privilégiés qui peuvent spécifier les utilisateurs dans les paramètres SAN peuvent entraîner une compromission immédiate et présenter un risque important pour votre organization.

Si l’indicateur AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 est activé, chaque utilisateur peut spécifier les paramètres SAN pour sa demande de certificat. Cela affecte à son tour tous les modèles de certificat, qu’ils aient l’option Supply in the request activée ou non.

S’il existe un modèle dans lequel le EDITF_ATTRIBUTESUBJECTALTNAME2 paramètre est activé et que le modèle est valide pour l’authentification, un attaquant peut inscrire un certificat qui peut emprunter l’identité de n’importe quel compte arbitraire.

Configuration requise

Cette évaluation est disponible uniquement pour les clients qui ont installé un capteur sur un serveur AD CS. Pour plus d’informations, consultez Nouveau type de capteur pour les services de certificats Active Directory (AD CS).

Comment faire utiliser cette évaluation de la sécurité pour améliorer la posture de sécurité de mon organisation ?

  1. Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour modifier les paramètres d’autorité de certification vulnérables. Par exemple :

    Capture d’écran de la recommandation Modifier le paramètre d’autorité de certification vulnérable (ESC6).

  2. Recherchez pourquoi le EDITF_ATTRIBUTESUBJECTALTNAME2 paramètre est activé.

  3. Désactivez le paramètre en exécutant :

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
    
  4. Redémarrez le service en exécutant :

    net stop certsvc & net start certsvc
    

Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.

Remarque

Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.

Étapes suivantes