安全性評估：編輯易受攻擊的證書頒發機構單位設定 （ESC6） （預覽）

本文說明 適用於身分識別的 Microsoft Defender 易受攻擊的證書頒發機構單位設定報告。

什麼是易受攻擊的證書頒發機構單位設定？

每個憑證都會透過其主體欄位與實體相關聯。 不過，憑證也包含 主體別名 （SAN） 字段，可讓憑證對多個實體有效。

SAN 欄位通常用於裝載在相同伺服器上的 Web 服務，支援使用單一 HTTPS 憑證，而不是針對每個服務使用不同的憑證。 當特定憑證也適用於驗證時，藉由包含適當的 EKU，例如 客戶端驗證，它可以用來驗證數個不同的帳戶。

在 SAN 設定中指定使用者，不具特殊許可權的使用者可能會導致立即遭到入侵，並將極大的風險張貼到您的組織。

如果已開啟 AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 旗標，每個使用者都可以為其憑證要求指定 SAN 設定。 這反過來又會影響所有證書範本，無論是否 Supply in the request 開啟選項。

EDITF_ATTRIBUTESUBJECTALTNAME2如果有範本開啟設定，且範本有效進行驗證，攻擊者可以註冊可模擬任何任意帳戶的憑證。

必要條件

此評量僅適用於在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊，請參閱 Active Directory 憑證服務的新感測器類型（AD CS）。

如何? 使用此安全性評定來改善我的組織安全性狀態？

1. 檢閱 的建議動作， https://security.microsoft.com/securescore?viewid=actions 以編輯易受攻擊的證書頒發機構單位設定。 例如：

   

2. 研究開啟設定的原因 EDITF_ATTRIBUTESUBJECTALTNAME2 。

3. 執行下列命令來關閉設定：

   certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
   

4. 執行下列命令重新啟動服務：

   net stop certsvc & net start certsvc
   

在生產環境中開啟設定之前，請務必先在受控制的環境中測試您的設定。

注意

雖然評定會近乎即時地更新，但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新，但狀態可能需要一些時間才能將其標示為 已完成。

報告會顯示過去 30 天內受影響的實體。 在那段時間之後，將不再受影響的實體會從公開的實體清單中移除。

下一步

• 深入瞭解 Microsoft 安全分數
• 請參閱適用於身分識別的Defender論壇！