Оценка безопасности: сертификаты

В этой статье описывается Microsoft Defender отчета об оценке состояния безопасности сертификатов удостоверений.

Принудительное шифрование для интерфейса регистрации сертификатов RPC (ESC11)

Описание

Службы сертификатов Active Directory (AD CS) поддерживают регистрацию сертификатов по протоколу RPC, в частности с интерфейсом MS-ICPR. В таких случаях параметры ЦС определяют параметры безопасности для интерфейса RPC, включая требование к конфиденциальности пакетов.

IF_ENFORCEENCRYPTICERTREQUEST Если флаг включен, интерфейс RPC принимает только подключения с уровнем проверки подлинностиRPC_C_AUTHN_LEVEL_PKT_PRIVACY. Это самый высокий уровень проверки подлинности, и каждый пакет должен быть подписан и зашифрован, чтобы предотвратить любые атаки ретранслятора. Это аналогично SMB Signing протоколу SMB.

Если интерфейс регистрации RPC не требует конфиденциальности пакетов, он становится уязвимым для атак ретранслятора (ESC11). Флаг IF_ENFORCEENCRYPTICERTREQUEST включен по умолчанию, но часто отключен, чтобы разрешить клиентам, которые не могут поддерживать требуемый уровень проверки подлинности RPC, например клиенты под управлением Windows XP.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями по https://security.microsoft.com/securescore?viewid=actions применению шифрования для регистрации сертификатов RPC.

   

2. Изучите причину IF_ENFORCEENCRYPTICERTREQUEST отключения флага.

3. Убедитесь, что флаг включен, IF_ENFORCEENCRYPTICERTREQUEST чтобы удалить уязвимость.

   Чтобы включить флаг, выполните следующую команду:

   certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
   

   Чтобы перезапустить службу, выполните следующую команду:

   net stop certsvc & net start certsvc
   

Обязательно протестируйте параметры в управляемой среде, прежде чем включать их в рабочей среде.

Изменение небезопасных конечных точек IIS для регистрации сертификатов ADCS (ESC8)

Описание

Службы сертификатов Active Directory (AD CS) поддерживают регистрацию сертификатов с помощью различных методов и протоколов, включая регистрацию по протоколу HTTP с помощью службы регистрации сертификатов (CES) или интерфейса веб-регистрации (Certsrv).

Если конечная точка IIS разрешает проверку подлинности NTLM без применения подписи протокола (HTTPS) или без применения расширенной защиты для проверки подлинности (EPA), она становится уязвимой для атак ретранслятора NTLM (ESC8). Атаки ретранслятора могут привести к полному захвату домена, если злоумышленнику удастся успешно выполнить его.

Реализация

Ознакомьтесь с рекомендуемым действием в для https://security.microsoft.com/securescore?viewid=actions небезопасных конечных точек iis регистрации сертификатов AD CS.

В оценке перечислены проблемные конечные точки HTTP в организации и рекомендации по безопасной настройке конечных точек.

После обработки риск атаки ESC8 снижается, что значительно сокращает область атаки.

Изменение владельца неправильно настроенных шаблонов сертификатов (ESC4)

В этой статье представлен обзор Microsoft Defender отчета об оценке состояния безопасности владельца неправильно настроенных шаблонов сертификатов (ESC4) удостоверения.

Описание

Шаблон сертификата — это объект Active Directory с владельцем, который управляет доступом к объекту и возможностью редактирования объекта.

Если разрешения владельца предоставляют встроенную непривилегированную группу с разрешениями, позволяющими изменять параметры шаблона, злоумышленник может ввести неправильно настроенную конфигурацию шаблона, повысить привилегии и скомпрометировать весь домен.

Примерами встроенных непривилегированных групп являются пользователи, прошедшие проверку подлинности, пользователи домена или Все. Примерами разрешений, позволяющих изменять параметры шаблона, являются полный доступ или запись DACL.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями для https://security.microsoft.com/securescore?viewid=actions неправильно настроенного владельца шаблона сертификата.

