تقييم الأمان: تحرير نقاط نهاية IIS لتسجيل شهادة ADCS غير الآمنة (ESC8)

توضح هذه المقالة تقرير تقييم وضع أمان الهوية الخاص بتحرير نقاط نهاية IIS لتسجيل شهادة ADCS غير الآمنة Microsoft Defender for Identity.

ما هي نقاط نهاية IIS لتسجيل شهادة AD CS غير الآمنة؟

تدعم خدمات شهادات Active Directory (AD CS) تسجيل الشهادة من خلال أساليب وبروتوكولات مختلفة، بما في ذلك التسجيل عبر HTTP باستخدام خدمة تسجيل الشهادات (CES) أو واجهة تسجيل الويب (Certsrv).

إذا كانت نقطة نهاية IIS تسمح بمصادقة NTLM دون فرض توقيع البروتوكول (HTTPS) أو دون فرض الحماية الموسعة للمصادقة (EPA)، فإنها تصبح عرضة لهجمات ترحيل NTLM (ESC8). يمكن أن تؤدي هجمات الترحيل إلى استيلاء كامل على المجال إذا تمكن المهاجم من سحبه بنجاح.

المتطلبات الأساسية

يتوفر هذا التقييم فقط للعملاء الذين قاموا بتثبيت أداة استشعار على خادم AD CS. لمزيد من المعلومات، راجع تكوين أدوات الاستشعار ل AD FS و AD CS.

كيف أعمل استخدام تقييم الأمان هذا لتحسين وضعي الأمني التنظيمي؟

راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لنقاط نهاية IIS لتسجيل شهادة AD CS غير الآمنة.

يسرد التقييم نقاط نهاية HTTP الإشكالية في مؤسستك وإرشادات لتكوين نقاط النهاية بشكل آمن.

بمجرد التعامل معها، يتم تخفيف مخاطر هجوم ESC8، ما يقلل من سطح الهجوم بشكل كبير.

ملاحظة

بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.

الخطوات التالية