Evaluación de seguridad: Editar ACL de entidad de certificación mal configurada (ESC7) (versión preliminar)
En este artículo se describe el informe de evaluación de la posición de seguridad de la ACL de la entidad de certificación mal configurada de Microsoft Defender for Identity.
¿Qué es una ACL de entidad de certificación mal configurada?
Las entidades de certificación (CA) mantienen listas de control de acceso (ACL) que describen los roles y permisos de la ENTIDAD de certificación. Si el control de acceso no está configurado correctamente, es posible que cualquier usuario pueda interferir con la configuración de la ENTIDAD de certificación, eludir las medidas de seguridad y poner en peligro todo el dominio.
El efecto de una ACL mal configurada varía en función del tipo de permiso aplicado. Por ejemplo:
- Si un usuario sin privilegios contiene el derecho Administrar certificados, puede aprobar solicitudes de certificado pendientes, omitiendo el requisito de aprobación del administrador.
- Con el derecho Administrar ENTIDAD de certificación, el usuario puede modificar la configuración de la ENTIDAD de certificación, como agregar la marca SAN (
EDITF_ATTRIBUTESUBJECTALTNAME2), creando una configuración incorrecta artificial que podría provocar posteriormente un riesgo de dominio completo.
Requisitos previos
Esta evaluación solo está disponible para los clientes que instalaron un sensor en un servidor de AD CS. Para obtener más información, consulte Nuevo tipo de sensor para Servicios de certificados de Active Directory (AD CS).
Cómo usar esta evaluación de seguridad para mejorar mi posición de seguridad de la organización?
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para ver las ACL de entidad de certificación mal configuradas. Por ejemplo:
Investigue por qué la ACL de ca está mal configurada.
Corrija los problemas mediante la eliminación de todos los permisos que conceden grupos integrados sin privilegios con permisos administrar ca o Administrar certificados .
Asegúrese de probar la configuración en un entorno controlado antes de activarlos en producción.
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos a partir de la implementación de las recomendaciones, el estado puede tardar tiempo hasta que se marque como Completado.
Los informes muestran las entidades afectadas de los últimos 30 días. Después de ese tiempo, las entidades ya no afectadas se quitarán de la lista de entidades expuestas.