Delen via

Beveiligingsevaluatie: Bewerk de instelling van de kwetsbare certificeringsinstantie (ESC6) (preview)

  • Artikel

In dit artikel wordt het rapport over de instelling van de kwetsbare certificeringsinstantie van Microsoft Defender for Identity beschreven.

Wat zijn kwetsbare instellingen voor certificeringsinstanties?

Elk certificaat is gekoppeld aan een entiteit via het onderwerpveld. Een certificaat bevat echter ook een SAN-veld (Subject Alternative Name ), waarmee het certificaat geldig kan zijn voor meerdere entiteiten.

Het SAN-veld wordt vaak gebruikt voor webservices die worden gehost op dezelfde server, die het gebruik van één HTTPS-certificaat ondersteunen in plaats van afzonderlijke certificaten voor elke service. Wanneer het specifieke certificaat ook geldig is voor verificatie, door een geschikte EKU, zoals clientverificatie, te bevatten, kan het worden gebruikt om verschillende accounts te verifiëren.

Niet-gemachtigde gebruikers die de gebruikers in de SAN-instellingen kunnen opgeven, kunnen tot onmiddellijke inbreuk leiden en een groot risico voor uw organisatie plaatsen.

Als de AD CS-vlag editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 is ingeschakeld, kan elke gebruiker de SAN-instellingen voor de certificaataanvraag opgeven. Dit is op zijn beurt van invloed op alle certificaatsjablonen, ongeacht of ze de Supply in the request optie al dan niet hebben ingeschakeld.

Als er een sjabloon is waarin de EDITF_ATTRIBUTESUBJECTALTNAME2 instelling is ingeschakeld en de sjabloon geldig is voor verificatie, kan een aanvaller een certificaat inschrijven dat elk willekeurig account kan imiteren.

Vereisten

Deze evaluatie is alleen beschikbaar voor klanten die een sensor op een AD CS-server hebben geïnstalleerd. Zie Nieuw sensortype voor Active Directory Certificate Services (AD CS) voor meer informatie.

Hoe kan ik deze beveiligingsevaluatie gebruiken om mijn beveiligingspostuur van mijn organisatie te verbeteren?

  1. Bekijk de aanbevolen actie voor https://security.microsoft.com/securescore?viewid=actions het bewerken van kwetsbare instellingen voor certificeringsinstanties. Voorbeeld:

    Screenshot of the Edit vulnerable Certificate Authority setting (ESC6) recommendation.

  2. Onderzoek waarom de EDITF_ATTRIBUTESUBJECTALTNAME2 instelling is ingeschakeld.

  3. Schakel de instelling uit door het volgende uit te voeren:

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. Start de service opnieuw door het volgende uit te voeren:

    net stop certsvc & net start certsvc

Zorg ervoor dat u uw instellingen in een gecontroleerde omgeving test voordat u ze inschakelt in productie.

Notitie

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.

In de rapporten worden de betrokken entiteiten van de afgelopen 30 dagen weergegeven. Na die tijd worden entiteiten die niet meer worden beïnvloed, verwijderd uit de lijst met weergegeven entiteiten.

Volgende stappen