安全评估：编辑易受攻击的证书颁发机构设置 (ESC6) (预览版)

本文介绍Microsoft Defender for Identity易受攻击的证书颁发机构设置报告。

什么是易受攻击的证书颁发机构设置？

每个证书通过其使用者字段与实体相关联。 但是，证书还包括“ 使用者可选名称 ” (SAN) 字段，该字段允许证书对多个实体有效。

SAN 字段通常用于托管在同一服务器上的 Web 服务，支持对每个服务使用单个 HTTPS 证书，而不是单独的证书。 当特定证书也可用于身份验证时，通过包含适当的 EKU（例如 客户端身份验证），它可用于对多个不同的帐户进行身份验证。

可以在 SAN 设置中指定用户的无特权用户可能会导致立即遭到入侵，并给组织带来巨大风险。

如果 AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 标志已打开，则每个用户都可以为其证书请求指定 SAN 设置。 这反过来会影响所有证书模板，无论它们 Supply in the request 是否打开了 选项。

如果有一个模板 EDITF_ATTRIBUTESUBJECTALTNAME2 打开了设置，并且该模板对身份验证有效，则攻击者可以注册可以模拟任何任意帐户的证书。

先决条件

此评估仅适用于在 AD CS 服务器上安装了传感器的客户。 有关详细信息，请参阅 Active Directory 证书服务的新传感器类型 (AD CS) 。

如何实现使用此安全评估来改善我的组织安全状况？

1. 查看 中 https://security.microsoft.com/securescore?viewid=actions 针对编辑易受攻击的证书颁发机构设置的建议操作。 例如：

   

2. 研究启用设置 EDITF_ATTRIBUTESUBJECTALTNAME2 的原因。

3. 通过运行以下操作关闭设置：

   certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
   

4. 通过运行以下操作重启服务：

   net stop certsvc & net start certsvc
   

在生产环境中打开设置之前，请务必在受控环境中测试设置。

注意

虽然评估几乎实时更新，但分数和状态每 24 小时更新一次。 虽然受影响实体的列表在实施建议后的几分钟内更新，但状态可能仍需要一段时间才能标记为 “已完成”。

后续步骤

• 详细了解Microsoft安全功能分数
• 查看 Defender for Identity 论坛！