Posouzení zabezpečení: Úprava chybně nakonfigurovaných šablon certifikátů ACL (ESC4) (Preview)
Tento článek popisuje sestavu posouzení stavu zabezpečení seznamu zabezpečení ACL šablony certifikátu v programu Microsoft Defender for Identity for Identity.
Co je chybně nakonfigurovaný seznam ACL šablony certifikátu?
Šablony certifikátů jsou objekty služby Active Directory s seznamem ACL, který řídí přístup k objektu. Kromě určení oprávnění k registraci seznam ACL také určuje oprávnění pro úpravy samotného objektu.
Pokud z nějakého důvodu existuje položka v seznamu ACL, která uděluje integrovanou, neprivilegovanou skupinu s oprávněními, která umožňují změny nastavení šablony, může nežádoucí osoba zavést chybnou konfiguraci šablony, eskalovat oprávnění a ohrozit celou doménu.
Příklady předdefinovaných, neprivilegovaných skupin jsou ověření uživatelé, uživatelé domény nebo všichni. Příklady oprávnění, která umožňují změny nastavení šablony, jsou úplné řízení nebo zápis seznamu DACL.
Návody toto posouzení zabezpečení použít ke zlepšení stavu zabezpečení organizace?
Projděte si doporučenou akci https://security.microsoft.com/securescore?viewid=actions v seznamu ACL chybně nakonfigurované šablony certifikátu. Příklad:
Zjistěte, proč může být seznam ACL šablony chybně nakonfigurovaný.
Opravte problém odebráním jakékoli položky, která uděluje neprivilegovaná oprávnění skupiny, která umožňují manipulaci se šablonou.
Pokud ji nepotřebujete, odeberte šablonu certifikátu, aby ji publikovala jakákoli certifikační autorita.
Před zapnutím nastavení v produkčním prostředí nezapomeňte otestovat nastavení v řízeném prostředí.
Poznámka:
I když se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit během několika minut od implementace doporučení aktualizuje, může tento stav chvíli trvat, než se označí jako Dokončeno.
Sestavy zobrazují ovlivněné entity za posledních 30 dnů. Po uplynutí této doby se entity ze seznamu vystavených entit odeberou.