安全评估：阻止用户根据证书模板 (ESC1) (预览版) 请求对任意用户有效的证书

本文介绍Microsoft Defender for Identity基于证书模板 (ESC1) 标识安全态势评估报告，防止用户请求对任意用户有效的证书。

任意用户的证书请求是什么？

每个证书通过其使用者字段与实体相关联。但是，证书还包括“ 使用者可选名称 ” (SAN) 字段，该字段允许证书对多个实体有效。

SAN 字段通常用于托管在同一服务器上的 Web 服务，支持对每个服务使用单个 HTTPS 证书，而不是单独的证书。当特定证书也可用于身份验证时，通过包含适当的 EKU（例如 客户端身份验证），它可用于对多个不同的帐户进行身份验证。

如果证书模板启用了 “请求中的提供 ”选项，则模板易受攻击，攻击者可能能够注册对任意用户有效的证书。

重要

如果还允许证书进行身份验证，并且没有任何缓解措施（例如 管理员批准 或所需的授权签名），则证书模板是危险的，因为它允许任何无特权用户接管任何任意用户，包括域管理员用户。

此特定设置是最常见的错误配置之一。

查看针对任意用户的证书请求的建议操作 https://security.microsoft.com/securescore?viewid=actions 。例如：
若要修正任意用户的证书请求，请至少执行以下步骤之一：
- 在 请求配置中关闭“提供 ”。
- 删除任何启用用户身份验证的 EKU，例如 客户端身份验证、 智能卡登录、 PKINIT 客户端身份验证或任何目的。
- 删除过度宽松的注册权限，这些权限允许任何用户基于该证书模板注册证书。
  
  由 Defender for Identity 标记为易受攻击的证书模板具有至少一个访问列表条目，这些条目支持注册内置无特权组，使此模板可供任何用户利用。内置无特权组的示例包括 “经过身份验证的用户” 或 “所有人”。
- 启用 CA 证书 管理器审批 要求。
- 从任何 CA 发布的证书模板中删除。无法请求未发布的模板，因此无法利用这些模板。

在生产环境中打开设置之前，请务必在受控环境中测试设置。

注意

虽然评估几乎实时更新，但分数和状态每 24 小时更新一次。虽然受影响实体的列表在实施建议后的几分钟内更新，但状态可能仍需要一段时间才能标记为 “已完成”。