AD CS 证书服务最常见的缺陷配置集中在证书模板、CA 全局设置、权限与身份映射四大类。下面按攻击场景ESC 编号整理最常见、最易被滥用的缺陷配置。一、证书模板核心缺陷最常见ESC1–ESC41. ESC1可自定义 SAN 客户端认证 EKU最经典缺陷配置同时满足启用Client AuthenticationOID1.3.6.1.5.5.7.3.2或Smart Card LogonOID1.3.6.1.4.1.311.20.2.2、PKINIT Client AuthenticationOID1.3.6.1.5.2.3.4主题名称Supply in the requestCT_FLAG_ENROLLEE_SUPPLIES_SUBJECT 启用无CA 管理员批准Requires Management Approval False注册权限开放给低权限组Domain Users / Authenticated Users有Enroll权限风险普通用户可申请证书并在 SAN 中填入域管 UPN直接以高权限身份登录域。2. ESC2无 EKU / 任意用途 EKU缺陷配置模板无 EKU或Any PurposeOID2.5.29.37.0允许低权限用户注册风险证书可被用于任意目的含身份冒充。3. ESC3注册代理滥用缺陷配置模板启用Certificate Request AgentEKUOID1.3.6.1.4.1.311.20.2.1允许低权限用户注册该代理模板CA 未限制代理可代申请的模板/用户范围风险攻击者先拿代理证书再代申请任意用户含管理员的登录证书。4. ESC4模板权限过大缺陷配置普通用户对模板有Write / WriteDacl / GenericWrite / Full Control权限可直接修改模板属性如开启 ESC1 配置风险攻击者篡改模板后申请高权限证书再恢复配置隐藏痕迹。二、CA 全局配置缺陷ESC6、ESC81. ESC6CA 启用EDITF_ATTRIBUTESUBJECTALTNAME2缺陷配置CA 注册表/属性启用EDITF_ATTRIBUTESUBJECTALTNAME2允许在请求属性中指定 SAN该标志对所有模板生效即使模板本身未开放自定义 SAN风险攻击者可在证书请求中注入任意 SAN冒充高权限账户。2. ESC8AD CS Web 注册CEP/CES未启用身份验证缺陷配置启用Certificate Enrollment Web Service (CES)/CEPWeb 端点允许匿名访问或NTLM 中继风险攻击者中继用户身份到 AD CS自动获取用户证书。三、身份映射与强绑定缺陷ESC9、ESC101. ESC9模板禁用安全扩展NO_SECURITY_EXTENSION缺陷配置模板启用CT_FLAG_NO_SECURITY_EXTENSION不包含szOID_NTDS_CA_SECURITY_EXT导致证书无法触发强绑定即使系统配置StrongCertificateBindingEnforcement2风险攻击者可通过弱映射如 UPN 匹配冒充任意用户。2. ESC10弱证书映射UPN 匹配缺陷配置未安装KB5014754强绑定补丁CertificateMappingMethods包含0x04UPN 映射StrongCertificateBindingEnforcement 0无强验证风险AD 信任任何包含匹配 UPN 的证书无需强绑定验证。四、快速检测与加固要点检测用 Certipy / Certify# 扫描所有漏洞模板certipyfind-u userdomain.com -p password -dc-ipDC_IP-vulnerable加固按优先级模板关闭ENROLLEE_SUPPLIES_SUBJECT仅保留必要 EKU注册权限最小化强制管理员批准CA移除EDITF_ATTRIBUTESUBJECTALTNAME2禁用匿名 Web 注册系统安装KB5014754设置StrongCertificateBindingEnforcement2禁用0x04UPN 映射权限限制普通用户对模板/CA 的写权限五、常见漏洞配置速查表缺陷类型核心配置风险等级ESC1自定义 SAN 客户端认证 EKU 开放注册极高ESC6CA 启用EDITF_ATTRIBUTESUBJECTALTNAME2极高ESC9模板NO_SECURITY_EXTENSION高ESC10弱 UPN 映射 无强绑定高ESC4模板写权限过大高ESC8Web 注册匿名/中继中高