アカウントにマップされた証明書

Microsoft は、証明書をアカウントまたはグループに添付するセキュリティアイデンティティマッピングという機能を提供しています。特定のシナリオでは、これはリソースで行う認証の代替資格情報として使用されます。ただし、証明書が特権アカウントに設定されている場合、または弱い証明書マッピングを使用している場合は、危険です。攻撃者が前もって設定した持続性メカニズムである可能性があります。

Active Directory の特権アカウントに代替セキュリティアイデンティティが設定されている場合は、必ず評価して、権限昇格のリスクを許容するかどうか判断する必要があります。判断が付かない場合は、安全を確認しながら削除することができます。 弱い証明書マッピングは、脆弱であり、2025 年 2 月以降サポートされていないため (KB5014754)、削除してください。
注意: この機能はスマートカードの使用とは関係ありません。スマートカードは、適切に設定されている限り、引き続き認証の強力なセキュリティオプションです。

名前: アカウントにマップされた証明書

コード名: C-SENSITIVE-CERTIFICATES-ON-USER

深刻度: Critical

タイプ: Active Directory Indicator of Exposure

Family: 認証と認証情報