   

2. Изучите причину неправильной настройки владельца шаблона.

3. Устраните проблему, изменив владельца на привилегированного и отслеживаемого пользователя.

Изменение неправильно настроенного списка ACL центра сертификации (ESC7)

Описание

Центры сертификации (ЦС) поддерживают списки управления доступом (ACL), которые описывают роли и разрешения для ЦС. Если управление доступом настроено неправильно, любому пользователю может быть разрешено вмешиваться в параметры ЦС, обходя меры безопасности и потенциально компрометируя весь домен.

Влияние неправильно настроенного списка управления доступом зависит от типа примененного разрешения. Например:

• Если у непривилегированного пользователя есть право "Управление сертификатами ", он может утвердить ожидающие запросы сертификатов, минуя требование об утверждении диспетчера .
• С помощью права Управление ЦС пользователь может изменить параметры ЦС, например добавить пользователь , указывающий флаг SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), создав искусственную ошибку конфигурации, которая в дальнейшем может привести к полной компрометации домена.

Предварительные условия

Эта оценка доступна только клиентам, которые установили датчик на сервере AD CS. Дополнительные сведения см. в статье Новый тип датчика для служб сертификатов Active Directory (AD CS).

Реализация

1. Ознакомьтесь с рекомендуемыми действиями для https://security.microsoft.com/securescore?viewid=actions неправильно настроенных списков ACL центра сертификации. Например:

   

2. Изучите причину неправильной конфигурации центра сертификации ACL.

3. Устраните проблемы, удалив все разрешения, предоставляющие непривилегированные встроенные группы с помощью управления ЦС и (или ) разрешения на управление сертификатами .

Изменение ACL неправильно настроенных шаблонов сертификатов (ESC4)

Описание

Шаблоны сертификатов — это объекты Active Directory с ACL, управляющим доступом к объекту . Помимо определения разрешений на регистрацию, ACL также определяет разрешения на редактирование самого объекта.

Если по какой-либо причине в ACL есть запись, которая предоставляет встроенную непривилегированную группу с разрешениями, позволяющими изменять шаблон, злоумышленник может ввести неправильно настроенную конфигурацию шаблона, повысить привилегии и скомпрометировать весь домен.

Примерами встроенных непривилегированных групп являются пользователи, прошедшие проверку подлинности, пользователи домена или Все. Примерами разрешений, позволяющих изменять параметры шаблона, являются полный доступ или запись DACL.

Реализация

1. Просмотрите рекомендуемое действие в для https://security.microsoft.com/securescore?viewid=actions неправильно настроенного ACL шаблона сертификата. Например:

   

2. Изучите причину неправильной настройки списка ACL шаблона.

3. Устраните проблему, удалив все записи, которые предоставляют непривилегированные разрешения группы, которые позволяют незаконно использовать шаблон.

4. Удалите шаблон сертификата из публикации любым центром сертификации, если он не нужен.

Изменение неправильно настроенного шаблона сертификата агента регистрации (ESC3)

Описание

Как правило, у пользователей есть агент регистрации, который регистрирует для них сертификаты. При определенных обстоятельствах сертификаты агента регистрации могут регистрировать сертификаты для любого соответствующего пользователя, что создает риск для вашей организации.

Когда Microsoft Defender для удостоверений сообщает о шаблонах сертификатов агента регистрации, которые ставят под угрозу вашу организацию, на панели Доступные сущности отображаются шаблоны агента регистрации.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями в для https://security.microsoft.com/securescore?viewid=actions неправильной оценки шаблонов сертификатов агента регистрации. Например:

   

2. Устраните проблемы, выполнив по крайней мере одно из следующих действий.

