次の方法で共有

セキュリティ評価: 証明書

この記事では、ID の証明書のセキュリティ体制評価レポートのMicrosoft Defenderについて説明します。

注:

運用環境でオンにする前に、制御された環境で設定をテストしてください。 評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。

RPC 証明書登録インターフェイスに暗号化を適用する (ESC11)

説明

Active Directory Certificate Services (AD CS) では、RPC プロトコル (特に MS-ICPR インターフェイスを使用) を使用した証明書登録がサポートされています。 このような場合、CA 設定によって、パケット プライバシーの要件など、RPC インターフェイスのセキュリティ設定が決まります。

IF_ENFORCEENCRYPTICERTREQUEST フラグがオンになっている場合、RPC インターフェイスはRPC_C_AUTHN_LEVEL_PKT_PRIVACY認証レベルとの接続のみを受け入れます。 これは最高の認証レベルであり、あらゆる種類のリレー攻撃を防ぐために、各パケットを署名して暗号化する必要があります。 これは、SMB プロトコルの SMB Signing に似ています。

RPC 登録インターフェイスでパケット プライバシーが必要ない場合は、リレー攻撃 (ESC11) に対して脆弱になります。 IF_ENFORCEENCRYPTICERTREQUEST フラグは既定でオンになっていますが、多くの場合、Windows XP を実行しているクライアントなど、必要な RPC 認証レベルをサポートできないクライアントを許可するためにオフになっています。

注:

この評価は、AD CS サーバーにセンサーをインストールしたお客様のみが使用できます。 詳細については、「Active Directory Certificate Services (AD CS) の新しいセンサーの種類」を参照してください。

実装

  1. RPC 証明書登録の暗号化を適用するための https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。

    RPC 証明書登録インターフェイス (ESC11) の暗号化の適用に関する推奨事項のスクリーンショット。

  2. IF_ENFORCEENCRYPTICERTREQUEST フラグがオフになっている理由を調査します。

  3. 脆弱性を削除するには、必ず IF_ENFORCEENCRYPTICERTREQUEST フラグをオンにします。

    フラグをオンにするには、次のコマンドを実行します。

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    サービスを再起動するには、次のコマンドを実行します。

    net stop certsvc & net start certsvc

運用環境でオンにする前に、制御された環境で設定をテストしてください。

安全でない ADCS 証明書登録 IIS エンドポイントを編集する (ESC8)

説明

Active Directory Certificate Services (AD CS) では、証明書登録サービス (CES) または Web 登録インターフェイス (Certsrv) を使用した HTTP による登録など、さまざまな方法とプロトコルによる証明書の登録がサポートされています。

IIS エンドポイントが、プロトコル署名 (HTTPS) を適用せずに NTLM 認証を許可する場合、または認証のための拡張保護 (EPA) を適用しない場合、NTLM リレー攻撃 (ESC8) に対して脆弱になります。 リレー攻撃は、攻撃者が正常に引き離すために管理している場合、ドメインの完全な引き継ぎにつながる可能性があります。

注:

この評価は、AD CS サーバーにセンサーをインストールしたお客様のみが使用できます。 詳細については、「AD FS、AD CS、Microsoft Entra Connect 用のセンサーを構成する」を参照してください。

実装

安全でない AD CS 証明書登録 IIS エンドポイントの https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。

評価では、organizationの問題のある HTTP エンドポイントと、エンドポイントを安全に構成するためのガイダンスが一覧表示されます。

処理が完了すると、ESC8 攻撃リスクが軽減され、攻撃面が大幅に減少します。

正しく構成されていない証明書テンプレートの所有者を編集する (ESC4)

この記事では、ID の正しく構成されていない証明書テンプレート所有者 (ESC4) セキュリティ体制評価レポートのMicrosoft Defenderの概要について説明します。

説明

証明書テンプレートは、オブジェクトへのアクセスとオブジェクトを編集する機能を制御する所有者を持つ Active Directory オブジェクトです。

所有者のアクセス許可が、テンプレート設定の変更を許可するアクセス許可を持つ組み込みの特権のないグループに付与されている場合、敵対者はテンプレートの構成ミスを発生させ、特権をエスカレートし、ドメイン全体を侵害する可能性があります。

