帐户上的映射证书
critical
语言:
描述
安全标识映射是 Microsoft 提供的一项功能,用于将证书附加到帐户或组。在某些情况下,这可用作在资源上进行身份验证的备用凭据。
然而,如果在特权帐户上设置了证书,却没有像保护敏感帐户一样好好保护相关证书,则会存在风险。这也可能表明攻击者之前设置了持久性机制。
解决方案
每当在 Active Directory 中的特权帐户上设置备用安全标识时,都应对其进行评估,以决定是否可接受特权提升所带来的风险。若不确定,您可以通过安全方式将其删除。
注意,此功能与智能卡的使用无关。如果配置合理,智能卡仍是一种强大的身份验证安全方案。
另见
Map a certificate to a user account
Mapping certificates to user accounts
Mapping a client certificate to an AD domain account using clientCertificateMappingAuthentication