安全性評估:防止使用者根據 ESC1) (Preview (憑證範本,要求對任意使用者有效的憑證)
本文說明 適用於身分識別的 Microsoft Defender 防止使用者根據 ESC1) 身分識別安全性狀態評估報告 (證書範本,要求對任意使用者有效的憑證。
什麼是任意用戶的憑證要求?
每個憑證都會透過其主體欄位與實體相關聯。 不過,憑證也包含 [SAN) ] 字段 (主體 別名 ,可讓憑證對多個實體有效。
SAN 欄位通常用於裝載於相同伺服器上的 Web 服務,支援使用單一 HTTPS 憑證,而不是針對每個服務使用個別的憑證。 當特定憑證也適用於驗證時,藉由包含適當的 EKU,例如 客戶端驗證,就可以用來驗證數個不同的帳戶。
如果證書範本已開啟 [ 在要求中提供] 選項,則範本很容易受到攻擊,而且攻擊者可能能夠註冊對任意使用者有效的憑證。
重要事項
如果憑證也允許進行驗證,而且未強制執行任何風險降低措施,例如 管理員核准 或必要的授權簽章,則證書範本會很危險,因為它允許任何沒有特殊許可權的使用者接管任何任意使用者,包括網域系統管理員使用者。
此特定設定是最常見的錯誤設定之一。
如何? 使用此安全性評估來改善我的組織安全性狀態嗎?
針對任意用戶的憑證要求,檢閱 中的建議動作 https://security.microsoft.com/securescore?viewid=actions 。 例如:
![[防止使用者根據 ESC1 憑證範本要求對任意使用者有效的憑證] (螢幕快照) 建議。](media/secure-score/prevent-certificate-arbitrary-users.png)
若要補救任意使用者的憑證要求,請至少執行下列其中一個步驟:
關閉 要求組態中的 [提供 ]。
拿掉任何啟用使用者驗證的 EKU,例如 客戶端驗證、 智慧卡登入、 PKINIT 用戶端驗證或 任何用途。
拿掉過度寬鬆的註冊許可權,允許任何用戶根據該證書範本註冊憑證。
由適用於身分識別的 Defender 標示為易受攻擊的證書範本,至少有一個存取清單專案支援內建、無特殊許可權群組的註冊,讓任何使用者都能利用此專案。 內建、無特殊許可權群組的範例包括 已驗證的使用者 或 所有人。
開啟 CA 憑證 管理員核准 需求。
拿掉證書範本,不由任何 CA 發佈。 無法要求未發佈的範本,因此無法遭到惡意探索。
![[防止使用者根據 ESC1 憑證範本要求對任意使用者有效的憑證] (螢幕快照) 建議。](media/secure-score/prevent-certificate-arbitrary-users.png#lightbox)
在生產環境中開啟設定之前,請務必先在受控制環境中測試設定。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。