Translated ['src/windows-hardening/active-directory-methodology/ad-certi

src/windows-hardening/active-directory-methodology/ad-certificates.md

@@ -91,33 +91,69 @@ Kerberos प्रमाणीकरण प्रक्रिया में,
 ```bash
 CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain>,DC=<com>
 ```
-विश्वास स्थापित करने के लिए प्रमाणपत्र प्रमाणीकरण के लिए केंद्रीय है।
+is प्रमाणपत्र प्रमाणीकरण के लिए विश्वास स्थापित करने में केंद्रीय है।
 
 ### सुरक्षित चैनल (Schannel) प्रमाणीकरण
 
-Schannel सुरक्षित TLS/SSL कनेक्शनों की सुविधा प्रदान करता है, जहां एक हैंडशेक के दौरान, क्लाइंट एक प्रमाणपत्र प्रस्तुत करता है जो, यदि सफलतापूर्वक मान्य किया जाता है, तो पहुंच को अधिकृत करता है। एक प्रमाणपत्र को AD खाते से मानचित्रित करने में Kerberos का **S4U2Self** फ़ंक्शन या प्रमाणपत्र का **Subject Alternative Name (SAN)** शामिल हो सकता है, अन्य तरीकों के बीच।
+Schannel सुरक्षित TLS/SSL कनेक्शनों को सुविधाजनक बनाता है, जहाँ एक हैंडशेक के दौरान, क्लाइंट एक प्रमाणपत्र प्रस्तुत करता है जो, यदि सफलतापूर्वक मान्य किया जाता है, तो पहुँच अधिकृत करता है। एक प्रमाणपत्र को AD खाते से मानचित्रित करने में Kerberos का **S4U2Self** फ़ंक्शन या प्रमाणपत्र का **Subject Alternative Name (SAN)** शामिल हो सकता है, अन्य तरीकों के बीच।
 
 ### AD प्रमाणपत्र सेवाओं की गणना
 
-AD की प्रमाणपत्र सेवाओं को LDAP क्वेरी के माध्यम से गणना की जा सकती है, जो **Enterprise Certificate Authorities (CAs)** और उनके कॉन्फ़िगरेशन के बारे में जानकारी प्रकट करती है। यह किसी भी डोमेन-प्रमाणित उपयोगकर्ता द्वारा विशेष विशेषाधिकार के बिना सुलभ है। **[Certify](https://github.com/GhostPack/Certify)** और **[Certipy](https://github.com/ly4k/Certipy)** जैसे उपकरण AD CS वातावरण में गणना और भेद्यता मूल्यांकन के लिए उपयोग किए जाते हैं।
+AD की प्रमाणपत्र सेवाओं को LDAP क्वेरी के माध्यम से गणना की जा सकती है, जो **Enterprise Certificate Authorities (CAs)** और उनकी कॉन्फ़िगरेशन के बारे में जानकारी प्रकट करती है। यह किसी भी डोमेन-प्रमाणित उपयोगकर्ता द्वारा विशेष विशेषाधिकार के बिना सुलभ है। **[Certify](https://github.com/GhostPack/Certify)** और **[Certipy](https://github.com/ly4k/Certipy)** जैसे उपकरण AD CS वातावरण में गणना और भेद्यता मूल्यांकन के लिए उपयोग किए जाते हैं।
 
