帐户上的映射证书

安全标识映射是 Microsoft 提供的一项功能，用于将证书附加到帐户或组。在某些情况下，这可用作在资源身份验证的备用凭据。但是，在特权帐户上设置证书或使用弱证书映射可能存在风险，或者可能表明攻击者已经建立了持久性机制。

每当在 Active Directory 中的特权帐户上设置备用安全标识时，都应对其进行评估，以决定是否可接受特权提升所带来的风险。若不确定，删除相应的证书映射是安全的选择。 删除弱证书映射，因为这些证书映射容易受到攻击，且自 2025 年 2 月以来不再受到支持 (KB5014754)。
注意：此功能与智能卡的使用无关。如果配置合理，智能卡仍是一种强身份验证安全方案。

名称: 帐户上的映射证书

代码名称: C-SENSITIVE-CERTIFICATES-ON-USER

严重性: Critical

类型: Active Directory Indicator of Exposure

Family: 身份验证和凭据