組み込みの特権のないグループの例としては、 認証済みユーザードメイン ユーザー、または Everyone があります。 テンプレート設定の変更を許可するアクセス許可の例としては、 フル コントロール または 書き込み DACL があります

実装

  1. 証明書テンプレートの所有者が正しく構成されていない場合は、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。

    正しく構成されていない証明書テンプレート所有者 (ESC4) の編集に関する推奨事項のスクリーンショット。

  2. テンプレート所有者が正しく構成されていない可能性がある理由を調査します。

  3. 所有者を特権と監視対象のユーザーに変更することで、問題を修復します。

正しく構成されていない証明機関 ACL の編集 (ESC7)

説明

証明機関 (CA) は、CA のロールとアクセス許可の概要を示すアクセス制御リスト (ACL) を保持します。 アクセス制御が正しく構成されていない場合、任意のユーザーが CA 設定に干渉し、セキュリティ対策を回避し、ドメイン全体を侵害する可能性があります。

正しく構成されていない ACL の影響は、適用されるアクセス許可の種類によって異なります。 以下に例を示します。

  • 特権のないユーザーが [証明書の管理 ] 権限を保持している場合は、保留中の証明書要求を承認し、 マネージャーの承認 要件をバイパスできます。
  • [CA の管理] 権限を使用すると、ユーザーが SAN フラグ (EDITF_ATTRIBUTESUBJECTALTNAME2) を指定して追加するなど、CA 設定を変更でき、後で完全なドメイン侵害につながる可能性のある人工的な構成ミスが作成されます。

前提条件

この評価は、AD CS サーバーにセンサーをインストールしたお客様のみが使用できます。 詳細については、「 Active Directory Certificate Services (AD CS)の新しいセンサーの種類」を参照してください。

実装

  1. 正しく構成されていない証明機関 ACL については、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認してください。 以下に例を示します。

    正しく構成されていない証明機関 ACL (ESC7) の編集に関する推奨事項のスクリーンショット。

  2. CA ACL が正しく構成されていない理由を調査します。

  3. CA の管理または証明書の管理アクセス許可を持つ特権のない組み込みグループを付与するすべてのアクセス許可を削除して、問題を修復します。

正しく構成されていない証明書テンプレート ACL を編集する (ESC4)

説明

証明書テンプレートは、オブジェクトへのアクセスを制御する ACL を持つ Active Directory オブジェクトです。 ACL は、登録アクセス許可の決定に加えて、オブジェクト自体を編集するためのアクセス許可も決定します。

何らかの理由で、テンプレート設定の変更を可能にするアクセス許可を持つ組み込みの特権のないグループを許可するエントリが ACL に存在する場合、敵対者はテンプレートの構成ミスを導入し、特権をエスカレートし、ドメイン全体を侵害する可能性があります。

組み込みの特権のないグループの例としては、 認証済みユーザードメイン ユーザー、または Everyone があります。 テンプレート設定の変更を許可するアクセス許可の例としては、 フル コントロール または 書き込み DACL があります

実装

  1. 正しく構成されていない証明書テンプレート ACL については、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認してください。 以下に例を示します。

    正しく構成されていない証明書テンプレート ACL (ESC4) の編集に関する推奨事項のスクリーンショット。

  2. テンプレート ACL が正しく構成されていない可能性がある理由を調査します。

  3. テンプレートの改ざんを許可する特権のないグループアクセス許可を付与するエントリを削除して、問題を修復します。

  4. 証明書テンプレートが不要な場合は、CA によって発行されないように削除します。

正しく構成されていない登録エージェント証明書テンプレートを編集する (ESC3)

説明

通常、ユーザーには証明書を登録する登録エージェントがあります。 特定の状況では、登録エージェント証明書は、適格なユーザーの証明書を登録でき、organizationにリスクが生じます。

organizationを危険にさらす登録エージェント証明書テンプレートに関する ID レポートをMicrosoft Defenderすると、[公開されたエンティティ] ウィンドウに危険な登録エージェント テンプレートが一覧表示されます。

実装

  1. 誤った登録エージェント証明書テンプレートについて、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。 以下に例を示します。