   • Удалите EKU агента запроса сертификата .
   • Удалите слишком разрешительные разрешения на регистрацию, которые позволяют любому пользователю регистрировать сертификаты на основе этого шаблона сертификата. Шаблоны, помеченные как уязвимые в Defender для удостоверений, имеют по крайней мере одну запись в списке доступа, которая позволяет зарегистрировать встроенную непривилегированную группу, что делает ее эксплуатируемой любым пользователем. Примерами встроенных непривилегированных групп являются пользователи с проверкой подлинности или Все.
   • Включите требование утверждения диспетчера сертификатов ЦС.
   • Удалите шаблон сертификата из публикации любым центром сертификации. Шаблоны, которые не опубликованы, не могут быть запрошены и, следовательно, не могут быть использованы.
   • Используйте ограничения агента регистрации на уровне центра сертификации. Например, может потребоваться ограничить пользователей, которым разрешено действовать в качестве агента регистрации, и какие шаблоны можно запрашивать.

Изменение шаблона слишком разрешительного сертификата с помощью привилегированного EKU (EKU любого назначения или no EKU) (ESC2)

Описание

Цифровые сертификаты играют важную роль в установлении доверия и сохранении целостности в организации. Это справедливо не только для проверки подлинности домена Kerberos, но и в других областях, таких как целостность кода, целостность сервера и технологии, использующие сертификаты, такие как службы федерации Active Directory (AD FS) (AD FS) и IPSec.

Если шаблон сертификата не имеет EKU или имеет EKU любого назначения и может быть зарегистрирован для любого непривилегированного пользователя, сертификаты, выданные на основе этого шаблона, могут использоваться злоумышленником, компрометируя доверие.

Несмотря на то, что сертификат не может использоваться для олицетворения проверки подлинности пользователя, он компрометирует другие компоненты, которые освобождают цифровые сертификаты для модели доверия. Злоумышленники могут создавать сертификаты TLS и олицетворять любой веб-сайт.

Реализация

1. Ознакомьтесь с рекомендуемым действием в для https://security.microsoft.com/securescore?viewid=actions слишком разрешительных шаблонов сертификатов с привилегированным EKU. Например:

   

2. Изучите, почему шаблоны имеют привилегированный EKU.

3. Устраните проблему, выполнив следующие действия.

   • Ограничьте слишком разрешительные разрешения шаблона.
   • Применение дополнительных мер, таких как добавление требований к утверждению и подписывание диспетчера, если это возможно.

Предотвращение регистрации сертификатов с помощью произвольных политик приложений (ESC15)

Описание

Эта рекомендация непосредственно относится к недавно опубликованному CVE-2024-49019, в котором рассматриваются риски безопасности, связанные с уязвимыми конфигурациями AD CS. В этой оценке состояния безопасности перечислены все уязвимые шаблоны сертификатов, обнаруженные в клиентских средах из-за непатшированных серверов AD CS.

Шаблоны сертификатов, которые уязвимы для CVE-2024-49019 , позволяют злоумышленнику выдать сертификат с произвольными политиками приложений и альтернативным именем субъекта. Сертификат можно использовать для повышения привилегий, что может привести к полной компрометации домена. 

Эти шаблоны сертификатов подвергают организации значительным рискам, так как они позволяют злоумышленникам выдавать сертификаты с произвольными политиками приложений и альтернативными именами субъектов (SAN). Такие сертификаты можно использовать для повышения привилегий и потенциальной компрометации всего домена. В частности, эти уязвимости позволяют не привилегированным пользователям выдавать сертификаты, которые могут проходить проверку подлинности в качестве учетных записей с высоким уровнем привилегий, что создает серьезную угрозу безопасности.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями в разделе Запретить регистрацию сертификатов с помощью произвольных политик приложений (ESC15).

2. Определите уязвимые шаблоны сертификатов:

   • Удалите разрешение на регистрацию для непривилегированных пользователей.
   • Отключите параметр "Предоставить в запросе".

3. Определите серверы AD CS, уязвимые к CVE-2024-49019, и примените соответствующее исправление.

