安全性評估:編輯易受攻擊的證書頒發機構單位設定 (ESC6) (預覽)
本文說明 適用於身分識別的 Microsoft Defender 易受攻擊的證書頒發機構單位設定報告。
什麼是易受攻擊的證書頒發機構單位設定?
每個憑證都會透過其主體欄位與實體相關聯。 不過,憑證也包含 [SAN) ] 字段 (主體 別名 ,可讓憑證對多個實體有效。
SAN 欄位通常用於裝載於相同伺服器上的 Web 服務,支援使用單一 HTTPS 憑證,而不是針對每個服務使用個別的憑證。 當特定憑證也適用於驗證時,藉由包含適當的 EKU,例如 客戶端驗證,就可以用來驗證數個不同的帳戶。
可在 SAN 設定中指定使用者的無特殊許可權使用者可能會導致立即遭到入侵,並且對您的組織造成極大的風險。
如果 AD CS editflags
>EDITF_ATTRIBUTESUBJECTALTNAME2
旗標已開啟,每個使用者都可以指定其憑證要求的 SAN 設定。 這接著會影響所有證書範本,不論其是否已 Supply in the request
開啟選項。
如果有已開啟設定的範 EDITF_ATTRIBUTESUBJECTALTNAME2
本,且範本適用於驗證,攻擊者可以註冊可模擬任何任意帳戶的憑證。
必要條件
這項評量僅適用於在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊,請 參閱 Active Directory 憑證服務的新感測器類型 (AD CS) 。
如何? 使用此安全性評估來改善我的組織安全性狀態嗎?
檢閱 建議的動作, https://security.microsoft.com/securescore?viewid=actions 以編輯易受攻擊的證書頒發機構單位設定。 例如:
研究為何
EDITF_ATTRIBUTESUBJECTALTNAME2
會開啟設定。執行下列命令來關閉設定:
certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
執行下列命令來重新啟動服務:
net stop certsvc & net start certsvc
在生產環境中開啟設定之前,請務必先在受控制環境中測試設定。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。