Normale brukerkontoer kan be om et sertifikat for en Domain Admin, og dermed enkelt bli Domain Admin.
SpecterOps rapporterte ESC1-8 i 2021 og beskriver også løsninger.
ESC1 består av en rekke feilkonfigureringer som til sammen gjør at en normal User kan bli Domain Admin.
Konsekvens for brukere: Usannsynlig
Man må vurdere hva hver enkelt Certificate mal benyttes til før man endrer, så man er sikker på at fiksene ikke bryter med funksjonen.
Vanligvis skal det ikke være noe problem å fikse feilene. Internet artikkelen nedenfor beskriver også hvordan man kan sjekke om noen forsøker å utnytte ESC1 svakheten.
Liste over konfigurasjoner som må endres:
- Bytte Subject Name fra "Supply in the request" til "Build from this Active Directory information"
- Fjerne Enrollment Rights fra Domain Users, og gi dem Read Only
Microsoft anbefaler også å aktivere "Issuance Requirements > CA certificate manager approval"
.
Dette gir veldig stor trygghet, men det gjør at alle sertifikatforespørsler må godkjennes manuelt i Certificate Authority verktøyet under "Pending Requests". Dersom man har kapasitet til dette så er det sikkerhetsmessig anbefalt, men hvis man fikser de to andre svakhetene vil man ha utbedret ESC1 trusselen.
Kompleksitet på endringen: Lav (ADSC innstilling)
Teknisk beskrivelses
Åpne Certificate Authority > Certificate Templates
For alle Templates, verifiser at Properties > Subject Name
er satt til "Build from this Active Directory information"
For alle Templates, verifiser at Properties > Security > Domain Users
kun har Read og ikke har Enroll. Legg til evt grupper som trenger Enroll.