Beveiligingsevaluatie: voorkomen dat gebruikers een certificaat aanvragen dat geldig is voor willekeurige gebruikers op basis van de certificaatsjabloon (ESC1) (preview)
In dit artikel wordt beschreven Microsoft Defender for Identity voorkomen dat gebruikers een certificaat aanvragen dat geldig is voor willekeurige gebruikers op basis van het evaluatierapport van de certificaatsjabloon (ESC1) voor identiteitsbeveiliging.
Wat zijn certificaataanvragen voor willekeurige gebruikers?
Elk certificaat is via het onderwerpveld gekoppeld aan een entiteit. Certificaten bevatten echter ook een SAN-veld ( Subject Alternative Name ), waardoor het certificaat geldig kan zijn voor meerdere entiteiten.
Het SAN-veld wordt vaak gebruikt voor webservices die op dezelfde server worden gehost, en ondersteunt het gebruik van één HTTPS-certificaat in plaats van afzonderlijke certificaten voor elke service. Wanneer het specifieke certificaat ook geldig is voor verificatie, door een geschikte EKU te bevatten, zoals Clientverificatie, kan het worden gebruikt om verschillende accounts te verifiëren.
Als voor een certificaatsjabloon de optie Leveren in de aanvraag is ingeschakeld, is de sjabloon kwetsbaar en kunnen aanvallers mogelijk een certificaat inschrijven dat geldig is voor willekeurige gebruikers.
Belangrijk
Als het certificaat ook is toegestaan voor verificatie en er geen risicobeperkende maatregelen worden afgedwongen, zoals goedkeuring door manager of vereiste geautoriseerde handtekeningen, is de certificaatsjabloon gevaarlijk omdat elke onbevoegde gebruiker hiermee willekeurige gebruikers kan overnemen, inclusief een domeinbeheerder.
Deze specifieke instelling is een van de meest voorkomende onjuiste configuraties.
Hoe kan ik deze beveiligingsevaluatie gebruiken om de beveiligingsstatus van mijn organisatie te verbeteren?
Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions voor certificaataanvragen voor willekeurige gebruikers. Bijvoorbeeld:
Voer ten minste een van de volgende stappen uit om certificaataanvragen voor willekeurige gebruikers te herstellen:
Schakel Leveren uit in de aanvraagconfiguratie .
Verwijder alle EKU's die gebruikersverificatie mogelijk maken, zoals Clientverificatie, Smartcard-aanmelding, PKINIT-clientverificatie of Elk doel.
Verwijder te permissieve inschrijvingsmachtigingen, waardoor elke gebruiker een certificaat kan inschrijven op basis van die certificaatsjabloon.
Certificaatsjablonen die door Defender for Identity als kwetsbaar zijn gemarkeerd, hebben ten minste één vermelding in de toegangslijst die inschrijving ondersteunt voor een ingebouwde, niet-gemachtigde groep, waardoor dit door elke gebruiker kan worden misbruikt. Voorbeelden van ingebouwde, niet-gemachtigde groepen zijn Geverifieerde gebruikers of Iedereen.
Schakel de goedkeuringsvereiste voor CA-certificaatbeheer in.
Verwijder de certificaatsjabloon die door een CA wordt gepubliceerd. Sjablonen die niet zijn gepubliceerd, kunnen niet worden aangevraagd en kunnen daarom niet worden misbruikt.
Test uw instellingen in een gecontroleerde omgeving voordat u ze inschakelt in productie.
Opmerking
Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.