Оценка безопасности: запретить пользователям запрашивать сертификат, действительный для произвольных пользователей на основе шаблона сертификата (ESC1) (предварительная версия)
В этой статье описывается Microsoft Defender для удостоверений запретить пользователям запрашивать сертификат, действительный для произвольных пользователей на основе отчета об оценке состояния безопасности удостоверений шаблона сертификата (ESC1).
Что такое запросы сертификатов для произвольных пользователей?
Каждый сертификат связан с сущностью с помощью поля субъекта. Однако сертификаты также включают поле Альтернативное имя субъекта (SAN), которое позволяет сертификату быть действительным для нескольких сущностей.
Поле SAN обычно используется для веб-служб, размещенных на одном сервере, поддерживая использование одного сертификата HTTPS вместо отдельных сертификатов для каждой службы. Если конкретный сертификат также действителен для проверки подлинности, содержащий соответствующий EKU, например проверка подлинности клиента, его можно использовать для проверки подлинности нескольких разных учетных записей.
Если в шаблоне сертификата включен параметр Предоставить в запросе , шаблон уязвим, и злоумышленники могут зарегистрировать сертификат, действительный для произвольных пользователей.
Важно!
Если сертификат также разрешен для проверки подлинности и не применяются какие-либо меры по устранению рисков, такие как утверждение руководителя или необходимые авторизованные подписи, шаблон сертификата опасен, так как он позволяет любому непривилегированному пользователю взять на себя любого произвольного пользователя, включая пользователя администратора домена.
Этот конкретный параметр является одним из наиболее распространенных неправильных настроек.
Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?
Ознакомьтесь с рекомендуемыми действиями для https://security.microsoft.com/securescore?viewid=actions запросов сертификатов для произвольных пользователей. Например:
Чтобы исправить запросы сертификатов для произвольных пользователей, выполните по крайней мере одно из следующих действий:
Отключите параметр Supply в конфигурации запроса .
Удалите все EKU, которые обеспечивают проверку подлинности пользователей, такие как проверка подлинности клиента, вход с помощью смарт-карты, проверка подлинности клиента PKINIT или любая цель.
Удалите слишком разрешительные разрешения на регистрацию, которые позволяют любому пользователю регистрировать сертификат на основе этого шаблона сертификата.
Шаблоны сертификатов, помеченные как уязвимые в Defender для удостоверений, имеют по крайней мере одну запись в списке доступа, которая поддерживает регистрацию для встроенной, непривилегируемой группы, что делает эту запись эксплуатируемой любым пользователем. Примерами встроенных непривилегированных групп являются пользователи с проверкой подлинности или Все.
Включите требование утверждения диспетчера сертификатов ЦС.
Удалите шаблон сертификата из публикации любым центром сертификации. Шаблоны, которые не опубликованы, не могут быть запрошены и, следовательно, не могут быть использованы.
Обязательно протестируйте параметры в управляемой среде, прежде чем включать их в рабочей среде.
Примечание.
Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.