Certificats associés aux comptes
critical
Langue :
Description
L'association d'identifiants de sécurité est une fonctionnalité fournie par Microsoft utilisée pour attacher un certificat à un compte ou un groupe. Ceci est utilisé afin de fournir des identifiants alternatifs pour l'authentification sur des ressources dans certains scénarios. Avoir un certificat défini sur un compte privilégié peut être dangereux dans le cas où ce certificat n'est pas protégé de façon adéquate, au même titre qu'un compte sensible. Cela peut être également la trace d'un moyen de persistance mis en place précédemment par un attaquant.
Solution
Dès lors qu'une identité de sécurité alternative est définie sur un compte privilégié de l'annuaire Active Directory, une phase d'évaluation est nécessaire afin de décider si le risque d'élévation de privilèges est accepté ou non. En général, c'est au moins une mauvaise pratique qui devrait être corrigée. L'utilisation de cartes à puces pour l'authentification n'est pas remise en cause et reste un moyen fort à mettre en place, dès lors que la configuration est réalisée de manière correcte.
Voir aussi
Map a certificate to a user account
Mapping certificates to user accounts
Mapping a client certificate to an AD domain account using clientCertificateMappingAuthentication