    正しく構成されていない登録エージェント証明書テンプレート (ESC3) の編集に関する推奨事項のスクリーンショット。

  2. 次のいずれかの手順を実行して、問題を修復します。

    • 証明書要求エージェント EKU を削除します。
    • 過度に制限された登録アクセス許可を削除します。これにより、すべてのユーザーがその証明書テンプレートに基づいて証明書を登録できます。 Defender for Identity によって脆弱としてマークされたテンプレートには、組み込みの特権のないグループの登録を許可するアクセス リスト エントリが少なくとも 1 つ存在し、これを任意のユーザーが悪用できるようにします。 組み込みの特権のないグループの例としては、 認証されたユーザー または すべてのユーザーがあります。
    • CA 証明書 マネージャーの承認 要件を有効にします。
    • 任意の CA によって発行される証明書テンプレートを削除します。 発行されていないテンプレートは要求できないため、悪用することはできません。
    • 証明機関レベルで登録エージェントの制限を使用します。 たとえば、登録エージェントとして機能できるユーザーと、要求できるテンプレートを制限できます。

特権 EKU (Any purpose EKU または No EKU) (ESC2) を使用して過度に許容される証明書テンプレートを編集する

説明

デジタル証明書は、信頼を確立し、organization全体の整合性を維持する上で重要な役割を果たします。 これは、Kerberos ドメイン認証だけでなく、コードの整合性、サーバーの整合性、Active Directory フェデレーション サービス (AD FS) (AD FS) や IPSec などの証明書に依存するテクノロジなど、他の領域でも当てはまります。

証明書テンプレートに EKU がないか、 任意の目的 の EKU があり、特権のないユーザーに登録できる場合、そのテンプレートに基づいて発行された証明書は敵対者によって悪意を持って使用され、信頼が損なわれる可能性があります。

証明書を使用してユーザー認証を偽装することはできませんが、信頼モデルのデジタル証明書を軽減する他のコンポーネントが侵害されます。 敵対者は、TLS 証明書を作成し、任意の Web サイトを偽装できます。

実装

  1. 特権 EKU を持つ過剰に制限された証明書テンプレートについては、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認してください。 以下に例を示します。

    特権 EKU (Any purpose EKU または No EKU) (ESC2) レコメンデーションを使用して、過度に許容される証明書テンプレートを編集するスクリーンショット。

  2. テンプレートに特権 EKU がある理由を調査します。

  3. 次の手順を実行して、問題を修復します。

    • テンプレートの過度に制限されたアクセス許可を制限します。
    • 可能であれば、 マネージャーの承認 と署名の要件を追加するなどの追加の軽減策を適用します。

任意のアプリケーション ポリシーを使用した証明書の登録を禁止する (ESC15)

説明

この推奨事項は、最近公開された CVE-2024-49019 に直接対処します。これは、脆弱な AD CS 構成に関連するセキュリティ リスクを強調しています。 このセキュリティ体制評価では、パッチが適用されていない AD CS サーバーが原因で、お客様の環境で検出されたすべての脆弱な証明書テンプレートが一覧表示されます。

CVE-2024-49019 に対して脆弱な証明書テンプレートを使用すると、攻撃者は任意のアプリケーション ポリシーとサブジェクトの別名で証明書を発行できます。 証明書を使用して特権をエスカレートすることができ、ドメイン全体が侵害される可能性があります。 

これらの証明書テンプレートでは、攻撃者が任意のアプリケーション ポリシーとサブジェクトの別名 (SAN) を使用して証明書を発行できるようになるため、組織は重大なリスクにさらされます。 このような証明書は、特権をエスカレートし、ドメイン全体を侵害する可能性があります。 特に、これらの脆弱性により、特権のないユーザーは、高い特権アカウントとして認証できる証明書を発行でき、重大なセキュリティ上の脅威が発生します。

注:

この評価は、AD CS サーバーにセンサーをインストールしたお客様のみが使用できます。 詳細については、「 Active Directory Certificate Services (AD CS)の新しいセンサーの種類」を参照してください。

実装

  1. 推奨されるアクションについては、 任意のアプリケーション ポリシー (ESC15) による証明書登録の防止に関するページを参照してください。

  2. 脆弱な証明書テンプレートを特定します。

    • 特権のないユーザーの登録アクセス許可を削除します。
    • [要求で指定する] オプションを無効にします。

  3. CVE-2024-49019 に対して脆弱な AD CS サーバーを特定し、関連するパッチを適用します。

    脆弱な識別された AD CS サーバーの公開されたエンティティのスクリーンショット。

証明書テンプレート (ESC1) に基づいて、ユーザーが任意のユーザーに対して有効な証明書を要求できないようにする (プレビュー)

