安全评估:使用特权 EKU 编辑过度宽松的证书模板(任何用途 EKU 或 No EKU)(ESC2)(预览版)

本文介绍具有特权 EKU 安全状况评估报告的 Microsoft Defender for Identity 过于宽松的证书模板。

什么是具有特权 EKU 的过度宽松证书模板?

数字证书在整个组织中建立信任和保持完整性方面发挥了重要作用。 这不仅在 Kerberos 域身份验证中,而且在其他领域也是如此,例如代码完整性、服务器完整性以及依赖于证书(如 Active Directory 联合身份验证服务(AD FS)和 IPSec 的技术。

如果证书模板没有 EKU 或具有 任何用途 EKU,并且它可注册任何非特权用户,则基于该模板颁发的证书可由攻击者恶意使用,损害信任。

尽管证书不能用于模拟用户身份验证,但它会损害其他组件,从而缓解数字证书的信任模型。 攻击者可以创建 TLS 证书并模拟任何网站。

如何实现使用此安全评估来改善组织安全状况?

  1. 查看针对具有特权 EKU 的过度宽松证书模板的建议操作 https://security.microsoft.com/securescore?viewid=actions 。 例如:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. 研究模板具有特权 EKU 的原因。

  3. 通过执行以下操作修正问题:

    • 限制模板过于宽松的权限。
    • 如果可能,强制实施额外的缓解措施,例如添加 经理批准 和签名要求。

在生产环境中启用设置之前,请确保在受控环境中测试设置。

注意

虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表在实施建议后的几分钟内更新,但状态可能需要一段时间才能将其标记为 “已完成”。

报告显示过去 30 天内受影响的实体。 之后,不再受影响的实体将从公开的实体列表中删除。

后续步骤