From 014c56fde4c008ca76f5f66da45b7054df505b84 Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 10 Jul 2025 10:08:44 +0000 Subject: [PATCH] Translated ['src/windows-hardening/active-directory-methodology/ad-certi --- .../ad-certificates.md | 48 ++++++++++++++++--- 1 file changed, 42 insertions(+), 6 deletions(-) diff --git a/src/windows-hardening/active-directory-methodology/ad-certificates.md b/src/windows-hardening/active-directory-methodology/ad-certificates.md index 00741738f..a2d10d613 100644 --- a/src/windows-hardening/active-directory-methodology/ad-certificates.md +++ b/src/windows-hardening/active-directory-methodology/ad-certificates.md @@ -91,33 +91,69 @@ Kerberos प्रमाणीकरण प्रक्रिया में, ```bash CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=,DC= ``` -विश्वास स्थापित करने के लिए प्रमाणपत्र प्रमाणीकरण के लिए केंद्रीय है। +is प्रमाणपत्र प्रमाणीकरण के लिए विश्वास स्थापित करने में केंद्रीय है। ### सुरक्षित चैनल (Schannel) प्रमाणीकरण -Schannel सुरक्षित TLS/SSL कनेक्शनों की सुविधा प्रदान करता है, जहां एक हैंडशेक के दौरान, क्लाइंट एक प्रमाणपत्र प्रस्तुत करता है जो, यदि सफलतापूर्वक मान्य किया जाता है, तो पहुंच को अधिकृत करता है। एक प्रमाणपत्र को AD खाते से मानचित्रित करने में Kerberos का **S4U2Self** फ़ंक्शन या प्रमाणपत्र का **Subject Alternative Name (SAN)** शामिल हो सकता है, अन्य तरीकों के बीच। +Schannel सुरक्षित TLS/SSL कनेक्शनों को सुविधाजनक बनाता है, जहाँ एक हैंडशेक के दौरान, क्लाइंट एक प्रमाणपत्र प्रस्तुत करता है जो, यदि सफलतापूर्वक मान्य किया जाता है, तो पहुँच अधिकृत करता है। एक प्रमाणपत्र को AD खाते से मानचित्रित करने में Kerberos का **S4U2Self** फ़ंक्शन या प्रमाणपत्र का **Subject Alternative Name (SAN)** शामिल हो सकता है, अन्य तरीकों के बीच। ### AD प्रमाणपत्र सेवाओं की गणना -AD की प्रमाणपत्र सेवाओं को LDAP क्वेरी के माध्यम से गणना की जा सकती है, जो **Enterprise Certificate Authorities (CAs)** और उनके कॉन्फ़िगरेशन के बारे में जानकारी प्रकट करती है। यह किसी भी डोमेन-प्रमाणित उपयोगकर्ता द्वारा विशेष विशेषाधिकार के बिना सुलभ है। **[Certify](https://github.com/GhostPack/Certify)** और **[Certipy](https://github.com/ly4k/Certipy)** जैसे उपकरण AD CS वातावरण में गणना और भेद्यता मूल्यांकन के लिए उपयोग किए जाते हैं। +AD की प्रमाणपत्र सेवाओं को LDAP क्वेरी के माध्यम से गणना की जा सकती है, जो **Enterprise Certificate Authorities (CAs)** और उनकी कॉन्फ़िगरेशन के बारे में जानकारी प्रकट करती है। यह किसी भी डोमेन-प्रमाणित उपयोगकर्ता द्वारा विशेष विशेषाधिकार के बिना सुलभ है। **[Certify](https://github.com/GhostPack/Certify)** और **[Certipy](https://github.com/ly4k/Certipy)** जैसे उपकरण AD CS वातावरण में गणना और भेद्यता मूल्यांकन के लिए उपयोग किए जाते हैं। -इन उपकरणों का उपयोग करने के लिए कमांड में शामिल हैं: +इन उपकरणों का उपयोग करने के लिए आदेश शामिल हैं: ```bash # Enumerate trusted root CA certificates and Enterprise CAs with Certify Certify.exe cas # Identify vulnerable certificate templates with Certify Certify.exe find /vulnerable -# Use Certipy for enumeration and identifying vulnerable templates -certipy find -vulnerable -u john@corp.local -p Passw0rd -dc-ip 172.16.126.128 +# Use Certipy (>=4.0) for enumeration and identifying vulnerable templates +certipy find -vulnerable -dc-only -u john@corp.local -p Passw0rd -target dc.corp.local + +# Request a certificate over the web enrollment interface (new in Certipy 4.x) +certipy req -web -target ca.corp.local -template WebServer -upn john@corp.local -dns www.corp.local # Enumerate Enterprise CAs and certificate templates with certutil certutil.exe -TCAInfo certutil -v -dstemplate ``` +--- + +## हाल की कमजोरियाँ और सुरक्षा अपडेट (2022-2025) + +| वर्ष | आईडी / नाम | प्रभाव | मुख्य निष्कर्ष | +|------|-----------|--------|----------------| +| 2022 | **CVE-2022-26923** – “Certifried” / ESC6 | *विशेषाधिकार वृद्धि* मशीन खाता प्रमाणपत्रों को PKINIT के दौरान धोखा देकर। | पैच **10 मई 2022** सुरक्षा अपडेट में शामिल है। ऑडिटिंग और मजबूत-मैपिंग नियंत्रण **KB5014754** के माध्यम से पेश किए गए; वातावरण अब *पूर्ण प्रवर्तन* मोड में होना चाहिए। citeturn2search0 | +| 2023 | **CVE-2023-35350 / 35351** | *दूरस्थ कोड-कार्यन्वयन* AD CS वेब नामांकन (certsrv) और CES भूमिकाओं में। | सार्वजनिक PoCs सीमित हैं, लेकिन कमजोर IIS घटक अक्सर आंतरिक रूप से उजागर होते हैं। पैच **जुलाई 2023** पैच मंगलवार के रूप में। citeturn3search0 | +| 2024 | **CVE-2024-49019** – “EKUwu” / ESC15 | कम विशेषाधिकार वाले उपयोगकर्ता जिनके पास नामांकन अधिकार हैं, वे CSR जनरेशन के दौरान **किसी भी** EKU या SAN को ओवरराइड कर सकते हैं, जो क्लाइंट-प्रमाणीकरण या कोड-हस्ताक्षर के लिए उपयोगी प्रमाणपत्र जारी करते हैं और *डोमेन समझौता* की ओर ले जाते हैं। | **अप्रैल 2024** अपडेट में संबोधित किया गया। टेम्पलेट से “अनुरोध में आपूर्ति करें” को हटा दें और नामांकन अनुमतियों को प्रतिबंधित करें। citeturn1search3 | + +### Microsoft हार्डनिंग टाइमलाइन (KB5014754) + +Microsoft ने कमजोर निहित मैपिंग से केर्बेरोस प्रमाणपत्र प्रमाणीकरण को स्थानांतरित करने के लिए तीन-चरणीय रोलआउट (संगतता → ऑडिट → प्रवर्तन) पेश किया। **11 फरवरी 2025** से, डोमेन नियंत्रक स्वचालित रूप से **पूर्ण प्रवर्तन** पर स्विच हो जाते हैं यदि `StrongCertificateBindingEnforcement` रजिस्ट्री मान सेट नहीं किया गया है। प्रशासकों को चाहिए: + +1. सभी DCs और AD CS सर्वरों को पैच करें (मई 2022 या बाद में)। +2. *ऑडिट* चरण के दौरान कमजोर मैपिंग के लिए इवेंट आईडी 39/41 की निगरानी करें। +3. फरवरी 2025 से पहले नए **SID एक्सटेंशन** के साथ क्लाइंट-प्रमाण पत्र फिर से जारी करें या मजबूत मैनुअल मैपिंग कॉन्फ़िगर करें। citeturn2search0 + +--- + +## पहचान और हार्डनिंग सुधार + +* **डिफेंडर फॉर आइडेंटिटी AD CS सेंसर (2023-2024)** अब ESC1-ESC8/ESC11 के लिए स्थिति आकलन प्रस्तुत करता है और *“गैर-DC के लिए डोमेन-नियंत्रक प्रमाणपत्र जारी करना”* (ESC8) और *“मनमाने एप्लिकेशन नीतियों के साथ प्रमाणपत्र नामांकन को रोकें”* (ESC15) जैसे वास्तविक समय के अलर्ट उत्पन्न करता है। सुनिश्चित करें कि इन पहचानियों से लाभ उठाने के लिए सभी AD CS सर्वरों पर सेंसर तैनात हैं। citeturn5search0 +* सभी टेम्पलेट्स पर **“अनुरोध में आपूर्ति करें”** विकल्प को बंद करें या कड़ी सीमा निर्धारित करें; स्पष्ट रूप से परिभाषित SAN/EKU मानों को प्राथमिकता दें। +* टेम्पलेट्स से **किसी भी उद्देश्य** या **कोई EKU** को हटा दें जब तक कि यह बिल्कुल आवश्यक न हो (ESC2 परिदृश्यों को संबोधित करता है)। +* संवेदनशील टेम्पलेट्स (जैसे, वेब सर्वर / कोड साइनिंग) के लिए **प्रबंधक अनुमोदन** या समर्पित नामांकन एजेंट कार्यप्रवाह की आवश्यकता करें। +* वेब नामांकन (`certsrv`) और CES/NDES एंडपॉइंट्स को विश्वसनीय नेटवर्क या क्लाइंट-प्रमाणपत्र प्रमाणीकरण के पीछे सीमित करें। +* ESC11 को कम करने के लिए RPC नामांकन एन्क्रिप्शन को लागू करें (`certutil –setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQ`)। + +--- + ## संदर्भ - [https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf](https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf) - [https://comodosslstore.com/blog/what-is-ssl-tls-client-authentication-how-does-it-work.html](https://comodosslstore.com/blog/what-is-ssl-tls-client-authentication-how-does-it-work.html) +- [https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) +- [https://advisory.eventussecurity.com/advisory/critical-vulnerability-in-ad-cs-allows-privilege-escalation/](https://advisory.eventussecurity.com/advisory/critical-vulnerability-in-ad-cs-allows-privilege-escalation/) {{#include ../../banners/hacktricks-training.md}}