Evaluación de seguridad: edite una plantilla de certificado excesivamente permisiva con EKU con privilegios (cualquier EKU de propósito o sin EKU) (ESC2) (versión preliminar)

  • Artículo

En este artículo se describe la plantilla de certificado demasiado permisivo de Microsoft Defender for Identity con el informe de evaluación de la posición de seguridad de EKU con privilegios.

¿Qué es una plantilla de certificado excesivamente permisiva con EKU con privilegios?

Los certificados digitales desempeñan un papel fundamental en el establecimiento de confianza y conservación de la integridad en toda una organización. Esto es cierto no solo en la autenticación de dominio Kerberos, sino también en otras áreas, como la integridad de código, la integridad del servidor y las tecnologías que dependen de certificados como Servicios de federación de Active Directory (AD FS) (AD FS) y IPSec.

Cuando una plantilla de certificado no tiene EKUs o tiene una EKU de cualquier propósito y es inscribible para cualquier usuario sin privilegios, los certificados emitidos en función de esa plantilla pueden usarse malintencionadamente por un adversario, poniendo en peligro la confianza.

Aunque el certificado no se puede usar para suplantar la autenticación de usuario, pone en peligro otros componentes que alivian los certificados digitales para su modelo de confianza. Los adversarios pueden crear certificados TLS y suplantar cualquier sitio web.

Cómo usar esta evaluación de seguridad para mejorar mi posición de seguridad de la organización?

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para obtener plantillas de certificado excesivamente permisivas con una EKU con privilegios. Por ejemplo:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Investigue por qué las plantillas tienen una EKU con privilegios.

  3. Corrija el problema haciendo lo siguiente:

    • Restrinja los permisos excesivamente permisivos de la plantilla.
    • Aplique mitigaciones adicionales, como agregar requisitos de aprobación y firma del administrador, si es posible.

Asegúrese de probar la configuración en un entorno controlado antes de activarlos en producción.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos a partir de la implementación de las recomendaciones, el estado puede tardar tiempo hasta que se marque como Completado.

Los informes muestran las entidades afectadas de los últimos 30 días. Después de ese tiempo, las entidades ya no afectadas se quitarán de la lista de entidades expuestas.

Pasos siguientes