Bem, na verdade você já fez o que deve fazer para impedir a injeção de nome de assunto não autorizado no certificado por meio da aprovação automática de solicitação. Desde que a extensão SAN seja autenticada (incorporada no CSR), não há problema em ter extensão SAN. Mark Henderson estava correto em seu comentário, você entendeu incorretamente o problema. O problema real não é com SAN, mas como é adicionado ao CSR. E é ruim permitir a SAN de atributos não autenticados, porque eles são processados e incluídos no certificado sem validação.
O que mais você pode fazer: exigir a aprovação do gerente de CA para todos os modelos de certificado que usam o valor de assunto da solicitação de entrada (não do Active Directory). Inspeção de valor de SAN para fontes não confiáveis ainda é necessária. Não há necessidade de fazer isso para modelos que criam assunto automaticamente a partir do AD, porque esses modelos ignoram completamente as informações do assunto contidas na solicitação, portanto, elas não são afetadas.