説明

各証明書は、サブジェクト フィールドを介してエンティティに関連付けられます。 ただし、証明書には サブジェクト代替名 (SAN) フィールドも含まれています。これにより、証明書を複数のエンティティに対して有効にすることができます。

SAN フィールドは、同じサーバーでホストされている Web サービスでよく使用され、サービスごとに個別の証明書ではなく 1 つの HTTPS 証明書を使用できます。 特定の証明書が認証にも有効な場合は、 クライアント認証などの適切な EKU を含めることで、複数の異なるアカウントを認証するために使用できます。

証明書テンプレート で [要求の入力 ] オプションがオンになっている場合、テンプレートは脆弱であり、攻撃者は任意のユーザーに対して有効な証明書を登録できる可能性があります。

重要

証明書の認証も許可されており、 マネージャーの承認 や必要な承認された署名など、適用される軽減策がない場合、特権のないユーザーがドメイン管理者ユーザーを含む任意のユーザーを引き継ぐので、証明書テンプレートは危険です。

この特定の設定は、最も一般的な構成ミスの 1 つです。

実装

  1. 任意のユーザーに対する証明書要求については、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。 以下に例を示します。

    証明書テンプレート (ESC1) の推奨事項に基づいて、ユーザーが任意のユーザーに対して有効な証明書を要求できないようにするのスクリーンショット。

  2. 任意のユーザーに対する証明書要求を修復するには、次の手順の少なくとも 1 つを実行します。

    • 要求構成 で [供給] を オフにします。

    • クライアント認証、スマートカード ログオンPKINIT クライアント認証、任意の目的など、ユーザー認証を有効にする EKU を削除します。

    • 過度に制限された登録アクセス許可を削除します。これにより、すべてのユーザーがその証明書テンプレートに基づいて証明書を登録できます。

      Defender for Identity によって脆弱としてマークされた証明書テンプレートには、組み込みの特権のないグループの登録をサポートする少なくとも 1 つのアクセス リスト エントリがあり、これを任意のユーザーが悪用できるようにします。 組み込みの特権のないグループの例としては、 Authenticated UsersEveryone などがあります

    • CA 証明書 マネージャーの承認 要件を有効にします。

    • 任意の CA によって発行される証明書テンプレートを削除します。 発行されていないテンプレートは要求できないため、悪用することはできません。

脆弱な証明機関設定の編集 (ESC6) (プレビュー)

説明

各証明書は、サブジェクト フィールドを介してエンティティに関連付けられます。 ただし、証明書には サブジェクト代替名 (SAN) フィールドも含まれています。これにより、証明書を複数のエンティティに対して有効にすることができます。

SAN フィールドは、同じサーバーでホストされている Web サービスでよく使用され、サービスごとに個別の証明書ではなく 1 つの HTTPS 証明書を使用できます。 特定の証明書が認証にも有効な場合は、 クライアント認証などの適切な EKU を含めることで、複数の異なるアカウントを認証するために使用できます。

SAN 設定でユーザーを指定できる特権のないユーザーは、直ちに侵害され、organizationに大きなリスクが発生する可能性があります。

AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 フラグがオンになっている場合、各ユーザーは証明書要求の SAN 設定を指定できます。 これは、 Supply in the request オプションがオンになっているかどうかにかかわらず、すべての証明書テンプレートに影響します。

EDITF_ATTRIBUTESUBJECTALTNAME2設定が有効になっているテンプレートがあり、そのテンプレートが認証に有効な場合、攻撃者は任意のアカウントを偽装できる証明書を登録できます。

注:

この評価は、AD CS サーバーにセンサーをインストールしたお客様のみが使用できます。 詳細については、「Microsoft Defender for Identity の新機能」を参照してください。

実装

  1. 脆弱な証明機関の設定を編集するには、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。 以下に例を示します。

    脆弱な証明機関の編集設定 (ESC6) の推奨事項のスクリーンショット。

  2. EDITF_ATTRIBUTESUBJECTALTNAME2設定が有効になっている理由を調査します。

  3. 次を実行して設定をオフにします。

    certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

  4. 次を実行してサービスを再起動します。

    net stop certsvc & net start certsvc

次の手順

  • Last updated on