Avaliação de segurança: impedir que os usuários solicitem um certificado válido para usuários arbitrários com base no modelo de certificado (ESC1) (Visualização)
Este artigo descreve o Microsoft Defender for Identity's Impedir que os usuários solicitem um certificado válido para usuários arbitrários com base no relatório de avaliação de postura de segurança de identidade do modelo de certificado (ESC1).
O que são solicitações de certificado para usuários arbitrários?
Cada certificado é associado a uma entidade através do seu campo de assunto. No entanto, os certificados também incluem um campo SAN (Nome Alternativo da Entidade), que permite que o certificado seja válido para várias entidades.
O campo SAN é normalmente usado para serviços Web hospedados no mesmo servidor, suportando o uso de um único certificado HTTPS em vez de certificados separados para cada serviço. Quando o certificado específico também é válido para autenticação, contendo um EKU apropriado, como Autenticação de Cliente, ele pode ser usado para autenticar várias contas diferentes.
Se um modelo de certificado tiver a opção Fornecer na solicitação ativada, o modelo ficará vulnerável e os invasores poderão registrar um certificado válido para usuários arbitrários.
Importante
Se o certificado também for permitido para autenticação e não houver nenhuma medida de mitigação aplicada, como aprovação do gerente ou assinaturas autorizadas necessárias, o modelo de certificado é perigoso, pois permite que qualquer usuário sem privilégios assuma o controle de qualquer usuário arbitrário, incluindo um usuário administrador de domínio.
Essa configuração específica é uma das configurações incorretas mais comuns.
Como posso utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?
Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para solicitações de certificado para usuários arbitrários. Por exemplo:
Para corrigir solicitações de certificado para usuários arbitrários, execute pelo menos uma das seguintes etapas:
Desative Fornecimento na configuração da solicitação .
Remova todos os EKUs que permitem a autenticação do usuário, como autenticação de cliente, logon de cartão inteligente, autenticação de cliente PKINIT ou qualquer finalidade.
Remova permissões de registro excessivamente permissivas, que permitem que qualquer usuário registre um certificado com base nesse modelo de certificado.
Os modelos de certificado marcados como vulneráveis pelo Defender for Identity têm pelo menos uma entrada de lista de acesso que oferece suporte ao registro para um grupo interno sem privilégios, tornando isso explorável por qualquer usuário. Exemplos de grupos internos sem privilégios incluem Usuários autenticados ou Todos.
Ative o requisito de aprovação do CA certificate Manager.
Remova o modelo de certificado de ser publicado por qualquer autoridade de certificação. Os modelos que não são publicados não podem ser solicitados e, portanto, não podem ser explorados.
Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.
Nota
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.
Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que não forem mais afetadas serão removidas da lista de entidades expostas.