Sdílet prostřednictvím

Posouzení zabezpečení: Úprava chybně nakonfigurovaného seznamu ACL certifikační autority (ESC7) (Preview)

  • Článek

Tento článek popisuje chybně nakonfigurovanou sestavu posouzení stavu zabezpečení ACL certifikační autority v programu Microsoft Defender for Identity.

Co je chybně nakonfigurovaný seznam ACL certifikační autority?

Certifikační autority udržují seznamy řízení přístupu (ACL), které popisují role a oprávnění pro certifikační autoritu. Pokud není řízení přístupu správně nakonfigurované, může být každému uživateli povoleno kolidovat s nastavením certifikační autority, obejít bezpečnostní opatření a potenciálně ohrozit celou doménu.

Účinek chybně nakonfigurovaného seznamu ACL se liší podle typu použitého oprávnění. Příklad:

  • Pokud má neprivilegovaný uživatel právo Spravovat certifikáty , může schválit čekající žádosti o certifikát a obejít požadavek na schválení správce.
  • S právem Spravovat certifikační autoritu může uživatel změnit nastavení certifikační autority , jako je přidání příznaku SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), vytvoření umělé chybné konfigurace, která může později vést k úplnému ohrožení domény.

Požadavky

Toto posouzení je dostupné jenom zákazníkům, kteří nainstalovali senzor na server AD CS. Další informace najdete v tématu Nový typ senzoru pro službu Active Directory Certificate Services (AD CS).

Návody toto posouzení zabezpečení použít ke zlepšení stavu zabezpečení organizace?

  1. Projděte si doporučenou akci https://security.microsoft.com/securescore?viewid=actions pro chybně nakonfigurované seznamy ACL certifikační autority. Příklad:

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. Zjistěte, proč je seznam ACL certifikační autority chybně nakonfigurovaný.

  3. Opravte problémy odebráním všech oprávnění, která udělují neprivilegovaným předdefinovaným skupinám oprávnění spravovat certifikační autoritu nebo spravovat certifikáty .

Před zapnutím nastavení v produkčním prostředí nezapomeňte otestovat nastavení v řízeném prostředí.

Poznámka:

I když se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit během několika minut od implementace doporučení aktualizuje, může tento stav chvíli trvat, než se označí jako Dokončeno.

Sestavy zobrazují ovlivněné entity za posledních 30 dnů. Po uplynutí této doby se entity ze seznamu vystavených entit odeberou.

Další kroky