Säkerhetsbedömning: Förhindra att användare begär ett certifikat som är giltigt för godtyckliga användare baserat på certifikatmallen (ESC1) (förhandsversion)
Den här artikeln beskriver Microsoft Defender for Identitys Prevent users to request a certificate valid for godtyckliga användare based on the certificate template (ESC1) identity security posture assessment report.
Vad är certifikatbegäranden för godtyckliga användare?
Varje certifikat är associerat med en entitet via ämnesfältet. Certifikat innehåller dock även ett SAN-fält (Subject Alternative Name ), som gör att certifikatet kan vara giltigt för flera entiteter.
SAN-fältet används ofta för webbtjänster som finns på samma server, vilket stöder användning av ett enda HTTPS-certifikat i stället för separata certifikat för varje tjänst. När det specifika certifikatet också är giltigt för autentisering, genom att innehålla en lämplig EKU, till exempel klientautentisering, kan det användas för att autentisera flera olika konton.
Om en certifikatmall har alternativet Leverans i begäran aktiverat är mallen sårbar och angripare kan registrera ett certifikat som är giltigt för godtyckliga användare.
Viktigt!
Om certifikatet också är tillåtet för autentisering och det inte finns några åtgärder som tillämpas, till exempel Manager-godkännande eller nödvändiga auktoriserade signaturer, är certifikatmallen farlig eftersom den tillåter alla icke-privilegierade användare att ta över godtyckliga användare, inklusive en domänadministratörsanvändare.
Den här specifika inställningen är en av de vanligaste felkonfigurationerna.
Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?
Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions certifikatbegäranden för godtyckliga användare. Till exempel:
Utför minst ett av följande steg för att åtgärda certifikatbegäranden för godtyckliga användare:
Inaktivera Leverans i konfigurationen av begäran .
Ta bort alla EKU:er som aktiverar användarautentisering, till exempel klientautentisering, smartkortsinloggning, PKINIT-klientautentisering eller alla syften.
Ta bort behörigheter för alltför tillåtande registrering, vilket gör att alla användare kan registrera certifikat baserat på certifikatmallen.
Certifikatmallar som markerats som sårbara av Defender för identitet har minst en åtkomstlistepost som stöder registrering för en inbyggd, oprivilegierad grupp, vilket gör detta exploaterbart för alla användare. Exempel på inbyggda, oprivilegierade grupper är autentiserade användare eller Alla.
Aktivera kravet på ca certificate Manager-godkännande .
Ta bort certifikatmallen från att publiceras av en certifikatutfärdare. Mallar som inte har publicerats kan inte begäras och kan därför inte utnyttjas.
Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.
Kommentar
Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.
Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.