   

Запретить пользователям запрашивать сертификат, действительный для произвольных пользователей на основе шаблона сертификата (ESC1) (предварительная версия)

Описание

Каждый сертификат связан с сущностью с помощью поля субъекта. Однако сертификаты также включают поле Альтернативное имя субъекта (SAN), которое позволяет сертификату быть действительным для нескольких сущностей.

Поле SAN обычно используется для веб-служб, размещенных на одном сервере, поддерживая использование одного сертификата HTTPS вместо отдельных сертификатов для каждой службы. Если конкретный сертификат также действителен для проверки подлинности, содержащий соответствующий EKU, например проверка подлинности клиента, его можно использовать для проверки подлинности нескольких разных учетных записей.

Если в шаблоне сертификата включен параметр Предоставить в запросе , шаблон уязвим, и злоумышленники могут зарегистрировать сертификат, действительный для произвольных пользователей.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями для https://security.microsoft.com/securescore?viewid=actions запросов сертификатов для произвольных пользователей. Например:

   

2. Чтобы исправить запросы сертификатов для произвольных пользователей, выполните по крайней мере одно из следующих действий:

   • Отключите параметр Supply в конфигурации запроса .

   • Удалите все EKU, которые обеспечивают проверку подлинности пользователей, такие как проверка подлинности клиента, вход с помощью смарт-карты, проверка подлинности клиента PKINIT или любая цель.

   • Удалите слишком разрешительные разрешения на регистрацию, которые позволяют любому пользователю регистрировать сертификат на основе этого шаблона сертификата.

     Шаблоны сертификатов, помеченные как уязвимые в Defender для удостоверений, имеют по крайней мере одну запись в списке доступа, которая поддерживает регистрацию для встроенной, непривилегируемой группы, что делает эту запись эксплуатируемой любым пользователем. Примерами встроенных непривилегированных групп являются пользователи с проверкой подлинности или Все.

   • Включите требование утверждения диспетчера сертификатов ЦС.

   • Удалите шаблон сертификата из публикации любым центром сертификации. Шаблоны, которые не опубликованы, не могут быть запрошены и, следовательно, не могут быть использованы.

Изменение параметра уязвимого центра сертификации (ESC6) (предварительная версия)

Описание

Каждый сертификат связан с сущностью с помощью поля субъекта. Однако сертификат также содержит поле Альтернативное имя субъекта (SAN), которое позволяет сертификату быть действительным для нескольких сущностей.

Поле SAN обычно используется для веб-служб, размещенных на одном сервере, поддерживая использование одного сертификата HTTPS вместо отдельных сертификатов для каждой службы. Если конкретный сертификат также действителен для проверки подлинности, содержащий соответствующий EKU, например проверка подлинности клиента, его можно использовать для проверки подлинности нескольких разных учетных записей.

Непривилегированные пользователи, которые могут указать пользователей в параметрах SAN, могут привести к немедленному компрометации и создать большой риск для вашей организации.

Если флаг AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 включен, каждый пользователь может указать параметры SAN для своего запроса на сертификат. Это, в свою очередь, влияет на все шаблоны сертификатов, независимо от Supply in the request того, включен ли в них параметр.

Если есть шаблон, в котором EDITF_ATTRIBUTESUBJECTALTNAME2 параметр включен, и шаблон действителен для проверки подлинности, злоумышленник может зарегистрировать сертификат, который может олицетворить любую произвольную учетную запись.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями по https://security.microsoft.com/securescore?viewid=actions изменению параметров уязвимого центра сертификации. Например:

   

2. Изучите, EDITF_ATTRIBUTESUBJECTALTNAME2 почему параметр включен.

3. Отключите параметр, выполнив следующую команду:

   certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
   

4. Перезапустите службу, выполнив следующую команду:

   net stop certsvc & net start certsvc
   

Дальнейшие действия

• Дополнительные сведения о оценке безопасности (Майкрософт)