تقييم الأمان: تحرير قالب الشهادة المتساهلة بشكل مفرط باستخدام EKU المميز (أي غرض EKU أو No EKU) (ESC2)
توضح هذه المقالة قالب الشهادة المتساهلة بشكل مفرط Microsoft Defender for Identity مع تقرير تقييم وضع أمان EKU المتميز.
ما هو قالب الشهادة المتساهل بشكل مفرط مع EKU المميز؟
تلعب الشهادات الرقمية دورا حيويا في تأسيس الثقة والحفاظ على التكامل في جميع أنحاء المؤسسة. هذا صحيح ليس فقط في مصادقة مجال Kerberos، ولكن أيضا في مجالات أخرى، مثل تكامل التعليمات البرمجية وتكامل الخادم والتقنيات التي تعتمد على شهادات مثل خدمات الأمان المشترك لـ Active Directory (AD FS) وIPSec.
عندما لا يحتوي قالب الشهادة على وحدات EKUs أو يحتوي على أي هدف EKU، ويكون قابلا للتسجيل لأي مستخدم غير متميز، يمكن استخدام الشهادات الصادرة استنادا إلى هذا القالب بشكل ضار من قبل الخصم، مما يعرض الثقة للخطر.
على الرغم من أنه لا يمكن استخدام الشهادة لانتحال هوية مصادقة المستخدم، فإنها تعرض المكونات الأخرى التي تخفف الشهادات الرقمية لنموذج الثقة الخاص بها. يمكن للخصوم صياغة شهادات TLS وانتحال شخصية أي موقع ويب.
كيف أعمل استخدام تقييم الأمان هذا لتحسين وضعي الأمني التنظيمي؟
راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لقوالب الشهادات المتساهلة بشكل مفرط مع EKU متميز. على سبيل المثال:
ابحث عن سبب وجود EKU متميز للقوالب.
معالجة المشكلة عن طريق القيام بما يلي:
- تقييد أذونات القالب المتساهلة بشكل مفرط.
- فرض عوامل تخفيف إضافية مثل إضافة متطلبات موافقة المدير وتوقيعها إن أمكن.
تأكد من اختبار الإعدادات في بيئة خاضعة للرقابة قبل تشغيلها في الإنتاج.
ملاحظة
بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.