帳戶上的對應憑證
critical
語系:
說明
Microsoft 提供名為「安全身分識別對應」的功能,此功能會將憑證附加至帳戶或群組。在特定情境下,這可做為替代憑證用於針對資源進行驗證。
不過,若未針對關聯憑證與此機密帳戶提供安全保護,針對特權帳戶設定憑證可能會具有危險。這也表示攻擊者先前可能已設置了潛伏機制。
解決方案
針對特權 Active Directory 帳戶設定替代安全身分識別時,您應進行評估以決定是否接受特權提高風險。若有疑問,您可安全地將其移除。
請注意:此功能與使用智慧卡無關,其仍是透過適當設定進行驗證的強大安全選項。
另請參閱
Map a certificate to a user account
Mapping certificates to user accounts
Mapping a client certificate to an AD domain account using clientCertificateMappingAuthentication
指標詳細資料
名稱: 帳戶上的對應憑證
代碼名稱: C-SENSITIVE-CERTIFICATES-ON-USER
嚴重性: Critical
- 手法: TA0003 - 長期潛伏
- 技術: T1098 - 帳戶操控
攻擊者已知工具
Gentil Kiwi: Kekeo