Zugeordnete Zertifikate für Konten
critical
Sprache:
Beschreibung
Microsoft stellt eine Funktion namens Security Identity Mapping, bereit. Sie wird zum Anhängen eines Zertifikats an ein Konto oder eine Gruppe verwendet. Dies kann in bestimmten Szenarien den Zweck alternativer Anmeldeinformationen für die Authentifizierung von Ressourcen erfüllen. Das Vorhandensein eines Zertifikatssatzes für ein privilegiertes Konto oder die Verwendung einer schwachen Zertifikatszuordnung kann jedoch gefährlich sein oder auf einen Persistenzmechanismus hinweisen, den ein Angreifer möglicherweise zuvor eingerichtet hat.
Lösung
Immer dann, wenn eine alternative Sicherheitsidentität für ein privilegiertes Active Directory-Konto festgelegt ist, sollten Sie diese evaluieren, um zu entscheiden, ob Sie das Risiko einer Rechteausweitung akzeptieren oder nicht. Im Zweifelsfall können Sie sie auf sichere Art und Weise entfernen.
Entfernen Sie schwache Zertifikatszuordnungen, da sie anfällig sind und seit Februar 2025 nicht mehr unterstützt werden (KB5014754).
Hinweis: Diese Funktion steht nicht im Zusammenhang mit der Verwendung von Smartcards, die weiterhin eine starke Sicherheitslösung für die Authentifizierung darstellen, wenn sie ordnungsgemäß konfiguriert sind.
Siehe auch
Map a certificate to a user account
Mapping certificates to user accounts
Mapping a client certificate to an AD domain account using clientCertificateMappingAuthentication
KB5014754: Certificate-based authentication changes on Windows domain controllers
Indikatordetails
Name: Zugeordnete Zertifikate für Konten
Codename: C-SENSITIVE-CERTIFICATES-ON-USER
Schweregrad: Critical
Typ: Active Directory Indicator of Exposure
- Taktik: TA0003 – Persistenz -
- Techniken: T1098 – Kontomanipulation -
Bekannte Tools von Angreifern
Gentil Kiwi: Kekeo
GhostPack: Certify