Sicherheitsbewertung: Bearbeiten falsch konfigurierter Zertifikatvorlagen ACL (ESC4) (Vorschau)
In diesem Artikel wird der ACL-Sicherheitsstatusbewertungsbericht der falsch konfigurierten Zertifikatvorlage von Microsoft Defender for Identity beschrieben.
Was ist eine falsch konfigurierte Zertifikatvorlage ACL?
Zertifikatvorlagen sind Active Directory-Objekte, bei denen eine ACL den Zugriff auf das Objekt steuert. Neben der Ermittlung von Registrierungsberechtigungen bestimmt die ACL auch Berechtigungen zum Bearbeiten des Objekts selbst.
Wenn aus irgendeinem Grund ein Eintrag in der ACL vorhanden ist, der eine integrierte, nicht privilegierte Gruppe mit Berechtigungen gewährt, die Vorlageneinstellungsänderungen zulassen, kann ein Angreifer eine Fehlkonfiguration einer Vorlage einführen, Berechtigungen eskalieren und die gesamte Aufgabe kompromittieren Standard.
Beispiele für integrierte, nicht privilegierte Gruppen sind authentifizierte Benutzer, Do Standard-Benutzer oder "Jeder". Beispiele für Berechtigungen, die Vorlageneinstellungsänderungen zulassen, sind "Vollzugriff " oder "DACL schreiben".
Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?
Überprüfen Sie die empfohlene Aktion für https://security.microsoft.com/securescore?viewid=actions eine falsch konfigurierte Zertifikatvorlagen-ACL. Beispiel:
Recherchieren Sie, warum die Vorlagen-ACL möglicherweise falsch konfiguriert ist.
Beheben Sie das Problem, indem Sie alle Einträge entfernen, die nicht privilegierte Gruppenberechtigungen gewähren, die manipulationsfähig für die Vorlage sind.
Entfernen Sie die Zertifikatvorlage, wenn sie nicht benötigt werden, von einer zertifizierungsstelle veröffentlicht zu werden.
Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.
Hinweis
Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.
In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.