共用方式為


安全性評估:編輯易受攻擊的證書頒發機構單位設定 (ESC6) (預覽)

本文說明 適用於身分識別的 Microsoft Defender 易受攻擊的證書頒發機構單位設定報告。

什麼是易受攻擊的證書頒發機構單位設定?

每個憑證都會透過其主體欄位與實體相關聯。 不過,憑證也包含 [SAN) ] 字段 (主體 別名 ,可讓憑證對多個實體有效。

SAN 欄位通常用於裝載於相同伺服器上的 Web 服務,支援使用單一 HTTPS 憑證,而不是針對每個服務使用個別的憑證。 當特定憑證也適用於驗證時,藉由包含適當的 EKU,例如 客戶端驗證,就可以用來驗證數個不同的帳戶。

可在 SAN 設定中指定使用者的無特殊許可權使用者可能會導致立即遭到入侵,並且對您的組織造成極大的風險。

如果 AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 旗標已開啟,每個使用者都可以指定其憑證要求的 SAN 設定。 這接著會影響所有證書範本,不論其是否已 Supply in the request 開啟選項。

如果有已開啟設定的範 EDITF_ATTRIBUTESUBJECTALTNAME2 本,且範本適用於驗證,攻擊者可以註冊可模擬任何任意帳戶的憑證。

必要條件

這項評量僅適用於在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊,請 參閱 Active Directory 憑證服務的新感測器類型 (AD CS)

如何? 使用此安全性評估來改善我的組織安全性狀態嗎?

  1. 檢閱 建議的動作, https://security.microsoft.com/securescore?viewid=actions 以編輯易受攻擊的證書頒發機構單位設定。 例如:

    [編輯易受攻擊的證書頒發機構單位] 設定 (ESC6) 建議的螢幕快照。

  2. 研究為何 EDITF_ATTRIBUTESUBJECTALTNAME2 會開啟設定。

  3. 執行下列命令來關閉設定:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
    
  4. 執行下列命令來重新啟動服務:

    net stop certsvc & net start certsvc
    

在生產環境中開啟設定之前,請務必先在受控制環境中測試設定。

注意事項

當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。

後續步驟