-इन उपकरणों का उपयोग करने के लिए कमांड में शामिल हैं:
+इन उपकरणों का उपयोग करने के लिए आदेश शामिल हैं:
 ```bash
 # Enumerate trusted root CA certificates and Enterprise CAs with Certify
 Certify.exe cas
 # Identify vulnerable certificate templates with Certify
 Certify.exe find /vulnerable
 
-# Use Certipy for enumeration and identifying vulnerable templates
+# Use Certipy (>=4.0) for enumeration and identifying vulnerable templates
-certipy find -vulnerable -u john@corp.local -p Passw0rd -dc-ip 172.16.126.128
+certipy find -vulnerable -dc-only -u john@corp.local -p Passw0rd -target dc.corp.local
+
+# Request a certificate over the web enrollment interface (new in Certipy 4.x)
+certipy req -web -target ca.corp.local -template WebServer -upn john@corp.local -dns www.corp.local
 
 # Enumerate Enterprise CAs and certificate templates with certutil
 certutil.exe -TCAInfo
 certutil -v -dstemplate
 ```
+---
+
+## हाल की कमजोरियाँ और सुरक्षा अपडेट (2022-2025)
+
+| वर्ष | आईडी / नाम | प्रभाव | मुख्य निष्कर्ष |
+|------|-----------|--------|----------------|
+| 2022 | **CVE-2022-26923** – “Certifried” / ESC6 | *विशेषाधिकार वृद्धि* मशीन खाता प्रमाणपत्रों को PKINIT के दौरान धोखा देकर। | पैच **10 मई 2022** सुरक्षा अपडेट में शामिल है। ऑडिटिंग और मजबूत-मैपिंग नियंत्रण **KB5014754** के माध्यम से पेश किए गए; वातावरण अब *पूर्ण प्रवर्तन* मोड में होना चाहिए। citeturn2search0 |
+| 2023 | **CVE-2023-35350 / 35351** | *दूरस्थ कोड-कार्यन्वयन* AD CS वेब नामांकन (certsrv) और CES भूमिकाओं में। | सार्वजनिक PoCs सीमित हैं, लेकिन कमजोर IIS घटक अक्सर आंतरिक रूप से उजागर होते हैं। पैच **जुलाई 2023** पैच मंगलवार के रूप में। citeturn3search0 |
+| 2024 | **CVE-2024-49019** – “EKUwu” / ESC15 | कम विशेषाधिकार वाले उपयोगकर्ता जिनके पास नामांकन अधिकार हैं, वे CSR जनरेशन के दौरान **किसी भी** EKU या SAN को ओवरराइड कर सकते हैं, जो क्लाइंट-प्रमाणीकरण या कोड-हस्ताक्षर के लिए उपयोगी प्रमाणपत्र जारी करते हैं और *डोमेन समझौता* की ओर ले जाते हैं। | **अप्रैल 2024** अपडेट में संबोधित किया गया। टेम्पलेट से “अनुरोध में आपूर्ति करें” को हटा दें और नामांकन अनुमतियों को प्रतिबंधित करें। citeturn1search3 |
+
+### Microsoft हार्डनिंग टाइमलाइन (KB5014754)
+
+Microsoft ने कमजोर निहित मैपिंग से केर्बेरोस प्रमाणपत्र प्रमाणीकरण को स्थानांतरित करने के लिए तीन-चरणीय रोलआउट (संगतता → ऑडिट → प्रवर्तन) पेश किया। **11 फरवरी 2025** से, डोमेन नियंत्रक स्वचालित रूप से **पूर्ण प्रवर्तन** पर स्विच हो जाते हैं यदि `StrongCertificateBindingEnforcement` रजिस्ट्री मान सेट नहीं किया गया है। प्रशासकों को चाहिए:
+
+1. सभी DCs और AD CS सर्वरों को पैच करें (मई 2022 या बाद में)।
+2. *ऑडिट* चरण के दौरान कमजोर मैपिंग के लिए इवेंट आईडी 39/41 की निगरानी करें।
+3. फरवरी 2025 से पहले नए **SID एक्सटेंशन** के साथ क्लाइंट-प्रमाण पत्र फिर से जारी करें या मजबूत मैनुअल मैपिंग कॉन्फ़िगर करें। citeturn2search0
+
+---
+
+## पहचान और हार्डनिंग सुधार
+
+* **डिफेंडर फॉर आइडेंटिटी AD CS सेंसर (2023-2024)** अब ESC1-ESC8/ESC11 के लिए स्थिति आकलन प्रस्तुत करता है और *“गैर-DC के लिए डोमेन-नियंत्रक प्रमाणपत्र जारी करना”* (ESC8) और *“मनमाने एप्लिकेशन नीतियों के साथ प्रमाणपत्र नामांकन को रोकें”* (ESC15) जैसे वास्तविक समय के अलर्ट उत्पन्न करता है। सुनिश्चित करें कि इन पहचानियों से लाभ उठाने के लिए सभी AD CS सर्वरों पर सेंसर तैनात हैं। citeturn5search0
+* सभी टेम्पलेट्स पर **“अनुरोध में आपूर्ति करें”** विकल्प को बंद करें या कड़ी सीमा निर्धारित करें; स्पष्ट रूप से परिभाषित SAN/EKU मानों को प्राथमिकता दें।
+* टेम्पलेट्स से **किसी भी उद्देश्य** या **कोई EKU** को हटा दें जब तक कि यह बिल्कुल आवश्यक न हो (ESC2 परिदृश्यों को संबोधित करता है)।
+* संवेदनशील टेम्पलेट्स (जैसे, वेब सर्वर / कोड साइनिंग) के लिए **प्रबंधक अनुमोदन** या समर्पित नामांकन एजेंट कार्यप्रवाह की आवश्यकता करें।
+* वेब नामांकन (`certsrv`) और CES/NDES एंडपॉइंट्स को विश्वसनीय नेटवर्क या क्लाइंट-प्रमाणपत्र प्रमाणीकरण के पीछे सीमित करें।
+* ESC11 को कम करने के लिए RPC नामांकन एन्क्रिप्शन को लागू करें (`certutil –setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQ`)।
+
+---
+
 ## संदर्भ
 
 - [https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf](https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf)
 - [https://comodosslstore.com/blog/what-is-ssl-tls-client-authentication-how-does-it-work.html](https://comodosslstore.com/blog/what-is-ssl-tls-client-authentication-how-does-it-work.html)
+- [https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)
+- [https://advisory.eventussecurity.com/advisory/critical-vulnerability-in-ad-cs-allows-privilege-escalation/](https://advisory.eventussecurity.com/advisory/critical-vulnerability-in-ad-cs-allows-privilege-escalation/)
 
 {{#include ../../banners/hacktricks-training.md}}