Поделиться через

Оценка безопасности: изменение параметра уязвимого центра сертификации (ESC6) (предварительная версия)

  • Статья

В этой статье описывается отчет о настройке уязвимого центра сертификации Microsoft Defender для удостоверений.

Что такое уязвимые параметры центра сертификации?

Каждый сертификат связан с сущностью с помощью поля субъекта. Однако сертификат также содержит поле Альтернативное имя субъекта (SAN), которое позволяет сертификату быть действительным для нескольких сущностей.

Поле SAN обычно используется для веб-служб, размещенных на одном сервере, поддерживая использование одного сертификата HTTPS вместо отдельных сертификатов для каждой службы. Если конкретный сертификат также действителен для проверки подлинности, содержащий соответствующий EKU, например проверка подлинности клиента, его можно использовать для проверки подлинности нескольких разных учетных записей.

Непривилегированные пользователи, которые могут указать пользователей в параметрах SAN, могут привести к немедленному компрометации и создать большой риск для вашей организации.

Если флаг AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 включен, каждый пользователь может указать параметры SAN для своего запроса на сертификат. Это, в свою очередь, влияет на все шаблоны сертификатов, независимо от Supply in the request того, включен ли в них параметр.

Если есть шаблон, в котором EDITF_ATTRIBUTESUBJECTALTNAME2 параметр включен, и шаблон действителен для проверки подлинности, злоумышленник может зарегистрировать сертификат, который может олицетворить любую произвольную учетную запись.

Предварительные условия

Эта оценка доступна только клиентам, которые установили датчик на сервере AD CS. Дополнительные сведения см. в статье Новый тип датчика для служб сертификатов Active Directory (AD CS).

Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?

  1. Ознакомьтесь с рекомендуемыми действиями по https://security.microsoft.com/securescore?viewid=actions изменению параметров уязвимого центра сертификации. Например:

    Снимок экрана: рекомендация изменить параметр уязвимого центра сертификации (ESC6).

  2. Изучите, EDITF_ATTRIBUTESUBJECTALTNAME2 почему параметр включен.

  3. Отключите параметр, выполнив следующую команду:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Перезапустите службу, выполнив следующую команду:

    net stop certsvc & net start certsvc

Обязательно протестируйте параметры в управляемой среде, прежде чем включать их в рабочей среде.

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

Дальнейшие действия