Säkerhetsutvärdering: Förhindra att användare begär ett certifikat som är giltigt för godtyckliga användare baserat på certifikatmallen (ESC1) (förhandsversion)
Den här artikeln beskriver Microsoft Defender for Identity:s Prevent users to request a certificate valid for arbitrary users based on the certificate template (ESC1) identity security posture assessment report (Förhindra användare att begära ett certifikat som är giltigt för godtyckliga användare baserat på certifikatmallens (ESC1) utvärderingsrapport för identitetssäkerhet.
Vad är certifikatbegäranden för godtyckliga användare?
Varje certifikat är associerat med en entitet via ämnesfältet. Certifikat innehåller dock även ett SAN-fält ( Subject Alternative Name ), som gör att certifikatet kan vara giltigt för flera entiteter.
SAN-fältet används ofta för webbtjänster som finns på samma server, vilket stöder användning av ett enda HTTPS-certifikat i stället för separata certifikat för varje tjänst. När det specifika certifikatet också är giltigt för autentisering, genom att innehålla en lämplig EKU, till exempel klientautentisering, kan det användas för att autentisera flera olika konton.
Om alternativet Ange i begäran är aktiverat i en certifikatmall är mallen sårbar och angripare kanske kan registrera ett certifikat som är giltigt för godtyckliga användare.
Viktigt
Om certifikatet också är tillåtet för autentisering och inga åtgärder har tillämpats, till exempel Godkännande av chef eller nödvändiga auktoriserade signaturer, är certifikatmallen farlig eftersom den tillåter alla icke-privilegierade användare att ta över valfria användare, inklusive en domänadministratörsanvändare.
Den här specifika inställningen är en av de vanligaste felkonfigurationerna.
Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?
Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions certifikatbegäranden för godtyckliga användare. Till exempel:
Utför minst ett av följande steg för att åtgärda certifikatbegäranden för godtyckliga användare:
Inaktivera Leverans i konfigurationen av begäran .
Ta bort alla EKU:er som aktiverar användarautentisering, till exempel klientautentisering, smartkortsinloggning, PKINIT-klientautentisering eller valfritt syfte.
Ta bort behörigheter för alltför tillåtande registrering, vilket gör att alla användare kan registrera certifikat baserat på certifikatmallen.
Certifikatmallar som markerats som sårbara av Defender for Identity har minst en åtkomstlistepost som stöder registrering för en inbyggd, icke-privilegierad grupp, vilket gör att den kan utnyttjas av alla användare. Exempel på inbyggda grupper utan privilegier är autentiserade användare eller Alla.
Aktivera krav för ca certificate Manager-godkännande .
Ta bort certifikatmallen från att publiceras av en certifikatutfärdare. Mallar som inte publiceras kan inte begäras och kan därför inte utnyttjas.
Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.
Obs!
Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över påverkade entiteter uppdateras inom några minuter efter att du implementerat rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.