Partilhar via

Avaliação de segurança: Editar a definição de Autoridade de Certificação vulnerável (ESC6) (Pré-visualização)

  • Artigo

Este artigo descreve o relatório de definições da Autoridade de Certificação Vulnerável do Microsoft Defender para Identidade.

O que são definições vulneráveis da Autoridade de Certificação?

Cada certificado é associado a uma entidade através do respetivo campo de assunto. No entanto, um certificado também inclui um campo Nome Alternativo do Requerente (SAN), que permite que o certificado seja válido para várias entidades.

O campo SAN é normalmente utilizado para serviços Web alojados no mesmo servidor, suportando a utilização de um único certificado HTTPS em vez de certificados separados para cada serviço. Quando o certificado específico também é válido para autenticação, ao conter um EKU adequado, como a Autenticação de Cliente, pode ser utilizado para autenticar várias contas diferentes.

Os utilizadores sem privilégios que podem especificar os utilizadores nas definições san podem levar a um compromisso imediato e publicar um grande risco para a sua organização.

Se o sinalizador do AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 estiver ativado, cada utilizador pode especificar as definições SAN para o respetivo pedido de certificado. Isto, por sua vez, afeta todos os modelos de certificado, quer tenham a opção Supply in the request ativada ou não.

Se existir um modelo em que a EDITF_ATTRIBUTESUBJECTALTNAME2 definição está ativada e o modelo for válido para autenticação, um atacante pode inscrever um certificado que possa representar qualquer conta arbitrária.

Pré-requisitos

Esta avaliação só está disponível para clientes que instalaram um sensor num servidor do AD CS. Para obter mais informações, veja Novo tipo de sensor para os Serviços de Certificados do Active Directory (AD CS).

Como devo proceder para utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para editar as definições vulneráveis da Autoridade de Certificação. Por exemplo:

    Captura de ecrã a mostrar a recomendação Editar Autoridade de Certificação vulnerável (ESC6).

  2. Pesquisar por que motivo a EDITF_ATTRIBUTESUBJECTALTNAME2 definição está ativada.

  3. Desative a definição ao executar:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Reinicie o serviço ao executar:

    net stop certsvc & net start certsvc

Certifique-se de que testa as definições num ambiente controlado antes de as ativar na produção.

Nota

Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, o estado ainda pode demorar algum tempo até estar marcado como Concluído.

Passos seguintes