Avaliação de segurança: Editar configuração vulnerável da Autoridade de Certificação (ESC6) (Visualização)
Este artigo descreve o relatório de configuração da Autoridade de Certificação Vulnerável do Microsoft Defender for Identity.
O que são configurações vulneráveis da Autoridade de Certificação?
Cada certificado é associado a uma entidade através do seu campo de assunto. No entanto, um certificado também inclui um campo SAN (Nome Alternativo da Entidade), que permite que o certificado seja válido para várias entidades.
O campo SAN é normalmente usado para serviços Web hospedados no mesmo servidor, suportando o uso de um único certificado HTTPS em vez de certificados separados para cada serviço. Quando o certificado específico também é válido para autenticação, contendo um EKU apropriado, como Autenticação de Cliente, ele pode ser usado para autenticar várias contas diferentes.
Usuários sem privilégios que podem especificar os usuários nas configurações de SAN podem levar a um comprometimento imediato e representar um grande risco para sua organização.
Se o sinalizador AD CS editflags
>EDITF_ATTRIBUTESUBJECTALTNAME2
estiver ativado, cada usuário poderá especificar as configurações de SAN para sua solicitação de certificado. Isso, por sua vez, afeta todos os modelos de certificado, independentemente de terem a opção ativada Supply in the request
ou não.
Se houver um modelo em que a EDITF_ATTRIBUTESUBJECTALTNAME2
configuração esteja ativada e o modelo for válido para autenticação, um invasor poderá registrar um certificado que poderá representar qualquer conta arbitrária.
Pré-requisitos
Essa avaliação está disponível apenas para clientes que instalaram um sensor em um servidor AD CS. Para obter mais informações, consulte Novo tipo de sensor para os Serviços de Certificados do Ative Directory (AD CS).
Como posso utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?
Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para editar as configurações vulneráveis da Autoridade de Certificação. Por exemplo:
Pesquise por que a
EDITF_ATTRIBUTESUBJECTALTNAME2
configuração está ativada.Desative a configuração executando:
certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
Reinicie o serviço executando:
net stop certsvc & net start certsvc
Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.
Nota
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.
Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que não forem mais afetadas serão removidas da lista de entidades expostas.