Certificats associés aux comptes
critical
Langue :
Description
Le mappage d'identifiants de sécurité (Security Identity Mapping, SIM) est une fonctionnalité fournie par Microsoft et utilisée pour joindre un certificat à un compte ou un groupe. Cela peut permettre de fournir des identifiants alternatifs pour l'authentification sur des ressources dans certains scénarios.
Cependant, avoir un certificat défini sur un compte privilégié peut être dangereux dans le cas où ce certificat n'est pas aussi bien protégé que ce compte sensible. Cela peut également indiquer un mécanisme de persistance mis en place précédemment par un attaquant.
Solution
Dès lors qu'une identité de sécurité alternative est définie sur un compte privilégié de l'annuaire Active Directory, une phase d'évaluation est nécessaire afin de décider si le risque d'élévation de privilèges est accepté ou non. En cas de doute, vous pouvez la supprimer.
Remarque : l'utilisation de cartes à puces pour l'authentification n'est pas remise en cause et reste un moyen fort à mettre en place, dès lors que la configuration est réalisée de manière appropriée.
Voir aussi
Map a certificate to a user account
Mapping certificates to user accounts
Mapping a client certificate to an AD domain account using clientCertificateMappingAuthentication
Détails de l'indicateur
Nom: Certificats associés aux comptes
Nom de code: C-SENSITIVE-CERTIFICATES-ON-USER
Sévérité: Critical
- Tactique: TA0003 - Persistance
- Techniques: T1098 - Manipulation de compte
Outils connus des attaquants
Gentil Kiwi: Kekeo