安全评估：防止用户根据证书模板（ESC1）（预览版）为任意用户请求有效的证书

本文介绍 Microsoft Defender for Identity 的 “阻止用户”根据证书模板（ESC1） 标识安全状况评估报告请求对任意用户有效的证书。

任意用户的证书请求是什么？

每个证书通过其使用者字段与实体相关联。但是，证书还包括使用者 可选名称 （SAN）字段，该字段允许证书对多个实体有效。

SAN 字段通常用于托管在同一服务器上的 Web 服务，支持使用单个 HTTPS 证书，而不是为每个服务使用单独的证书。当特定证书也对身份验证有效时，通过包含适当的 EKU（例如 客户端身份验证），它可用于对多个不同的帐户进行身份验证。

如果证书模板在请求选项中启用了“提供”，则模板易受攻击，攻击者可能能够注册对任意用户有效的证书。

重要

如果还允许证书进行身份验证，并且没有强制实施任何缓解措施（例如 经理批准 或所需的授权签名），则证书模板是危险的，因为它允许任何特权用户接管任何任意用户，包括域管理员用户。

此特定设置是最常见的错误配置之一。

查看针对任意用户的证书请求的建议操作 https://security.microsoft.com/securescore?viewid=actions 。例如：
若要修正任意用户的证书请求，请执行以下步骤中的至少一个步骤：
- 关闭请求配置中的“提供”。
- 删除任何启用用户身份验证的 EKU，例如客户端身份验证、智能卡登录、PKINIT 客户端身份验证或任何用途。
- 删除过度宽松的注册权限，这允许任何用户基于该证书模板注册证书。
  
  标记为易受 Defender for Identity 攻击的证书模板至少有一个访问列表条目，该条目支持注册内置、无特权组，从而使任何用户都能够利用此模板。内置非特权组的示例包括 经过身份验证的用户 或 每个人。
- 启用 CA 证书 管理器审批 要求。
- 从任何 CA 发布证书模板中删除。无法请求未发布的模板，因此无法利用。

在生产环境中启用设置之前，请确保在受控环境中测试设置。

注意

虽然评估几乎实时更新，但分数和状态每 24 小时更新一次。虽然受影响的实体列表在实施建议后的几分钟内更新，但状态可能需要一段时间才能将其标记为 “已完成”。

报告显示过去 30 天内受影响的实体。之后，不再受影响的实体将从公开的实体列表中删除。