Certificats associés aux comptes
critical
Langue :
Description
Le mappage d'identifiants de sécurité (Security Identity Mapping, SIM) est une fonctionnalité fournie par Microsoft et utilisée pour joindre un certificat à un compte ou un groupe. Elle peut fournir des identifiants alternatifs pour l'authentification auprès des ressources dans certains scénarios. Néanmoins, la présence d'un certificat sur un compte privilégié ou l'utilisation d'un mappage de certificat faible peut être dangereux, ou être le signe d'un mécanisme de persistance mis en place précédemment par un attaquant.
Solution
Dès lors qu'une identité de sécurité alternative est définie sur un compte privilégié de l'annuaire Active Directory, une phase d'évaluation est nécessaire afin de décider si le risque d'élévation de privilèges est accepté ou non. En cas de doute, vous pouvez la supprimer de manière sécurisée.
Supprimer le mappage des certificats faibles, car ils sont vulnérables et non pris en charge depuis février 2025 (KB5014754).
Remarque : cette fonctionnalité n'est pas liée à l'utilisation de cartes à puce, qui restent une option de sécurité robuste pour l'authentification avec une configuration appropriée.
Voir aussi
Map a certificate to a user account
Mapping certificates to user accounts
Mapping a client certificate to an AD domain account using clientCertificateMappingAuthentication
KB5014754: Certificate-based authentication changes on Windows domain controllers
Détails de l'indicateur
Nom: Certificats associés aux comptes
Nom de code: C-SENSITIVE-CERTIFICATES-ON-USER
Sévérité: Critical
Type: Active Directory Indicator of Exposure
- Tactique: TA0003 - Persistence
- Techniques: T1098 - Account Manipulation
Outils connus des attaquants
Gentil Kiwi: Kekeo
GhostPack: Certify