Sicherheitsbewertung: Verhindern, dass Benutzer ein Zertifikat anfordern, das für beliebige Benutzer gültig ist, basierend auf der Zertifikatvorlage (ESC1) (Vorschau)
In diesem Artikel wird beschrieben, wie Benutzer von Microsoft Defender for Identity ein Zertifikat anfordern, das für beliebige Benutzer gültig ist, basierend auf dem EsC1-Bericht zur Sicherheitsstatusbewertung der Identität.
Was sind Zertifikatanforderungen für beliebige Benutzer?
Jedes Zertifikat wird einer Entität über das Betrefffeld zugeordnet. Zertifikate enthalten jedoch auch ein SAN-Feld (Subject Alternative Name ), mit dem das Zertifikat für mehrere Entitäten gültig sein kann.
Das SAN-Feld wird häufig für Webdienste verwendet, die auf demselben Server gehostet werden und die Verwendung eines einzelnen HTTPS-Zertifikats anstelle separater Zertifikate für jeden Dienst unterstützen. Wenn das spezifische Zertifikat auch für die Authentifizierung gültig ist, indem es eine entsprechende EKU enthält, z . B. clientauthentifizierung, kann es verwendet werden, um mehrere verschiedene Konten zu authentifizieren.
Wenn eine Zertifikatvorlage die Option "Bereitstellen" in der Anforderungsoption aktiviert hat, ist die Vorlage anfällig, und Angreifer können möglicherweise ein Zertifikat registrieren, das für beliebige Benutzer gültig ist.
Wichtig
Wenn das Zertifikat auch für die Authentifizierung zulässig ist und keine Gegenmaßnahmen erzwungen werden, z. B. die Genehmigung des Managers oder die erforderlichen autorisierten Signaturen, ist die Zertifikatvorlage gefährlich, da es jedem nicht privilegierten Benutzer ermöglicht, beliebige Benutzer, einschließlich einer Do Standard Administratorbenutzer, zu übernehmen.
Diese spezifische Einstellung ist eine der häufigsten Fehlkonfigurationen.
Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?
Überprüfen Sie die empfohlene Aktion für https://security.microsoft.com/securescore?viewid=actions Zertifikatanforderungen für beliebige Benutzer. Beispiel:
Führen Sie mindestens einen der folgenden Schritte aus, um Zertifikatanforderungen für beliebige Benutzer zu beheben:
Deaktivieren Sie "Supply" in der Anforderungskonfiguration.
Entfernen Sie alle EKUs, die die Benutzerauthentifizierung ermöglichen, z. B. Clientauthentifizierung, Smart Karte Anmeldung, PKINIT-Clientauthentifizierung oder beliebiger Zweck.
Entfernen Sie übermäßig zulässige Registrierungsberechtigungen, die es jedem Benutzer ermöglichen, das Zertifikat basierend auf dieser Zertifikatvorlage zu registrieren.
Zertifikatvorlagen, die von Defender for Identity als anfällig gekennzeichnet sind, verfügen über mindestens einen Zugriffslisteneintrag, der die Registrierung für eine integrierte, nicht privilegierte Gruppe unterstützt und dies von jedem Benutzer ausnutzbar macht. Beispiele für integrierte, nicht privilegierte Gruppen sind authentifizierte Benutzer oder Alle.
Aktivieren Sie die Genehmigungsanforderung für den Zertifizierungsstellen-Zertifikat-Manager.
Entfernen Sie die Zertifikatvorlage, die von einer beliebigen Zertifizierungsstelle veröffentlicht wird. Nicht veröffentlichte Vorlagen können nicht angefordert werden und können daher nicht ausgenutzt werden.
Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.
Hinweis
Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.
In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.