Sicherheitsbewertung: Bearbeiten unsicherer ADCS-Zertifikatregistrierungs-IIS-Endpunkte (ESC8)
Dieser Artikel beschreibt den Bericht zur Bewertung des Identitätssicherheitsstatus von Microsoft Defender for Identity Bearbeiten unsicherer ADCS-Zertifikatregistrierungs-IIS-Endpunkte.
Was sind unsichere ADCS-Zertifikatregistrierungs-IIS-Endpunkte?
Active Directory-Zertifikatdienste (AD CS) unterstützt die Zertifikatregistrierung über verschiedene Methoden und Protokolle, einschließlich der Registrierung über HTTP mithilfe des Zertifikatregistrierungsdiensts (Certificate Enrollment Service, CES) oder der Webregistrierungsschnittstelle (Certificate Web Enrollment interface, Certsrv).
Wenn der IIS-Endpunkt die NTLM-Authentifizierung ohne Erzwingen der Protokollsignierung (HTTPS) oder ohne Erzwingen des erweiterten Schutzes für die Authentifizierung (EPA) zulässt, wird er anfällig für NTLM-Relayangriffe (ESC8). Relayangriffe können zu einer vollständigen Domänenübernahme führen, wenn Angreifende es schaffen.
Voraussetzungen
Diese Bewertung ist nur für Kunden verfügbar, die auf einem AD CS-Server einen Sensor installiert haben. Weitere Informationen finden Sie unter Konfigurieren des AD FS-Servers für IFD.
Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?
Auf https://security.microsoft.com/securescore?viewid=actions können Sie nachlesen, welche Aktion für unsichere ADCS-Zertifikatregistrierungs-IIS-Endpunkte empfohlen wird.
Die Bewertung listet die problematischen HTTP-Endpunkte in Ihrer Organisation auf und enthält Anleitungen zum sicheren Konfigurieren von Endpunkten.
Wenn Sie alle nötigen Schritte durchführen, wird das Risiko eines ESC8-Angriffs gemindert und Ihre Angriffsfläche deutlich reduziert.
Hinweis
Bewertungen werden nahezu in Echtzeit aktualisiert, Ergebnisse und der Status alle 24 Stunden. Die Liste der betroffenen Entitäten wird innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert. Es kann jedoch etwas länger dauern, bis der Status zu Abgeschlossen wechselt.
In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.