Ocena zabezpieczeń: Edytuj ustawienie urzędu certyfikacji w trudnej sytuacji (ESC6) (wersja zapoznawcza)

W tym artykule opisano raport ustawień urzędu certyfikacji Microsoft Defender for Identity narażonych na zagrożenia.

Co to są ustawienia urzędu certyfikacji w trudnej sytuacji?

Każdy certyfikat jest skojarzony z jednostką za pośrednictwem pola podmiotu. Jednak certyfikat zawiera również pole Alternatywna nazwa podmiotu (SAN), które umożliwia ważność certyfikatu dla wielu jednostek.

Pole sieci SAN jest często używane w przypadku usług sieci Web hostowanych na tym samym serwerze, co obsługuje użycie pojedynczego certyfikatu HTTPS zamiast oddzielnych certyfikatów dla każdej usługi. Jeśli określony certyfikat jest również ważny do uwierzytelniania, zawierający odpowiednią jednostkę EKU, taką jak uwierzytelnianie klienta, może służyć do uwierzytelniania kilku różnych kont.

Nieuprzywilejowanych użytkowników, którzy mogą określić użytkowników w ustawieniach sieci SAN może prowadzić do natychmiastowego naruszenia zabezpieczeń i opublikować duże ryzyko dla organizacji.

Jeśli flaga AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 jest włączona, każdy użytkownik może określić ustawienia sieci SAN dla żądania certyfikatu. To z kolei ma wpływ na wszystkie szablony certyfikatów, niezależnie od tego, czy opcja jest Supply in the request włączona, czy nie.

Jeśli istnieje szablon, w EDITF_ATTRIBUTESUBJECTALTNAME2 którym ustawienie jest włączone, a szablon jest prawidłowy do uwierzytelniania, osoba atakująca może zarejestrować certyfikat, który może personifikować dowolne dowolne konto.

Wymagania wstępne

Ta ocena jest dostępna tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS. Aby uzyskać więcej informacji, zobacz Nowy typ czujnika dla usług certyfikatów Active Directory (AD CS).

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń organizacji?

1. Przejrzyj zalecaną akcję pod adresem w https://security.microsoft.com/securescore?viewid=actions celu edytowania ustawień podatnego na zagrożenia urzędu certyfikacji. Przykład:

   

2. Zbadaj, EDITF_ATTRIBUTESUBJECTALTNAME2 dlaczego ustawienie jest włączone.

3. Wyłącz to ustawienie, uruchamiając polecenie:

   certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
   

4. Uruchom ponownie usługę, uruchamiając następujące polecenie:

   net stop certsvc & net start certsvc
   

Przed włączeniem ich w środowisku produkcyjnym należy przetestować ustawienia w kontrolowanym środowisku.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Następne kroki

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft
• Zapoznaj się z forum Usługi Defender for Identity!