Évaluation de la sécurité : empêcher les utilisateurs de demander un certificat valide pour les utilisateurs arbitraires en fonction du modèle de certificat (ESC1) (préversion)
Cet article décrit Microsoft Defender pour Identity’option Empêcher les utilisateurs de demander un certificat valide pour les utilisateurs arbitraires en fonction du rapport d’évaluation de la posture de sécurité des identités du modèle de certificat (ESC1).
Que sont les demandes de certificat pour les utilisateurs arbitraires ?
Chaque certificat est associé à une entité par le biais de son champ d’objet. Toutefois, les certificats incluent également un champ Autre nom de l’objet (SAN), ce qui permet au certificat d’être valide pour plusieurs entités.
Le champ SAN est couramment utilisé pour les services web hébergés sur le même serveur, prenant en charge l’utilisation d’un certificat HTTPS unique au lieu de certificats distincts pour chaque service. Lorsque le certificat spécifique est également valide pour l’authentification, en contenant une référence EKU appropriée, telle que l’authentification client, il peut être utilisé pour authentifier plusieurs comptes différents.
Si l’option Fournir dans la demande est activée pour un modèle de certificat, le modèle est vulnérable et les attaquants peuvent être en mesure d’inscrire un certificat valide pour les utilisateurs arbitraires.
Importante
Si le certificat est également autorisé pour l’authentification et qu’aucune mesure d’atténuation n’est appliquée, comme l’approbation du responsable ou les signatures autorisées requises, le modèle de certificat est dangereux, car il permet à tout utilisateur non privilégié de prendre le contrôle d’un utilisateur arbitraire, y compris un utilisateur administrateur de domaine.
Ce paramètre spécifique est l’une des erreurs de configuration les plus courantes.
Comment faire utiliser cette évaluation de la sécurité pour améliorer la posture de sécurité de mon organisation ?
Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour les demandes de certificat pour les utilisateurs arbitraires. Par exemple :
Pour corriger les demandes de certificat pour les utilisateurs arbitraires, effectuez au moins l’une des étapes suivantes :
Désactivez l’option Fournir dans la configuration de la demande .
Supprimez toutes les EKUs qui activent l’authentification utilisateur, telles que l’authentification du client, l’ouverture de session par carte à puce, l’authentification du client PKINIT ou Tout usage.
Supprimez les autorisations d’inscription trop permissives, qui permettent à n’importe quel utilisateur d’inscrire un certificat en fonction de ce modèle de certificat.
Les modèles de certificat marqués comme vulnérables par Defender pour Identity ont au moins une entrée de liste d’accès qui prend en charge l’inscription pour un groupe intégré et non privilégié, ce qui rend cela exploitable par tout utilisateur. Parmi les exemples de groupes intégrés et non privilégiés, citons Utilisateurs authentifiés ou Tout le monde.
Activez l’exigence d’approbation du gestionnaire de certificats d’autorité de certification.
Supprimez la publication du modèle de certificat par n’importe quelle autorité de certification. Les modèles qui ne sont pas publiés ne peuvent pas être demandés et ne peuvent donc pas être exploités.
Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.
Remarque
Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.