Evaluación de seguridad: Editar puntos de conexión de IIS de inscripción de certificados de ADCS no seguros (ESC8)
En este artículo se describe el informe de evaluación de nivel de seguridad de identidad de Microsoft Defender for Identity Editar puntos de conexión de IIS de inscripción de certificados de ADCS no seguros.
¿Qué son los puntos de conexión de IIS de inscripción de certificados de AD CS no seguros?
Active Directory Certificate Services (AD CS) admite la inscripción de certificados a través de varios métodos y protocolos, incluida la inscripción a través de HTTP mediante el Servicio de inscripción de certificados (CES) o la Interfaz de inscripción web (Certsrv).
Si el punto de conexión de IIS permite la autenticación NTLM sin aplicar la firma de protocolo (HTTPS) o sin aplicar la protección ampliada para la autenticación (EPA), queda vulnerable a los ataques de retransmisión NTLM (ESC8). Los ataques de retransmisión pueden hacer que se tome el control total de un dominio si un atacante consigue hacerse con él con éxito.
Requisitos previos
Esta evaluación solo está disponible para los clientes que hayan instalado un sensor en un servidor de AD CS. Para obtener más información, vea Configurar los sensores de AD FS y AD CS.
¿Cómo utilizo esta evaluación de seguridad para mejorar mi posición de seguridad de la organización?
Consulte la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para los puntos de conexión de IIS de inscripción de certificados de AD CS no seguros.
En la evaluación figuran los puntos de conexión HTTP problemáticos de la organización y las indicaciones para configurar los puntos de conexión de forma segura.
Una vez controlado esto, hace disminuir el riesgo de ataque ESC8, lo que reduce significativamente la superficie expuesta a ataques.
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos tras aplicar las acciones recomendadas, el estado puede tardar un tiempo hasta que se marque como Completado.
Los informes muestran las entidades afectadas de los últimos 30 días. Después de ese tiempo, las entidades que ya no estén afectadas se quitarán de la lista de entidades expuestas.