Certificados asignados en cuentas
critical
Idioma:
Descripción
Microsoft ofrece una característica llamada “asignación de identidad de seguridad”, que asocia un certificado a una cuenta o grupo. En algunos casos, esto puede funcionar como credenciales alternativas para la autenticación en recursos. Sin embargo, tener un certificado definido en una cuenta privilegiada o usar una asignación de certificados débil puede ser peligroso o indicar un mecanismo de persistencia que un atacante pudo haber establecido anteriormente.
Solución
Cada vez que se defina una identidad de seguridad alternativa en una cuenta con privilegios de Active Directory, debería evaluarla para decidir si aceptar o no el riesgo de elevación de privilegios. En caso de duda, puede quitarla de manera segura.
Quite las asignaciones de certificados débiles, ya que son vulnerables y no se admiten desde febrero de 2025 (KB5014754).
Nota: Esta funcionalidad no se relaciona con el uso de tarjetas inteligentes, que siguen siendo una opción de seguridad robusta para la autenticación si la configuración es correcta.
Consulte también
Map a certificate to a user account
Mapping certificates to user accounts
Mapping a client certificate to an AD domain account using clientCertificateMappingAuthentication
KB5014754: Certificate-based authentication changes on Windows domain controllers
Detalles del indicador
Nombre: Certificados asignados en cuentas
Nombre en clave: C-SENSITIVE-CERTIFICATES-ON-USER
Gravedad: Critical
Tipo: Active Directory Indicator of Exposure
Family: Autenticación y credenciales
Herramientas conocidas de atacantes
Gentil Kiwi: Kekeo
GhostPack: Certify